Anhang 15: Datenschutz-Folgenabschätzung zu § 2g Abs. 1 Z 2 FOG

Nach Erwägungsgrund 92 und Art. 35 Abs. 10 DSGVO dürfen Datenschutz-Folgenabschätzungen auch auf abstrakter Ebene durchgeführt werden. Die folgende Datenschutz-Folgenabschätzung betrifft die Veröffentlichung von Empfängerinnen und Empfängern von Art-89-Mittel § 2g Abs. 1 Z 2 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 DSGVO erforderlich, weil es potentiell auch zu einer (geographisch) umfangreichen Verarbeitung von personenbezogenen Daten kommen kann und diese auch Personen betreffen können, die besonders schutzwürdig sind – Empfängerinnen und Empfänger von Art-89-Mittel (§ 2b Z 2 FOG) bzw. Auftragswerberinnen und -werber.

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) dürfen u.a. Namen und Foto von Empfängerinnen und Empfängern von Art-89-Mittel (§ 2b Z 2 FOG) veröffentlichen.

Diese Verarbeitung kann

– im Internet oder

– im Rahmen sonst öffentlich zugänglicher Berichte

erfolgen.

Die Veröffentlichung darf für „zehn Jahre ab Zuerkennung der beantragten Art-89-Mittel (§ 2b Z 2 FOG) erfolgen“ (vgl. § 2g Abs. 1 Z 2 FOG).

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 2g Abs. 1 Z 2 FOG dürfen folgende Daten von

– Empfängerinnen und Empfängern von Art-89-Mittel (§ 2b Z 2 FOG),

– Projektleiterinnen und -leitern sowie

– Projektpartnerinnen und -partnern

veröffentlicht werden:

Bei natürlichen Personen

– Vorname(n),

– Familienname,

– akademische Titel,

– Geschlecht,

– Foto sowie

– gegebenenfalls die Herkunfts- und Zielinstitution.

Bei nicht-natürlichen Personen:

– Bezeichnung,

– Anschrift und

– Sitz.

Diese Daten dürfen gemäß § 2g Abs. 1 Z 2 FOG mit

– dem Titel,

– der Beschreibung,

– der Laufzeit und

– weiteren Angaben zum geförderten Projekt

veröffentlicht werden.

Weitere Angaben sind z.B. die Zusammenfassung des Projektinhalts. Die Fördersumme darf angesichts der Urteile des EuGHs vom 09.11.2010, Rs. C-92/09 (Schecke) bzw. C‑93/09 (Eifert) nicht unter „weitere Angaben“ subsumiert werden dürfen.

Eine Verarbeitung hat gemäß § 2g Abs. 1 Z 2 FOG dann zu unterbleiben, wenn die Veröffentlichung geeignet ist,

– die öffentliche Sicherheit,

– die Strafrechtspflege,

– die umfassende Landesverteidigung,

– die auswärtigen Beziehungen oder

– berechtigte private oder geschäftliche Interessen

zu verletzen.

Bei berechtigten privaten Interessen handelt es sich zum Beispiel um zu erwartende Bedrohungen, die wegen der Veröffentlichungen eintreten. Berechtigte geschäftliche Interessen sind eng auszulegen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248,
21)}

Mit der vorgeschlagenen Regelung, soll eine Rechtsgrundlage geschaffen werden, damit Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) ihre Fördertätigkeit öffentlichkeits- und medienwirksame präsentieren können.

Dies kann gemäß § 2g Abs. 1 FOG zur

– Förderung der Entwicklung und Erschließung der Künste,

– Förderung von Zwecken gemäß Art. 89 DSGVO und

– Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

erfolgen.

Eine Veröffentlichung muss dann unterlassen werden, wenn berechtigte Interessen, die im § 2g Abs. 1 Z 2 FOG aufgezählt werden, gefährdet sind. Diese Abwägungsklausel hat ihren Ursprung in § 18 Abs. 1 des Informationsordnungsgesetzes.

