SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

§ 2h Abs. 2 FOG besagt, dass jene Stellen, die der Aufsichtspflicht unterliegen, der jeweils zuständigen Bundesministerin oder dem jeweils zuständigen Bundesminister „Auswertungen zu den zumindest teilweise aus öffentlichen Mitteln finanzierten Art 89-Mitteln zu übermitteln“ haben. Die Auswertungen können auch personenbezogen sein. Verpflichtet zur Übermittlung der Auswertungen sind:

–      wissenschaftliche Einrichtungen (§ 2b Z 12 FOG) und

–      Art 89-Förder- und Zuwendungsstellen, die öffentliche Stelle im Sinne des § 2b Z 8 FOG sind.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Aufgrund der Ermächtigung in § 2h Abs. 2 FOG dürfen Ministerien Auswertungen – auch personenbezogene – verlangen, soweit dies zum Zweck der Erfüllung der Aufsichtspflicht notwendig ist. Auswertungen werden nur dann an die jeweils zuständige Bundesministerin oder den jeweils zuständigen Bundesminister übermittelt, wenn die erhaltenen Art‑89-Mitteln zumindest teilweise aus öffentlichen Mitteln finanziert wurden. Die Erfüllung der Aufsichtspflicht soll zur Erhöhung der Transparenz bei Verarbeitungen gemäß Art. 89 DSGVO führen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext des Art. 89 DSGVO. Die Verarbeitungen sollen zu einer Erhöhung der Transparenz im Anwendungsbereich des Art. 89 DSGVO führen. Die vorgeschlagene Regelung orientiert sich an § 23 DSG. Es sollten Tätigkeitberichte an die entsprechenden Aufsichtsstellen übermittelt werden.

Mit dem vorgeschlagenen § 2h Abs. 2 FOG soll eine Klarstellung geschaffen werden, welche Verarbeitungen zur Wahrnehmung von Aufsichtspflichten zulässig sind. Es wird somit eine Rechtsgrundlage geschaffen, damit die jeweils zuständige Bundesministerin oder der jeweils zuständige Bundesminister ihren oder seinen Aufsichtspflichten nachkommen kann. Voraussetzung für die Verarbeitung ist lediglich, dass die erhaltenen Art‑89-Mitteln zumindest teilweise aus öffentlichen Mitteln finanziert wurden.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Der Zweck der Verarbeitung ist die Wahrnehmung der Aufsichtspflicht durch die zuständige Bundesministerin oder den zuständigen Bundesminister (§ 2h Abs. 2 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerin oder Empfänger der Daten ist die jeweils zuständige Bundesministerin oder der jeweils zuständige Bundesminister.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Nach der allgemeinen Regel des § 2d Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts des FOG zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für die in § 2h Abs. 2 FOG angeführten Daten unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 2h Abs. 2 FOG beschränken sich die Verarbeitungen auf personenbezogene Auswertungen „zu den zumindest teilweise aus öffentlichen Mitteln finanzierten Art‑89-Mitteln“.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck dieser Regelung, der in § 2h Abs. 2 FOG angegeben ist, ist die Wahrnehmung der Aufsichtspflicht der jeweils zuständigen Bundesministerin oder des jeweils zuständigen Bundesministers über wissenschaftliche Einrichtungen (§ 2b Z 12 FOG) und Art 89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentliche Stellen im Sinne des § 2b Z 8 FOG sind

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks, in § 2h Abs. 2 FOG ist klar. Es werden Auswertungen nur dann übermittelt, sofern dies dem Zweck der Wahrnehmung der Aufsichtspflichten entspricht. Nur dann ist die Verarbeitung der Daten notwendig und somit zulässig.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2h Abs. 2 FOG angegebene Zweck ist legitim, weil er

–      einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO umfasst ist und

–      andererseits in § 2h Abs. 2 FOG vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung aufgrund der Erreichung der Zwecke gemäß Art. 89 DSGVO erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten gibt es keine Einschränkungen. Die Speicherdauer ist nicht beschränkt. Die Angemessenheit ergibt sich dadurch, dass der jeweils zuständigen Bundesministerin oder dem jeweils zuständigen Bundesminister das Recht, (personenbezogene) Auswertungen zu verlangen, nur unter der Bedingung, dass die erhaltenen Art‑89-Mitteln teilweise aus öffentlichen Mitteln finanziert wurden, einräumt wird. Der Kreis der Verpflichteten wird beschränkt auf:

–      wissenschaftliche Einrichtungen (§ 2b Z 12 FOG) und

–      Art 89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentliche Stellen im Sinne des § 2b Z 8 FOG sind.

Dass der effiziente Einsatz öffentlichen Mittel im öffentlichen Interesse liegt, lässt sich nicht nur anhand einiger Bestimmungen in der Bundesverfassung, nach denen der Rechnungshof eine umfassende Prüfkompetenz hinsichtlich der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit auf Bundesebene hat, ableiten (vgl. Art. 126b, Art. 127 Abs. 1 und Art. 127a Abs. 1 B-VG). Daher schreibt die Verfassung schreibt vor, dass der Einsatz der Mittel an den Kriterien der Sparsamkeit, der Wirtschaftlichkeit und der Zweckmäßigkeit zu messen ist. Durch eine Kontrollmöglichkeit, wird ein der bestmögliche Einsatz der öffentlichen Mittel gewährleistet. Dadurch kann die Fördervergabe verbessert werden.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, weil es zu Effizienzsteigerungen im öffentlichen Bereich kommen soll. Durch die Aufsichtsmöglichkeit wird der zuständigen Bundesministerin oder dem zuständigen Bundesminister ein Werkzeug in die Hand gegeben, um Art‑89-Mitteln, die zumindest teilweise aus öffentlichen Mitteln finanziert werden, optimal zu verteilen. Dass in diesem Bereich sehr viel Potential besteht zeigen der Global Innovation Index 2017 und der Forschungs- und Technologiebericht 2017.

