SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 2d Abs. 3 FOG ist im Anwendungsbereich des Forschungsorganisationsgesetzes die Verarbeitung von Daten (§ 2b Z 5 FOG) zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zwecks durch die Angabe

–      eines Forschungsbereiches oder

–      mehrerer Forschungsbereiche oder

–      von Forschungsprojekten oder

–      von Teilen von Forschungsprojekten

erfolgen darf („broad consent“).

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 2d Abs. 3 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2b Z 5 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Allerdings dürfen nur Daten (§ 2b Z 5 FOG) von jenen Personen verarbeitet werden, die die Willenserklärung gemäß § 2d Abs. 3 FOG abgegeben haben.

In inhaltlicher Sicht besteht keine Einschränkung, sodass sämtliche Arten sowohl von Daten als auch Verarbeitungen dem „broad consent“, d.h. einer nicht eng gefassten Zustimmung (Einwilligung), zugänglich sind.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Zwecke des Art. 89 DSGVO. Mit dem vorgeschlagenen § 2d Abs. 3 FOG soll die Möglichkeit geschaffen werden, forschungsrelevante Daten auch aufgrund eines sogenannten broad oder open consent zu verarbeiten. Damit soll die prospektive Sammlung von Forschungsmaterial (§ 2b Z 6 FOG) erleichtert werden. Für die retrospektive Nutzung von Proben oder Altmaterialien ist es einfach für ein spezifisches Projekt nach entsprechender Aufklärung einzuwilligen. Für prospektive Projekte ist dies allerdings schwierig bis unmöglich: wenn man prospektiv sammelt, kann man den Patientinnen und Patienten noch nicht sagen, was mit ihren Daten (§ 2b Z 5 FOG) gemacht werden soll. Vor allem bei Biobanken, die von mehreren wissenschaftlichen Einrichtungen (§ 2 Z 12 FOG) gemeinsam betrieben werden (sollen), wird sich selbst die Einschränkung auf ein bestimmtes Indikationsgebiet zukünftig als sehr limitierend darstellen, da beispielsweise nicht ausgeschlossen werden kann, dass Herz-Kreislauf-Erkrankungen iZm psychiatrischen Auffälligkeiten stehen. Der Fortschritt in der wissenschaftlichen Forschung, insbesondere in der biomedizinischen Forschung, soll durch die vorgeschlagene Regelung weiterhin ermöglicht werden.

Die Regelung soll dazu führen, dass wissenschaftsfreundliche Menschen und Wissenschaftlerinnen und Wissenschaftler auch weiterhin ihrem Forschungsauftrag nachkommen können und nicht durch bürokratischen Aufwand belastet werden. Dies schafft auch Rechtssicherheit bezüglich der Verarbeitung von Daten. Voraussetzung für die Zulässigkeit dieses Einsatzes, ist allerdings, dass eine allfällige Veröffentlichung nur gemäß § 2d Abs. 2 Z 1 FOG erfolgt (§ 2d Abs. 1 Z 8 FOG).

Aus Gründen der Rechtssicherheit soll in § 2d Abs. 3 FOG eine auf Art. 9 Abs. 2 Buchstabe j DSGVO gestützte und der Definition in EG 33 DSGVO entsprechende Rechtsgrundlage für die Zulässigkeit des sogenannten „broad consent“ vorgesehen werden. Diese Rechtsgrundlage ist der Einwilligung (Art. 4 Nr. 11 DSGVO) nachempfunden, stellt aber selbst keine Einwilligung (Art. 9 Abs. 2 Buchstabe a DSGVO) dar, sondern basiert auf Art. 9 Abs. 2 Buchstabe j DSGVO. Diese Vorgangsweise hat die Art-29-Datenschutzgruppe beispielsweise in ihrem Arbeitspapier WP 131 als Möglichkeit zur unionsrechtskonformen Begründung eines Opt-Outs bei elektronischen Gesundheitsakten genannt (Art-20-Datenschutzgruppe, Working Document on the processing of personal data relating to health in electronic health records [EHR] 13 f).