Die Förderung der Entwicklung und Erschließung der Künste beruht auf der Öffnungsklausel des Art. 85 Abs. 2 DSGVO, die wie folgt lautet:

„Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.“

Diese Regelung steht im Zusammenhang mit dem Erwägungsgrund 153 der DSGVO. Demnach sollten „[d]ie Mitgliedstaaten […] Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten [Anm.: auf Datenschutz und Freiheit der Meinungsäußerung bzw. Informationsfreiheit] notwendig sind“.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7
Buchstabe a DSGVO)}

Der Zweck der Verarbeitung ist es, Berichte über

– Empfängerinnen und Empfänger von Art-89-Mittel (§ 2b Z 2 FOG),

– Projektleiterinnen und -leiter sowie

– Projektpartnerinnen und -partner

zu veröffentlichen.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248,
21)}

Die Empfängerinnen und Empfänger der Daten ist die Öffentlichkeit. Die Berichte können von jeder oder jedem eingesehen werden.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248,
21)}

Nach der allgemeinen Regel des § 2d Abs. 5 FOG dürfen personenbezogene Daten für Zwecke des 2. Abschnitts des Forschungsorganisationsgesetzes zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden, allerdings nur soweit die folgenden Bestimmungen – wie etwa § 2g Abs. 1 Z 2 FOG – keine abweichenden Bestimmungen vorsehen. § 2g Abs. 1 Z 2 FOG schränkt nämlich die Dauer der Veröffentlichung mit zehn Jahren ab Zuerkennung der beantragen Art-89-Mittel (§ 2b Z 2 FOG) ein.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7
Buchstabe a DSGVO)}

Die Veröffentlichung wird ermöglicht, damit Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) Öffentlichkeitsarbeit für Zwecke des Art 89 DSGVO leisten können.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248,
21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248,
21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1
Buchstabe b DSGVO)}

Der Zweck wird in § 2g Abs. 1 Z 2 FOG festgelegt. Die vorgeschlagene Regelung soll es Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) ermöglichen, bestimmte Daten öffentlichkeitswirksam zu präsentieren. Dies erfolgt für Zwecke der Bewusstseinsbildung.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1
Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 2g Abs. 1 Z 2 FOG ist eindeutig: Die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Öffentlichkeitsarbeit erforderlich ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1
Buchstabe b DSGVO)}

Der in § 2g Abs. 1 Z 3 FOG angegebene Zweck ist legitim, weil er

– einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe e („öffentliches Interesse“) und Art. 9 Abs. 2 Buchstabe j („Zwecke gemäß Art. 89 DSGVO“) DSGVO umfasst ist und

– andererseits in § 2g Abs. 1 Z 2 FOG vorgesehen ist,

gedeckt ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016).

Die Verarbeitung zu Zwecken der „Förderung der Entwicklung und Erschließung der Künste“ basiert auf der Öffnungsklausel des Art. 85 DSGVO, insbesondere dessen 2. Absatz.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich insbesondere aus Art. 6 Abs. 1 Buchstabe e iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben j DSGVO, wonach die Verarbeitung aufgrund eines öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Angemessenheit der Verarbeitung ergibt sich unter anderem dadurch, dass die Datenarten, die verarbeitet werden dürfen, eingeschränkt werden: es darf an dieser Stelle auf die Ausführungen zu Umfang der Verarbeitung verwiesen werden. Es werden nur Daten verarbeitet, die für die Öffentlichkeitsarbeit erforderlich sind. Daher erfolgt die Datenverarbeitung in angemessener Art und Weise.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Förderung der Öffentlichkeitsarbeit von Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG)) wird für Zwecke der Bewusstseinsbildung durchgeführt. Es soll auf die gesellschaftliche Relevanz von Forschung und Forschungsinvestitionen hingewiesen werden und die Anerkennung der Forschung in der Gesellschaft erhöht werden.

