SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

§ 10a des OeAD-Gesetzes (OeADG), BGBl. I Nr. 99/2008, stellt eine Ermächtigung zur Verarbeitung von Daten über Mobilitäten gemäß § 2b Z 7 des Forschungsorganisationsgesetzes (FOG) dar. Verantwortlicher dieser Verarbeitung ist die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung. Die (faktische) Einrichtung und der Betrieb hat durch die OeAD-GmbH zu erfolgen.

Die Verarbeitung der Daten erfolgt aufgrund nationaler sowie internationaler Bestimmungen, wie etwa:

–      des § 26 des ERP-Fonds-Gesetzes, BGBl. Nr. 207/1962,

–      des Abkommens zwischen Österreich und Amerika betreffend die Finanzierung gewisser Erziehungs- und Kulturaustauschprogramme,

–      den Bestimmungen des Bundesministeriengesetzes 1986, BGBl. Nr. 76/1986,

–      des § 3a des Forschungs- und Technologieförderungsgesetzes (FTFG), BGBl. Nr. 434/1982,

–      des § 10 OeADG,

–      von Bestimmungen des Universitätsgesetzes 2002 (UG), BGBl. I Nr. 120/2002, und

–      von Bestimmungen des Fachhochschul-Studiengesetzes (FHStG), BGBl. Nr. 340/1993.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Daten, die vom Umfang der Verarbeitung erfasst sind, werden in § 10a Abs. 4 OeAD-Gesetz definiert. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es dahingehend, dass nur Daten von jenen Personen erhoben werden, die ihren Ausbildungs- bzw. Arbeitsort wechseln (§ 2b Z 7 FOG). Folgende Daten dürfen gemäß § 10a Abs. 4 OeADG erhoben und verarbeitet werden:

–      Name, akademischer Grad, Titel, Ansprache,

–      Geburtsdatum, Geburtsort, Geschlecht, Staatsangehörigkeit,

–      Personenkennung, insbesondere bereichsspezifische Personenkennzeichen,

–      Adressdaten, Angaben zur elektronischen Erreichbarkeit,

–      Angaben zu Mobilität, wie insbesondere:

      – Beginn, Dauer und Ende einer Mobilität,

      – Angaben zur Heimatinstitution,

      – Angaben zur Gastinstitution,

      – Angaben zur Art-89-Mittel" (§ 2b Z 2 FOG) sowie

      – Angaben zur inhaltlichen Einordnung der Mobilität sowie des geförderten Vorhabens und

–      Angaben zur Kooperation.

Unter Angaben zur Mobilität sind insbesondere zu verstehen:

–      Art 89-Mittel-ID (Geschäftszahl o.ä.),

–      Name des Förderprogrammes,

–      geplante Stipendien-/ Art 89-Mittel-Laufzeit,

–      Art des beantragten Vorhabens (Studium, Forschungsprojekt, …),

–      Art des tatsächlich geförderten Vorhabens,

–      Zuordnung der Art-89-Mittel (§ 2b Z 2 FOG) zu Fachbereichen,

–      Zuordnung der Art-89-Mittel (§ 2b Z 2 FOG) zu Wissenschaftsdisziplinen,

–      Zuordnung der Art-89-Mittel (§ 2b Z 2 FOG) zu Studienrichtungen,

–      Bericht über gefördertes Vorhaben,

–      Beschreibung des geförderten Vorhabens,

–      Kurzbezeichnung des geförderten Vorhabens bzw. Projekttitel,

–      Bezeichnung des geförderten Vorhabens,

–      Laufzeit des geförderten Vorhabens,

–      Dauer des geförderten Vorhabens (Tage, Monate),

–      Angaben zu Förderhöhen (Betrag bewilligt, Betrag ausbezahlt, Projektvolumen),

–      Heimatinstitution, Arbeitgeber im Heimatland (soweit für Bewerbung und Auswahl erforderlich),

–      Gastinstitution: Land, Bundesland, Stadt, Institutionsart,

–      Unternehmensgröße (Erasmus+),

–      Unternehmenssektor (Erasmus+),

–      Betreuer/in in Österreich,

–      Teilnehmer/in mit Benachteiligung (gemäß Definition in Erasmus+ Programmführer)

