SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Die vorliegende Bestimmung trifft keine Entscheidung zur Frage, ob die Verarbeitung in Papierform oder elektronischer Form erfolgen soll. Mangels eindeutiger Anordnung ist damit von der Zulässigkeit beider Verarbeitungsarten auszugehen. Die Kombination aus Proben- und Datensammlung ist als besondere Verarbeitungsart ausdrücklich, gesetzlich vorgesehen. Im Vergleich zu Big Data, läuft diese Verarbeitungsart aber nicht Gefahr, in einem Spannungsverhältnis zu den Grundsätzen des Art. 5 DSGVO zu stehen. Aufgrund der Wichtigkeit, insbesondere von Biobanken im Bereich der Krebsbehandlung, soll durch eine gesetzliche Regelung jegliche Rechtsunsicherheit jedenfalls beseitigt werden.

Biobanken sind Sammlungen von Proben menschlicher Körpersubstanzen (z.B. Gewebe, Zellen, DNA, Proteine, Blut oder andere Körperflüssigkeiten) als materielle Träger von Informationen, die typischerweise mit Daten und Informationen (ihrer Spenderinnen und Spender) verknüpft sind oder verknüpft werden können (Bundeskanzleramt-Bioethikkommission, Biobanken für die wissenschaftliche Forschung 6).

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Verarbeitung, welche durch § 2f Abs. 4 FOG gestattet wird, umfasst grundsätzlich alle Daten gemäß § 2b Z 5 FOG. Allerdings wird dieser Umfang durch die Zweckbestimmung, das ist das Führen „biologischer Proben- und Datensammlungen [… zu Zwecken] des Art. 9 Abs. 2 Buchstaben i und j DSGVO“ entscheidend konkretisiert. Da die vorgeschlagene Regelung auf den Öffnungsklauseln gemäß Art. 9 Abs. 2 Buchstaben h, i und j DSGVO beruht, ist neben der Verarbeitung personenbezogener Daten auch die Verarbeitung sensibler Daten gestattet. Hinsichtlich der betroffenen Personen, bestehen keine Einschränkungen.

Zum Schutz der betroffenen Personen müssen folgende Maßnahmen ergriffen werden (§ 2f Abs. 4 Z 1 und 2 FOG):

–      schnellstmögliche Pseudonymisierung, sofern Zweckerfüllung weiter möglich und

–      Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO.

Festgehalten wird an dieser Stelle, dass die Begriffe „genetische Daten“ und „Proben“ in der DSGVO unterschieden werden und die DSGVO daher auf Proben nicht anzuwenden ist (vgl. EG 34 und 35 sowie Art. 4 Nr. 13 DSGVO). D.h. nur der die Verarbeitung von Daten betreffende Teil von Biobanken, ist DSGVO-relevant und somit auch für Zwecke der vorliegenden Datenschutz-Folgenabschätzung von Bedeutung.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitungen werden immer im Kontext des Gesundheitswesens erfolgen. Dabei kann einmal der individuelle Nutzen für die Patientinnen und Patienten durch Rückgriff auf einen großen Erfahrungsschatz in Form einer umfangreichen Behandlungsdatenbank im Vordergrund stehen und ein andermal die Erforschung und Bekämpfung von Krankheiten auf übergeordneter, abstrakter Ebene.

Die im Bundeskanzleramt eingerichtete Bioethikkommission hat „Biobanken [...] als eine der wichtigsten Grundlagen für Erkenntnisse über die Entstehung von Krankheiten und für die Weiterentwicklung diagnostischer und therapeutischer Methoden“ identifiziert (Bundeskanzleramt-Bioethikkommission, Biobanken für die wissenschaftliche Forschung – Ergänzungen zum Bericht der Bioethikkommission vom Mai 2007, 4; http://archiv.bundeskanzleramt.at/DocView.axd?CobId=42719 [07.02.2018]).

