ZMR MELDEGESETZ-DURCHFÜHRUNGSVERORDNUNG


Verordnung des Bundesministers für Inneres über die Durchführung des Meldegesetzes (Meldegesetz-Durchführungsverordnung - MeldeV)

Auf Grund des Meldegesetzes 1991 (MeldeG), BGBl. Nr. 9/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 98/2001 wird - hinsichtlich der Festsetzung von Verwaltungsabgaben im Einvernehmen mit dem Bundesminister für Finanzen - verordnet:

§ 1

Begriffsbestimmungen

§ 2

Belehrungspflicht

§ 3

Verantwortlicher

§ 4

Zugriffsberechtigung

§ 5

Datensicherheitsmaßnahmen

§ 6

Antrag auf Einräumung der Abfrageberechtigung

§ 6a

Abfrage durch sonstige Abfrageberechtigte

§ 7

Entzug der Zugriffsberechtigung oder der Abfrageberechtigung

§ 8

Zutritt zu Räumen

§ 9

Technische Vorkehrungen

§ 10

Kontrolle durch den Betreiber

§ 11

Dienstleister

§ 12

Mitteilungen an den Betreiber

§ 13

Dokumentation

§ 14

Kosten der Abfrageberechtigung

§ 15

Verwaltungsabgaben

§ 16

Zeitpunkt der Aufnahme des Echtbetriebes des ZMR

§ 17

In- und Außerkrafttreten sowie Übergangsbestimmungen

 

 

zum Seitenanfang

Begriffsbestimmungen

§ 1

Im Sinne dieser Verordnung sind:
1. Betreiber: der Bundesminister für Inneres;
2. Abfrageberechtigte: unter Z 3 und 4 Genannte, denen gemäß § 16a Abs. 4 oder Abs. 5 MeldeG eine Abfrageberechtigung im Zentralen Melderegister (ZMR) eingeräumt wurde;
3. abfrageberechtigte Stellen: Organe von Gebietskörperschaften,
Gemeindeverbände, Gerichtskommissäre im Sinne des
Gerichtskommissärsgesetzes, BGBl. Nr. 343/1970, und
Sozialversicherungsträger, denen gemäß § 16a Abs. 4 MeldeG
eine Abfrageberechtigung im Zentralen Melderegister im Datenfernverkehr eingeräumt wurde;
4. sonstige Abfrageberechtigte: andere als unter Z 3 genannte Körperschaften des öffentlichen Rechts sowie andere Personen, denen gemäß § 16a Abs. 5 MeldeG eine Abfrageberechtigung im Zentralen Melderegister im Datenfernverkehr eingeräumt wurde;
5. Zugriffsberechtigte: Menschen, denen der physische Zugriff auf die im ZMR verarbeiteten Daten eingeräumt wurde.

 
zum Seitenanfang

Belehrungspflicht

§ 2

Meldebehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZMR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.

 

 

zum Seitenanfang

Verantwortlicher

§ 3 (1)

Meldebehörden und Abfrageberechtigte haben dem Betreiber zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen der Datenverarbeitung für das ZMR zu benennen.

(2)

Als Verantwortlicher können auch Dienstleister in Anspruch genommen und benannt werden.

 

 

zum Seitenanfang

Zugriffsberechtigung

§ 4 (1)

Soweit ein gemäß § 3 benannter Verantwortlicher nicht vom Betreiber ermächtigt wird, Zugriffsberechtigungen zu erteilen, werden diese vom Betreiber vergeben; die Ermächtigung kann an die Erfüllung von Auflagen und Bedingungen gebunden werden.

(2)

Sofern der Verantwortliche zur Erteilung von Zugriffsberechtigungen gemäß Abs. 1 ermächtigt worden ist, hat er für seinen Zuständigkeitsbereich die Zugriffsberechtigungen für das ZMR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Betreiber auf Verlangen Zugriff auf ihre Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.

