Wiener Datenschutz-Anpassungsgesetz (WDSAG)

(1) Dieses Gesetz regelt den Schutz personenbezogener Daten in manuell geführten Dateisystemen, in denen die Gesetzgebung Landessache ist, sowie die Benennung einer bzw. eines Datenschutzbeauftragten für die durch Gemeinde- oder Landesbehörden geführten Verarbeitungen von personenbezogenen Daten. Das Gesetz führt die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4. Mai 2016, S.1. durch.

(2) entfällt; BGBl. I Nr. 14/2019

1. Hauptstück

entfällt; BGBl. I Nr. 14/2019

entfällt; BGBl. I Nr. 14/2019

entfällt; BGBl. I Nr. 14/2019

2. Hauptstück

(1) Zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben ist im Magistrat für die Organe der Gemeinde und des Landes Wien eine Bedienstete oder ein Bediensteter zur oder zum gemeinsamen Datenschutzbeauftragten zu bestellen.

(2) Die Bürgermeisterin oder der Bürgermeister bestellt die Datenschutzbeauftragte oder den Datenschutzbeauftragten für den Gemeindebereich für die Dauer von fünf Jahren. Die oder der Datenschutzbeauftragte für den Gemeindebereich ist auch die oder der Datenschutzbeauftragte für den Landesbereich. Wiederbestellungen sind zulässig.

(3) Für die Bereitstellung der erforderlichen Ressourcen gemäß Art. 38 Abs. 2 DSGVO hat der Magistrat zu sorgen.

(4) Die oder der Datenschutzbeauftragte hat für den Fall ihrer oder seiner Verhinderung für die Zeit ihrer oder seiner Funktion eine Person aus dem Kreis der ihr oder ihm zugeteilten Bediensteten schriftlich zu bestimmen, die sie oder ihn vertritt. Für die Dauer der Vertretung kommen dieser Person alle sich aus der DSGVO und diesem Hauptstück ergebenden Rechte und Pflichten der oder des Datenschutzbeauftragten zu.

(1) Die oder der Datenschutzbeauftragte ist in Ausübung ihrer oder seiner Funktion an keine Weisungen gebunden. Die der oder dem Datenschutzbeauftragten zugeteilten Bediensteten sind nur an deren oder dessen Weisungen gebunden.

(2) Der Gemeinderat und der Landtag sind berechtigt, sich über alle Gegenstände der Geschäftsführung im Zusammenhang mit den Aufgaben der oder des Datenschutzbeauftragten zu unterrichten. Die oder der Datenschutzbeauftragte ist verpflichtet nur insoweit zu entsprechen, als dies nicht der Unabhängigkeit der oder des Datenschutzbeauftragten im Sinne des Art. 38 Abs. 3 DSGVO widerspricht.

(1) Die oder der Datenschutzbeauftragte ist, unbeschadet sonstiger Verschwiegenheitspflichten bei der Erfüllung ihrer oder seiner Aufgaben zur Geheimhaltung verpflichtet. Diese Verschwiegenheit erstreckt sich auch auf die zugeteilten Bediensteten. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an die Datenschutzbeauftragte oder den Datenschutzbeauftragten gewendet haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, es sei denn, es erfolgte eine ausdrückliche Entbindung von der Verschwiegenheit durch die betroffene Person. Die oder der Datenschutzbeauftragte und die für sie oder ihn tätigen Personen dürfen die zugänglich gemachten Informationen ausschließlich für die Erfüllung der Aufgaben verwenden.

(2) Erhält eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter bei ihrer oder seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle der oder des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den für sie oder ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat. Im Umfang des Aussageverweigerungsrechts der oder des Datenschutzbeauftragten, unterliegen ihre oder seine Akten und andere Schriftstücke einem Sicherstellungs- und Beschlagnahmeverbot. Die Rechte der Aufsichtsbehörde nach § 22 DSG werden davon nicht berührt.

(3) Die oder der Datenschutzbeauftragte ist außerdem zur Verschwiegenheit über alle ihr oder ihm von einzelnen Bediensteten gemachten Mitteilungen verpflichtet, die der Sache nach oder auf Wunsch der oder des Bediensteten vertraulich zu behandeln sind.

(4) Die Verpflichtung zur Verschwiegenheit nach Abs. 1 und 2 besteht auch nach Beendigung der Funktion als Datenschutzbeauftragte oder Datenschutzbeauftragter fort.

(1) Die oder der Datenschutzbeauftragte hat, neben den in Art. 39 DSGVO genannten Aufgaben, bis zum 31. März des Folgejahres einen Tätigkeitsbericht über die Tätigkeiten im vergangenen Kalenderjahr zu erstellen und dem Gemeinderat und dem Landtag im Wege des Stadtsenats bzw. der Landesregierung zur Kenntnisnahme vorzulegen. Der Bericht ist nach Kenntnisnahme im Internet zu veröffentlichen.

