SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 6 Privatuniversitätengesetzes (PUG), BGBl. Nr.74/2011, ist eine Berichtspflicht von den Privatuniversitäten an die Agentur für Qualitätssicherung und Akkreditierung Austria (AQ Austria) vorgesehen. Diese Übermittlungspflichten sind erforderlich, damit die AQ Austria ihre (folgenden) Aufgaben (§ 3 Abs. 3 des Hochschul-Qualitätssicherungsgesetz, BGBl. I Nr. 74/2011) erfüllen kann:

–      Entwicklung und Durchführung externer Qualitätssicherungsverfahren, jedenfalls Audit- und Akkreditierungsverfahren, nach nationalen und internationalen Standards;

–      Akkreditierung von hochschulischen Bildungseinrichtungen und Studien;

–      Berichte an den Nationalrat im Wege der zuständigen Bundesministerin oder des zuständigen Bundesministers;

–      Veröffentlichung der Ergebnisberichte der Qualitätssicherungsverfahren;

–      kontinuierliche begleitende Aufsicht akkreditierter hochschulischer Bildungseinrichtungen und Studien hinsichtlich der Akkreditierungsvoraussetzungen;

–      Aufgaben gemäß den Bestimmungen des FHStG und des PUG;

–      Zertifizierung von Bildungseinrichtungen nach Audit;

–      Durchführung von Studien und Systemanalysen, Evaluierungen und Projekten;

–      Information und Beratung zu Fragen der Qualitätssicherung und Qualitätsentwicklung;

–      Internationale Zusammenarbeit im Bereich der Qualitätssicherung.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

In Bezug auf die heranzuziehenden Daten ergibt sich der Verarbeitungsumfang aus der Privatuniverstitäten-Jahresberichtsverordnung der AQ Austria vom 12.02.2013 (), https://www.aq.ac.at/de/akkreditierung/dokumente-verfahren-pu/AQ-Austria_PU_Jahresberichtsverordnung_22-01-2013.pdf folgenden Datenumfang vorsieht:

–      Entwicklung (§ 5 Abs. 1 Z 1 leg. cit.);

–      Studien und Lehre (§ 5 Abs. 1 Z 2 leg. cit.);

–      Finanzierung und Ressourcen (§ 5 Abs. 1 Z 3 leg. cit.);

–      Forschung bzw. Erschließung und Entwicklung der Künste (§ 5 Abs. 1 Z 4 leg. cit.);

–      Nationale und internationale Kooperationen (§ 5 Abs. 1 Z 5 leg. cit.);

–      Qualitätsmanagementsystem (§ 5 Abs. 1 Z 6 leg. cit.);

–      Ziele und Profil der Institution (§ 5 Abs. 2 lit. a leg. cit.);

–      Entwicklungsplan (§ 5 Abs. 2 lit. b leg. cit.);

–      Organisation (§ 5 Abs. 2 lit. c leg. cit.);

–      Raum und Infrastruktur (§ 5 Abs. 2 lit. d leg. cit)

–      Studiengänge (§ 5 Abs. 2 lit. e leg. cit.).

Gemäß dem vorgeschlagenen § 6 Abs. 3 PUG dürfen darüber hinaus:

–      die AQ Austria,

–      die zuständige Bundesministerin oder der zuständige Bundesminister und

–      von diesen beauftrage Auftragsverarbeiterinnen und -verarbeiter

zur Erfüllung ihrer Aufgaben personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO von Studierenden und dem Personal der Privatuniversitäten, verarbeiten.

Die Aufgabe der zuständigen Bundesministerin oder des zuständigen Bundesministers ist gemäß § 30 Abs. 1 HS-QSG insbesondere die Aufsicht über die AQ Austria.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Rahmen der Qualitätssicherung von Studien der Privatuniversitäten. Durch die Information der Entwicklungen der Prüfbereiche, soll der Agentur die Möglichkeit von Vergleichsprüfungen eingeräumt werden. Deshalb ist die AQ Austria ermächtigt, nach dem Zeitpunkt der Akkreditierung, die Bereitstellung von Informationen zu verlangen (ErläutRV 1222 d BlgNR 24. GP 35).

