SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether

processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Die Ombudsstelle darf zur Erfüllung ihrer Aufgaben Daten iSd § 2b Z 5 FOG verarbeiten (§ 31 Abs. 6 HS-QSG). Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Verarbeitung umfasst folgende Datenarten:

–      Namensangaben (§ 31 Abs. 6 Z 1 HS-QSG),

–      Personenmerkmale (§ 31 Abs. 6 Z 2 HS-QSG),

–      Angaben zur Identifikation (§ 31 Abs. 6 Z 3 HS-QSG),

–      Adress- und Kontaktdaten (§ 31 Abs. 6 Z 4 HS-QSG),

–      Angaben zum Schriftverkehr (§ 31 Abs. 6 Z 5 HS-QSG) sowie

–      Angaben zum Prozess und zur Erledigung (§ 31 Abs. 6 Z 6 HS-QSG).

Von der Verarbeitung betroffene Personen sind:

–      alle Studierenden an hochschulischen Bildungseinrichtungen,

–      Studieninteressentinnen und -interessenten,

–      Studienwerberinnen und -werber sowie

–      ehemalige Studierende (§ 31 Abs. 1 HS-QSG).

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Information und Beratung von Studierenden im Hochschulwesen (§ 31 Abs. 2 und 3 HS-QSG). Eingerichtet ist die Ombudsstelle im Bundesministerium für Bildung, Wissenschaft und Forschung. Die §§ 2a bis 2j FOG sind nicht anzuwenden, weil die Ombudsstelle weder wissenschaftliche Einrichtung noch Art-89-Förder- und Zuwendungsstelle ist; einzige Ausnahme stellt § 2h Abs. 1 FOG dar, der sich auf öffentliche Stellen bezieht und eine solche ist die Ombudsstelle.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Erfüllung der Aufgaben der Ombudsstelle, die gemäß § 31 Abs. 2 und 3 HS-QSG Ombuds-, Informations- und Serviceaufgaben sind.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerinnen und Empfänger von Berichten der Ombudsstelle sind die zuständige Bundesministerin oder der zuständige Bundesminister, der Nationalrat sowie die Öffentlichkeit (§ 31 Abs. 7 HS-QSG). Außerdem kann es sein, dass den Studierenden, Bildungseinrichtungen und Studierendenvertretungen personenbezogene Daten übermittelt werden, wenn die Ombudsstelle gemäß § 31 Abs. 2 Z 1 HS-QSG mit Studierendenvertretungen kooperiert (vgl. ErläutRV 1222 d BlgNR 24. GP 23) oder gemäß § 31 Abs. 3 HS-QSG über die allenfalls getroffenen Veranlassungen berichtet.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Gemäß § 31 Abs. 6 HS-QSG dürfen die Daten für einen 30 Jahre nicht übersteigenden Zeitraum gespeichert werden.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Studierende können sich gemäß § 31 Abs. 3 HS-QSG zur Information und Beratung über den Studien-, Lehr-, Prüfungs-, Service- und Verwaltungsbetrieb an die Ombudsstelle wenden. Die dabei anfallenden Daten dürfen von der Ombudsstelle – für einen Zeitraum von maximal 30 Jahren – verarbeitet werden.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der verfolgte Zweck – das ist die Erfüllung ihrer Aufgaben – ist in § 31 Abs. 6 HS-QSG festgelegt.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 31 Abs. 6 HS-QSG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Erfüllung der Aufgaben der Ombudsstelle, das sind gemäß § 31 Abs. 2 und 3 HS-QSG Ombuds-, Informations- und Serviceaufgaben, erforderlich ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 31 Abs. 6 HS-QSG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 31 Abs. 6 HS-QSG vorgesehen ist.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung für Zwecke der Ombudsstelle aufgrund einer rechtlichen Verpflichtung erfolgt.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Es werden gemäß § 31 Abs. 6 HS-QSG nur jene Daten von betroffenen Personen verarbeitet, die für die angegebenen Zwecke erforderlich sind. Das zeigt sich insbesondere daran, dass die in § 31 Abs. 6 HS-QSG angeführten Datenarten der aktuellen Standardanwendung „SA029 Aktenverwaltung (Büroautomation)“ entsprechen. Diese Standardanwendung hätte nicht erlassen werden dürfen, wenn sie dem § 17 Abs. 2 Z 6 DSG 2000 in der Fassung des Bundesgesetzes, BGBl. I Nr. 132/2015, widersprächen. Diese Bestimmung verlangt nämlich, dass die „Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist“.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Ombudsstelle sonst ihre Ombuds-, Informations- und Serviceaufgaben gemäß § 31 Abs. 2 und 3 HS-QSG nicht erfüllen kann (siehe näher dazu unten: Abhilfemaßnahmen / Minimierung der Verarbeitung personenbezogener Daten).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das Aktenverwaltungssystem, das zur Aufgabenerfüllung erforderlich ist, sowie die Übermittlung zu Aufsichtszwecken an das Bundesministerium für Bildung, Wissenschaft und Forschung (§ 31 Abs. 7 HS-QSG), beschränkt.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Die zeitliche Speicherdauer gemäß § 31 Abs. 6 HS-QSG entspricht der langen Verjährungsfrist gemäß § 1478 ABGB. Da nicht ausgeschlossen werden kann, dass die Tätigkeit der Ombudsstelle zu gerichtlichen Auseinandersetzungen führen kann, ist die Ombudsstelle gemäß Art. 9 Abs. 2 Buchstabe f DSGVO sogar zur Speicherung sensibler Daten durch einen Zeitraum von 30 Jahren berechtigt.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Ombudsstelle ihre Prozesse so anpasst, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Ein Hinweis gemäß Art. 21 Abs. 4 DSGVO auf das Widerspruchsrecht hat nicht zu erfolgen, weil ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO nur besteht, wenn personenbezogene Daten aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DSGVO verarbeitet werden. Dies ist für die gegenständliche Verarbeitung nicht der Fall.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      Name und Kontaktdaten des Verantwortlichen: durch Veröffentlichung auf der Website des Hochschulombudsmanns unter http://www.hochschulombudsmann.at/ (10.01.2018);

