SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 23 Fachhochschul-Studiengesetzes (FHStG), BGBl. Nr. 340/1993, ist eine Berichtspflicht von den Erhaltern der Fachhochschul-Studiengänge an die Agentur für Qualitätssicherung und Akkreditierung Austria (AQ Austria) vorgesehen. Diese Übermittlungspflichten sind erforderlich, damit die AQ Austria ihre (folgenden) Aufgaben (§ 3 Abs. 3 des Hochschul-Qualitätssicherungsgesetz, BGBl. I Nr. 74/2011) erfüllen kann:

– Entwicklung und Durchführung externer

   Qualitätssicherungsverfahren, jedenfalls Audit- und

   Akkreditierungsverfahren, nach nationalen und internationalen

   Standards;

– Akkreditierung von hochschulischen Bildungseinrichtungen und

   Studien;

– Berichte an den Nationalrat im Wege der zuständigen

   Bundesministerin oder des zuständigen Bundesministers;

– Veröffentlichung der Ergebnisberichte der

   Qualitätssicherungsverfahren;

– kontinuierliche begleitende Aufsicht akkreditierter hochschulischer

   Bildungseinrichtungen und Studien hinsichtlich der

   Akkreditierungsvoraussetzungen;

– Aufgaben gemäß den Bestimmungen des FHStG und des PUG;

– Zertifizierung von Bildungseinrichtungen nach Audit;

– Durchführung von Studien und Systemanalysen, Evaluierungen und

   Projekten;

– Information und Beratung zu Fragen der Qualitätssicherung und

   Qualitätsentwicklung;

– Internationale Zusammenarbeit im Bereich der Qualitätssicherung.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

In Bezug auf die heranzuziehenden Daten ergibt sich der Verarbeitungsumfang aus der Fachhochschul-Jahresberichtsverordnung der AQ Austria vom 14.05.2013 (https://www.aq.ac.at/de/ueber-uns/dokumente-ueber-uns/FH-Jahresberichtsverordnung_14.06.2013.pdf?m=1446129127 [07.02.2018]), die folgenden Datenumfang vorsieht:

– Entwicklungskonzept (§ 6 Abs. 1 Z 1 leg. cit.);

– Studien und Lehre (§ 6 Abs. 1 Z 2 leg. cit.);

– Angewandte Forschung und Entwicklung (§ 6 Abs. 1 Z 3 leg. cit.);

– Finanzierung und Ressourcen (§ 6 Abs. 1 Z 4 leg. cit.);

– Nationale und internationale Kooperationen (§ 6 Abs. 1 Z 5 leg. cit.);

– Qualitätsmanagementsystem (§ 6 Abs. 1 Z 6 leg. cit.);

– Ziele und Profil der Institution (§ 6 Abs. 2 lit. a leg. cit.);

– Entwicklungsplan (§ 6 Abs. 2 lit. b leg. cit.);

– Organisation (§ 6 Abs. 2 lit. c leg. cit.);

– Studiengänge (§ 6 Abs. 2 lit. d leg. cit.).

Gemäß dem vorgeschlagenen § 23 Abs. 5 FHStG dürfen darüber hinaus:

– die AQ Austria,

– die zuständige Bundesministerin oder der zuständige

   Bundesminister und

– von diesen beauftrage Auftragsverarbeiterinnen und -verarbeiter

zur Erfüllung ihrer Aufgaben personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO von Studierenden und dem Personal der Erhalter von Fachhochschul-Studiengängen, verarbeiten.

Die Aufgabe der zuständigen Bundesministerin oder des zuständigen Bundesministers ist gemäß § 30 Abs. 1 HS-QSG insbesondere die Aufsicht über die AQ Austria.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Rahmen der Qualitätssicherung von Fachhochschulstudiengängen. Durch die Information der Entwicklungen der Prüfbereiche, soll der Agentur die Möglichkeit von Vergleichsprüfungen eingeräumt werden. Deshalb ist die AQ Austria ermächtigt, nach dem Zeitpunkt der Akkreditierung, die Bereitstellung von Informationen zu verlangen (ErläutRV 1222 d BlgNR 24. GP 35).

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Der Zweck der Regelung ist das Berichtswesen. Es soll Information über die laufende Entwicklung der Fachhochschule an die AQ-Austria übermittelt werden. Dadurch wird es der AQ Austria ermöglicht, ihren Aufgaben nachzukommen. Das Berichtswesen soll die systematische Entwicklung und Sicherung der Qualität der Leistungen der Hochschulen sicherstellen. Die vorliegende Regelung betrifft die externe Qualitätssicherung. Die Angaben der Informationen, die in § 23 Abs. 4 FHStG geregelt werden, dienen der Gewährleistung der Berechnung der Fördersummen und damit der Feststellung der Rechtmäßigkeit der Fördergebarung seitens des Bundes (ErläutRV 1222 d BlgNR 24. GP 35).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerinnen und Empfänger ergeben sich aus den Aufgaben der AQ Austria. Demnach sind diese:

