SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Die Art der Verarbeitung wird nicht eingeschränkt. Nach dem vorgeschlagenen § 2f Abs. 1 FOG darf Forschungsmaterial (§ 2b Z 6 FOG), d.h. körperliche Sachen, die für Zwecke gemäß Art. 89 DSGVO von Bedeutung sein können, wie insbesondere (biologische) Proben, Bild-, Film-, Ton-, Videomaterial oder Schriftgut, insbesondere gesammelt, archiviert und systematisch erfasst werden.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Verarbeitung, welche durch § 2f Abs. 1 FOG gestattet wird, umfasst grundsätzlich alle Daten gemäß § 2b Z 5 FOG. Da die vorgeschlagene Regelung auf der Öffnungsklausel gemäß Art. 9 Abs. 2 Buchstabe j DSGVO beruht, ist neben der Verarbeitung personenbezogener Daten auch die Verarbeitung sensibler Daten gestattet. Insbesondere sind nach dem vorgeschlagenen § 2f Abs. 1 FOG folgende Daten umfasst:

–      Namensangaben:

      – Vorname(n), Familienname bzw. Bezeichnung,

      – Geburtsname,

      – akademischer Grad,

      – Titel, Ansprache,

–      Personenmerkmale:

      – Geburtsdatum,

      – Geburtsort, soweit verfügbar,

      – Geschlecht,

      – Staatsangehörigkeit,

      – Personenkennung, insbesondere durch bereichsspezifisches    Personenkennzeichen des Tätigkeitsbereichs „Bildung und    Forschung“,

–      Angaben zu sonstigen Betroffenen gemäß § 6 Abs. 4 des E-Government-Gesetzes, sofern diese in Beziehung zu den betroffenen natürlichen Personen stehen:

      – Bezeichnung,

      – Rechtsform,

      – elektronische Kennung gemäß § 6 Abs. 3 E-GovG,

      – Angaben zur Beziehung zwischen den sonstigen Betroffenen    und den natürlichen Personen,

–      Adress- und Kontaktdaten:

      – Adressdaten,

      – Angaben zur elektronischen Erreichbarkeit sowie

–      weitere Angaben, wie insbesondere:

      – politische Hintergrundinformationen,

      – religiöse Hintergrundinformationen,

      – rechtliche Hintergrundinformationen,

      – traditionelle Hintergrundinformationen oder

      – andere gruppenspezifische Hintergrundinformationen.

Hinsichtlich der betroffenen Personen bestehen keine Einschränkungen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt durch wissenschaftliche Einrichtungen. Im Rahmen der Schaffung eines optimalen Zugangs zum Forschungsmaterial zu Zwecken des Art. 89 DSGVO (§ 9 Abs. 1 FOG). Der vorgeschlagene § 2f Abs. 1 FOG ist im Vergleich zu spezielleren Rechtsvorschriften betreffend Archivierungspflichten nachrangig. Er gilt für die Verarbeitung von Daten zur Schaffung der Datengrundlagen zu Zwecken des Art. 89 DSGVO.

Die vorgeschlagene Regelung soll gewährleisten, dass wissenschaftliche Projekte auch nach Weggang von Forscherinnen und Forschern oder Jahrzehnte später fortgeführt werden können. Dadurch können Kosten gesenkt werden und der mehrfachen Datenerhebung wird entgegnet.

Außerdem ist durch den vorgeschlagenen § 2f Abs. 1 iVm § 2j FOG eine Teilnahme an internationalen Forschungsprojekten möglich, in denen die Einrichtung sogenannter Repositories verlangt wird.

Durch die Datenarten, die in den Ziffern des § 2f Abs. 1 FOG angegeben sind, wird eine rechtliche Basis für die eingerichteten Archive bei der Österreichischen Akademie geschaffen. Darunter fällt z.B. das Phonogrammarchiv.