Wie wichtig die Förderung des Verständnisses für Wissenschaft und Forschung ist, zeigt sich unter anderem an der Entwicklung der Bruttoinlandsausgaben für Forschung und Entwicklung (vgl. http://www.statistik.at/web_de/statistiken

/energie_umwelt_innovation_mobilitaet/forschung_und_innovation/

globalschaetzung_forschungsquote_jaehrlich/index.html, [29.01.2018]). Dieser Statistik zufolge gab es von 1981 bis 2017 einen Anstieg der Forschungsquote, der fast dem Faktor drei entsprochen. Dass das Bewusstsein für die Bedeutung von Forschung leider nicht im selben Ausmaß gestiegen ist, zeigt eine Studie der Europäischen Kommission mit dem Titel „Public perceptions of science, research and innovation“ (Eurobarometer 419; http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs /ebs_419_en.pdf [29.01.2018]). Hier besteht großes Verbesserungspotential. So nimmt Österreich beispielsweise iZm Frage nach dem Einfluss von Wissenschaft und technologischer Innovation auf die Entstehung von Arbeitsplätzen EU-weit den letzten Platz ein (Eurobarometer 419, 41).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten begrenzt sind. Des Weiteren ist eine Veröffentlichung nur für zehn Jahre ab Zuerkennung der beantragten Art-89-Mittel (§ 2b Z 2 FOG) zulässig.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Nach der allgemeinen Regel des § 2d Abs. 5 FOG dürfen personenbezogene Daten für Zwecke des 2. Abschnitts des Forschungsorganisationsgesetzes zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden, allerdings nur soweit die folgenden Bestimmungen – wie etwa § 2g Abs. 1 Z 2 FOG – keine abweichenden Bestimmungen vorsehen. § 2g Abs. 1 Z 2 FOG schränkt allerdings die Dauer der Veröffentlichung auf zehn Jahre ab Zuerkennung der Art-89-Mittel (§ 2b Z 2 FOG) ein.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2g Abs. 1 Z 2 FOG als Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2g Abs. 1 Z 2 und § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG)

– Name und Kontaktdaten der oder des Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

– ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

– ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

– gegebenenfalls Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248,
21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Die Veröffentlichung (im Internet) führt de facto zu einer Übermittlung in Drittländer. Als Schutzmaßnahmen sind somit die bereits oben unter: Bewertung / Beschränktheit der Verarbeitung auf das notwendige Maß oder Bewertung / Speicherbegrenzung genannten Beschränkungen anzuführen.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des § 2e FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist – für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die keine öffentlichen Stellen sind – mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, Bestimmungen über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen vorgesehen, die wie § 302 (Amtsmissbrauch) oder § 310 („Verletzung des Amtsgeheimnisses“) Schäden vorbeugen (RIS-Justiz, RS0054100) und so für eine effektive Risikominimierung sorgen. Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die keine öffentlichen Stellen sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO und

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Diskriminierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Darüber hinaus wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Identitätsdiebstahls und -betrugs wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko finanzieller Verluste wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der unbefugten Aufhebung der Pseudonymisierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Rufschädigung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Verlusts der Vertraulichkeit bei Berufsgeheimnissen wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko erheblicher wirtschaftlicher und gesellschaftlicher Nachteile wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen;

– für Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentlichen Stellen sind: insbesondere durch folgende Bestimmungen des 22. Abschnittes des Strafgesetzbuchs:

– § 302 (Amtsmissbrauch) und

– § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Jene personenbezogenen Daten, die verarbeitet werden dürfen, werden in§ 2g Abs. 1 Z 2 FOG aufgezählt. Die aufgezählten Daten entsprechen der Minimierung der Verarbeitung personenbezogener Daten. Die Namensangaben, der akademische Titel, das Geschlecht, das Foto sowie Herkunfts- und Zielinstitution bzw. die Bezeichnung, Anschrift und Sitz von den betroffenen Personen sind notwendig, damit sich Interessentinnen und Interessenten ein genaues Bild über die Art-89-Mittel (§ 2b Z 2 FOG) und Projekte machen können. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung der personenbezogenen Daten wird nicht vorgesehen, damit wäre eine möglichst öffentlichkeits- und medienwirksame Darstellung der Fördertätigkeiten nicht möglich. Die angegebenen Daten sind erforderlich, um ein möglichst großes Bewusstsein zu schaffen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2g Abs. 1 Z 2 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Veröffentlichung von Empfängerinnen und Empfängern von Art-89-Mittel (§ 2b Z 2 FOG) durch Art-89-Förder- und Zuwendungsstelle (§ 2b Z 1 FOG) von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten im Rahmen des § 2h Abs. 1 FOG zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist (sofern keine Ausnahmen bestehen). Entsprechende Datensicherheitsmaßnahmen sind daher von den Art-89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.