SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 31 Abs. 1 TVG 2012 haben Behörden nichttechnische Projektzusammenfassungen von genehmigten Projekten und die entsprechenden Aktualisierungen online zu veröffentlichen (die Veröffentlichung sind aufrufbar unter: https://www.bmbwf.gv.at/forschung/national/forschungsrecht

/tierversuche/nichttechnische-projektzusammenfassungen-veroeffentlichung-gemaess-tierversuchsgesetz-2012/ [23.01.2018]). Die Projektzusammenfassungen werden von jenen, die Tiere in deren Projekte verwenden, in anonymisierter und nichttechnischer Form erstellt. Gemäß Art. 43 der Tierversuchs-Richtlinie (Richtlinie 2010/63/EU zum Schutz der für wissenschaftliche Zwecke verwendeten Tieren), der die unionsrechtliche Grundlage für § 31 TVG 2012 darstellt, dürfen Projektzusammenfassungen „keine Namen und Adressen des Verwenders und seines Personales beinhalten“. In den Veröffentlichungen dürfen demnach keine personenbezogenen Daten gemäß Art. 4 Nr. 1 der DSGVO enthalten sein.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 31 Abs. 2 TVG 2012 haben die Projektzusammenfassungen folgende Angaben zu enthalten:

–      Information über Projektziele, Schaden und Nutzen (Z 1 leg. cit.),

–      Zahl und Art der zu verwendenden Tiere (Z 1 leg. cit.),

–      Nachweis der Erfüllung der Anforderungen von Vermeidung, Verminderung und Verbesserung (Z 2 leg. cit.) und

–      die Information, ob ein Projekt einer rückblickenden Bewertung gemäß § 30 TVG 2012 unterliegt (Z 3 leg. cit.).

Gemäß § 2 Z 2 TVG 2012 dürfen im Anwendungsbereich des TVG 2012 Projektziele auch durch die Angabe eines Zwecks (§ 5 TVG 2012) beschrieben werden. Diese Zwecke können sein:

–      „Grundlagenforschung,

–      translationale oder angewandte Forschung zur Verhütung, Vorbeugung, Diagnose oder Behandlung von Krankheiten […] bei Menschen, Tieren oder Pflanzen oder Beurteilung […] physiologischer Zustände bei Menschen, Tieren oder Pflanzen oder Verbesserung des Wohlergehens der Tiere […],

–      Entwicklung und Herstellung sowie Qualitäts-, Wirksamkeits- und Unbedenklichkeitsprüfung von Arzneimitteln, Lebensmitteln, Futtermitteln und anderen Stoffen […],

–      Schutz der natürlichen Umwelt im Interesse der Gesundheit oder des Wohlergehens von Mensch oder Tier,

–      Forschung im Hinblick auf die Erhaltung der Arten oder

–      Ausbildung […] und

–      forensische Untersuchungen“.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Information der Öffentlichkeit. Dazu wird im Erwägungsgrund 41 der Tierversuchs-Richtlinie ausgeführt: „Es ist wichtig, dass objektive Informationen über Projekte, bei denen Versuchstiere verwendet werden, öffentlich zugänglich gemacht werden, um die Unterrichtung der Öffentlichkeit zu gewährleisten. […]“

Gemäß § 26 TVG 2012 dürfen Projekte nur mit vorheriger Genehmigung der zuständigen Behörden durchgeführt werden. Die Anträge auf Genehmigung haben gemäß § 26 Abs. 2 Z 5 TVG 2012 jedenfalls eine nichttechnische Projektzusammenfassung zu enthalten. Die Projektzusammenfassungen werden somit von den Antragsstellern verfasst und bei der zuständigen Behörde eingereicht. Diese sowie deren Aktualisierungen sind anschließend von der Behörde zu veröffentlichen. Wesentlich ist, dass der „Schutz der Rechte des geistigen Eigentums sowie vertraulicher Information“ zu beachten ist (§ 31 Abs. 1 TVG 2012). Die Behörde hat eine Abwägung durchzuführen, inwiefern, die Veröffentlichung dem Schutz vertraulicher Information entspricht. Es dürfen keine personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO veröffentlicht werden.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Veröffentlichung der Daten erfolgt zur Unterrichtung der Öffentlichkeit (vgl. Erwägungsgrund 41 der Tierversuchs-RL).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerin der Daten ist die Öffentlichkeit.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Speicherdauer der Veröffentlichungen wird nicht beschränkt. Alle wesentlichen Unterlagen für die Projektgenehmigung sind durch den Verwender mindestens drei Jahre aufzubewahren und der Behörde zur Verfügung zu stellen (§ 31 Abs. 3 TVG 2012). Unterlagen von Projekten, bei denen eine rückblickende Bewertung (§ 30 TVG 2012) notwendig ist, sind bis zum Abschluss der rückblickenden Bewertung aufzubewahren (§ 31 Abs. 3 TVG 2012).