– der Nationalrat im Wege der zuständigen Bundesministerin oder

   des zuständigen Bundesministers,

– die Öffentlichkeit und

– andere Bildungseinrichtungen im Rahmen der internationalen

   Zusammenarbeit im Bereich der Qualitätssicherung.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

In § 23 FHStG findet sich keine Regelung zur Speicherdauer, somit ist gemäß § 1 Abs. 2 FHStG iVm § 5 Abs. 6 FOG die Speicherdauer grundsätzlich nicht beschränkt. Jedoch müssen die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO eingehalten werden. Danach dürfen die Daten nur solange gespeichert werden, wie sie dem Zweck angemessen sind.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die verarbeiteten Daten der verschiedenen Prüfbereiche sind Voraussetzungen dafür, dass die Agentur für Qualitätssicherung und Akkreditierung Austria ihren Aufgaben nachkommen kann. Die Formen der Verarbeitung werden nicht eingeschränkt. Weitere Daten gemäß § 23 Abs. 4 FHStG sind zur Gewährleistung der Berechnung der Fördersummen notwendig.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Zwecke werden in § 23 FHStG festgelegt. Diese sind:

– gemäß § 23 Abs. 1 FHStG die Erfüllung der Aufgaben der Agentur

   für Qualitätssicherung und Akkreditierung Austria (AQ Austria),

– gemäß § 23 Abs. 2 FHStG die Erstellung eines Jahresberichtes

   durch die Erhalter,

– gemäß § 23 Abs. 3 FHStG Bereitstellung von Informationen für

   Veröffentlichungen und

– gemäß § 23 Abs. 4 FHStG Bereitstellung von Information zur

   Gewährleistung der Berechnung der Fördersumme.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe der Zwecke in § 23 FHStG ist eindeutig. Dass eine Verarbeitung mehrere Zwecke verfolgt werden darf, ergibt sich bereits aus der Formulierung des Art. 5 Abs. 1 Buchstabe d DSGVO, wonach „personenbezogene Daten […] auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung durch die Bestimmungen des Fachhochschul-Studiengesetz, insofern als

– die Zwecke in § 23 FHStG eindeutig und

– die Ziele und leitenden Grundsätze des Fachhochschul-

   Studiengesetzes in § 2 FHStG

angegeben sind.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die in § 23 FHStG angegebene Zwecke sind legitim, weil sie von den Öffnungsklauseln

– des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

– des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches

   Interesse“) sowie

– des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“)

   DSGVO

gedeckt sind.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG (DS-RL) sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Externe Audits durch die AQ Austria und damit die Möglichkeit einer Qualitätsverbesserung im Hochschulsektors sind nur dann möglich, wenn entsprechende Daten zur Verfügung stehen.

Dass die Qualitätssteigerung im Hochschulsektor ein besonders wichtiges Interesse darstellt, spiegelt sich nicht nur im Index der menschlichen Entwicklung der UNO wider (http://hdr.undp.org/en/content/human-development-index-hdi; [29.01.2018]). Demnach sind für die Entwicklung eines Landes drei Dimensionen entscheidend:

– langes und gesundes Leben („long and healthy life“)

– Wissen („Knowledge“) und

– ein angemessener Lebensstandard („a decent standard of living“).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Angemessenheit ergibt sich dadurch, dass nur jene Daten verwendet werden, die benötigt werden, um die angegebenen Zwecke zu erreichen. Die Verarbeitung ist, da die Bildung ein wichtiges öffentliches Interesse ist, von wesentlicher Bedeutung. Die Datenarten und die Speicherdauer sind grundsätzlich nicht beschränkt. Die Verarbeitung der Daten ist angemessen, weil der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. EG 39 DSGVO). Die Angemessenheit ergibt sich auch dadurch, dass gemäß Art. 25 DSGVO „der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ setzt, damit die Datenschutzgrundsätze gemäß Art. 5 DSGVO eingehalten werden. Beispielhaft wird in Art. 25 Abs. 1 DSGVO die Pseudonymisierung genannt. Werden solche Maßnahmen implementiert, ist die Verarbeitung der Daten als angemessen zu erachten.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verbesserung des Hochschulwesens für den Wohlstand entscheidend ist. Der Standortfaktor Wissen gewinnt zunehmend an Bedeutung. Bildung ist auch entscheidend für die Chancen am Arbeitsmarkt. Durch die im Rahmen dieser Studien erworbenen Abschlüsse, haben junge Menschen bessere Jobaussichten. Im Bericht Bildung in Zahlen 2015/2016 der Statistik Austria wird ausgeführt, dass für 25- bis 34-Jährige ohne weiterführenden Schulabschluss eine ca. sechs Mal höhere Wahrscheinlichkeit – im Vergleich zu Gleichaltrigen mit Hochschul- oder Akademieabschluss – besteht, arbeitslos zu sein (Statistik Austria, Bildung in Zahlen 2015/2016, 95; http://www.statistik.at/web_de/services/publikationen

/5/index.html?includePage=detailedView&section

Name=Bildung%2C+Kultur&pubId=462 [29.01.2018]).