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 31 Abs. 6 HS-QSG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 31 Abs. 6 HS-QSG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die Ombudsstelle

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft     (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Zusätzlich zu den gemäß Art. 13 DSGVO erforderlichen Informationen verlangt Art. 14 DSGVO die folgenden Informationen, die wie folgt erbracht werden:

–      die Aufzählung der Kategorien personenbezogener Daten, die verarbeitet werden: durch Publikation der Aufzählung gemäß § 31 Abs. 6 HS-QSG als Bundesgesetz im Bundesgesetzblatt sowie

–      der Datenquellen: durch Publikation des vorliegenden Entwurfes, insbesondere des § 31 Abs. 4 HS-QSG als Bundesgesetz im Bundesgesetzblatt.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Ombudsstelle ihre Prozesse gegebenenfalls so anpasst, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 4 HS-QSG iVm § 38a FOG grundsätzlich zulässig. Allerdings sind die Regelungen der §§ 2a ff FOG nur leges speciales gegenüber den allgemeinen Bestimmungen des DSG, sodass speziellere Bestimmungen, wie § 31 HS-QSG über die Ombudsstelle, den §§ 2a ff FOG vorgehen. Gemäß § 31 HS-QSG ist eine Übermittlung in Drittländer zwar nicht ausgeschlossen, aber sehr restriktiv zu sehen und nur dann zulässig, wenn dies für die Erfüllung der Aufgaben gemäß § 31 Abs. 6 HS-QSG erforderlich ist.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für die Tätigkeit der Ombudsstelle nahezu ausgeschlossen, weil mit den Strafbestimmungen des 22. Abschnitts über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen, insbesondere dessen §§ 302 (Amtsmissbrauch) und 310 („Verletzung des Amtsgeheimnisses“) des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen (RIS-Justiz, RS0054100).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von der Ombudsstelle einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten zudem wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird dadurch vermieden, dass Daten von den betroffenen Personen unabhängig davon, ob auf diese Personen bestimmte Merkmale zutreffen oder nicht, verarbeitet werden. Zudem gilt auch im Bereich der Privatwirtschaftsverwaltung der Gleichheitsgrundsatz (VfGH 28.09.2017, G 31/2017 bzw. RIS-Justiz RS0102013; RS0030349), der eine Diskriminierung der betroffenen Personen (siehe oben: Systematische Beschreibung / Umfang der Verarbeitung) verbietet.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung darüber hinaus erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Profiling und Identitätsdiebstahl, bieten.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls oder -betruges darüber hinaus wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Profiling und Identitätsdiebstahl, bieten.