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 31 TVG 2012 ist eine Veröffentlichung zulässig, solange dem Schutz der Rechte des geistigen Eigentums sowie vertraulicher Informationen entsprochen wird. Die Behörde hat dies zu beurteilen. Es dürfen keine Projektzusammenfassungen veröffentlicht werden, die personenbezogene Daten (Art. 4 Nr. 1 DSGVO) enthalten. Es muss sichergestellt werden, dass die Daten natürlicher Personen geschützt werden, weil Tierversuche in der Gesellschaft teilweise als sehr negativ wahrgenommen werden und die in Zusammenhang mit der Durchführung oder Genehmigung von Tierversuchen genannten natürlichen Personen einem nicht zu unterschätzenden, persönlichen Risiko ausgesetzt sind.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck der Verarbeitung liegt gemäß § 31 Abs. 1 TVG 2012 in der Veröffentlichung der nichttechnischen Projektzusammenfassung durch die zuständigen Behörden. Dies soll sicherstellen, dass über jene Projekte, die Tierversuche durchführen, objektive Informationen öffentlich zugänglich gemacht werden (vgl. Erwägungsgrund 41 der Tierversuchs-RL).

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 31 Abs. 1 TVG 2012 ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Information der Öffentlichkeit (siehe Überschrift zu § 31 TVG 2012 bzw. Erwägungsgrund 41 der Tierversuchs-RL) erforderlich ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 31 Abs. 1 TVG 2012 angegebene Zweck ist legitim, weil er

–      einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) DSGVO umfasst ist und

–      andererseits in § 31 Abs. 1 TVG 2012 vorgesehen ist.

Die besondere Bedeutung der Information für die Öffentlichkeit zeigt sich darin, dass in Erwägungsgrund 41 der Tierversuchs-Richtlinie die Wichtigkeit der Berichterstattung hervorgehoben wird. Es sollen objektive Informationen über Projekte, bei denen Tierversuche durchgeführt werden, öffentlich zugänglich gemacht werden, um eine Unterrichtung der Öffentlichkeit zu gewährleisten.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Die Daten sind dem Zweck angemessen, weil in § 31 Abs. 1 TVG 2012 entsprechende Vorkehrungen getroffen werden:

–      Schutz der Rechte des geistigen Eigentums und vertraulicher Information und

–      Veröffentlichung nur in anonymisierter Form und

–      klare Bestimmung des Zweckes und

–      keine Übermittlung personenbezogener Daten an Dritte.

Durch § 31 TVG 2012 wird eine rechtliche Grundlage geschaffen, damit Behörden nichttechnische Projektzusammenfassungen veröffentlichen können. Unter Wahrung der entsprechenden Recht der betroffenen Personen, haben Behörden eine gesetzliche Verpflichtung, die Berichte zu veröffentlichen. Dabei hat die Behörde immer eine Interessenabwägung vorzunehmen. Dies ergibt sich aus den vorgegebenen Schutzmaßnahmen des § 31 Abs. 1 TVG 2012. Dem Recht auf Information der Öffentlichkeit ist das Recht der betroffenen Person gegenüberzustellen. Eine Veröffentlichung hat dann zu unterbleiben, wenn der Schutz der Rechte des geistigen Eigentums und vertraulicher Information nicht mehr gewährleistet werden kann. Da eine Behörde diese Interessenabwägung vor jeder Veröffentlichung durchzuführen hat, erfolgt die Verarbeitung der Daten auf eine angemessene Art und Weise. Mit dieser Interessenabwägung soll die Behörde verhindern, dass es zu einer Beeinträchtigung der Wissenschaft kommt, wie dies in der Vergangenheit schon stattgefunden hat: Am Tübinger Max-Planck-Institut stellten Wissenschaftler ihre Forschungen aufgrund öffentlicher Anfeindungen und Portesten ein. Bei diesem Experiment handelte es sich um Grundlagenforschung, die die Krebstherapie revolutioniert hätte. (http://www.zeit.de/wissen/2017-04/tierversuche-max-planck-institut-tuebingen-affen [24.01.2018]). Deshalb ist es von entscheidender Bedeutung, dass die Veröffentlichung nichttechnischer Projektzusammenfassungen nur dann erfolgen darf, wenn eine Anonymisierung (EG 41 TV-RL bzw. EG 26 DSGVO) der Forscherin oder des Forschers möglich ist.