(2) Der Magistrat hat zur Administration der in seinem Zuständigkeitsbereich vorgenommenen Verarbeitungstätigkeiten, Datenschutzverträge, Portalverbundanwendungen sowie Verfahren der Meldung der Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde im Sinne des Art. 33 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten als automationsunterstützte Anwendung einzurichten und zu führen. Der Magistrat kann zum einheitlichen Vollzug Vorgaben hinsichtlich der Verwendung des Verzeichnisses der Verarbeitungstätigkeiten erlassen.

(1) Die oder der Datenschutzbeauftragte ist berechtigt, Verarbeitungstätigkeiten zu überprüfen. Dazu kann sie oder er von der oder vom Verantwortlichen oder von der Auftragsverarbeiterin oder vom Auftragsverarbeiter der überprüften Verarbeitungstätigkeiten verlangen, Einschau in diese Tätigkeit und in diesbezügliche Unterlagen sowie insbesondere alle notwendigen Aufklärungen zu erhalten. Die oder der Verantwortliche oder die Auftragsverarbeiterin oder der Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte der oder des Verantwortlichen oder der Auftragsverarbeiterin oder des Auftragsverarbeiters und Dritter auszuüben. Darüber hinaus hat die oder der Datenschutzbeauftragte jeden ihr oder ihm zu Kenntnis gelangten Verdacht einer Verletzung, insbesondere des Auftretens von Sicherheitsmängeln, im Zusammenwirken mit allen in Betracht kommenden Personen (Institutionen) nachzugehen und auf die Herstellung des gesetzmäßigen Zustandes hinzuwirken. Dabei kann sie oder er jederzeit der oder dem für die jeweilige Geschäftsgruppe zuständigen amtsführenden Stadträtin oder amtsführenden Stadtrat bzw. bei Dienststellen, die keiner Geschäftsgruppe angehören, der Magistratsdirektorin oder dem Magistratsdirektor berichten. In Angelegenheiten, die den Stadtrechnungshof Wien betreffen, ist an die Direktorin bzw. den Direktor des Stadtrechnungshofs zu berichten.

(2) Die oder der Datenschutzbeauftragte ist berechtigt von Dienststellenleiterinnen oder Dienststellenleitern sowie den mit Datenschutz betrauten Bediensteten der Dienststellen Auskünfte einzuholen und/oder Berichte zu verlangen. Gegenüber der oder dem Datenschutzbeauftragten kann keine dienstliche Verschwiegenheit geltend gemacht werden.

(3) Die Dienststellenleiterin oder der Dienststellenleiter hat nach Maßgabe der vorhandenen Möglichkeiten binnen angemessener Frist dem begründeten Verlangen der oder des Datenschutzbeauftragten in Angelegenheiten des Datenschutzes Rechnung zu tragen oder dieser oder diesem den Grund für die allfällige Nichterfüllung oder spätere Erfüllung schriftlich mitzuteilen.

(1) Die Funktion als Datenschutzbeauftragte oder Datenschutzbeauftragter endet

(2) Die Bürgermeisterin oder der Bürgermeister hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten von ihrer oder seiner Funktion zu entheben, wenn sie oder er aus gesundheitlichen Gründen die Funktion länger als ein Jahr durchgehend nicht mehr ausüben kann oder die ihr oder ihm obliegenden Pflichten vorsätzlich verletzt oder dauernd gröblich vernachlässigt.

(3) Endet die Funktion vor Ablauf der Funktionsdauer, ist unverzüglich eine neue Datenschutzbeauftragte oder ein neuer Datenschutzbeauftragter zu bestellen.

(1) Sofern in diesem Gesetz auf Bestimmungen des Datenschutzgesetzes (DSG) verwiesen wird, bezieht sich der Verweis auf das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I 165/1999, in der Fassung des Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 120/2017.

(2) Sofern in diesem Gesetz auf Bestimmungen der Datenschutz-Grundverordnung verwiesen wird, bezieht sich der Verweis auf die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4. Mai 2016, S. 1.

(3) Verweise auf Wiener Landesgesetze beziehen sich auf die jeweils geltende Fassung.

Dieses Gesetz dient der Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4. Mai 2016, S. 1.

Dieses Gesetz tritt mit 25. Mai 2018 in Kraft. Gleichzeitig tritt das Gesetz über den Schutz personenbezogener Daten (Wiener Datenschutzgesetz), LGBl. für Wien Nr. 125/2001, außer Kraft. Verfahren, die zu diesem Zeitpunkt noch anhängig sind, sind nach den Bestimmungen des Wiener Datenschutzgesetzes zu Ende zu führen.