Beide Berichte stellen Österreich ein verbesserungswürdiges Zeugnis aus, was die Transformation von Bildungsarbeit in Wertschöpfung betrifft. Dies zeigt sich z.B. daran, dass in Österreich zwar gute Bildungsarbeit geleistet wird, diese dann aber nur mangelhaft in Wertschöpfung umgewandelt wird. Laut Global Innovation Index 2017 belegt Österreich eine Spitzenposition, was die Ausgaben im Bereich R&D („Gross expenditure on R&D, % GDP“) betrifft. Im Gegensatz dazu nimmt Österreich nur den 40. Platz – unter 127 Staaten – ein, was die Wirkungen des Wissens („FDI net inflows, % GDP“) anbelangt. Ein weiterer Indikator für das schlechte internationale Abschneiden Österreichs in Bezug auf die Umwandlung von Wissen in Wertschöpfung, ist der Forschungs- und Technologiebericht 2017. Dieser zeigt auf Seite 28 ebenfalls großes Verbesserungspotential bei der wirtschaftlichen Verwertung („business sophistication“) und der Nutzung des Wissens („knowledge & technology outputs“) auf. (https://www.bmvit.gv.at/innovation/publikationen/technologie

berichte /downloads/ftb_2017.pdf#page=29). Eine ausdrückliche und klare Rechtsgrundlage ermöglicht genauere Daten, genauere Daten ermöglichen eine bessere Einschätzung und somit neue Lösungsansätze.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, nur der jeweils zuständigen Bundesministerin oder dem jeweils zuständigen Bundesminister übermittelt werden. Dritten (Art. 4 Nr. 10 DSGVO) gegenüber werden die Daten nicht, insbesondere nicht direkt personenbezogen offengelegt.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer ist nicht zielführend, weil, um ein Forschungsprojekt langfristig zu bewerten, oft Daten aus verschiedensten Jahren benötigt werden. Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO ist eine zeitlich unbeschränkte Speicherung zulässig und in § 2d Abs. 5 des vorliegenden Entwurfes im Zweifel im Anwendungsbereich des Art. 89 DSGVO auch vorgesehen.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des §2d Abs. 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Bundesministerien ihre Prozesse so anpassen, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–             die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2h Abs. 2 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2h Abs. 2 und § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

–      ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer

         automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) und Art‑89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentliche Stellen im Sinne des § 2b Z 8 FOG sind, ihre Prozesse so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach §§ 2j iVm 38a Abs. 4 FOG nur an die in § 2j FOG genannten Empfängerinnen und Empfänger zulässig, d.h.:

–      wissenschaftliche Einrichtungen (§ 2b Z 12 FOG),

–      Art‑89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG),

–      Gutachterinnen und Gutachter oder

–      österreichische öffentliche Stellen (§ 2b Z 8 FOG).

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei Verarbeitungen im Rahmen des § 2h Abs. 2 FOG vorhanden, aber eingeschränkt, insbesondere weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO) – sofern keine Strafbefreiung vorgesehen ist. Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt. Es sind insbesondere § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100).Darüber hinaus wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den Verantwortlichen einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.Zudem wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko bei der Verarbeitung im Rahmen der Aufsichtspflicht von Bundesministerien ist minimal, insbesondere weil die Verantwortlichen im Zuge der Verarbeitung dafür zu sorgen haben, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Auch müssen die zuständigen Bundesministerinnen und Bundesminister, die in Art. 32 DSGVO konkretisierten Datensicherheitsmaßnahmen einhalten und dürfen natürliche Personen – gemäß Art. 7 B‑VG – nicht diskriminieren. Damit wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Überdies wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Darüber hinaus wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen die unbefugte Aufhebung der Pseudonymisierung, bieten.

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen die Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen den Verlust der Vertraulichkeit bei Berufsgeheimnissen.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      unions- (sofern keine Strafbefreiung einschlägig ist) und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen erhebliche wirtschaftliche oder gesellschaftliche Nachteile, bieten.

Zudem wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird vorgenommen, indem die Datenempfänger auf die zuständigen Bundesministerien beschränkt werden bzw. die Datenübermittler auf wissenschaftliche Einrichtungen und Art 89-Förder- und Zuwendungsstellen, die öffentliche Stellen im des § 2b Z 8 FOG sind, beschränkt sind.Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung erfolgt nicht nur schnellstmöglich, sondern ist Voraussetzung für die Zulässigkeit der Verarbeitungen gemäß § 5 Abs. 1 FOG.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2h Abs. 2 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Rahmen der Aufsichtspflicht von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten im Rahmen des § 2h Abs. 2 FOG zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind von den wissenschaftlichen Einrichtungen (§ 2b Z 12 FOG) und Art 89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG), die öffentliche Stellen im Sinne des § 2b Z 8 FOG sind, einzuhalten. Falls keine Strafbefreiung einschlägig ist, wird die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO mit Geldbußen von bis zu 10 Millionen Euro sanktioniert. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.