Dass die Veröffentlichung unter Gewährleistung der Rechte der betroffenen Person angemessen ist, ergibt sich auch aus Art. 13 AEUV, nachdem „den Erfordernissen des Wohlergehens der Tiere als fühlende Wesen in vollem Umfang“ Rechnung getragen werden soll. Dies kann u.a. dann gewährleistet werden, wenn die Öffentlichkeit von Projekten mit Tierversuchen Kenntnis hat.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Veröffentlichung nichttechnischer Projektzusammenfassungen eine Unterrichtung der Öffentlichkeit – und somit in weiterer Folge eine erhöhte Bewusstseinsbildung iZm Tierversuchen – ermöglicht.

Die Veröffentlichung des Zweckes dient dazu, jeder Person die Möglichkeit zu geben, nachzuvollziehen, wozu Tierversuche durchgeführt werden. Zum Beispiel sind Zebrafischlarven besonders gut für die Krebsforschung geeignet. An ihnen kann gezeigt werden, wie Krebs entsteht und welche Medikamente gegen den Krebs wirksam sind (https://derstandard.at/2000071825461/Exotische-Larven-fuer-die-Krebsforschung [24.01.2018]). Die Bedeutung der Verarbeitung zeigt sich insbesondere darin, dass durch die Veröffentlichung Transparenz geschaffen wird. Dank der Berichte ist nachvollziehbar, ob bzw. wie dem „3R“-Prinzip entsprochen wird. Dieses Prinzip, dass zum ersten Mal im Buch „The Principles of Humance Experimental Technique“ von Russell und Burch vorgeschlagen wurde, besagt, dass drei wesentliche Grundsätze im Rahmen von Tierversuchen einzuhalten sind:

–      Vermeidung von Tierversuchen,

–      Verringerung der Versuchstierzahlen und

–      Verbesserung der Versuchsstrategien.

Dieses Prinzip bildet auch die Grundlage der Tierversuchs-Richtlinie und wurde durch den österreichischen Gesetzgeber im § 1 Abs. 3 TVG 2012 an zentraler Stelle übernommen.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 31 Abs. 1 TVG 2012).

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Die Speicherdauer der Berichte wird nicht beschränkt. Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO ist zu statistischen Zwecken auch eine Speicherung über die Dauer des Zweckes der Datenverarbeitung hinaus möglich. Des Weiteren werden Daten nur in anonymisierter Form veröffentlicht und gespeichert.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nicht besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die zuständigen Behörden ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 31 TVG 2012 als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 31 TVG 2012 als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten der oder des Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheits- beschlusses der Kommission,

–      ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte der betroffenen Personen,

–      ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77 DSGVO),

–      gegebenenfalls Informationen über das Bestehen einer

         automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Information der betroffenen Personen bei Erhebung.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die in § 31 TVG 2012 genannten Behörden ihre Prozesse so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 4 TVG 2012 iVm § 38a FOG grundsätzlich zulässig, allerdings nur an die in § 2j FOG genannten Empfängerinnen und Empfänger, d.h.:

–      wissenschaftliche Einrichtungen (§ 2b Z 12),

–      Art 89-Förder- und Zuwendungsstellen (§ 2b Z 1),

–      Gutachterinnen und Gutachter oder

–      österreichische öffentliche Stellen (§ 2b Z 8).

