SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 2d Abs. 2 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, dürfen Verantwortliche sämtliche personenbezogene Daten verarbeiten, wenn die Daten (§ 2b Z 5 FOG) nur indirekt (EG 26 bzw. Art. 4 Nr. 1 DSGVO) personenbezogen verarbeitet werden oder das Ergebnis der Verarbeitung nur indirekt personenbezogen ist.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 2d Abs. 2 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2b Z 5 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es nicht. Der vorgeschlagene § 2d Abs. 2 FOG umfasst:

–      in Z 1 eine Generalklausel für sämtliche Verarbeitungen, die in pseudonymisierter Form erfolgen oder nur indirekt personenbezogene Daten zum Ergebnis haben;

–      in Z 2 ein Recht auf Ausstattung bestehender (direkt personenbezogener Daten) mit bereichsspezifischen Personenkennzeichen (E-GovG) für den Tätigkeitsbereich „Forschung“ (bPK-FO) sowie von verschlüsselten bPK;

–      in Z 3 ein Recht auf Bereitstellung indirekt personenbezogener Daten aus Registern, die von öffentlichen Stellen (§ 2b Z 8 FOG) und Behörden geführt werden.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext des Art. 89 DSGVO. Mit dem vorgeschlagenen § 2b Abs. 2 Z 1 FOG soll Rechtssicherheit geschaffen werden, falls moderne Technologien, wie etwa Big Data (§ 2 Z 2 FOG) von wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) für Zwecke des Art. 89 DSGVO eingesetzt werden sollen. Voraussetzung für die Zulässigkeit dieses Einsatzes, ist lediglich, dass keine direkt personenbezogenen Daten als Ergebnis offengelegt werden.

Mit dem vorgeschlagenen § 2b Abs. 2 Z 2 FOG soll eine Rechtsgrundlage für die Ausstattung von Daten (§ 2b Z 5 FOG) wissenschaftlicher Einrichtungen (§ 2b Z 11 FOG), die auch Verantwortliche des privaten Bereichs (§ 26 Abs. 4 DSG) sein können, geschaffen werden. Es wird somit das bPK-System auch auf den Bereich „Wissenschaft und Bildung“ ausgedehnt, womit sowohl die Einhaltung der wissenschaftlichen Qualität als auch des datenschutzrechtlichen Richtigkeitsgrundsatzes (Art. 5 Abs. 1 Buchstabe d DSGVO) vereinfacht werden soll.

Durch § 2b Abs. 2 Z 3 FOG soll die registerbasierte Forschung, die in Erwägungsgrund 157 von der Datenschutz-Grundverordnung ausdrücklich angeführt wird, auch innerstaatlich auf eine gesicherte Rechtsgrundlage gestellt werden. Die vorgeschlagene Bestimmung orientiert sich an § 10 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, wonach Stellen, die öffentliche Register (§ 3 Z 18 des Bundesstatistikgesetzes 2000) führen, sowie die Inhaber von Verwaltungsdaten und Statistikdaten verpflichtet sind der Bundesanstalt „Statistik Österreich“ die erforderlichen Daten zu übermitteln.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Gewinnung, Erweiterung und Vertiefung wissenschaftlicher Erkenntnis (§ 1 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Hinsichtlich des § 2d Abs. 2 Z 1 FOG soll iSd § 1 FOG die gesamte Gesellschaft Empfängerin und Empfänger der gewonnen, erweiterten oder vertieften Erkenntnisse in pseudonymisierter Form sein.

Hinsichtlich des § 2d Abs. 1 Z 2 und 3 FOG sind die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) Empfängerinnen und Empfänger.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Nach der allgemeinen Regel des § 2d Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für die in § 2d Abs. 2 FOG angeführten Daten unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 2d Abs. 2 Z 1 FOG ist jede Form der Verarbeitung zulässig, solange mindestens eine der Voraussetzungen des § 2d Abs. 1 Z 1 FOG eingehalten wird.

§ 2d Abs. 2 Z 2 und 3 FOG berechtigen die wissenschaftlichen Einrichtungen (§ 2d Z 12 FOG) zum Empfang der bereichsspezifischen Personenkennzeichen (Z 2) bzw. der in den Registern enthaltenen Daten (Z 3).