–      Benachteiligungsart (Nur ja/nein-Angabe),

–      Studienrichtung,

–      Fachbereich,

–      Wissenschaftsdisziplin,

–      Förderstatus,

–      Mobilitätsart (incoming/outgoing),

–      Kooperationskategorie,

–      Antragsart (Erstantrag, Verlängerung),

–      Lernmobilität nach Europäischen Kriterien (ja, nein),

–      Mobilitätskategorie,

–      Arbeitsbereich,

–      Bildungsbereich,

–      Fortbildungstyp,

–      Bildungsebene,

–      Null-Förderung (Erasmus+, ja/nein),

–      Studienaufenthalt mit Praktikum (Erasmus+, ja/nein),

–      eingeladener Firmenangehöriger (Erasmus+, ja/nein),

–      Herkunft Fördergelder,

–      Studienort,

–      Kalenderjahr(e) des Vorhabens/der Art-89-Mittel (§ 2b Z 2 FOG),

–      Studienjahr(e) des Vorhabens/der Art-89-Mittel (§ 2b Z 2 FOG) (Sommer- /Wintersemester,

–      Geschäftsjahr(e) des Vorhabens/der Art-89-Mittel (§ 2b Z 2 FOG) sowie

–      Budgetjahr(e) des Vorhabens/der Art-89-Mittel (§ 2b Z 2 FOG).

Gemäß § 10a Abs. 6 OeADG dürfen personenbezogene Berichte über Mobilitäten von:

–      der Bundesministerin oder dem Bundesminister für Bildung Wissenschaft und Forschung und

–      den Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß § 10 Abs. 8 OeADG verfügen, hinsichtlich ihrer Personen, die an einem Mobilitätsprogramm teilnehmen

abgefragt werden.

Gemäß § 10a Abs. 7 OeADG dürfen nichtpersonenbezogene Berichte über Kooperationen von:

–      der Bundesministerin oder dem Bundesminister für Bildung Wissenschaft und Forschung und

–      den Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß § 10 Abs. 8 OeADG verfügen

abfragt werden.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

§ 10a OeADG orientiert sich an Regelungen, die der Kontrolle über den Einsatz öffentlicher Mittel z.B. durch die Einräumung von Informations- und Auskunftsrechten dienen, wie etwa:

–      § 16 Abs. 2 und § 30 Abs. 2 des Hochschul- Qualitätssicherungsgesetzes,

–      § 10 Abs. 2 OeADG,

–      § 9 Abs. 2 des Forschungsförderungsgesellschaftsgesetzes (FFGG) und

–      § 3a Abs. 1 FTFG.

Die Verarbeitung erfolgt der Schaffung einer einheitlichen Datenbasis über Mobilitäten gemäß § 2b Z 7 FOG. Darin wird Mobilität als ein Wechsel des Ausbildungs- bzw. des Arbeitsortes von bestimmten Personen zu Zwecken von Bildung, Wissenschaft und Forschung definiert. Folgende Personen fallen unter die Begriffsbestimmung:

–      Studierende,

–      Schülerinnen und Schüler,

–      Lehrlinge sowie

–      Personen, die sich im einem Arbeits- oder Auftragsverhältnis zu einer Fachhochschule, einer Pädagogischen Hochschule, dem Institut of Science and Technology – Austria, der Österreichischen Akademie für Wissenschaften, einer sonstigen außeruniversitären Forschungseinrichtung, einer Privatuniversität oder einer Universität befinden.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zum Zweck der evidenzbasierten Verwaltung im Bereich Bildung, Wissenschaft und Forschung, insbesondere um Planungs-, Strategie- und Controllingaufgaben im Zusammenhang mit (internationalen) Mobilitäten und Kooperationen wahrnehmen zu können.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerinnen und Empfänger der Daten sind die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung sowie Institutionen, die eine Vereinbarung gemäß § 10a Abs. 8 OeADG mit der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung abgeschlossen haben.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