Die Erlaubnis in § 2f Abs. 1 Z 6 FOG zur Verarbeitung politischer, religiöser, rechtlicher, traditioneller oder gruppenspezifischer Hintergrundinformationen ist insbesondere im Rahmen sozialwissenschaftlicher Aspekte von großer Bedeutung.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten wird zur Erreichung der Zwecke gemäß Art. 89 DSGVO durchgeführt.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerinnen und Empfänger der Daten sind grundsätzlich wissenschaftliche Einrichtungen (§ 2b Z 12 FOG). In pseudonymisierter Form stehen, vor allem durch Publikationen der wissenschaftlichen Erkenntnisse, die Daten der gesamten Gesellschaft zur Verfügung.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Speicherdauer wird in § 2d Abs. 5 FOG angegeben. Diese Bestimmung besagt, dass personenbezogene Daten für Zwecke des des Forschungsorganisationsgesetzes unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden. Da keine speziellere Regelung in § 2f Abs. 1 FOG getroffen wird, ist die Speicherdauer unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Gemäß § 2f Abs. 1 FOG dürfen wissenschaftliche Einrichtungen Forschungsmaterial für Zwecke des Art. 89 DSGVO insbesondere sammeln, archivieren und systematischen erfassen und in diesem Rahmen sämtliche Daten (§ 2b Z 5 FOG), die den Zwecken des Art. 89 DSGVO dienen, verarbeiten.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der verfolgte Zweck ist in § 2f Abs. 1 FOG festgelegt. Er besteht in der Schaffung eines optimalen Zuganges zum Forschungsmaterial zu Zwecken des Art. 89 DSGVO.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 2f Abs. 1 FOG ist eindeutig: Die angeführten Daten dürfen nur verarbeitet werden, soweit dies zu Zwecken des Art. 89 DSGVO erforderlich ist.

Art. 5 Abs. 1 Buchstabe d DSGVO lässt die Verarbeitung von Daten für mehrere Zwecke zu. Dies ergibt sich auch aus der Formulierung des Art. 5 Abs. 1 Buchstabe c DSGVO.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung mittels:

–      eines Verweises auf wissenschaftliche Methoden, die internationalen Standards entspricht (sogenannte Frascati-Definition; vgl. Erläuterungen zu § 2b Z 12 FOG) und

–      einer Definition der Zwecke mittels Verweis auf Art. 89 DSGVO.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2f Abs. 1 FOG angegebene Zweck ist legitim, weil er von der Öffnungsklausel des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO gedeckt und in § 2f Abs. 1 FOG ausdrücklich vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses an Wissenschaft und Forschung erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Allerdings sind die in § 2f Abs. 1 und 2 FOG angeführten Voraussetzungen so hoch, dass die Angemessenheit der Verarbeitung jedenfalls gewährleistet ist. Die genannten Anforderungen gemäß § 2f Abs. 2 sind:

–      die Empfängerin oder der Empfänger von Übermittlungen muss eine Wissenschaftliche Einrichtung (§ 2 Z 15 FOG) sein, sonst ist nur eine Veröffentlichung unter den Auflagen des § 5 Abs. 2 Z 1 FOG zulässig;

–      die übermittelnde wissenschaftliche Einrichtung hat die anderen (empfangenden) wissenschaftlichen Einrichtungen über deren Pflichten nach dem 2. Abschnitt des Forschungsorganisationsgesetzes und den Bestimmungen der Datenschutz-Grundverordnung nachweislich aufzuklären;

–      die übermittelnde wissenschaftliche Einrichtung hat Vorkehrungen dafür zu treffen, dass die anderen wissenschaftlichen Einrichtungen ihre Pflichten nach dem 2. Abschnitt des Forschungsorganisationsgesetzes einhalten;

–      außerdem eine von einer vertretungsbefugten Person unterfertigte Erklärung vorliegt, dass gegenüber der anderen wissenschaftlichen Einrichtung in den letzten drei Jahren

     a)       keine Untersagung gemäß § 22a Abs. 4 DSG erfolgte und

     b)       keine Maßnahme gemäß Art. 58 Abs. 2 Buchstaben f bis j DSGVO gesetzt wurde.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Erheblichkeit der Verarbeitung zeigt sich darin, dass der optimale Zugang zu Forschungsmaterial von großer Bedeutung für die Erreichung der Zwecke des Art. 89 DSGVO ist.

Durch das Schaffen von Datengrundlagen über einen längeren Zeitraum können im schlimmsten Fall sogar Menschenleben gerettet werden. So hätte beispielsweise im Jahr 1999 das Lawinenunglück von Galtür, das 38 Menschenleben forderte, besser prognostiziert werden können, wären mehr Daten vorgelegen.

Des Weiteren soll durch diese Regelung sichergestellt werden, dass wissenschaftliche Projekte auch nach Weggang von Forscherinnen und Forschern oder Jahrzehnte später fortgeführt werden können. Damit können wissenschaftliche Einrichtungen nicht nur effektiver, sondern auch effizienter arbeiten.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) erst nach Durchlauf eines zweistufigen Verfahrens direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 2f Abs. 2 FOG).