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

§ 2d Abs. 2 FOG verweist auf die verfolgten Zwecke durch die Formulierung „Für Zwecke dieses Bundesgesetzes“. Diese sind in § 1 FOG festgelegt.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 2d Abs. 2 FOG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Erreichung der in § 1 FOG genannten Ziele des Forschungsorganisationsgesetzes erforderlich ist. Dass eine Verarbeitung mehrere Zwecke verfolgen darf, ergibt sich bereits aus der Formulierung des Art. 5 Abs. 1 Buchstabe d DSGVO, wonach „personenbezogene Daten […] auf das für die Zwecke [Anm.: Plural!] der Verarbeitung notwendige Maß beschränkt sein“ müssen.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung durch die Bestimmungen des Forschungsorganisationsgesetzes, insofern als

–      auf eine wissenschaftliche Methode nach anerkannten, internationalen Standards (sogenannte Frascati-Definition) abgestellt wird,

–      die Zwecke in § 1 FOG abschließend definiert werden und

–      geeignete Maßnahmen zum Schutz der betroffenen Personen vorgesehen werden, wie insbesondere Pseudonymisierung (§ 2d Abs. 2 FOG).

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2d Abs. 2 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 2d Abs. 2 FOG vorgesehen ist.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG (DS-RL) sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses an Wissenschaft und Forschung erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Allerdings sind die in § 2d Abs. 2 Z 1 FOG angeführten Voraussetzungen so hoch, dass die Angemessenheit der Verarbeitung jedenfalls gewährleistet ist. Die genannten Anforderungen sind:

–      Einsatz bereichsspezifischer Personenkennzeichen oder anderer eindeutiger (freiwilliger) Identifikatoren zur Identifizierung, anstelle eines direkten Personenbezugs oder

–      Verarbeitung in – auf andere Art und Weise – pseudonymisierter Form oder

–      Veröffentlichung nur in anonymisierter oder pseudonymisierter Form oder ohne Name, Wohnadresse und Foto, oder

–      Zweck der Verarbeitung ist die Anonymisierung oder Pseudonymisierung, wobei eine Offenlegung direkt personenbezogener Daten an Dritte nicht erfolgt.

Mit § 2d Abs. 2 Z 2 FOG wird wissenschaftlichen Einrichtungen das Recht zugestanden, eine Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Bildung und Forschung“ zu verlangen. Damit wird die rechtliche Grundlage dafür geschaffen, dass wissenschaftliche Einrichtung die „Pseudonymisierung [anwenden, weil] es möglich ist, diese Zwecke [Anm.: des Art. 89 Abs. 1 DSGVO] auf diese Weise zu erfüllen“ (Art 89 Abs. 1 DSGVO).

Wissenschaftlichen Einrichtungen, die durch die Pseudonymisierung besonders zur Einhaltung des Datenschutzes beitragen, soll mit § 2d Abs. 2 Z 3 FOG das Recht zugestanden werden, die Bereitstellung von Daten (§ 2b Z 5) aus Registern von öffentlichen Stellen (§ 2b Z 8 FOG) oder Behörden zu verlangen, wenn dabei Namensangaben durch bereichsspezifische Personenkennzeichen ersetzt werden.

Damit ist das Grundrecht auf Datenschutz (§ 1 DSG 2000 bzw. Art. 8 EU-Grundrechte-Charta) aktuell nicht berührt, wie § 8 Abs. 2 und § 9 Z 2 DSG 2000 bestimmen. Durch die Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO, die indirekt personenbezogenen Daten ausdrücklich mitumfasst, und das Fehlen einer DSGVO-Regelung, die § 8 Abs. 2 oder § 9 Z 2 DSG 2000 entspricht, kommt es zu einer Verschärfung der Rechtslage. An der Gefährlichkeit, die mit der Verarbeitung indirekt personenbezogener Daten einhergeht, ändert sich nichts, da es sich bei der Beurteilung des damit verbundenen Risikos um eine faktische Frage handelt. Auf faktischer Ebene tritt am 25. Mai 2018 keine (sprunghafte) Änderung ein. Diese findet bloß auf rechtlicher Ebene statt. Wenn aber sich die faktische Gefährlichkeit nicht geändert hat, kann auch nach Verschärfung der Rechtslage (am 25. Mai 2018), die Verarbeitung indirekt personenbezogener Daten nicht unangemessen sein, außer es gäbe Regelungen, die Argumente für die Unangemessenheit lieferten oder diese sogar ausdrücklich vorsähen. Das Gegenteil ist der Fall: EG 28 und 156, Art. 6 Abs. 4 Buchstabe d, Art. 25 Abs. 1, Art. 32 Abs. 1 Buchstabe a sowie Art. 89 Abs. 1 DSGVO sehen die Pseudonymisierung als geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen an. Wäre die Verarbeitung pseudonymisierter Daten unangemessen, könnte die Pseudonymisierung niemals als Instrument zur Senkung des Risikos für die betroffenen Personen („angemessene Garantie“) fungieren.

Das Kriterium der Angemessenheit ist somit im höchsten Maße erfüllt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verfügbarkeit hochwertiger Daten wesentliche Voraussetzung zur Erfüllung der Zwecke gemäß Art. 89 DSGVO ist.