 

 

zum Seitenanfang

Datensicherheitsmaßnahmen

§ 5 (1)

Der gemäß § 3 benannte Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZMR oder für die Abfrage aus dem ZMR in seinem Bereich festzulegen, sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZMR in seinem Zuständigkeitsbereich zu schaffen.

(2)

Abfrageberechtigte Stellen, bei denen ein Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde, und Meldebehörden haben dafür zu sorgen, dass für den Bereich der Systeme, über die der Zugang zum ZMR erfolgen soll, eine nach den Vorgaben des Betreibers zu gestaltende Datensicherheitsvorschrift, in der die für den Betrieb des ZMR oder für Abfragen aus diesem erforderlichen Datensicherheitsmaßnahmen anzuordnen sind, erlassen wird.

(3)

Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die mindestens drei und höchstens sechs Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.

 

 

zum Seitenanfang

Antrag auf Einräumung der Abfrageberechtigung

§ 6 (1)

Ein Antrag gemäß § 16a Abs. 5 MeldeG ist im Wege des Verantwortlichen an den Betreiber zu richten.

(2)

Ein Antrag gemäß Abs. 1 hat überdies den Hinweis zu enthalten, dass die beantragende Stelle die notwendigen technischen und organisatorischen Vorgaben des Betreibers für die Einräumung einer Abfrageberechtigung zustimmend zur Kenntnis genommen hat, die dieser allgemein zugänglich zur Verfügung stellt.

   

zum Seitenanfang

Abfrage durch sonstige Abfrageberechtigte

§ 6a

Bei einer Abfrage durch sonstige Abfrageberechtigte (§ 1 Z 4) haben diese zumindest einen Vornamen, den Familiennamen sowie mindestens ein weiteres Merkmal, wie etwa das
wirtschaftsbereichsspezifische Personenkennzeichen (§ 14 E-GovG), Geburtsdatum, Geburtsort oder einen bisherigen Wohnsitz einzugeben. Eine Auskunft darf nur erteilt werden, wenn der gesuchte Mensch durch die eingegebenen Merkmale im Hinblick auf alle im ZMR gespeicherten Gesamtdatensätze eindeutig bestimmt werden kann.

 

 

zum Seitenanfang

Entzug der Zugriffsberechtigung oder der Abfrageberechtigung

§ 7 (1)

Zugriffsberechtigte sind vom jeweils benannten Verantwortlichen von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
1. sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
2. sie die Daten nicht entsprechend den für den Betrieb des ZMR maßgeblichen Bestimmungen verwenden.

(2)

Unter den in Abs. 1 Z 2 genannten Voraussetzungen kann auch der Betreiber einen Zugriffsberechtigten von der weiteren Benutzung ausschließen oder dies anordnen.

(3)

Der Entzug der Abfrageberechtigung richtet sich nach § 16a Abs. 7 MeldeG.

 

 

zum Seitenanfang

Zutritt zu Räumen

§ 8 (1)

Meldebehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZMR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.

(2)

Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZMR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZMR durch Außenstehende nicht möglich ist.

(3)

Mitgliedern der Datenschutzkommission, des Datenschutzrates sowie dem Betreiber ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.

(4)

Nähere Bestimmungen über den Zutritt, insbesondere auch Regelungen über den Zutritt anderer als der in Abs. 1 bis 3 genannten Personen und dessen Dokumentation sind in einer Datensicherheitsvorschrift (§ 5) zu treffen.

(5)

Die Abs. 3 und 4 finden - unbeschadet anderer bundesgesetzlicher Regelungen - auf sonstige Abfrageberechtigte keine Anwendung. Für abfrageberechtigte Stellen gilt Abs. 3 nur, wenn ein von ihnen benannter Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde.

 

 

zum Seitenanfang

Technische Vorkehrungen

§ 9 (1)

Für den Verbindungsaufbau zum ZMR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Betreiber anerkanntes Protokoll kommunizieren. Meldebehörden haben überdies vom Betreiber zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZMR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Betreiber anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Dienstleisters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen diesem und den über ihn zugreifenden Datenendgeräten vom Betreiber als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.