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Der Zweck der Regelung ist das Berichtswesen. Es soll Information über die laufende Entwicklung der Privatuniversität an die AQ-Austria übermittelt werden. Dadurch wird es der AQ Austria ermöglicht, ihren Aufgaben nachzukommen. Das Berichtswesen soll die systematische Entwicklung und Sicherung der Qualität der Leistungen der Privatuniversitäten sicherstellen. Die vorliegende Regelung betrifft die externe Qualitätssicherung. Die Angaben der Informationen, die in § 6 PUG geregelt werden, dienen der Gewährleistung der Berechnung der Fördersummen und damit der Feststellung der Rechtmäßigkeit der Fördergebarung seitens des Bundes (ErläutRV 1222 d BlgNR 24. GP 35).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerinnen und Empfänger ergeben sich aus den Aufgaben der AQ Austria. Demnach sind diese:

–      der Nationalrat im Wege der zuständigen Bundesministerin oder des zuständigen Bundesministers,

–      die Öffentlichkeit und

–      andere Bildungseinrichtungen im Rahmen der internationalen Zusammenarbeit im Bereich der Qualitätssicherung.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

In § 6 PUG findet sich keine Regelung zur Speicherdauer, somit ist gemäß § 1 Abs. 3 PUG iVm § 2d Abs. 5 FOG die Speicherdauer grundsätzlich nicht beschränkt. Jedoch müssen die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO eingehalten werden. Danach dürfen die Daten nur solange gespeichert werden, wie sie dem Zweck angemessen sind.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die verarbeiteten Daten der verschiedenen Prüfbereiche sind Voraussetzungen dafür, dass die Agentur für Qualitätssicherung und Akkreditierung Austria ihren Aufgaben nachkommen kann. Die Formen der Verarbeitung werden nicht eingeschränkt. Weitere Daten gemäß § 6 Abs. 3 PUG sind zur Gewährleistung der Berechnung der Fördersummen notwendig.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Zwecke werden in § 6 PUG festgelegt. Diese sind:

–      die Erfüllung der Aufgaben der Agentur für Qualitätssicherung und Akkreditierung Austria (AQ Austria),

–      gemäß § 6 Abs. 1 PUG die Erstellung eines Jahresberichtes,

–      gemäß § 6 Abs. 2 PUG Bereitstellung von Informationen für Veröffentlichungen und

–      gemäß § 6 Abs. 3 PUG Mitwirkung an statistischen Erhebungen zur Bereitstellung von Information über den Studienbetrieb.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe der Zwecke in § 6 PUG ist eindeutig. Dass eine Verarbeitung mehrere Zwecke verfolgt werden darf, ergibt sich bereits aus der Formulierung des Art. 5 Abs. 1 Buchstabe d DSGVO, wonach „personenbezogene Daten […] auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die in § 6 PUG angegebenen Zwecke sind legitim, weil sie von den Öffnungsklauseln

–      des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt sind.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG (DS-RL) sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Externe Audits durch die AQ Austria und damit die Möglichkeit einer Qualitätsverbesserung im Hochschulsektors sind nur dann möglich, wenn entsprechende Daten zur Verfügung stehen.

Dass die Qualitätssteigerung im Hochschulsektor ein besonders wichtiges Interesse darstellt, spiegelt sich nicht nur im Index der menschlichen Entwicklung der UNO wider (http://hdr.undp.org/en/content/human-development-index-hdi; [29.01.2018]). Demnach sind für die Entwicklung eines Landes drei Dimensionen entscheidend:

–      langes und gesundes Leben („long and healthy life“)

–      Wissen („Knowledge“) und

–      ein angemessener Lebensstandard („a decent standard of living“).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Angemessenheit ergibt sich dadurch, dass nur jene Daten verwendet werden, die benötigt werden, um die angegebenen Zwecke zu erreichen. Die Verarbeitung ist, da die Bildung ein wichtiges öffentliches Interesse ist, von wesentlicher Bedeutung. Die Datenarten und die Speicherdauer sind grundsätzlich nicht beschränkt. Die Verarbeitung der Daten ist angemessen, weil der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. EG 39 DSGVO). Die Angemessenheit ergibt sich auch dadurch, dass gemäß Art. 25 DSGVO „der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ setzt, damit die Datenschutzgrundsätze gemäß Art. 5 DSGVO eingehalten werden. Beispielhaft wird in Art. 25 Abs. 1 DSGVO die Pseudonymisierung genannt. Werden solche Maßnahmen implementiert, ist die Verarbeitung der Daten als angemessen zu erachten.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verbesserung des Hochschulwesens für den Wohlstand entscheidend ist. Der Standortfaktor Wissen gewinnt zunehmend an Bedeutung. Bildung ist auch entscheidend für die Chancen am Arbeitsmarkt. Durch die im Rahmen dieser Studien erworbenen Abschlüsse, haben junge Menschen bessere Jobaussichten. Im Bericht Bildung in Zahlen 2015/2016 der Statistik Austria wird ausgeführt, dass für 25- bis 34-Jährige ohne weiterführenden Schulabschluss eine ca. sechs Mal höhere Wahrscheinlichkeit – im Vergleich zu Gleichaltrigen mit Hochschul- oder Akademieabschluss – besteht, arbeitslos zu sein (Statistik Austria, Bildung in Zahlen 2015/2016, 95; http://www.statistik.at/web_de/ services/publikationen/5/index.html?includePage=detailedView&section Name=Bildung%2C+Kultur&pubId=462 [29.01.2018]).

