Anhang 17: Datenschutz-Folgenabschätzung zu § 2h Abs. 1 FOG

 

Nach Erwägungsgrund 92 und Art. 35 Abs. 10 DSGVO dürfen Datenschutz-Folgenabschätzungen auch auf abstrakter Ebene durchgeführt werden. Die folgende Datenschutz-Folgenabschätzung betrifft die Öffentlichkeitsarbeit von wissenschaftlichen Einrichtungen gemäß § 2h Abs. 1 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 Buchstabe b DSGVO erforderlich, weil es potentiell auch zu einer (geographisch) umfangreichen Verarbeitung von personenbezogenen Daten kommen kann und diese auch Personen betreffen, die besonders schutzwürdig sind – nämlich wissenschaftliche Mitarbeiterinnen und Mitarbeiter und Studenten.

 

 

 

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

 

Art der Verarbeitung:

(EG 90 DSGVO)

§ 2h Abs. 1 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, ermächtigt wissenschaftliche Einrichtungen (§ 2b Z 12 FOG), bestimmte Daten

–      zu veröffentlichen (§ 2h Abs. 1 Z 1 und 2 FOG) sowie

–      sonst zu verarbeiten (§ 2h Abs. 1 Z 3 und 4 FOG).

 

Diese Bestimmung sieht eine Verarbeitung sowohl in Papierform (§ 2h Abs. 1 Z 1 lit. b und Z 2 lit. b FOG) als auch in automationsunterstützter Form (§ 2h Abs. 1 Z 1 lit. a und Z 2 lit. a FOG) vor, wobei Berichte (§ 2h Abs. 1 Z 1 lit. b und Z 2 lit. b FOG) auch in elektronischer Form denkbar sind. Hinsichtlich der übrigen Bestimmungen darf – mangels eindeutiger Anordnung zur Art der Verarbeitung – diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

 

Umfang der Verarbeitung:

(EG 90 DSGVO)

Gemäß § 2h Abs. 1 Z 1 FOG dürfen wissenschaftliche Einrichtungen:

–      ein Foto und eine Liste der Publikationen von wissenschaftlichen Mitarbeiterinnen und Mitarbeitern, die bei der wissenschaftlichen Einrichtung angestellt sind,

      – online           auf einer Website der wissenschaftlichen Einrichtung (lit. a leg. cit.) oder

      – auf sonstigen öffentlich zugänglichen Berichten der wissenschaftlichen Einrichtung (lit. b leg. cit.)

veröffentlichen.

Gemäß § 2h Abs. 1 Z 2 FOG dürfen wissenschaftliche Einrichtungen:

–      den Namen von bereits ausgeschiedenen wissenschaftlichen Mitarbeiterinnen und Mitarbeitern und Studierenden

      – online auf einer Website der wissenschaftlichen Einrichtung (lit. a leg. cit.) oder

      – auf sonstigen öffentlich zugänglichen Berichten der wissenschaftlichen Einrichtung (lit. b leg. cit.)

veröffentlichen.

Gemäß § 2h Abs. 1 Z 3 FOG dürfen wissenschaftliche Einrichtungen über § 2g Abs. 1 Z 3 FOG hinaus folgende Daten von ehemaligen wissenschaftlichen Mitarbeiterinnen und Mitarbeiter bzw. Studierenden verarbeiten und mit anderen öffentlich zugänglichen Informationen verknüpfen:

–      Forschungsschwerpunkte (§ 2h Abs. 1 Z 3 lit. a) und

–      Angaben zu Publikationen (§ 2h Abs. 1 Z 3 lit. b).

Gemäß § 2h Abs. 1 Z 4 FOG dürfen wissenschaftliche Einrichtungen folgende Daten von Wissenschaftlerinnen oder Wissenschaftlern und deren nahestehenden Personen verarbeiten:

–      gemäß § 2h Abs. 1 Z 4 lit. a.: Namensangaben gemäß § 2g Abs. 2 Z 1 FOG,

–      gemäß § 2h Abs. 1 Z 4 lit. b.: Personenmerkmale gemäß § 2g Abs. 2 Z 2 FOG und

–      gemäß § 2h Abs. 1 Z 4 lit. c.: Angaben zum Lebenslauf.

Betroffene Personen sind (ehemalige) wissenschaftliche Mitarbeiterinnen und Mitarbeiter, (ehemalige) Studierende und Wissenschaftlerinnen oder Wissenschaftler.

