SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Nach § 9 Abs. 3 FOG dürfen Verantwortliche Daten (§ 2 Z 4 FOG) und Forschungsmaterial (§ 2 Z 5 FOG), die als Grundlage wissenschaftlicher Arbeiten verarbeitet wurden („Rohdaten“), speichern und verarbeiten.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Verarbeitungen, die unter § 9 Abs. 3 FOG fallen, umfassen Daten im Sinne des § 2 Z 4 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es nicht. Der vorgeschlagene § 9 Abs. 3 FOG umfasst:

– in Z 1 eine Erlaubnis für die Speicherung und Verarbeitung von Rohdaten zum Nachweis der Einhaltung guter wissenschaftlicher Praxis und

– in Z 2 eine Ermächtigung zur Speicherung und Verarbeitung von Rohdaten zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Zwecke gemäß Art. 89 DSGVO. Mit dem vorgeschlagenen § 9 Abs. 3 FOG soll eine längere Speicherdauer sowie gegebenenfalls eine Rechtsgrundlage für die Verarbeitung der länger gespeicherten Rohdaten geschaffen werden. Da die grundlegenden Bestimmungen zum Schutz personenbezogener Daten anzuwenden sind (§ 5 Abs. 2 FOG), dürfen keine direkt personenbezogenen Daten als Ergebnis offengelegt werden. In Verbindung mit § 14 Abs. 2 Z 1 FOG, dass im Anwendungsbereich des vorliegenden Bundesgesetzes nur juristische Personen Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sein können, wird die „Institution“ zur Speicherung von Rohdaten verpflichtet.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung erfolgt zum Nachweis der Einhaltung guter wissenschaftlicher Praxis und zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen. (§ 9 Abs. 3 Z 1 und 2 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerinnen und Empfänger von Daten gemäß § 9 Abs. 3 Z 1 FOG sind insbesondere wissenschaftliche Fachzeitschriften, Ombudsstellen der Universitäten oder die Agentur für wissenschaftliche Integrität, denen die Daten auf Grund einer gesetzlichen oder vertraglichen Verpflichtung übermittelt wurden. In Verbindung mit § 13 FOG können auch internationale wissenschaftliche Fachzeitschriften Empfängerinnen und Empfänger sein. Empfänger der Rohdaten gemäß § 9 Abs. 3 Z 2 FOG sind Akteure, die im Zusammenhang mit der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen tätig werden. Der Abstraktionsgrad des § 9 Abs. 3 Z 2 FOG richtet sich nach Art. 9 Abs. 2 Buchstabe f DSGVO.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die allgemeine Regel des § 5 Abs. 6 FOG greift nicht, weil eine spezielle, abweichende Regelung in § 9 Abs. 3 FOG geschaffen wird. Die Speicherung ist für Daten gemäß § 9 Abs. 3 Z 1 FOG auf 10 Jahre und für Daten gemäß § 9 Abs. 3 Z 2 FOG auf bis zu 30 Jahre beschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 9 Abs. 3 FOG ist jede Form der Verarbeitung zulässig, solange diese gemäß § 9 Abs. 3 Z 1 FOG im Rahmen des Nachweises der Einhaltung guter wissenschaftlicher Praxis oder von Rechtssachen gemäß § 9 Abs. 3 Z 2 FOG erfolgt.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

§ 9 Abs. 3 FOG sieht die Speicherung und Verarbeitung von Rohdaten für

– Z 1: den Nachweis der Einhaltung guter wissenschaftlicher Praxis

   und

– Z 2: die Geltendmachung, Ausübung und Verteidigung von

   Rechtsansprüchen.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe der Zwecke in § 9 Abs. 3 FOG ist eindeutig. Dass eine Verarbeitung mehrere Zwecke verfolgt werden darf, ergibt sich bereits aus der Formulierung des Art. 5 Abs. 1 Buchstabe d DSGVO, wonach „personenbezogene Daten […] auf das für die Zwecke [Anm.: Plural!] der Verarbeitung notwendige Maß beschränkt sein“ müssen.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 9 Abs. 3 FOG angegebene Zweck ist legitim, weil er von der Öffnungsklausel des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO gedeckt ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses an Wissenschaft und Forschung erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten gibt es die Einschränkung, dass nur Daten und Forschungsmaterial, die als Grundlage wissenschaftlicher Arbeiten verarbeitet wurden gespeichert und gegebenenfalls verarbeitet werden dürfen. Die Speicherung nach § 9 Abs. 3 FOG stellt eine zusätzliche Rechtsgrundlage zu § 9 Abs. 1 FOG dar und ist insbesondere gedacht für die direkte Speicherung bei der Wissenschaftlerin oder dem Wissenschaftler. Die Speicherdauer ist auf 10 bzw. 30 Jahre beschränkt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die zugelassene Verarbeitung der Daten ist erheblich, da die rechtlichen Voraussetzungen dafür geschaffen werden müssen, dass Wissenschaftlerinnen oder Wissenschaftler sich freibeweisen oder ihre Reputation verteidigen können.