Die Klarstellung in § 2d Abs. 2 Z 1 FOG, dass beispielsweise auch Big Data erlaubt ist, ist äußerst relevant für die weitere Entwicklung des Wissenschafts- und Forschungsstandortes: nach einem Bericht des Weltwirtschaftsforums wird bis zum Jahr 2030 alleine der Bereich der künstlichen Intelligenz die globale Wirtschaftsleistung um 14 Prozent steigern (Weltwirtschaftsforum, https://www.weforum.org/agenda/ 2017/06/the-global-economy-will-be-14-bigger-in-2030-because-of-ai [08.01.2018]) Umgelegt auf Österreich, das im Jahr 2016 ein Bruttoinlandsprodukt von 40.420,00 Euro pro Kopf hatte (Statistik Österreich, Das System der Volkswirtschaftlichen Gesamtrechnungen [VGR], http://www.statistik.at/web_de/statistiken/wirtschaft/ volkswirtschaftliche_gesamtrechnungen/index.html [14.01.2018]) würde ein Beibehalten der aktuellen Rechtslage das prognostizierte Pro-Kopf-Wachstum von etwas mehr als 5.600,00 Euro gefährden.

Aber nicht nur wirtschaftliche Nachteile sind durch ein Beibehalten der aktuellen Rechtslage zu erwarten. Die Ziffern 1 und 3 des § 2d Abs. 2 FOG würden beispielsweise ein Verfahren mit dem Namen „homozygosity mapping“ ermöglichen, das beispielsweise bei der Therapie der RASGRP1-Defizienz, einer lebensbedrohlichen Infektion der Atemwege aufgrund einer gestörten Zusammensetzung der weißen Blutkörperchen (Salzer E et al, Nature Immunology 17, 1352–1360 [2016], https://www.nature.com/articles/ni.3575 [14.01.2018]), eine wesentliche Rolle spielte.

Die Registerforschung gemäß § 2d Abs. 2 Z 3 FOG könnte zum Beispiel wesentliche Fortschritte für das Verständnis der Zusammenhänge von Krebs und Diabetes mellitus (Typ 2) bringen. Insgesamt leiden rund 600.000 Menschen in Österreich an Diabetes mellitus (Typ 2). Die Zusammenhänge zwischen Typ-2-Diabetes und Krebs sind komplex: einerseits haben Menschen, die an Diabetes mellitus erkrankt sind, grundsätzlich ein erhöhtes Risiko, an Krebs zu erkranken. Außerdem stehen einige Diabetes-Medikamente im Verdacht, das Krebsrisiko ebenfalls fallweise erhöhen zu können. Wissenschaftlerinnen und Wissenschaftler der Universitätsklinik für Innere Medizin III und dem Institut für die Wissenschaft Komplexer Systeme der MedUni Wien, d.h. wissenschaftlichen Einrichtungen iSd § 2b Z 12 FOG, konnten zeigen, dass man diese Risiken mit einer optimierten, personalisierten Therapie heutzutage praktisch ausschalten kann. Dazu wurden große Datenmengen analysiert: 1,85 Millionen Menschen, die zumindest einmal in Österreich stationär behandelt wurden, wurden statistisch erfasst. Rund 300.000 davon hatten Diabetes Typ 2 – diese wurden insgesamt mit rund 300 verschiedenen Kombinationen von Diabetes-Medikamenten behandelt (Inkretin-basierte Therapien und SGLT-2-Hemmer waren noch nicht involviert). Das Ergebnis der Studie: Primär insulinerhöhende Medikamente (Sulfonylharnstoff und Insulin), zeigten gegenüber insulinhemmenden ein signifikant erhöhtes Krebsrisiko, vor allem für Bauchspeicheldrüsenkrebs (Pankreas) bei Männern und Frauen, sowie Leberkrebs bei Männern und Lymphdrüsenkrebs bei Frauen. Wenn aber gleichzeitig Statine eingenommen werden, ist dieses Risiko ganz massiv gesenkt (Kautzky-Willer A, Thurner S, Klimek P, Journal of Internal Medicine 2017; 281: 206-216, http://onlinelibrary.wiley.com/doi/10.1111/joim.12567/abstract [14.01.2018]; MedUni Wien, Personalisierte Therapie verringert Krebsrisiko für DiabetespatientInnen; https://www.meduniwien.ac.at/web/ueber-uns/news/detailseite/2016/news-im-november-2016/personalisierte-therapie-verringert-krebsrisiko-fuer-diabetespatientinnen/ [07.02.2018]).

Aus der Analyse von großen Patientinnen- und Patientendatensätzen können gesundheitspolitische Maßnahmen abgeleitet werden und sehr individuelle Therapiemaßnahmen gesetzt werden, die Hunderttausenden von Patientinnen und Patienten zugutekommen.