(2)

Es ist sicherzustellen, dass der Zugriff auf das ZMR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.

(3)

Wird ein Gerät, das den Zugang zum ZMR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.

(4)

Es ist sicherzustellen, dass nach den Vorgaben des Betreibers geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZMR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.

 

 

zum Seitenanfang

Kontrolle durch den Betreiber

§ 10

Der Betreiber kann im Zusammenwirken mit der Meldebehörde durch Stichproben überprüfen, ob die Verwendung der Daten des ZMR im dortigen Bereich den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.

 

 

zum Seitenanfang

Dienstleister

§ 11

Bedienen sich Meldebehörden oder Abfrageberechigte für den Datenverkehr mit dem Zentralen Melderegister eines Dienstleisters, haben sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und zur Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.

 

 

zum Seitenanfang

Mitteilungen an den Betreiber

§ 12

Meldebehörden und Abfrageberechtigte haben dem Betreiber unverzüglich mitzuteilen:
1. Veränderungen im Bereich des auf das ZMR zugriffsberechtigten Personals (einschließlich der Änderungen gemäß § 7), sofern ihnen nicht die Erteilung von Zugriffsberechtigungen gemäß § 4 übertragen wurde,
2. die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Dienstleisters oder
3. das Auftreten von Programmstörungen, die den Datenbestand gefährden können.

 

 

zum Seitenanfang

Dokumentation

§ 13

Soweit sich aus der Datenverarbeitung selbst oder einen allenfalls beim Datenverkehr mit dem ZMR bekanntzugebenden Bezug nicht die Nachvollziehbarkeit der Verwendungsvorgänge ergibt, sind Aufzeichnungen zu führen, die die Zulässigkeit der tatsächlich im Bereich des ZMR durchgeführten Verwendungsvorgänge im notwendigen Ausmaß überprüfbar machen.

 

 

zum Seitenanfang

Kosten der Abfrageberechtigung

§ 14 (1)

Sonstige Abfrageberechtigte haben dem Betreiber für die Eröffnung der Abfrageberechtigung jährlich einen pauschalen Kostenersatz in der Höhe von 1.000,-- € zu leisten.

(2)

Der Kostenersatz gemäß Abs. 1 entfällt im Falle der
Inanspruchnahme eines Dienstleisters (§ 3 Abs. 2), wenn dieser in der Lage ist, diese Dienstleistung für mindestens 100 Auftraggeber gleichzeitig zu erbringen.

(3)

Der Kostenersatz gemäß Abs. 1 ist innerhalb der ersten drei Monate eines jeden Verrechnungsjahres zu entrichten; das erste Verrechnungsjahr beginnt mit Eröffnung der Abfrageberechtigung.

 

 

zum Seitenanfang

Verwaltungsabgaben

§ 15 (1)

Für die Erteilung einer Auskunft aus dem ZMR im Wege des Datenfernverkehrs haben abfrageberechtigte Stellen - soweit es sich nicht um die Erfüllung der sich aus § 16a Abs. 9 MeldeG ergebenden Verpflichtungen handelt - eine Verwaltungsabgabe in der Höhe von 1,-- € an den Betreiber zu entrichten.

(2)

Für die Erteilung einer Auskunft aus dem ZMR im Wege des
Datenfernverkehrs haben sonstige Abfrageberechtigte eine Verwaltungsabgabe in der Höhe von 3 € zu entrichten. Sonstigen Abfrageberechtigten, die auch zur Vollziehung von Gesetzen berufen sind (Beliehene), kann über Antrag an Stelle der Vorschreibung der Verwaltungsabgabe in jedem Einzelfall eine Gesamtsumme für alle Abfragen innerhalb eines Quartals vorgeschrieben werden, wobei pro Abfrage ein Rechenwert von 1 € zu veranschlagen ist.