 

Kontext der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21)

Die Verarbeitung erfolgt im Kontext der Zwecke gemäß Art. 89 DSGVO, mit dem Ziel einer Erhöhung der Transparenz bei Verarbeitungen gemäß Art. 89 DSGVO. Es sollen Offenlegungen, die im Bereich Wissenschaft und Forschung erforderlich sind, geregelt werden. Mit dem vorgeschlagenen § 2h Abs. 1 FOG soll eine Klarstellung geschaffen werden, welche Verarbeitungen im Rahmen der Öffentlichkeitsarbeit von wissenschaftlichen Einrichtungen zulässig sind. Jene Daten, die gemäß § 2h Abs. 1 Z 3 FOG verarbeitet werden dürfen, gehen über die Daten gemäß § 2g Abs. 1 Z 3 FOG hinaus.

 

Zweck der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Der Zweck der Verarbeitung ist die Schaffung der erforderlichen Datengrundlage für eine gute Öffentlichkeitsarbeit wissenschaftlicher Einrichtungen (§ 2b Z 12 FOG).

 

Empfängerinnen und Empfänger:

(Art-29-Datenschutzgruppe, WP 248, 21)

Empfängerin der Daten, die publiziert werden, ist die Öffentlichkeit. Empfängerinnen der Daten gemäß § 2h Abs. 1 Z 3 und 4 sind wissenschaftliche Einrichtungen (§ 2b Z 12 FOG).

 

Speicherdauer:

(Art-29-Datenschutzgruppe, WP 248, 21)

Nach der allgemeinen Regel des § 2d Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für die in § 2h Abs. 1 FOG angeführten Daten unbeschränkt.

 

Funktionelle Beschreibung der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Aufgrund des § 2h Abs. 1 FOG sind Verarbeitungen und Veröffentlichungen zulässig. Eine Veröffentlichung ist nur dann zulässig, wenn die Veröffentlichung nicht geeignet ist

–      die öffentliche Sicherheit,

–      die Strafrechtspflege,

–      die umfassende Landesverteidigung,

–      die auswärtigen Beziehungen oder

–      ein berechtigtes privates oder geschäftliches Interesse

zu verletzen.

 

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

(Art-29-Datenschutzgruppe, WP 248, 21)

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

 

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

(Art-29-Datenschutzgruppe, WP 248, 21)

 

 

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

             betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

             zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

 

Festgelegter Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Der Zweck der Verarbeitung liegt gemäß § 2h Abs. 1 FOG in der Schaffung einer rechtlichen Grundlage für die Öffentlichkeitsarbeit von wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG).

 

Eindeutiger Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Die Angabe des Zwecks in § 2h Abs. 1 FOG ist klar. Es werden Auswertungen nur dann veröffentlicht oder verarbeitet, sofern dies für den öffentlichen Auftritt von wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) erforderlich ist.

 

Legitimer Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Der in § 2h Abs. 1 FOG angegebene Zweck ist legitim, weil er

–      einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe e („öffentliches Interesse“) und Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO umfasst ist und

–      andererseits in § 2h Abs. 1 FOG vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen.

 

Rechtmäßigkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe e iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung für Zwecke gemäß Art. 89 DSGVO erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

 

Angemessenheit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

In Bezug auf die Datenarten gibt es keine Einschränkungen. Die Speicherdauer ist nicht beschränkt. Die Angemessenheit ergibt sich dadurch, dass

–      die Verarbeitungen nur durch wissenschaftliche Einrichtungen (§ 2b  Z 12 FOG) durchgeführt werden dürfen;

–      von ehemaligen wissenschaftlichen Mitarbeiterinnen und Mitarbeitern nur eine Auflistung des Namens erlaubt ist – ein Veröffentlichen des Fotos oder der Publikationsliste ehemaliger Mitarbeiterinnen und Mitarbeiter setzt eine Einwilligung iSd Art. 4 Nr. 11 DSGVO voraus;

–      alle Daten, die veröffentlicht werden dürfen, im § 2h Abs. 1 FOG aufgelistet sind;

–      alle Daten, die auf sonstige Weisen verarbeitet werden dürfen, aufgelistet werden;

–      jene Stellen, an denen die Daten publiziert werden dürfen, festgelegt werden und

–      wissenschaftliche Einrichtungen im Rahmen der Veröffentlichungen eine Interessenabwägung vornehmen müssen.

