Anhang 6: Datenschutz-Folgenabschätzung zu § 2d Abs. 6 FOG

 

Nach Erwägungsgrund 92 und Art. 35 Abs. 10 DSGVO dürfen Datenschutz-Folgenabschätzungen auch auf abstrakter Ebene durchgeführt werden. Die folgende Datenschutz-Folgenabschätzung betrifft die Klarstellung zur Beschränkbarkeit der Rechte der betroffenen Personen (§ 2d Abs. 6 des Forschungsorganisationsgesetzes [FOG], BGBl. Nr. 341/1981). Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 Buchstabe b DSGVO erforderlich, weil es potentiell auch zu einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO kommen kann.

 

 

 

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

 

Art der Verarbeitung:

(EG 90 DSGVO)

Gemäß § 2d Abs. 6 FOG dürfen Verantwortliche sämtliche personenbezogene Daten, unter Ausschluss oder Beschränkung (arg: „insoweit“)

–      des Auskunftsrechts,

–      des Rechts auf Berichtigung,

–      des Rechts auf Löschung bzw. Rechts auf Vergessenwerden,

–      des Rechts auf Einschränkung der Verarbeitung und

–      des Widerspruchsrechts

der betroffenen Person verarbeiten, wenn dies zur „Erreichung von Zwecken gemäß Art. 89 (1) DSGVO“ erforderlich ist.

 

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

 

Umfang der Verarbeitung:

(EG 90 DSGVO)

Die von § 2d Abs. 6 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2b Z 5 FOG. Von der Verarbeitung können auch besondere Kategorien von Daten umfasst sein, weshalb auch die Öffnungsklausel gemäß Art. 9 Abs. 2 Buchstabe j DSGVO in Anspruch genommen wird. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es nicht. Der vorgeschlagene § 2d Abs. 6 FOG umfasst die Verarbeitung sämtlicher Daten unter Ausschluss oder Beschränkung (arg: „insoweit“) folgender Rechte:

–      Z 1 Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Z 2 Recht auf Berichtigung (Art. 16 DSGVO),

–      Z 3 Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO),

–      Z 4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

–      Z 5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie

–      Z 6 Widerspruchsrecht (Art. 21 DSGVO).

 

Kontext der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21)

Die Verarbeitung erfolgt im Kontext der Zwecke des Art. 89 DSGVO. Mit dem vorgeschlagenen § 2d Abs. 6 FOG soll Klarheit geschaffen werden, dass die Erreichung der Zwecke des Art. 89 (1) DSGVO nicht durch die Anwendung der Rechte der betroffenen Person gemäß Kapitel III DSGVO beeinträchtigt werden dürfen.

 

Zweck der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Die Verarbeitung der Daten unter Ausschluss oder Beschränkung der Rechte der betroffenen Personen erfolgt „zu im öffentlichen Interessen liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken“ gemäß Art. 89 Abs. 2 DSGVO.

 

Empfängerinnen und Empfänger:

(Art-29-Datenschutzgruppe, WP 248, 21)

Die Empfängerinnen und Empfänger werden in § 2d Abs. 6 nicht geregelt, sodass nach den Grundregeln des § 7 DSG sowie des § 2d Abs. 2 FOG grundsätzlich die gesamte Gesellschaft als Empfängerin in Frage kommt, allerdings nicht in direkt personenbezogener Form (zur Ausnahme gemäß § 2f Abs. 2 FOG, siehe: Datenschutzfolgenabschätzung zu § 2f Abs. 1 FOG [Anhang 10]).

 

Speicherdauer:

(Art-29-Datenschutzgruppe, WP 248, 21)

Nach der allgemeinen Regel des § 2d Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für die von § 2d Abs. 6 FOG umfassten Daten unbeschränkt.

 

Funktionelle Beschreibung der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Von § 2d Abs. 6 FOG ist jede Form der Verarbeitung erfasst, die zu Zwecken gemäß Art. 89 DSGVO erfolgt.

 

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

(Art-29-Datenschutzgruppe, WP 248, 21)

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

 

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

(Art-29-Datenschutzgruppe, WP 248, 21)

 

 

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

 

Festgelegter Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

§ 2d Abs. 6 FOG soll sicherstellen, dass die Zwecke gemäß Art. 89 Abs. 1 DSGVO erreicht werden können und nicht durch die Ausübung von Rechten der betroffenen Personen vereitelt werden können. Die Verarbeitung ist demnach zulässig für

–      im öffentlichen Interesse liegende Archivzwecke,

–      wissenschaftliche oder historische Forschungszwecke oder

–      statistische Zwecke.