Wie wichtig diese Möglichkeit ist, stellt der Jahresbericht der Kommission für wissenschaftliche Integrität dar (http://www.oeawi.at/downloads/ Jahresbericht%202016_final.pdf; [31.01.2018]). Demnach hat die Kommission im Jahr 2016 14 Anfragen erhalten. Im Zuge dieser Anfragen werden Anschuldigungen geprüft. Durch Anschuldigungen können wissenschaftliche Karrieren zerstört werden, deswegen muss Wissenschaftlerinnen und Wissenschaftlern auch die Rechtssicherheit gegeben werden, dass sie die dafür erforderlichen Daten speicher dürfen. Das ist vor allem dann notwendig, wenn der Vorwurf ungerechtfertigt ist. Damit wird Rechtssicherheit für die Wissenschaftlerinnen und Wissenschaftler geschaffen.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist nur für Rohdaten zulässig. Die Beschränktheit ergibt sich auch aus der Tatsache, dass die Zwecke der Verarbeitung in § 9 Abs. 3 FOG abschließend definiert sind. Des Weiteren wird die Dauer, für die die Daten gespeichert und gegebenenfalls verarbeitet werden dürfen, mit 10 bzw. 30 Jahren limitiert.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Die zeitliche Beschränkung beträgt

– 10 Jahre (§ 9 Abs. 3 Z 1 FOG) oder

– 30 Jahre (§ 9 Abs. 3 Z 2 FOG).

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 9 Abs. 3 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 9 Abs. 3 FOG als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten des oder der Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls ihre Absicht die personenbezogenen Daten

   an ein Drittland oder eine internationale Organisation zu

   übermitteln sowie das Vorhandensein oder das Fehlen eines

   Angemessenheitsbeschlusses der Kommission,

– einen Hinweis auf das Bestehen eines Rechts auf

   – Auskunft (Art. 15 DSGVO),

   – Berichtigung (Art. 16 DSGVO),

   – Löschung (Art. 17 DSGVO),

   – Einschränkung (Art. 18 DSGVO) und

   – Beschwerde (Art. 77 DSGVO),

– einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

– gegebenenfalls das Bestehen einer automatisierten

   Entscheidungsfindung einschließlich Profiling gemäß Art. 22

   Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Wissenstransfers in Drittländer sind nach § 13 FOG zulässig, wobei die Garantie in § 12 Abs. 1 Z 1 FOG zu finden ist und vorsieht, dass „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei der Verarbeitung von Daten entsprechend § 5 Abs. 10 FOG minimal, insbesondere weil die wissenschaftlichen Einrichtungen im Zuge der Verarbeitung dafür zu sorgen haben, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Die Datensicherheitsmaßnahmen werden in Art. 32 DSGVO konkretisiert und sind von den wissenschaftlichen Einrichtungen einzuhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden jedenfalls ein.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den wissenschaftlichen Einrichtungen einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko bei der Verarbeitung im Zusammenhang mit der Markierung von Forschungsmaterial durch bereichsspezifische Personenkennzeichen ist minimal, insbesondere weil wissenschaftliche Einrichtungen im Zuge der (sonstigen) Verarbeitung dafür zu sorgen haben, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Auch müssen die wissenschaftlichen Einrichtungen die in Art. 32 DSGVO konkretisierten Datensicherheitsmaßnahmen einhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Damit wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen die unbefugte

   Aufhebung der Pseudonymisierung, bieten.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen Rufschädigung,

   bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen den Verlust der

   Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen den Verlust der

   Vertraulichkeit bei Berufsgeheimnissen, bieten.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten kann nicht vorgeschrieben werden, weil im Vorhinein nicht bekannt ist, welche Rohdaten benötigt werden.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt. Er besagt, dass „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 9 Abs. 3 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Wissenstransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Mit § 9 Abs. 3 FOG wird die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, wonach die Rechte der betroffenen Personen durch nationales Recht eingeschränkt werden dürfen, wenn dies eine notwendige und verhältnismäßige Maßnahme im wichtigen wirtschaftlichen Interesse eines Mitgliedstaates darstellt. Die Maßnahme ist erforderlich, weil die Einhaltung der angeführten Pflichten

– einerseits aufgrund der einzuhaltenden Voraussetzungen gemäß

   § 9 Abs. 3 FOG und

– andererseits aufgrund der Beschaffenheit der Technologie,

   insbesondere bei Anwendung von neuronalen Netzen,

ausgeschlossen ist. Würde die Möglichkeit zur Beschränkung gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht wahrgenommen, könnten sich Wissenschaftlerinnen und Wissenschaftler gegen Anschuldigungen nicht angemessen wehren können.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Wissenstransfers zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.