Nutzungsbedingungen

Nutzungsbedingungen für die Data Provider und Data Consumer des Register- und Systemverbunds

  1. Der Register- und Systemverbund dient zum behördenübergreifenden Austausch von strukturierten elektronischen Informationen, die in einer Datenbank oder einem Register bei einer Behörde oder anderen Institution iSd § 2 Z 1 Bundesgesetz über die Einrichtung und den Betrieb eines Unternehmensserviceportals (in weiterer Folge kurz: „USPG“) vorhanden sind. Weiters dient der Register- und Systemverbund dazu, bei Anfragen aus anderen Mitgliedstaaten der EU entsprechende Nachweise über das Single Digital Gateway Once Only Technical System (kurz: „SDG OOTS“) iSd Art 2 Abs 1 der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 02. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 (in weiterer Folge kurz: „SDG-VO“) zu verarbeiten und bereit zu stellen. Behörden oder andere Institutionen werden in weiterer Folge auch als Data Provider und Data Consumer bezeichnet.
  2. Soweit die Gesetze den behördenübergreifenden Austausch von bei einer Behörde oder anderen Institution vorhandenen Informationen mittels Verwendung des Register- und Systemverbunds vorsehen, hat die Bundesministerin/der Bundesminister für Finanzen den behördenübergreifenden Austausch dieser Informationen nach Maßgabe der Gesetze zu ermöglichen. Die Übermittlung dieser Informationen über den Register- und Systemverbund ist nur soweit zulässig, als dafür eine ausreichende datenschutzrechtliche Grundlage besteht (siehe § 6 Abs 2 USPG sowie Art 6 SDG-VO).
  3. Für die Verwendung des Register- und Systemverbunds fallen für Behörden und andere Institutionen iSd § 2 Z 1 USPG (Data Provider und Data Consumer) keine Gebühren oder Kosten an.
  4. Die Bundesministerin/der Bundesminister für Finanzen hat die Bundesrechenzentrum GmbH mit der Errichtung, einschließlich der Herstellung der erforderlichen Anbindungen, dem Betrieb und der Umsetzung der Weiterentwicklung des Register- und Systemverbunds nach den Vorgaben der Verantwortlichen/des Verantwortlichen zu beauftragen (siehe § 6 Abs 1 USPG). Eine datenschutzrechtliche Rolle iSd Art 4 Z 7 und Z 8 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (in weiterer Folge kurz: „DSGVO“) kommt dem Bundesminister für Finanzen / der Bundesministerin für Finanzen somit nicht zu.
  5. Die Bundesrechenzentrum GmbH als Betreiberin der Once-Only-Plattform und damit in weiterer Folge des Register- und Systemverbunds ist hinsichtlich der Verarbeitung von bei einer Behörde oder anderen Institution vorhandenen Informationen im Rahmen des Register- und Systemverbunds gegenüber diesen Verantwortlichen gesetzliche Auftragsverarbeiterin im Sinne der DSGVO. Sie ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist sie berechtigt, für den Betrieb des Register- und Systemverbunds sowie des SDG OOTS weitere Auftragsverarbeiter in Anspruch zu nehmen (siehe § 6 Abs 3 USPG).
  6. Es wird darauf hingewiesen, dass Data Provider und Data Consumer, welche eine Anbindung an den Register- und Systemverbund vornehmen sowie den Register- und Systemverbund verwenden, dafür verantwortlich sind, dass die von ihnen verarbeiteten Daten in Übereinstimmung mit den Bestimmungen der DSGVO und den sonstigen datenschutzrechtlichen Bestimmungen vorgenommen werden.
  7. Zur Erfüllung des Art 28 DSGVO sind folgende Bedingungen einzuhalten:
    1. Spezifikation der Auftragsverarbeitung
      1. Der Gegenstand und der Umfang der Auftragsverarbeitung ergeben sich aus dem konfigurierten Exchange (Transaktionen zwischen dem Data Provider und Data Consumer). Bei Anfragen aus anderen Mitgliedstaaten der EU betreffend die Bereitstellung entsprechender Nachweise über das Single Digital Gateway Once Only Technical System (kurz: „SDG OOTS“) iSd Art 2 Abs 1 der SDG-VO werden zusätzlich Protokolldaten verarbeitet (siehe Art 17 Durchführungsverordnung (EU) 2022/1463 der Kommission vom 5. August 2022 zur Festlegung technischer und operativer Spezifikationen des technischen Systems für den grenzüberschreitenden automatisierten Austausch von Nachweisen und zur Anwendung des Grundsatzes der einmaligen Erfassung gemäß der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates).Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Exchanges, sofern und soweit sich aus den Bestimmungen dieser Nutzungsbedingungen nicht darüberhinausgehende Verpflichtungen ergeben.
      2. Die Art und der Zweck der Auftragsverarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind im konfigurierten Exchange dokumentiert.
  1. b. Weisungsbefugnis des Verantwortlichen
    1. Die Auftragsverarbeiterin darf die im Exchange konfigurierten Daten ausschließlich zu Zwecken der gegenständlichen Auftragsverarbeitung und nach Weisung des jeweiligen Verantwortlichen verarbeiten. Die Rolle des Verantwortlichen ergibt sich aus dem Zweck der jeweiligen Verarbeitung.
  1. c. Technische und organisatorische Maßnahmen
    1. Die Auftragsverarbeiterin wird nach den Vorgaben des Bundesministers für Finanzen gem § 6 Abs 1 USPG die Sicherheit der Verarbeitung gem. Art. 32 DSGVO sicherstellen.
    2. Die Auftragsverarbeiterin garantiert, dass die Auftragsverarbeitung ausschließlich durch befugte Personen erfolgt, die zur Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden, wobei die Verschwiegenheitspflicht auch nach Beendigung des Auftrages fortbesteht.
  1. d. Anträge betroffener Personen
    1. Die Auftragsverarbeiterin unterstützt den jeweiligen Verantwortlichen bei der Erfüllung der Pflichten im Zusammenhang mit Anfragen und Ansprüchen betroffener Personen gem. Kap. III DSGVO..