(3)

Für Meldeauskünfte gemäß § 18 Abs. 1 MeldeG und für Meldebestätigungen gemäß § 19 Abs. 2 MeldeG, die unter Inanspruchnahme des ZMR erteilt werden, sind Verwaltungsabgaben in der Höhe von 3 € zu entrichten. Für eine Meldeauskunft gemäß § 18 Abs. 1a MeldeG ist eine Verwaltungsabgabe in der Höhe von 3 € an den Betreiber zu entrichten.

(3a)

Für eine mit Amtssignatur elektronisch signierte Meldebestätigung gemäß § 17 Abs. 3 Z 2 E-GovG ist eine Verwaltungsabgabe in der Höhe von 3 € an den Betreiber zu entrichten.

(4)

Die in § 16a Abs. 8 MeldeG vorgesehene Befreiung von der Entrichtung der Verwaltungsabgabe gemäß Abs. 1 für Organe der Sicherheitsbehörden und Gemeinden bleibt unberührt.

(5)

Handelt es sich bei abfrageberechtigten Stellen um Organe der Länder fällt die Verwaltungsabgabe gemäß Abs. 1 nicht an, wenn das jeweilige Land an den Betreiber einen Pauschalbetrag entrichtet. Der Betrag beträgt jährlich 0,02 € pro Einwohner des Landes. Die Einwohnerzahl bestimmt sich nach dem Ergebnis der letzten Volkszählung. Der Betrag ist jeweils im ersten Quartal für das laufende Kalenderjahr zu entrichten.

 

 

zum Seitenanfang

Zeitpunkt der Aufnahme des Echtbetriebes des ZMR

§ 16

Der Echtbetrieb des ZMR wird am 1. März 2002 aufgenommen.

 

 

zum Seitenanfang

In- und Außerkrafttreten sowie Übergangsbestimmungen

§ 17 (1)

Diese Verordnung tritt mit 1. März 2002 in Kraft, gleichzeitig tritt die Meldedatensicherheitsmaßnahmen-Verordnung, BGBl. II Nr. 174/2001, außer Kraft.

(2)

Mit Inkrafttreten dieser Verordnung tritt die Wanderungsstatistik-Verordnung, BGBl. Nr. 152/1995 außer Kraft.

(3)

Bereits auf Grund der Meldedatensicherheitsmaßnahmen-Verordnung benannte Verantwortliche gelten als nach dieser Verordnung benannt und erteilte Zertifikate als nach dieser Verordnung erteilt. Ebenso bleiben Datensicherheitsmaßnahmen, die bereits für den Aufbau des ZMR ergriffen wurden, in Geltung.

(4)

Die §§ 1 Z 3, 6a, 8 Abs. 4, 14 Abs. 2 und 3, 15 Abs. 2, 3 und 5 in der Fassung der Verordnung BGBl. II Nr. 247/2004 treten mit 1. Juli 2004 in Kraft. § 15 Abs. 3a in der Fassung der Verordnung BGBl. II Nr. 247/2004 tritt mit 1. Jänner 2005 in Kraft.

(5)

Die Pauschalierung gem. § 15 Abs. 5 ist auf den Zeitraum 1. Juli 2004 bis 31. Dezember 2009 begrenzt. Der Pauschalbetrag für das Jahr 2004 ist im dritten Quartal des Jahres 2004 zu entrichten, wobei für das Jahr 2004 bereits geleistete Zahlungen anzurechnen sind.

(6)

§ 17 Abs. 5 in der Fassung der Verordnung BGBl. II Nr. 486/2006 tritt mit 1. Jänner 2007 in Kraft.

(7)

§ 17 Abs. 5 in der Fassung der Verordnung BGBl. II Nr. 386/2007 tritt mit 1. Jänner 2008 in Kraft.

(8)

§ 17 Abs. 5 in der Fassung der Verordnung BGBl. II Nr. 495/2008 tritt mit 1. Jänner 2009 in Kraft.