Eindeutiger Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Die Angabe des Zwecks in § 2d Abs. 6 FOG ist eindeutig: der Ausschluss oder die Einschränkung der Rechte der betroffenen Personen darf nur erfolgen, soweit dies zur Erreichung der Zwecke gemäß Art. 89 (1) DSGVO erforderlich ist.

Bereits aufgrund der Regelung in Art. 89 (1) DSGVO, d.h. einer unmittelbar anwendbaren EU-Verordnung, kann im Sinne der VfGH-Judikatur (vgl. VfSlg. 17.065/2003 in Folge von EuGH 20.05.2003, C-465/00, ORF vs Rechnungshof, ECLI:EU:C:2003:294) aufgrund des Anwendungsvorrangs gar kein Verstoß gegen Art. 18 B‑VG vorliegen. Außerdem ist davon auszugehen, dass Art. 89 (1) DSGVO den eigenen Anforderungen der Datenschutz-Grundverordnung hinsichtlich der Eindeutigkeit des Zwecks entspricht, sodass jedenfalls von einer Eindeutigkeit des Zwecks für Zwecke der vorliegenden Datenschutz-Folgenabschätzung auszugehen ist.

 

Legitimer Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Der in § 2d Abs. 6 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 23 Abs. 1 Buchstabe e DSGVO („wichtige Ziele des allgemeinen öffentlichen Interesses“) und

–      des Art. 89 Abs. 2 DSGVO (Zwecke des Art. 89 DSGVO)

gedeckt ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

 

Rechtmäßigkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe e iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

 

Angemessenheit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Allerdings sind die in § 2d Abs. 1 Z 1 bis 8 FOG angeführten Voraussetzungen so hoch, dass die Angemessenheit der Verarbeitung jedenfalls gewährleistet ist. Die genannten Anforderungen sind:

–      Zugriffe auf personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, sind lückenlos zu protokollieren.

–      Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten auf Grundlage dieses Abschnitts verarbeiten und ihre Mitarbeiterinnen und Mitarbeiter – das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten, die ihnen ausschließlich auf Grundlage dieses Abschnitts anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).

–      Personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, dürfen ausschließlich für Zwecke dieses Bundesgesetzes verarbeitet werden.

–      Natürliche Personen, deren personenbezogene Daten auf Grundlage dieses Abschnitts verarbeitet werden, dürfen keine Nachteile erleiden, wobei die Verarbeitung in Übereinstimmung mit diesem Abschnitt keinen Nachteil darstellt.

–      Verantwortliche, die Verarbeitungen auf Grundlage des Abs. 2 durchführen, haben

                a) im Internet öffentlich einsehbar auf die Inanspruchnahme dieser Rechtsgrundlage hinzuweisen,

               b) bei Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen die Namensangaben jedenfalls zu löschen und

                c) vor Heranziehung von Registern gemäß Abs. 2 Z 3 jedenfalls

                     aa) einen Datenschutzbeauftragten (Art. 37 DSGVO) zu bestellen sowie

                    bb) eine von der oder dem Verfügungsbefugten über die Datenbestände aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass sie oder er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.

–      Die Veröffentlichung von bereichsspezifischen Personenkennzeichen darf unter keinen Umständen erfolgen.

–      Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung hat nach Anhörung

                a) von Vertreterinnen oder Vertretern, die von den zuständigen Bundesministerinnen und Bundesminister ernannt wurden, wobei jede Bundesministerin oder jeder Bundesminister eine Vertreterin oder einen Vertreter zu ernennen hat, und

               b) der Mitglieder der Delegiertenversammlung gemäß § 5a Abs. 1 und 2 Z 1 und 2 FTFG

dem Datenschutzrat (§ 14 DSG) in Abständen von drei Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.

–      Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Abs. 2 Z 1 zu entsprechen.

Erheblichkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung der Daten ist erheblich, da die Verfügbarkeit hochwertiger Daten wesentliche Voraussetzung für Wissenschaft und Forschung ist. Die Wissenschaft und Forschung spielt für den Wohlstand in Österreich eine immer wichtigere Rolle, was sich anhand der Forschungsquote erkennen lässt (vgl. http://www.statistik.at/web_de/statistiken/energie_umwelt_

innovation_mobilitaet/ forschung_und_innovation/globalschaetzung_

forschungsquote_jaehrlich/023703.html [29.01.2018]). Die Ausgaben für F&E betrugen im Jahr 1981 1,1 Prozent des BIP, während diese im Jahr 2017 bereits 3,14 Prozent des BIP betrugen.