Insbesondere die Interessenabwägung stellt sicher, dass die Verarbeitung angemessen ist. Demnach haben wissenschaftliche Einrichtungen eine gesetzliche Verpflichtung, eine Interessenabwägung vorzunehmen. Dies ergibt sich aus den Bestimmungen in § 2h Abs. 1 Z 1 und 2 FOG. Eine Veröffentlichung hat dann zu unterbleiben, wenn die Veröffentlichung geeignet ist

–      die öffentliche Sicherheit,

–      die Strafrechtspflege,

–      die umfassende Landesverteidigung,

–      die auswärtigen Beziehungen oder

–      ein berechtigtes privates oder geschäftliches Interesse

zu verletzen.

Insbesondere durch die Interessenabwägung wird das Kriterium der Angemessenheit erfüllt.

 

Erheblichkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung der Daten ist erheblich, weil es durch die Veröffentlichungen zur Information der Allgemeinheit, insbesondere der Studierenden, kommt.

Die Veröffentlichungen sollen insbesondere Studierenden der wissenschaftlichen Einrichtungen zu Gute kommen, damit sich diese über die wissenschaftliche Einrichtung, an der sie studieren, informieren können. Durch entsprechende Information können Studenten beispielsweise ihre Professoren-Auswahl im Rahmen von Lehrveranstaltungen oder im Rahmen des Abfassens wissenschaftlicher Arbeiten aufgrund von transparenten Kriterien treffen. Dies kann sich positiv auf die Entwicklung einer Studentin oder eines Studenten auswirken und zu Verbesserungen in der (Aus)Bildung führen. Wie wichtig eine Weiterentwicklung auf dem Gebiet der Öffentlichkeitsarbeit ist, zeigt der stetige Anstieg ordentlicher Studierender an öffentlichen Universitäten (https://www.statistik.at/web_de/statistiken/menschen_ und_gesellschaft/bildung_und_kultur/formales_bildungswesen/ universitaeten_studium/021631.html [05.02.2018]). Die Studentenzahl hat sich in den letzten 10 Jahren um ungefähr ein Drittel erhöht. Die Öffentlichkeitsarbeit soll aber auch potentiellen Studierenden zu Gute kommen. Die mediale Berichterstattung soll neben dem Universitäten-Ranking zu einer positiven Entscheidungsgrundlage für potentielle Studierende beitragen. Dadurch können insbesondere internationale (potentielle) Studierende motiviert werden, ein Studium in Österreich zu beginnen. Entsprechende Öffentlichkeitsarbeit ermöglicht Interessenten ebenfalls, einen Vergleich zwischen den einzelnen wissenschaftlichen Einrichtungen zu tätigen.

 

Beschränktheit der Verarbeitung auf das notwendige Maß:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die Daten, die veröffentlicht bzw. verarbeitet werden dürfen, abschließend in § 2h Abs. 1 FOG aufgelistet sind.

Speicherbegrenzung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)

Die Speicherdauer der Daten ist gemäß § 2d Abs. 5 FOG nicht beschränkt. Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen die Daten sogar über die Dauer des Zweckes der Datenverarbeitung hinaus gespeichert werden.

 

Generelle Information der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

 

Information der betroffenen Personen bei Erhebung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2h Abs. 1 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2h Abs. 1 und § 2d Abs. 6 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis das allfällige Bestehen anderer / restlicher Rechte der betroffenen Person,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer

         automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

 

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Auskunftsrecht der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) ihre Prozesse so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

 

Recht auf Datenübertragbarkeit:

(Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

 

Auftragsverarbeiterinnen und Auftragsverarbeiter:

(Art. 28 DSGVO)

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

 

Schutzmaßnahmen bei der Übermittlung in Drittländer:

(Kapitel V DSGVO)

Eine Übermittlung in Drittländer wäre nach den §§ 2d,  2j FOG i.V.m. § 38a Abs. 4 FOG grundsätzlich zulässig, allerdings nur an die in § 2j FOG genannten Empfängerinnen und Empfänger, d.h.:

–      wissenschaftliche Einrichtungen (§ 2b Z 12 FOG),

–      Art 89-Förder- und Zuwendungsstellen (§ 2b Z 1),

–      Gutachterinnen und Gutachter oder

–      österreichische öffentliche Stellen (§ 2b Z 8 FOG).