Wie wichtig die Qualitätssteigerung im Bereich der Fachhochschule ist, zeigt auch die Entwicklung der ordentlichen Studierenden an Fachhochschulen. Waren es im Jahr 2000/2001 noch 11.743 Studierende an Fachhochschulen, betrug diese Zahl im Jahr 2016/2017 bereits 50.009 (vgl. https://www.statistik.at/web_de/ statistiken/menschen_und_gesellschaft/bildung_und_kultur/ formales_bildungswesen/universitaeten_studium/021633.html [29.01.2018]). Die Erheblichkeit der Verarbeitung ergibt sich auch dadurch, dass der Staat der tertiären Ausbildung immer mehr Mittel zur Verfügung stellt (vgl. Bildungsausgabenstatistik,

https://www.statistik.at/web_de/statistiken/menschen_und_ gesellschaft/bildung_und_kultur/formales_bildungswesen/ bildungsausgaben/081128.html [29.01.2018]).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das notwendige Maß beschränkt, weil die Daten nur im Rahmen der im Gesetz definierten Zwecke verarbeitet werden dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer wird in § 23 FHStG nicht vorgesehen. Eine zeitliche Beschränkung würde zu einer Verhinderung der langfristigen Vergleichbarkeit der jährlichen Berichte gemäß § 23 Abs. 2 FHStG führen. Der Speicherbegrenzung wirkt sich dadurch aus, dass die Daten nur für die Zweckerreichung verarbeitet werden. Sobald die Zweckerreichung nicht mehr gegeben ist, werden die Daten gelöscht.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die Erhalter von Fachhochschul-Studiengängen ihre Prozesse so anpassen, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– Name und Kontaktdaten des Verantwortlichen: durch

   Veröffentlichung z.B. auf der Website der AQ Austria (10.01.2018);

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 23 FHStG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des vorliegenden Entwurfes als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass die AQ Austria

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls ihre Absicht die personenbezogenen Daten

   an ein Drittland oder eine internationale Organisation zu

   übermitteln sowie das Vorhandensein oder das Fehlen eines

   Angemessenheitsbeschlusses der Kommission,

– einen Hinweis auf das Bestehen eines Rechts auf

   – Auskunft (Art. 15 DSGVO),

   – Berichtigung (Art. 16 DSGVO),

   – Löschung (Art. 17 DSGVO),

   – Einschränkung (Art. 18 DSGVO) und

   – Beschwerde (Art. 77 DSGVO),

– einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

– gegebenenfalls das Bestehen einer automatisierten

   Entscheidungsfindung einschließlich Profiling gemäß Art. 22

   Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Zusätzlich zu den gemäß Art. 13 DSGVO erforderlichen Informationen verlangt Art. 14 DSGVO die folgenden Informationen, die wie folgt erbracht werden:

– die Aufzählung der Kategorien personenbezogener Daten, die

   verarbeitet werden: durch Publikation des § 23 FHStG als

   Bundesgesetz im Bundesgesetzblatt sowie

– der Datenquellen: durch Publikation des vorliegenden Entwurfes,

   insbesondere des § 23 FHStG als Bundesgesetz im

   Bundesgesetzblatt.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die AQ Austria ihre Prozesse gegebenenfalls so anpasst, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 2 FHStG iVm den §§ 5 und 13 FOG grundsätzlich zulässig. Allerdings sind die Regelungen der §§ 5 ff FOG nur leges speciales gegenüber den allgemeinen Bestimmungen des DSG, sodass speziellere Bestimmungen, wie § 23 FHStG über das Berichtswesen, den §§ 5 ff FOG vorgehen. Gemäß § 23 FHStG ist eine Übermittlung in Drittländer zwar nicht ausgeschlossen, aber sehr restriktiv zu sehen und nur dann zulässig, wenn dies für die Erfüllung der Aufgaben gemäß § 3 Abs. 3 HS-QSG erforderlich ist.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des Berichtswesens der Erhalter von Fachhochschul-Studiengängen an die AQ Austria vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten.

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt.

Es sind insbesondere § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100).

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Verarbeitung für das Berichtswesen an die Agentur für Qualitätssicherung ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgend Maßnahmen verhindert werden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– der Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   einer Geldbuße bis zu 10 Millionen Euro in Art. 83 Abs. 4

   Buchstabe a DSGVO,

– § 7a Abs. 11 Bildungsdokumentationsgesetz: es sind entsprechende

   Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgender Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnisse wird durch untenstehende Maßnahmen gewährleistet:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind

   entsprechende Datensicherheitsmaßnahmen zu setzen und

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dadurch sichergestellt, dass die Daten nur für die Dauer der Erreichung des Zweckes verarbeitet werden. Wie lange das genau sein wird, kann im Vorhinein nicht gesagt werden.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Eine Pseudonymisierung ist in § 23 FHStG nicht vorgesehen. Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt. Er besagt, dass „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören [.]“ Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 23 FHStG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Zuge des Berichtswesens der Erhalter von Fachhochschul-Studiengängen an die AQ Austria von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die AQ Austria zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von der AQ Austria zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.