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die durch § 2f Abs. 4 FOG legitimierten Verarbeitungen erfolgt zu Zwecken

–      der medizinischen Diagnostik oder Behandlung im Gesundheitsbereich (Art. 9 Abs. 2 Buchstabe h DSGVO),

–      des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 Buchstabe i DSGVO) sowie

–      von Wissenschaft und Forschung (Art. 9 Abs. 2 Buchstabe j DSGVO).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da es sich um eine Verarbeitung sowohl zu medizinischen (Art. 9 Abs. 2 Buchstabe h DSGVO) als auch wissenschaftlichen Zwecken (Art. 9 Abs. 2 Buchstabe j DSGVO) handelt, sind die Empfängerinnen und Empfänger entweder das in Art. 9 Abs. 2 Buchstabe h iVm Abs. 3 DSGVO genannte Gesundheits- und Fachpersonal oder für Zwecke des Art. 9 Abs. 2 Buchstabe j DSGVO, wissenschaftliche Einrichtungen gemäß § 2b Z 12 FOG.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Mangels spezieller bzw. gegenteiliger Regelung in § 2f Abs. 4 FOG, richtet sich die zulässige Speicherdauer nach der allgemeinen Zweifelsregel des § 2d Abs. 5 FOG. Diese Bestimmung besagt, dass personenbezogene Daten für Zwecke des 2. Abschnittes unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden. Da keine speziellere Regelung in § 2f Abs. 4 FOG getroffen wird, ist die Speicherdauer unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Gemäß § 2f Abs. 4 FOG dürfen Daten im Rahmen von biologischen Proben- und Datensammlungen („Biobanken“) verarbeitet werden. Diese Verarbeitung darf nur dann erfolgen, wenn sie Zwecken

–      der medizinischen Diagnostik oder Behandlung im Gesundheitsbereich (Art. 9 Abs. 2 Buchstabe h DSGVO) oder

–      des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 Buchstabe i DSGVO) oder

–      von Wissenschaft und Forschung (Art. 9 Abs. 2 Buchstabe j DSGVO)

erfolgt.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

–             betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

–             zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der verfolgte Zweck ist in § 2f Abs. 4 FOG festgelegt und besteht in der Schaffung einer Rechtsgrundlage für Datenverarbeitungen im Rahmen biologischer Proben- und Datensammlungen. Durch den Verweis auf Art. 9 Abs. 2 Buchstaben i und j DSGVO wird bereits im Gesetzestext festgelegt, dass die Verarbeitung im Rahmen von Biobanken nicht alleine wissenschaftlichen Zwecken (Art. 9 Abs. 2 Buchstabe j DSGVO), sondern auch Gesundheitszwecken dient und zwar nicht nur auf allgemeiner Ebene (Art. 9 Abs. 2 Buchstabe i DSGVO), sondern auch auf individueller Ebene (Art. 9 Abs. 2 Buchstabe h DSGVO), insbesondere wenn es darum geht, die persönliche Behandlung durch Vergleich von Tumorgewebe mit bestehenden (und bereits behandelten) Tumorgeweben zu verbessern.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 2f Abs. 4 FOG ist eindeutig: Die angeführten Daten dürfen nur verarbeitet werden, soweit dies für Zwecke

–      der medizinischen Diagnostik oder Behandlung im Gesundheitsbereich (Art. 9 Abs. 2 Buchstabe h DSGVO) oder

–      des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 Buchstabe i DSGVO) oder

–      von Wissenschaft und Forschung (Art. 9 Abs. 2 Buchstabe j DSGVO)

erfolgt.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung mittels:

–      eines Verweises auf wissenschaftliche Methoden, die internationalen Standards entspricht (sogenannte Frascati-Definition; vgl. Erläuterungen zu § 2b Z 12 FOG),

–      einer Definition der Zwecke in § 2f Abs. 4 FOG und

–      dem Vorsehen angemessener und spezifischer Maßnahmen (§ 2f Abs. 4 Z 1 und 2 FOG).

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2f Abs. 4 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 9 Abs. 2 Buchstabe h („Behandlung im Gesundheitsbereich“),

–      des Art. 9 Abs. 2 Buchstabe i („öffentliches Interesse im Bereich der der öffentlichen Gesundheit“) und

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 2f Abs. 4 FOG gesetzlich vorgesehen ist.

Durch die angedachte Regelung erfolgt auch eine Klarstellung hinsichtlich der Rechtsgrundlage für bestehende Sammlungen, insbesondere Biobanken sowie die Festlegung, dass eine gesonderte Einwilligung im Sinne des Art. 9 Abs. 2 DSGVO nicht erforderlich ist.

