th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Informationsverbundsysteme

Die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten nennt man Informationsverbundsysteme

Das Datenschutzgesetz 2000 definiert das Vorliegen eines "Informationsverbundsystems“ als "die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden.“

Folgende Voraussetzungen müssen daher vorliegen:

  • Jeder Systemteilnehmer (Auftraggeber) speichert die ihm verfügbaren Informationen in das System ein; 

  • alle Systemteilnehmer (Auftraggeber) haben auch auf jene Daten im System Zugriff, die von den anderen Teilnehmern dem System zur Verfügung gestellt worden sind.

Von Informationsverbundsystemen zu unterscheiden sind reine Dienstleistungsverhältnisse zwischen einzelnen Auftraggebern und einzelnen Dienstleistern. Weiters liegt kein Informationsverbundsystem vor, wenn Daten von einem Auftraggeber direkt an einen anderen Auftraggeber übermittelt werden.

Beispiele für Informationsverbundsysteme finden sich etwa im Tourismusbereich (Flug- und Hotelreservierungssysteme), in Form sogenannter "schwarzer Listen“ unerwünschter Geschäftsverbindungen in bestimmten Branchen; bei der "Warnliste“ der Banken oder auch in der öffentlichen Verwaltung (zB Zentrales Melderegister).

Der Gesetzgeber betrachtet Informationsverbundsysteme als datenschutzrechtlich besonders heikel und sieht daher die Vorabkontrolle durch die Datenschutzbehörde für sie vor. Die Datenschutzbehörde kann in diesem Bereich auch besondere Auflagen für den Betrieb des Informationsverbundsystems verfügen (zB wurden Auflagen für den Betrieb der "Warnliste“ der Banken erteilt).

Die Vorabkontrolle gilt für alle Informationsverbundsysteme, die nach dem Inkrafttreten des Datenschutzgesetzes 2000 gemeldet werden. Registrierungen vor diesem Zeitpunkt gelten weiter. In diesen Fällen treffen allerdings jeden Auftraggeber die Pflichten des "Betreibers“ (siehe unten).

Die Auftraggeber eines Informationsverbundsystems müssen einen geeigneten Betreiber für das System bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Als Betreiber kann sowohl einer der beteiligten Auftraggeber als auch ein Dritter bestellt werden. Sämtliche Auftraggeber des Informationsverbundsystems müssen eine Meldung an das Datenverarbeitungsregister abgeben und den gemeinsamen Betreiber nennen.

Den Betreiber treffen insbesondere folgende Pflichten:

  • Er muss jedem Betroffenen auf Antrag binnen 12 Wochen alle Auskünfte geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; 

  • ihn trifft die Verantwortung für die notwendigen Datensicherheitsmaßnahmen im Informationsverbundsystem.

Das Innenverhältnis zwischen dem Betreiber und den Auftraggebern bleibt der vertraglichen Ausgestaltung überlassen; durch einen solchen Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden; dieser Pflichtenübergang ist gegenüber Dritten nur wirksam, wenn er – auf Grund einer entsprechenden Meldung an die Datenschutzbehörde - aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.

Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können sich weitere Auftraggeber, die eine Teilnahme im exakt gleichen Umfang anstreben, bei der Meldung auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken.

Werden Informationsverbundsysteme geführt, ohne dass eine entsprechende Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers. 

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.