§ 10a OeADG – wie auch die übrigen Bestimmungen des OeAD-Gesetzes – treffen zur Speicherdauer keine Aussage. Somit gilt gemäß § 1 Abs. 8 OeADG iVm § 2d Abs. 5 Abs. 6 FOG die unbeschränkte Speicherdauer.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 10a OeADG dürfen

–      die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung und

–      die Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß § 10a Abs. 8 OeADG verfügen,

Berichte über Mobilitäten und Kooperationen abfragen.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck wird in § 10a Abs. 1 OeADG festgelegt. Es soll eine Mobilitäts- und Kooperationsdatenbank „[…] zum Zweck der evidenzbasierten Verwaltung im Bereich Bildung, Wissenschaft und Forschung […]“ geschaffen werden. Dies soll gemäß § 10a Abs. 2 OeADG eine „[…] evidenzbasierte Wahrnehmung von Planungs-, Strategie- und Controllingaufgaben ermöglichen“.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 10a Abs. 1 OeADG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Schaffung der Mobilitäts- und Kooperationsdatenbank erforderlich ist.

Eine nähere Bestimmung des Zweckes ergibt sich aus

–      der abschließenden Auflistung der zu verarbeitenden Daten in § 10a Abs. 4 OeADG,

–      der Angabe des Zweckes in § 10a Abs. 1 OeADG und

–      der Konkretisierung des Zweckes in § 10a Abs. 2 OeADG.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 10a OeADG angegebene Zweck ist legitim, weil er von der Öffnungsklausel des Art. 6 Abs. 1 Buchstabe c („rechtliche Pflicht“) DSGVO gedeckt ist. Außerdem ist der Zweck auf gesetzlicher Ebene verankert, nämlich in § 10a OeADG und wäre zudem sogar hinsichtlich sensibler Daten durch Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) und Buchstabe j („Zwecke gemäß Art. 89 DSGVO“) DSGVO unionsrechtlich gedeckt.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Die Bedeutung des effizienten Einsatzes öffentlicher Mittel zeigt sich an zahlreichen Bestimmungen der Bundesverfassung. Demnach ermächtigen Art. 126b Abs. 5 B‑VG, Art. 127 Abs. 1 B‑VG und Art. 127a Abs. 1 B‑VG den Rechnungshof zur Prüfung des Bundes, der Länder und der Gemeinden. Kriterien im Rahmen der Prüfung sind die

–      Sparsamkeit,

–      Wirtschaftlichkeit und

–      Zweckmäßigkeit.

Somit liegt der Zweck der zentralen Mobilitäts- und Kooperationsdatenbank sogar im wichtigen, öffentlichen Interesse.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“) iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g („erhebliches öffentliches Interesse“) und j („Zwecke gemäß Art. 89 DSGVO“) DSGVO, wonach die Verarbeitung aufgrund einer rechtlichen Verpflichtung bzw. eines erheblichen öffentlichen Interesses bzw. zur Förderung von Zwecken gemäß Art. 89 DSGVO erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Angemessenheit ergibt sich dadurch, dass

–      der Zweck der Verarbeitung im wichtigen, öffentlichen Interesse erfolgt,

–      jene Stellen, die Daten übermitteln müssen, in § 10a Abs. 5 OeADG abschließend auf bundesgesetzlicher Ebene festgelegt sind,

–      jene Stellen, die Berichte abfragen dürfen, in § 10a Abs. 6 und 7 OeADG abschließend auf bundesgesetzlicher Ebene festgelegt sind,

–      die Datenarten, die verarbeitet werden dürfen, in § 10a Abs. 4 OeADG auf bundesgesetzlicher Ebene festgelegt werden,

–      keine Veröffentlichung vorgesehen ist und

–      mit der OeAD-GmbH einer sehr bürgernahen Einrichtung die Wahrnehmung der Rechte der betroffenen Personen gemäß Kapitel III DSGVO übertragen wurde.