Die Bedeutung des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zeigt z.B. an Art. 168 AEUV. Der erste Absatz dieses Artikels lautet: „Bei der Festlegung und Durchführung aller Unionspolitiken und – maßnahmen wird ein hohes Gesundheitsschutzniveau sichergestellt.“ In Art. 168 Abs. 1 AEUV wird als Ziel die „Bekämpfung schwerwiegender grenzüberschreitender Gesundheitsgefahren“ genannt.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstaben h, i und j DSGVO sowie der Festlegung der Verarbeitung in § 2f Abs. 4 FOG.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

§ 2f Abs. 4 FOG stellt eine Ermächtigung zur Verarbeitung von Daten im Rahmen biologischer Proben- und Datensammlungen dar, wodurch grundsätzlich in die Datenschutzrechte der betroffenen Personen eingegriffen wird. Solche Eingriffe sind jedoch gerechtfertigt sein, wenn sie zur Wahrung wichtiger öffentlicher Interessen vorgenommen werden und gleichzeitig angemessene Garantien für den Schutz der betroffenen Personen festgelegt werden (vgl.: VfGH 08.10.2015, G 20/2015 ua).

Beide Voraussetzungen sind durch die vorliegende Bestimmung erfüllt: das wichtige öffentliche Interesse ergibt sich insbesondere aus der Verarbeitung für Zwecke des Art. 9 Abs. 2 Buchstabe i („öffentliches Interesse im Bereich der öffentlichen Gesundheit“) DSGVO.

Die im Bundeskanzleramt eingerichtete Bioethikkommission hat die „Biobanken [...] als eine der wichtigsten Grundlagen für Erkenntnisse über die Entstehung von Krankheiten und für die Weiterentwicklung diagnostischer und therapeutischer Methoden“ identifiziert, weshalb ein erhebliches öffentliches Interesse an der Einrichtung und dem Betrieb von Biobanken besteht (Bundeskanzleramt-Bioethikkommission, Biobanken für die wissenschaftliche Forschung – Ergänzungen zum Bericht der Bioethikkommission vom Mai 2007, 4; http://archiv.bundeskanzleramt.at/DocView.axd?CobId=42719 [07.02.2018]).

Die Angemessenheit ergibt sich auch dadurch, dass angemessene Garantien für den Schutz der betroffenen Person festgelegt werden, wie insbesondere:

–      die schnellstmögliche Pseudonymisierung und

–      das Einhalten der erforderlichen Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO.

Angesichts dieser Beschränkungen und Maßnahmen ist die Angemessenheit der Verarbeitungen gemäß § 2f Abs. 4 FOG als gegeben anzusehen.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Erheblichkeit der Verarbeitung zeigt sich darin, dass Biobanken für die medizinische Forschung von großem Nutzen sind. Insbesondere erhofft man sich, dadurch folgende Krankheiten bekämpfen zu können:

–      Herz-Kreislauf-Erkrankungen

–      Stoffwechselstörungen,

–      Hormonerkrankungen

–      Krebs,

–      Erkrankungen des Nervensystems und

–      Infektions- und Immunerkrankungen (vgl. Biobanken für die Forschung, Stellungnahme des Nationaler Ethikrat; http://www.ethikrat.org/dateien /pdf/biobanken-fuer-die-forschung.pdf, 26; [01.02.2018]).

Auf Seite 27 der Stellungnahme wird den Biobanken großes Potential für die Entwicklung individueller Medikamente für Patienten zugeschrieben. Das Schaffen einer Rechtsgrundlage für die Verwendung von Biobanken ist für Österreich von wesentlicher Bedeutung, da sich mit BBMRI-ERIC eine der größten Biobanken weltweit in Graz befindet. Dass der Beitrag der Biobanken zur Krebsforschung erheblich ist, zeigt sich daran, dass im Jahr 2015 fast 350.000 Personen in Österreich an Krebs erkrankt waren (http://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/ gesundheit/krebserkrankungen/index.html [01.02.2018]).