Da es zur Förderung der Öffentlichkeitsarbeit der jeweiligen wissenschaftlichen Einrichtung kommen soll, ist eine Übermittlung der Daten an die oben genannten Empfänger nicht anzunehmen. Dies gilt nicht, sofern es sich um die Durchführung gemeinsam eingerichteter Studien handelt. Hier kann es durchaus zu Übermittlung von Daten an andere wissenschaftliche Einrichtungen kommen.

 

Allerdings stellt die Veröffentlichung im Internet auch eine Übermittlung in Drittländer dar, die gemäß § 2h Abs. 1 Z 1 und 2 FOG legitimiert ist.

 

Vorherige Konsultation:

(Art. 36 und EG 96 DSGVO)

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

 

 

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

 

Physische, materielle oder immaterielle Schäden:

(EG 90 iVm 85 DSGVO)

Diese Risiken sind bei der Verarbeitung von nichttechnischen Projektzusammenfassungen entsprechend § 2h Abs. 1 FOG minimal, insbesondere weil die wissenschaftliche Einrichtung im Zuge der Veröffentlichungen sicherstellt, dass die Daten nur nach Vornehmen der Interessenabwägung veröffentlicht werden. Zusätzlich hat die Behörde im Zuge der Verarbeitung dafür zu sorgen, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Die Datensicherheitsmaßnahmen werden in Art. 32 DSGVO konkretisiert und sind von den wissenschaftlichen Einrichtungen einzuhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

 

Verlust der Kontrolle über personenbezogene Daten:

(EG 90 iVm 85 DSGVO)

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den wissenschaftlichen Einrichtungen einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

 

Diskriminierung:

(EG 90 iVm 85 DSGVO)

Dieses Risiko ist bei der Verarbeitung im Rahmen der Öffentlichkeitsarbeit wissenschaftlicher Einrichtungen (§ 2h Abs. 1 FOG) minimal, insbesondere weil die jeweilige wissenschaftliche Einrichtung im Zuge der Veröffentlichung eine Interessenabwägung vorzunehmen hat.

Zusätzlich hat die wissenschaftliche Einrichtung im Zuge der (sonstigen) Verarbeitung dafür zu sorgen, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Auch müssen die wissenschaftlichen Einrichtungen die in Art. 32 DSGVO konkretisierten Datensicherheitsmaßnahmen einhalten, wobei die Nichteinhaltung mit 10 Millionen Euro sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO). Mit diesen Maßnahmen wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

 

Identitätsdiebstahl oder -betrug:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche- und strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden) effektiv gemindert.

 

Finanzielle Verluste:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert. Außerdem werden keine Finanzdaten verarbeitet, womit die Wahrscheinlichkeit für den Eintritt dieses Risikos sehr gering ist.

 

Unbefugte Aufhebung der Pseudonymisierung:

(EG 90 iVm 85 DSGVO)

Die Gefahr der Aufhebung der Pseudonymisierung ergibt sich nur für die Datenverarbeitungen gemäß § 2h Abs. 1 Z 3 und 4.

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen die unbefugte Aufhebung der Pseudonymisierung, bieten.

 

Rufschädigung:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Rufschädigung, bieten.

 

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen den Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

 

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird wie folgt minimiert:

–      unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen erhebliche wirtschaftliche oder gesellschaftliche Nachteile, bieten.

 

 

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

 

Minimierung der Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Eine Minimierung der Verarbeitung personenbezogener Daten wird vorgenommen, indem jene Daten, die veröffentlich bzw. verarbeitet werden dürfen, in § 2h Abs. 1 FOG aufgezählt werden.

 

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

(EG 28 und 78 DSGVO)

Eine Pseudonymisierung für jene Daten, die veröffentlicht werden, ist nicht vorgesehen, was auch nicht notwendig ist, da die starke Beschränkung der Datenarten bereits genügend Schutz für die betroffenen Personen bietet.

 

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Durch die Publikation des § 2h Abs. 1 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Wissenstransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

 

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

(EG 78 DSGVO)

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die wissenschaftlichen Einrichtungen zu überwachen.

 

Datensicherheitsmaßnahmen:

(EG 78 und 83 DSGVO)

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von den wissenschaftlichen Einrichtungen einzuhalten. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

 

 

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

 

Stellungnahme der Datenschutzbehörde:

(Art. 36 Abs. 4 DSGVO)

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

 

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

(Art. 35 Abs. 2 DSGVO)

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

 

Stellungnahme betroffener Personen:

(Art. 35 Abs. 9 DSGVO)

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.