Mit § 10a OeADG wird eine Rechtsgrundlage geschaffen, damit die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung sowie Bildungseinrichtungen im weitesten Sinn, jene Daten zu Verfügung haben, die sie für die Erfüllung ihrer Planungs-, Strategie- und Controllingaufgaben benötigen. Dieses Ziel soll durch die Errichtung und den Betrieb einer zentralen Mobilitäts- und Kooperationsdatenbank erreicht werden. Die Datenbank ist eine Serviceleistung, insbesondere für die zuvor genannten Bildungseinrichtungen im weitesten Sinn. Die Betrauung der OeAD-GmbH als Auftragsverarbeiterin ist angemessen, weil sie im entsprechenden Bereich über viel Erfahrung verfügt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, weil es einerseits zu Effizienzsteigerungen im öffentlichen Bereich und andererseits zu einer Verstärkung der internationalen Zusammenarbeit kommen soll.

Wie wichtig es ist, dies zu erreichen, zeigt die Entwicklung des öffentlichen Schuldenstandes in Österreich (https://www.statistik.at/web_de/statistiken/wirtschaft

/oeffentliche_finanzen_und_steuern/maastricht-indikatoren

/oeffentlicher_schuldenstand/index.html [24.01.2018]). Dieser hat sich seit dem Jahr 2000 in absoluten Zahlen fast verdoppelt. Österreich hatte im Jahr 2016 eine Staatsverschuldung in Höhe von 83,6 Prozent des Bruttoinlandsprodukts (BIP), während Deutschland eine um 15 Prozent geringere Staatsverschuldung hatte. Um die Staatsverschuldung zu senken, ist es wichtig Effizienzsteigerungen in jeglichen Bereichen der öffentlichen Hand durchzuführen. Im Bundesfinanzrahmen ist vorgesehen, dass die Staatsverschuldung auf 74 Prozent des BIP sinken soll. Der gegenwärtige Stand der Staatsverschuldung spiegelt die gesamtstaatlichen Defizite der vergangenen Jahre wider (vgl. „Öffentliche Schulden“, 6 ff https://service.bmf.gv.at/Budget/Budgets

/2017/beilagen/Oeffentliche_Schulden_2017.pdf [24.01.2018]). Die Pro-Kopf-Verschuldung beträgt in Österreich 33.836,00 Euro – damit liegt Österreich weit über der durchschnittlichen Pro-Kopf-Verschuldung in der EU (vgl. https://news.wko.at/news/oesterreich/standort-check-oeffentliche-finanzen-2017.pdf, 3 ff). Aufgrund der hohen Staatsverschuldung zahlte Österreich im Jahr 2016 rund 2,1 Prozent des BIP an Zinsen, was einem Wert von rund 7,3 Mrd. Euro oder knapp dem jährlichen Bundespensionsbeitrag entspricht. Um unter die Maastricht-Grenze von 60 Prozent zu gelangen, müssen Maßnahmen, wie die vorgeschlagene, getroffen werden, damit es zu einem langfristigen Sinken der Schuldenquote kommen kann. Die Einführung einer Mobilitäts- und Kooperationsdatenbank kann einen Beitrag dazu leisten.

Durch die bessere Information über die aktuellen Mobilitäten und Kooperationen, kann besser auf geänderte Anforderungen reagiert werden und können somit die internationalen Kontakte im Bereich Wissenschaft und Forschung intensiviert werden.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, nur von der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung, die oder der gleichzeitig die oder der einzige Verantwortliche ist, und von den Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß § 10a Abs. 8 OeADG verfügen, verarbeitet werden dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer ist nicht möglich, ohne die Zweckerreichung zu gefährden, weil im Vorhinein nicht klar ist, zu welchem Zeitpunkt welche Daten benötigt werden.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die OeAD-GmbH ihre Prozesse so anpasst, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Ein Hinweis gemäß Art. 21 Abs. 4 DSGVO auf das Widerspruchsrecht hat nicht zu erfolgen, weil ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO nur besteht, wenn personenbezogene Daten aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DSGVO verarbeitet werden. Dies ist für die gegenständliche Verarbeitung nicht der Fall.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      Name und Kontaktdaten des Verantwortlichen: durch Veröffentlichung auf der Website der OeAD-GmbH;