Mit der Beschränkung der Betroffenenrechte soll u.a. Rechtssicherheit für die Verarbeitung von Daten zu Zwecken der Arzneimittelsicherheit geschaffen werden. So bedarf die Teilnahme an klinischen Studien der Einwilligung (§ 38 AMG). Während der Durchführung klinischer Prüfungen können die Einwilligungen jederzeit widerrufen werden (§ 38 Abs. 2 AMG). Dies sollte für die bereits gewonnen Daten und v.a. nach Durchführung der klinischen Prüfungen aufgrund der vorgeschlagenen Bestimmung nicht gelten. Zur Bedeutung der Arzneimittelsicherheit darf auf eine Studie der Weltgesundheitsorganisation (WHO) verwiesen werden: http://www.euro.who.int/en/health-topics/Health-systems/patient-safety/data-and-statistics (03.02.2018). Demnach geben 23 Prozent der Bevölkerung innerhalb der EU an, direkt von einem medizinischen Fehler betroffen zu sein. 18 Prozent geben an, dass sie Opfer von Behandlungsfehlern wurden und 11 Prozent geben an, dass ihnen falsche Medikamente verschrieben wurden. Die Bedeutung der Pharmakovigilanz wird von der Österreichischen Agentur für Gesundheit und Ernährungssicherheit GmbH (vgl. https://www.ages.at/download/0/ 0/f09e372f81af2a04e58586310005818ba2d9c55d/ fileadmin/AGES2015/Service/AGES-Akademie/2016-10-13_AGES_Gespr%C3%A4ch_Meldung_von_AM-Nebenwirkungen/05_Pharmakovigilanz_HCP-Freigegeben.pdf, 6 ff; [29.01.2018]) wie folgt zusammengefasst:

–      „2-6 % aller Hospitalisierungen durch NW bedingt“,

–      die Behandlungskosten pro Patient: knapp 2.000,00 Euro,

–      „4-häufigste Todesursache in den USA“

–      „51 % aller zugelassenen Arzneimittel haben nicht bekannte schwerwiegende Nebenwirkungen“

Die Einschränkung der Betroffenenrechte ist aber für Citizen Science Projekte von großer Bedeutung. Die Erforschung von Bienen ist ein gutes Beispiel für gesellschaftlich bedeutende Citizen Science-Projekte (vgl. zum Beispiel das Projekt „Bienenstand“ der Karl-Franzens-Universität Graz: http://bienenstand.at/ [03.02.2018]). Bienen sind nach Informationen der Europäischen Kommission (vgl. https://ec.europa.eu/food/animals/live_animals/bees_en [03.02.2018]) für Wertschöpfung in der Höhe von mindestens 22 Milliarden Euro in der Europäischen Union verantwortlich. Außerdem bestäuben sie über 80 Prozent unserer Nutzpflanzen, weshalb ihr Erhalt von größter Bedeutung für die Menschheit ist. Können solche Studien, die oftmals unter Beteiligung der Bevölkerung zustande kommen, und damit notwendigerweise personenbezogene Daten über die Sammlerinnen und Sammler enthalten, durch die Ausübung beispielsweise des Löschungsrechts nachträglich beeinträchtigt werden, ist – je nach Bedeutung der betroffenen Studie – eine massive Beeinträchtigung öffentlicher Interessen zu befürchten.

 

Beschränktheit der Verarbeitung auf das notwendige Maß:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 2d Abs. 2 FOG).

 

Speicherbegrenzung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)

Grundsätzlich ist die Speicherdauer nicht beschränkt (§ 2d Abs. 6 FOG), weil im Vorhinein nicht definiert werden kann, zu welchem Zeitpunkt welche Daten benötigt werden.

 

Generelle Information der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat sich eine Datenschutz-Folgenabschätzung auch mit der transparenten Information gemäß Art. 12 DSGVO auseinanderzusetzen. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Verantwortlichen ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

 

Information der betroffenen Personen bei Erhebung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation der geplanten Änderungen zum FOG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 2d Abs. 6 iVm Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

–      ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

 

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)

Siehe oben: Bewertung / Information der betroffenen Personen bei Erhebung.

 

Auskunftsrecht der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 89 Abs. 2 bzw. Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Recht auf Datenübertragbarkeit:

(Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Auftragsverarbeiterinnen und Auftragsverarbeiter:

(Art. 28 DSGVO)

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

 

Schutzmaßnahmen bei der Übermittlung in Drittländer:

(Kapitel V DSGVO)

Übermittlungen an Drittländer sind nach § 38a (4) FOG zulässig. Die Übermittlungen sind nur soweit zulässig, als sie der Erreichung des Verarbeitungszweckes dienen. Kommt es zu einer Übermittlung, müssen gemäß Art. 25 DSGVO „geeignete technische und organisatorische“ getroffen werden, um „die Rechte der betroffenen Personen zu schützen.“

 

Vorherige Konsultation:

(Art. 36 und EG 96 DSGVO)

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

 

 

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

 