Die Erheblichkeit der Verarbeitung ergibt sich auch dadurch, dass der Staat der tertiären Ausbildung immer mehr Mittel zur Verfügung stellt (vgl. Bildungsausgabenstatistik, https://www.statistik.at/web_de/statistiken/ menschen_und_gesellschaft/bildung_und_kultur/formales_ bildungswesen/bildungsausgaben/081128.html [29.01.2018]).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das notwendige Maß beschränkt, weil die Daten nur im Rahmen der im Gesetz definierten Zwecke verarbeitet werden dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer wird in § 6 PUG nicht vorgesehen. Eine zeitliche Beschränkung würde zu einer Verhinderung der langfristigen Vergleichbarkeit der jährlichen Berichte gemäß § 6 Abs. 1 PUG führen. Der Speicherbegrenzung wirkt sich dadurch aus, dass die Daten nur für die Zweckerreichung verarbeitet werden. Sobald die Zweckerreichung nicht mehr gegeben ist, werden die Daten gelöscht.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 Z 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Privatuniversitäten ihre Prozesse so anpassen, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      Name und Kontaktdaten des Verantwortlichen: durch Veröffentlichung z. B. auf der Website der AQ Austria (10.01.2018);

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 6 PUG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die AQ Austria

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Zusätzlich zu den gemäß Art. 13 DSGVO erforderlichen Informationen verlangt Art. 14 DSGVO die folgenden Informationen, die wie folgt erbracht werden:

–      die Aufzählung der Kategorien personenbezogener Daten, die verarbeitet werden: durch Publikation des § 6 PUG als Bundesgesetz im Bundesgesetzblatt sowie

–      der Datenquellen: durch Publikation des vorliegenden Entwurfes, insbesondere des § 6 PUG als Bundesgesetz im Bundesgesetzblatt.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die AQ Austria ihre Prozesse gegebenenfalls so anpasst, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 3 PUG iVm den §38a (4) FOG grundsätzlich zulässig. Allerdings sind die Regelungen des § 38a FOG nur leges speciales gegenüber den allgemeinen Bestimmungen des DSG, sodass speziellere Bestimmungen, wie § 6 PUG über das Berichtswesen, dem §38a FOG vorgehen. Gemäß § 6 PUG ist eine Übermittlung in Drittländer zwar nicht ausgeschlossen, aber sehr restriktiv zu sehen und nur dann zulässig, wenn dies für die Erfüllung der Aufgaben gemäß § 3 Abs. 3 HS-QSG erforderlich ist.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des Berichtswesens der Privatuniversitäten an die AQ Austria vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten.

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt. Es sind insbesondere § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“) StGB, die Schäden vorbeugen (RIS-Justiz, RS0054100). Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Verarbeitung für das Berichtswesen an die Agentur für Qualitätssicherung ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Darüber hinaus wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgend Maßnahmen verhindert werden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      der Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO,

–      § 7a Abs. 11 Bildungsdokumentationsgesetz: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Zudem wird durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgender Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnisse wird durch untenstehende Maßnahmen gewährleistet:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dadurch sichergestellt, dass die Daten nur für die Dauer der Erreichung des Zweckes verarbeitet werden. Wie lange das genau sein wird, kann im Vorhinein nicht gesagt werden. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Eine Pseudonymisierung ist in § 6 PUG nicht vorgesehen. Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt, der vorsieht, dass „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 6 PUG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Zuge des Berichtswesens der Privatuniversitäten an die AQ Austria von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die AQ Austria zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von der AQ Austria zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.