Durch die Verwendung von Registern können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil gestützt sind. Patientenregister erlauben – wie bereits oben erwähnt – die Feststellung seltener Ereignisse sowie die Darstellung von Langzeitverläufen und Subgruppen unter Alltagsbedingungen ([Deutscher] Gesundheitsforschungsrat des Bundesministeriums für Bildung und Forschung, Diskussionsforum zur Nutzenbewertung im Gesundheitswesen 40; www.gesundheitsforschung-bmbf.de/_media/DLR_Nutzenbewert_07-11-22_Druckversion.pdf [07.02.2018]).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 2d Abs. 2 FOG). Diese Anforderung wird durch § 2d Abs. 2 FOG als Grundregel für alle weiteren in dem vorliegenden Entwurf geregelten Verarbeitungen vorgesehen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer ist nicht möglich, weil die erforderliche Speicherdauer im Vorhinein völlig unbekannt ist, insbesondere weil nicht bekannt ist, wann welche Ergebnisse bzw. Daten (§ 2b Z 5 FOG) von welchen wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) in Zukunft gebraucht werden.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2d Abs. 2 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2d Abs. 2 iVm § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

–      ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Verantwortlichen gemäß § 2d Abs. 2 FOG ihre Prozesse – außer in den Fällen des § 2d Abs. 6 FOG – so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 38a Abs. 4 FOG grundsätzlich zulässig, allerdings nur an die in § 2j FOG genannten Empfängerinnen und Empfänger, d.h.:

–      wissenschaftliche Einrichtungen (§ 2b Z 12),

–      Art‑89-Förder- und Zuwendungsstellen (§ 2b Z 1),

–      Gutachterinnen und Gutachter oder

–      österreichische öffentliche Stellen (§ 2b Z 8).

Die einzuhaltende Garantie findet sich in § 2i Abs. 1 Z 2 FOG und sieht vor, dass „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei Verarbeitungen im Rahmen des § 2d Abs. 2 FOG vorhanden, aber eingeschränkt, insbesondere weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den jeweiligen Verantwortlichen einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten zudem wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Verarbeitung gemäß § 2d Abs. 2 FOG ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung darüber hinaus erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls oder -betruges darüber hinaus wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Unabhängig davon wird das Risiko finanzieller Verluste durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG zusätzlich wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen die unbefugte Aufhebung der Pseudonymisierung, bieten.

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung darüber hinaus wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen den Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen erhebliche wirtschaftliche oder gesellschaftliche Nachteile, bieten.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile zudem wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten kann nicht vorgeschrieben werden, weil im Vorhinein nicht bekannt ist, welche Daten überhaupt verarbeitet werden sollen. Dies ist allerdings auch nicht erforderlich, weil sämtliche Verarbeitungen gemäß § 2d Abs. 2 FOG nur zu Offenlegung indirekt personenbezogener Daten führen dürfen.

Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt schließlich eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung erfolgt schnellstmöglich. Die Ausstattung mit bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 2 Z 2 FOG ist Voraussetzung für die Pseudonymisierung mittels bereichsspezifischer Personenkennzeichen gemäß § 2d Abs. 2 Z 1 und 3 FOG.

Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Durch die Formulierung etwa in § 5 Abs. 1 Z 3, dass „Namensangaben durch bereichsspezifische Personenkennzeichen zu ersetzen sind“ soll eine praxisnahe Regelung getroffen werden, indem die gesetzliche Vermutung aufgestellt wird, dass dieser Austausch von Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Die Normadressatinnen und -adressaten brauchen sich aufgrund dieser Formulierung keine Gedanken machen, ob nun eine tatsächliche Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO eingetreten ist oder nicht, sondern bloß die Namen durch bereichsspezifische Personenkennzeichen austauschen, womit die Rechtssicherheit wesentlich erhöht wird. Diese Vorgangsweise ist auch durch das Unionsrecht gedeckt, weil Art. 89 Abs. 1 DSGVO die Pseudonymisierung als bloß eine unter mehreren möglichen geeigneten Garantien anführt. Außerdem sollten gemäß EG 26 DSGVO „[b]ei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Nach heutigem Stand der Technik ist davon auszugehen, dass der Austausch der Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Dies umso mehr als, die „zusätzliche[n] Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (EG 29 DSGVO) nur der Stammzahlenregisterbehörde bekannt und somit dem Zugriff des oder der Verantwortlichen entzogen sind.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2i Abs. 1 und 2 sowie des § 2k Abs. 2 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Rahmen des § 2d Abs. 2 FOG von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO),

die Möglichkeit, die Verarbeitung ihrer Daten durch die wissenschaftlichen Einrichtungen zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Verarbeitungen im Rahmen des § 2d Abs. 2 FOG zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.