Biobanken sind, wie oben erwähnt, auch für die Bekämpfung von Herz- und Kreislauferkrankungen von Bedeutung. Ein Blick auf die Todesursachenstatistik erklärt auch in diesem Fall die Relevanz der vorgeschlagenen Bestimmung: demnach starben von 80.669 Menschen 33.248 Menschen aufgrund einer Herz- und Kreislauferkrankung. (http://www.statistik.at/web_de/statistiken/ menschen_und_gesellschaft/gesundheit/todesursachen/ todesursachen_im_ueberblick/021985.html; [01.02.2018]). Diese Krankheiten stellen somit die häufigste Todesursache in Österreich dar.

Diese Beispiele zeigen die enorme Bedeutung von Biobanken für das Gesundheitswesen in Österreich und somit die Erheblichkeit der erforderlichen Verarbeitung personenbezogener (Gesundheits-)Daten.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die Verarbeitungen nur im Rahmen von biologischen Proben- und Datensammlungen erfolgen dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Begrenzung der Speicherdauer ist nicht möglich, weil damit langfristige Studien nicht durchgeführt werden könnten. Es ist im Vorhinein nämlich nicht bekannt, wann welche wissenschaftlichen Daten (§ 2b Z 5 FOG) von wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) so kombiniert werden sollten, dass damit neuer Nutzen generiert werden kann. Dieser Zeitpunkt kann in sehr naher aber auch in sehr ferner Zukunft liegen.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 5 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen ihre Prozesse so anpassen, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2f Abs. 4 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2f Abs. 4 iVm § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen

–      Name und Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlichen, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Verantwortlichen gemäß § 2f Abs. 4 FOG ihre Prozesse – außer in den Fällen des § 2d Abs. 6 FOG – so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Übermittlungen an Drittländer sind nach § 38a (4) FOG grundsätzlich zulässig. Die Übermittlungen sind nur soweit zulässig, als sie der Erreichung des Verarbeitungszweckes dienen. Kommt es zu einer Übermittlung, müssen gemäß § 38a FOG die Voraussetzungen des § 2f Abs. 4 FOG eingehalten werden und gemäß Art. 25 DSGVO „geeignete technische und organisatorische“ getroffen werden, um „die Rechte der betroffenen Personen zu schützen.“

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde dieser die Möglichkeit gibt, sich im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes zu beteiligen, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des § 2f Abs. 4 FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Diese Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden jedenfalls ein. Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu Treffen;

–      Art. 32 DSGVO: Verantwortlicher/Auftragsverarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG  das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Verarbeitung gemäß § 2f Abs. 4 FOG ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Darüber hinaus wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Identitätsdiebstahl und -betrug im Rahmen der Verarbeitung gemäß § 2f Abs. 4 FOG sind aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG  das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste im Rahmen der Verarbeitung gemäß § 2f Abs. 4 FOG sind aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der unbefugten Aufhebung der Pseudonymisierung wird wie folgt minimiert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortlicher/Auftragsverarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Zudem wird durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen bestmöglich verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortlicher/Auftragsverarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit von Berufsgeheimnissen soll durch untenstehende Maßnahmen gewährleistet werden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortlicher/Auftragsverarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind aufgrund der folgenden Bestimmungen nicht zu erwarten:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortlicher/Auftragsverarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Die Minimierung der Verarbeitung personenbezogener Daten ergibt sich aus der Tatsache, dass nur Datenverarbeitungen im Rahmen von biologischen Proben- und Datensammlungen und nur aus Gründen

–      der medizinischen Diagnostik oder Behandlung im Gesundheitsbereich (Art. 9 Abs. 2 Buchstabe h DSGVO) oder

–      des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 Buchstabe i DSGVO) oder

–      von Wissenschaft und Forschung (Art. 9 Abs. 2 Buchstabe j DSGVO)

erfolgt. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch § 2f Abs. 4 Z 1 FOG sowie Art. 89 DSGVO sichergestellt, wonach „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2f Abs. 4 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Verarbeitungen im Rahmen von biologischen Proben- und Datensammlungen („Biobanken“) von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die entsprechenden Betroffenenrechte der Art. 12 ff DSGVO ermöglichen eine Überwachung der Verarbeitung personenbezogener Daten durch die betroffene Person, soweit nicht § 2d Abs. 6 FOG Anwendung findet.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Verarbeitungen im Rahmen von biologischen Proben- und Datensammlungen („Biobanken“) zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.