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zu Zwecken des Art. 89 Abs. 1 DSGVO und ermöglicht aufgrund weiter Zustimmungen („broad consent“), insbesondere die prospektive Forschung, was sich positiv vor allem im Bereich der Lebenswissenschaften auswirken wird.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerinnen und Empfänger der Angaben zum jeweiligen Umfang der Widersprüche sind wissenschaftliche Einrichtungen (§ 2b Z 12 FOG).

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die allgemeine Regel des § 2d Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch für die weite Zustimmung („broad consent“) anzuwenden.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Gemäß § 2d Abs. 3 FOG dürfen wissenschaftliche Einrichtungen Daten für Zwecke des Art. 89 Abs. 1 DSGVO verarbeiten.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2d Abs. 3 FOG festgelegte Zweck ist die Verarbeitung zu Zwecken gemäß Art. 89 Abs. 1 DSGVO. Dies ergibt sich klar aus dem Verweis auf Art. 9 Abs. 2 Buchstabe j DSGVO, der seinerseits auf Art. 89 Abs. 1 DSGVO verweist. Wissenschaftliche Einrichtungen (§ 2b Z 12 FOG) haben demnach das Recht, ihre Verarbeitungen auf Grundlage des § 2d Abs. 3 FOG durchzuführen.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 2d Abs. 3 FOG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Erreichung von zwecken gemäß Art. 89 Abs. 1 DSGVO notwendig ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 2d Abs. 3 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 2d Abs. 3 FOG vorgesehen ist.

Gemäß § 59b KAKuG ist bereits zu Zwecken „der Verwaltung von Systemen und Diensten im Gesundheit- oder Sozialbereich“ (Art.9 Abs. 2 Buchstabe h DSGVO) eine Verarbeitung ohne Mitwirkung der betroffenen Person nach nationalem Recht und Unionsrecht erlaubt. Die Zwecke des Art. 89 DSGVO stehen auf gleicher Ebene wie die Zwecke des Art. 9 Abs. 2 Buchstabe h DSGVO, weil sich die Zwecke des Art. 89 DSGVO in Art. 9 Abs. 2 Buchstabe j DSGVO befinden und diese auf gleicher Ebene wie Art. 9 Abs. 2 Buchstabe h DSGVO liegen.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Doch ist eine Pseudonymisierung gemäß Art. 89 DSGVO so schnell wie möglich durchzuführen. Nur wissenschaftliche Einrichtungen gemäß § 2b Z 12 FOG dürfen weite Zustimmungserklärungen („broad consent“). Dadurch wird die Angemessenheit der Verarbeitung sichergestellt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, insbesondere aus den folgenden Gründen:

–      die Sammlung von Forschungsmaterial und den zugehörigen Daten, die mittels einer weiten Zustimmung („broad consent“) legitimiert ist, erlaubt beispielsweise bei Entdeckung neuer Biomarker, die Überprüfung der Qualität und Sensitivität dieser neuen Biomarker – dafür ist allerdings eine gewisse Flexibilität erforderlich, um den Wert zukünftiger Biomarker auch untersuchen zu können, weil zum heutigen Zeitpunkt noch nicht bekannt ist, welche Überprüfungen u.U. durchzuführen sind;

–      die Verfügbarkeit hochwertiger Daten ist wesentliche Voraussetzung für Wissenschaft und Forschung;

–      die ausdrückliche Regelung der weiten Zustimmung („broad consent“) erleichtert die Durchführung von klinischen Studien vor allem im Anfangsstadium (vgl. NÖ Landeskliniken-Holding, 48/SN-10/ME XXVI. GP).

Die Absicherung der weiten Zustimmung („broad consent“) ist von großer Bedeutung für die weitere Entwicklung des Wissenschafts- und Forschungsstandortes.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) nur unter den Auflagen gemäß § 2d Abs. 1 FOG, insbesondere § 2d Abs. 2 Z 1 FOG zur Kenntnis gebracht werden dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Es erfolgt eine zeitliche Beschränkung der Speicherdauer mit Widerruf oder Ableben der betroffenen Person. Damit erfolgt eine Speicherung nur für die benötigte Dauer. Des Weiteren sind die Daten gemäß Art. 89 DSGVO schnellstmöglich zu pseudonymisieren.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Stammzahlenregisterbehörde ihre Prozesse so angepasst hat, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 2d Abs. 3 FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2d Abs. 3 iVm § 2d Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten des oder der Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Verantwortlichen gemäß § 2d Abs. 3 FOG ihre Prozesse – außer in den Fällen des § 2d Abs. 6 FOG – so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Übermittlungen an Drittländer sind nach der Übergangsbestimmung des § 38a Abs. 4 FOG zulässig. Die Übermittlungen sind nur soweit zulässig, als sie der Erreichung des Verarbeitungszweckes dienen. Kommt es zu einer Übermittlung, müssen gemäß Art. 25 DSGVO „geeignete technische und organisatorische Maßnahmen“ getroffen werden, um „die Rechte der betroffenen Personen zu schützen“.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen aufgrund weiter Zustimmungserklärungen vorhanden, allerdings nur sehr eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“. Zusätzlich ist Art. 32 DSGVO anwendbar, demzufolge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt.