Physische, materielle oder immaterielle Schäden:

(EG 90 iVm 85 DSGVO)

Diese Risiken sind für Verarbeitungen im Rahmen des § 2d Abs. 6 FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, weshalb „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten müssen. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

 

Verlust der Kontrolle über personenbezogene Daten:

(EG 90 iVm 85 DSGVO)

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

 

Diskriminierung:

(EG 90 iVm 85 DSGVO)

Die Diskriminierung bei Verarbeitungen im Rahmen des § 2d Abs. 6 FOG ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

(EG 90 iVm 85 DSGVO)

Der Identitätsdiebstahl oder -betrug kann durch folgende Maßnahmen verhindert werden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

(EG 90 iVm 85 DSGVO)

Finanzielle Verluste werden durch folgende Regelungen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

(EG 90 iVm 85 DSGVO)

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

 

Rufschädigung:

(EG 90 iVm 85 DSGVO)

Rufschädigungen werden durch folgende Maßnahmen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

 

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

(EG 90 iVm 85 DSGVO)

Die Vertraulichkeit bei Berufsgeheimnissen wird durch untenstehende Maßnahmen gewährleistet:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4 Buchstabe a DSGVO.

 

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

(EG 90 iVm 85 DSGVO)

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen;

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit einer Geldbuße bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 Buchstabe a DSGVO.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

 

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

 

Minimierung der Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Eine Minimierung der Verarbeitung personenbezogener Daten kann nicht vorgeschrieben werden, weil im Vorhinein nicht bekannt ist, welche Daten überhaupt verarbeitet werden sollen. Dies ist allerdings auch nicht erforderlich, weil sämtliche Verarbeitungen gemäß § 2d Abs. 2 FOG nur zu Offenlegung indirekt personenbezogener Daten führen dürfen. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

(EG 28 und 78 DSGVO)

Die Pseudonymisierung erfolgt nicht nur schnellstmöglich, sondern ist Voraussetzung für die Zulässigkeit der Verarbeitungen (§ 2d Abs. 2 Z 1 FOG). Die Ausstattung mit bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 2 FOG ist Voraussetzung für die Pseudonymisierung mittels bereichsspezifischer Personenkennzeichen gemäß § 2d Abs. 2 Z 1 FOG.

Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Durch die Formulierung etwa in § 2d Abs. 2 Z 3 FOG, dass „Namensangaben durch bereichsspezifische Personenkennzeichen „Forschung“ zu ersetzen sind“ soll eine praxisnahe Regelung getroffen werden, indem die gesetzliche Vermutung aufgestellt wird, dass dieser Austausch von Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Die Normadressatinnen und -adressaten brauchen sich aufgrund dieser Formulierung keine Gedanken machen, ob nun eine tatsächliche Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO eingetreten ist oder nicht, sondern bloß die Namen durch bereichsspezifische Personenkennzeichen austauschen, womit die Rechtssicherheit wesentlich erhöht wird. Diese Vorgangsweise ist auch durch das Unionsrecht gedeckt, weil Art. 89 Abs. 1 DSGVO die Pseudonymisierung als bloß eine unter mehreren möglichen geeigneten Garantien anführt. Außerdem sollten gemäß EG 26 DSGVO „[b]ei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Nach heutigem Stand der Technik ist davon auszugehen, dass der Austausch der Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Dies umso mehr als, die „zusätzliche[n] Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (EG 29 DSGVO) nur der Stammzahlenregisterbehörde bekannt und somit dem Zugriff des oder der Verantwortlichen entzogen sind.

 

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Durch die Publikation des § 2d Abs. 6 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten unter Beschränkung der Betroffenenrechte von der Öffentlichkeit kostenlos nachvollzogen werden.

 

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

(EG 78 DSGVO)

Die entsprechenden Betroffenenrechte der Art. 12 ff DSGVO ermöglichen eine Überwachung der Verarbeitung personenbezogener Daten durch die betroffene Person. Da in § 2d Abs. 6 FOG die Öffnungsklausel des Art. 17 Abs. 3 Buchstabe d, des Art. 23 Abs. 1 Buchstabe e und des Art. 89 Abs. 2 DSGVO in Anspruch genommen werden, bestehen diese Rechte nicht oder nur eingeschränkt.

 

Datensicherheitsmaßnahmen:

(EG 78 und 83 DSGVO)

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Verarbeitungen im Rahmen von § 2d Abs. 6 FOG zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

 

 

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

 

Stellungnahme der Datenschutzbehörde:

(Art. 36 Abs. 4 DSGVO)

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

(Art. 35 Abs. 2 DSGVO)

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen

Stellungnahme betroffener Personen:

(Art. 35 Abs. 9 DSGVO)

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.