Außerdem werden keine Finanzdaten verarbeitet, womit die Wahrscheinlichkeit für den Eintritt dieses Risikos sehr gering ist.

Unabhängig davon wird das Risiko finanzieller Verluste durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG zusätzlich wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die Pseudonymisierung würde der Aufgabenerfüllung der Ombudsstelle entgegenstehen, weil die Identifikation dann nur mehr auf elektronischem Wege, etwa durch einen elektronischen Identitätsnachweis gemäß § 2 Z 10 E-GovG, möglich wäre. Damit wären die wichtigsten Kommunikationswege zur Ombudsstelle abgeschnitten und Personen, die nicht über einen elektronischen Identitätsnachweis verfügen, benachteiligt. Dieses Risiko kann sich – mangels durchführbarer Pseudonymisierung – nicht verwirklichen.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen, bieten.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile zudem wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Die gemäß § 31 Abs. 6 HS-QSG zu verarbeitenden Daten sind auf das Minimum beschränkt, weil:

–      ohne Namensangaben (§ 31 Abs. 6 Z 1 HS-QSG), ein Auffinden bestehender Akten für Personen, die sich nur mittels Namen identifizieren nicht möglich wäre;

–      ohne Personenmerkmale (§ 31 Abs. 6 Z 2 HS-QSG), eine Ausstattung mit bereichsspezifischen Personenkennzeichen nicht möglich wäre;

–      ohne Angaben zur Identifikation (§ 31 Abs. 6 Z 3 HS-QSG), die Eindeutigkeit der Identität der betroffenen Personen nicht überprüft werden kann;

–      ohne Adress- und Kontaktdaten (§ 31 Abs. 6 Z 4 HS-QSG), mit den betroffenen Personen nicht in Kontakt getreten werden kann;

–      ohne Angaben zum Schriftverkehr (§ 31 Abs. 6 Z 5 HS-QSG), die Eingaben der betroffenen Personen nicht verarbeitet werden können;

–      ohne Angaben zum Prozess und zur Erledigung (§ 31 Abs. 6 Z 1 HS-QSG), Erledigungen weder ausgearbeitet noch – im Nachhinein – überprüft bzw. wiederverwendet werden können.

Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt schließlich eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung würde der Aufgabenerfüllung der Ombudsstelle entgegenstehen, weil die Identifikation dann nur mehr auf elektronischem Wege, etwa durch einen elektronischen Identitätsnachweis gemäß § 2 Z 10 E-GovG, möglich wäre. Damit wären die wichtigsten Kommunikationswege, d.h. persönlicher und telefonischer Kontakt, zur Ombudsstelle abgeschnitten und Personen, die nicht über einen elektronischen Identitätsnachweis verfügen, benachteiligt.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 31 Abs. 6 HS-QSG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die Funktionen und Verarbeitung personenbezogener Daten durch die Ombudsstelle von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die Ombudsstelle zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von der Ombudsstelle zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.