 

  1. e. Informationspflichten und sonstige Pflichten der Auftragsverarbeiterin
    1. Die Auftragsverarbeiterin unterstützt den jeweiligen Verantwortlichen bei der Erfüllung der in Art 35 DSGVO genannten Pflichten, insbesondere im Zusammenhang mit den technischen und organisatorischen Maßnahmen zur Mitigation des Risikos.
    2. Der Verantwortliche und die Auftragsverarbeiterin arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Aufgaben zusammen.
    3. Die Auftragsverarbeiterin hat den jeweiligen Verantwortlichen unverzüglich zu informieren, wenn sie der Auffassung ist, dass eine Weisung des Verantwortlichen gegen geltende Datenschutzvorschriften verstößt. Die Auftragsverarbeiterin ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder abgeändert wird.

 

  1. f. Unterauftragsverhältnisse
    1. Die Beiziehung eines Sub-Auftragsverarbeiters als weiteren Auftragsverarbeiter im Sinne des Art. 28 Abs. 4 DSGVO durch die Auftragsverarbeiterin ist gemäß § 6 Abs 3 letzter Satz USPG gestattet. Diese darf nur erfolgen, wenn die Voraussetzungen des Art. 28 Abs. 4 DSGVO erfüllt werden.

 

  1. g. Kontrollrechte des Verantwortlichen
    1. Die Auftragsverarbeiterin stellt sicher, dass sich der jeweilige Verantwortliche von der Einhaltung der Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO unter Schonung des Betriebs der Auftragsverarbeiterin überzeugen kann. Details zu derartigen Überprüfungen, insbesondere durch vom jeweiligen Verantwortlichen beauftragte Dritte, müssen jeweils vor der Geltendmachung des Kontrollrechts separat mit der Auftragsverarbeiterin vertraglich vereinbart werden. Eine solche Vereinbarung hat auch eine Vertraulichkeitsvereinbarung mit angemessenen Konventionalstrafen zu inkludieren.

 

  1. h. Pflichten des Verantwortlichen
    1. Der jeweilige Verantwortliche hat die Auftragsverarbeiterin unverzüglich zu informieren, wenn er im Rahmen der Auftragsverarbeitung, insbesondere in den Auftragsergebnissen, Fehler oder Unregelmäßigkeiten im Zusammenhang mit Datenschutzvorschriften feststellt.

 

  1. i. Löschung und Rückgabe von Daten
    1. Die Auftragsverarbeiterin garantiert, dass keine Kopien oder Duplikate von im Exchange konfigurierten Daten erstellt werden. Die Auftragsverarbeiterin wird somit keine über den Register- und Systemverbund transportierte Daten aufbewahren.