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 10a OeAD-GmbH als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 10a OeADG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die OeAD-GmbH

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Zusätzlich zu den gemäß Art. 13 DSGVO erforderlichen Informationen verlangt Art. 14 DSGVO die folgenden Informationen, die wie folgt erbracht werden:

–      die Aufzählung der Kategorien personenbezogener Daten, die verarbeitet werden: durch Publikation der Aufzählung gemäß § 10a OeADG als Bundesgesetz im Bundesgesetzblatt sowie

–      der Datenquellen: durch Publikation des vorliegenden Entwurfes, insbesondere des § 10a OeADG als Bundesgesetz im Bundesgesetzblatt.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die OeAD-GmbH ihre Prozesse gegebenenfalls so anpasst, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Gemäß § 10a Abs. 2 OeADG bedient sich die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung ausschließlich der OeAD-GmbH als Auftragsverarbeiterin.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Gemäß § 10a Abs. 6 und 7 OeADG ist eine Übermittlung in Drittländer ausgeschlossen, weil sich weder die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung noch die gemäß § 10 Abs. 8 OeADG teilnehmenden Institutionen in Drittländern befinden.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für die Tätigkeit der OeAD-GmbH (im Auftrag der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung) nahezu ausgeschlossen, weil mit den Strafbestimmungen des 22. Abschnitts über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen, insbesondere dessen §§ 302 (Amtsmissbrauch) und 310 („Verletzung des Amtsgeheimnisses“) des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen (RIS-Justiz, RS0054100).

Überdies wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von der OeAD-GmbH einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Darüber hinaus wird die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird dadurch vermieden, dass Daten von den betroffenen Personen unabhängig davon, ob auf diese Personen bestimmte Merkmale zutreffen oder nicht, verarbeitet werden. Zudem gilt auch im Bereich der Privatwirtschaftsverwaltung der Gleichheitsgrundsatz (VfGH 28.09.2017, G 31/2017 bzw. RIS-Justiz RS0102013; RS0030349), der eine Diskriminierung der betroffenen Personen (siehe oben: Systematische Beschreibung / Umfang der Verarbeitung) verbietet.

Zudem wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Profiling und Identitätsdiebstahl, bieten.

Zusätzlich wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Profiling und Identitätsdiebstahl, bieten.

Darüber hinaus wird die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die Pseudonymisierung würde der Aufgabenerfüllung der OeAD-GmbH entgegenstehen, weil die Identifikation dann nur mehr auf elektronischem Wege, etwa durch einen elektronischen Identitätsnachweis gemäß § 2 Z 10 E-GovG, möglich wäre. Damit wären die wichtigsten Kommunikationswege zur OeAD-GmbH abgeschnitten und Personen, die nicht über einen elektronischen Identitätsnachweis verfügen, benachteiligt. Dieses Risiko kann sich – mangels durchführbarer Pseudonymisierung – nicht verwirklichen.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen, bieten.

Überdies wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dahingehend vorgesehen, als in § 10a Abs. 4 OeADG, die Datenarten, die verarbeitet werden dürfen, genau definiert werden. Zusätzlich werden die Abfrageberechtigten für personenbezogene Berichte über Mobilitäten und nichtpersonenbezogene Berichte über Kooperationen in § 10a Abs. 6 und Abs. 7 OeADG genau bestimmt.

Zudem erfolgt mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Eine Pseudonymisierung wird dahingehend durchgeführt, dass Berichte über Kooperationen nichtpersonenbezogen sind. Berichte über Mobilitäten sind, um eine optimale Wahrnehmung der Planungs-, Strategie- und Controllingaufgaben zu ermöglichen, personenbezogen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 10a Abs. 4 OeADG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei der Feststellung der Bedürftigkeit von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die OeAD-GmbH zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind sowohl von der Bundesministerin als auch dem Bundesminister für Bildung, Wissenschaft und Forschung sowie der OeAD-GmbH einzuhalten. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen. 

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.