Von der Systematik des Tierversuchsgesetzes 2012 ist aber eine Übermittlung an andere Behörden in der Europäischen Union nicht erforderlich, weil die zuständige Behörde (§ 2 Z 8 TVG 2012) sowieso über alle erforderlichen Unterlagen, insbesondere gemäß § 26 TVG 2012 verfügt. Dies gilt noch vielmehr für die Übermittlung in Drittländer.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei der Verarbeitung von nichttechnischen Projektzusammenfassungen entsprechend § 31 TVG 2012 minimal, insbesondere weil die Behörde im Zuge der Veröffentlichung nichttechnischer Projektzusammenfassungen sicherstellt, dass diese gemäß Art. 43 Abs. 1 letzter Satz Tierversuchs-Richtlinie nur dann veröffentlicht werden, wenn sie anonym sind und „[…] keine Namen und Adressen des Verwenders und seines Personals […]“ beinhalten. Die Daten dürfen nur veröffentlicht werden, wenn eine Anonymisierung (EG 41 TV-RL bzw. EG 26 DSGVO) möglich ist. Zusätzlich hat die Behörde im Zuge der Verarbeitung dafür zu sorgen, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Die Datensicherheitsmaßnahmen werden in Art. 32 DSGVO konkretisiert und sind von den Behörden einzuhalten. Außerdem treffen die Strafbestimmungen des 22. Abschnitts über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen, insbesondere dessen §§ 302 (Amtsmissbrauch) und 310 („Verletzung des Amtsgeheimnisses“) des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung und somit das Entstehen von physischen, materiellen oder immateriellen Schäden (RIS-Justiz, RS0054100).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden darüber hinaus wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den zuständigen Behörden einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten zudem wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko bei der Verarbeitung von nichttechnischen Projektzusammenfassungen entsprechend § 31 TVG 2012 ist minimal, insbesondere weil die zuständige Behörde im Zuge der Veröffentlichung nichttechnischer Projektzusammenfassungen sicherstellt, dass diese gemäß Art. 43 Abs. 1 letzter Satz der Tierversuchs-Richtlinie nur dann veröffentlicht werden, wenn sie anonym sind und „[…] keine Namen und Adressen des Verwenders und seines Personals […]“ beinhalten. Die Daten dürfen nur veröffentlicht werden, wenn eine Anonymisierung (EG 41 TV-RL bzw. EG 26 DSGVO) möglich ist. Zusätzlich hat die Behörde im Zuge der (sonstigen) Verarbeitung dafür zu sorgen, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Auch müssen die zuständigen Behörden die in Art. 32 DSGVO konkretisierten Datensicherheitsmaßnahmen einhalten und dürfen natürliche Personen – gemäß Art. 7 B‑VG – nicht diskriminieren. Damit wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung darüber hinaus erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls oder -betruges darüber hinaus wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden) effektiv gemindert. Außerdem werden keine Finanzdaten verarbeitet, womit die Wahrscheinlichkeit für den Eintritt dieses Risikos sehr gering ist.

Unabhängig davon wird das Risiko finanzieller Verluste durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG zusätzlich wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen die unbefugte Aufhebung der Pseudonymisierung, bieten.

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung darüber hinaus wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen den Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen erhebliche wirtschaftliche oder gesellschaftliche Nachteile, bieten.

Durch den vorliegenden Entwurf wird zudem auch der Datenschutz hinsichtlich der in der Tierversuchskommission des Bundes durchgeführten Beratungen (vgl. Änderung zu § 35 Abs. 4 TVG 2012) verbessert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile zudem wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten ist dahingehend vorgesehen, als die nichttechnischen Projektzusammenfassungen gemäß § 31 Abs. 1 TVG 2012 keine personenbezogenen Daten enthalten dürfen.

Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt schließlich eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Nichttechnische Projektzusammenfassungen dürfen nicht nur pseudonymisiert sein, sondern müssen sogar anonymisiert werden (EG 41 TV-RL bzw. EG 26 DSGVO).

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die – bereits erfolgte – Publikation des § 31 TVG 2012 als Bundesgesetz im Bundesgesetzblatt (BGBl. I Nr. 114/2012) sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses (vgl. ErläutRV 2016 d BlgNR 24. GP) können die Hintergründe für die zulässige (behördeninterne) Verarbeitung personenbezogener Daten sowie die anonymisierte Veröffentlichung von der interessierten Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die zuständigen Behörden zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von der Ombudsstelle zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.