Es sind insbesondere die § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100).

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung bei Verarbeitungen im Rahmen des Widerspruchregisters ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung erheblich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgende Maßnahmen verhindert werden:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls und ‑betrugs wesentlich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko finanzieller Verluste wesentlich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

–      Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2 d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Rufschädigung wesentlich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnissen wird durch untenstehende Maßnahmen gewährleistet:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG wird das Risiko des Verlusts der Vertraulichkeit bei Berufsgeheimnissen wesentlich gesenkt.

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

–      Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile wesentlich gesenkt,

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Mit den angemessenen Maßnahmen gemäß § 2d Abs. 1 FOG, insbesondere gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung ist gemäß Art. 89 DSGVO schnellstmöglich durchzuführen.

Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Durch das Recht auf Ausstattung mit bereichsspezifischen Personenkennzeichen etwa in § 2d Abs. 2 Z 2 FOG soll eine praxisnahe Regelung getroffen werden, die eine einfache Ausstattung mit hochqualitativen Zuordnungsmerkmalen erlaubt.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 2d Abs. 3 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Rahmen weiter Zustimmungserklärungen („broad consent“) von der Öffentlichkeit kostenlos nachvollzogen werden.

Der Verweis auf eines oder mehrere Forschungsgebiete ist eine Klarstellung im Sinne des EG 33 DSGVO, wonach „betroffene[…] Personen […] ihre Einwilligung für bestimmte Bereiche [Anm: Plural] wissenschaftlicher Forschung“ geben dürfen. Als Klassifikation für die Forschungsgebiete bietet sich die von der Statistik Österreich publizierte Österreichische Version der „Fields of Science and Technology (FOS) Classification” an (http://www.statistik.at/kdb/downloads/pdf/OEFOS2012_DE_CTI_20171007_030441.pdf [25.01.2018]). Da die Unterschiede, etwa zwischen „Systematischer Anatomie (301 112)“ oder „Anatomie (301 102)“, für Laien nicht nachvollziehbar sind und in manchen Fällen auch unter Fachleuten umstritten sein werden, darf die Bezeichnung des Forschungsgebiets auch durch Elemente mit bloß einstelligem Code, wie etwa „Naturwissenschaften (1)“ oder „Humanmedizin, Gesundheitswissenschaften (3)“ erfolgen. Im Vergleich zur Einwilligung gemäß Art. 4 Nr. 11 DSGVO sind die Anforderungen an die Vorherbestimmtheit der Willenserklärung herabgesetzt, sodass insbesondere eine Angabe der Empfängerinnen und Empfänger nicht zwingend erforderlich ist.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Der Wortlaut des § 2d Abs. 3 FOG schließt die Festlegung eines Widerspruchsrechts gemäß Art. 23 Abs. 6 DSGVO grundsätzlich nicht aus. Allerdings werden – insbesondere bei biomedizinischer Forschung – nicht nur Zwecke gemäß Art. 89 Abs. 1 DSGVO verfolgt, sondern u.a. auch erhebliche öffentliche Interessen iSd Art. 9 Abs. 2 Buchstabe g DSGVO.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Dem Art. 32 DSGVO entsprechende Datensicherheitsmaßnahmen sind auch bei Betrieb des Widerspruchsregisters zu treffen. Da es sich um eine zentrale Infrastruktur handelt, sind hier sogar noch höhere Anforderungen als sonst einzuhalten. Art. 35 Abs. 10 DSGVO lässt Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren, weshalb ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen ist.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.