In einem ersten Schritt dürfen durch die Repositories personenbezogene Daten nur gemäß § 2d Abs. 2 Z 1 veröffentlicht werden. Ist in einem zweiten Schritt die Übermittlung direkt personenbezogener Daten erforderlich, etwa um Interviews durchführen zu können, müssen folgende Anforderungen erfüllt sein:

–      die Empfängerin oder der Empfänger von Übermittlungen muss eine Wissenschaftliche Einrichtung (§ 2b Z 12 FOG) sein, sonst ist nur eine Veröffentlichung unter den Auflagen des § 2d Abs. 2 Z 1 FOG zulässig;

–      die übermittelnde wissenschaftliche Einrichtung hat die anderen (empfangenden) wissenschaftlichen Einrichtungen über deren Pflichten nach dem Forschungsorganisationsgesetz und den Bestimmungen der Datenschutz-Grundverordnung nachweislich aufzuklären;

–      die übermittelnde wissenschaftliche Einrichtung hat Vorkehrungen dafür zu treffen, dass die anderen wissenschaftlichen Einrichtungen ihre Pflichten nach dem Forschungsorganisationsgesetz einhalten;

–      außerdem dürfen keine offensichtlichen Gründe, die gegen die Bereitstellung personenbezogener Daten sprechen, vorliegen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer ist nicht möglich, weil die erforderliche Speicherdauer im Vorhinein völlig unbekannt ist, insbesondere weil nicht bekannt ist, wann welche Ergebnisse bzw. Daten von welchen wissenschaftlichen Einrichtungen in Zukunft gebraucht werden.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 5 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter      der Voraussetzung, dass die wissenschaftlichen Einrichtungen ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2f Abs. 1 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2f Abs. 1 iVm § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits-Beschlusses der Kommission,

–      ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer

         automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Verantwortlichen gemäß § 2f Abs. 1 FOG ihre Prozesse – außer in den Fällen des § 2d Abs. 6 FOG – so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach den §§ 2d und 2j FOG grundsätzlich zulässig, allerdings nur an die in § 2j FOG genannten Empfängerinnen und Empfänger, d.h.:

–      wissenschaftliche Einrichtungen,

–      Art 89-Förder- und Zuwendungsstellen,

–      Gutachterinnen und Gutachter oder

–      österreichische öffentliche Stellen

sowie unter den Voraussetzungen gemäß § 2f Abs. 2 FOG.

Die einzuhaltende Garantie findet sich in § 2f Abs. 2 FOG und erlaubt eine Übermittlung nur, wenn

1)     die Empfängerin oder der Empfänger eine wissenschaftliche  Einrichtung ist;

2)     die übermittelnde wissenschaftliche Einrichtung die anderen  (empfangenden) wissenschaftlichen Einrichtungen über deren Pflichten  nach dem Forschungsorganisationsgesetzes und der  Bestimmungen der Datenschutz-Grundverordnung nachweislich  aufgeklärt haben;

3)     die übermittelnde wissenschaftliche Einrichtung Vorkehrungen dafür  getroffen hat, dass die anderen wissenschaftlichen Einrichtungen ihre  Pflichten nach dem Forschungsorganisationsgesetzes  einhält und

4)     keine offensichtlichen Gründe, die gegen die Bereitstellung  personenbezogener Daten sprechen, vorliegen.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde dieser die Möglichkeit gibt, sich im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes zu beteiligen, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist – für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind – mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, Bestimmungen über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen vorgesehen, die wie § 302 (Amtsmissbrauch) oder § 310 („Verletzung des Amtsgeheimnisses“) Schäden vorbeugen (RIS-Justiz, RS0054100) und so für eine effektive Risikominimierung sorgen.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Diskriminierung wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Identitätsdiebstahls und -betrugs wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls oder -betrugs wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko finanzieller Verluste wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko finanzieller Verluste wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der unbefugten Aufhebung der Pseudonymisierung wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Rufschädigung wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Verlusts der Vertraulichkeit bei Berufsgeheimnissen wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko erheblicher wirtschaftlicher und gesellschaftlicher Nachteile wird insbesondere durch folgende Maßnahmen minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

–      für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind: Insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko betreffend erhebliche wirtschaftliche oder gesellschaftliche Nachteile wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Die Minimierung der Verarbeitung personenbezogener Daten ergibt sich aus

–      der Auflistung der Datenarten in § 2f Abs. 1 FOG;

–      der Einschränkung der Verarbeitung nur für Zwecke gemäß Art. 89 DSGVO sowie

–      der Übermittlungsbeschränkung gemäß § 2f Abs. 2 FOG.

Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt, wonach „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2f Abs. 1 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Wissenstransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO).

Weiters zusätzlich die Möglichkeit, die Verarbeitung ihrer Daten durch die wissenschaftlichen Einrichtungen zu überwachen, soweit diese Rechte nicht gemäß § 2d Abs. 6 FOG beschränkt oder ausgeschlossen sind.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher auch beim Betrieb sogenannter Repositories zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.