SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Die Art der Verarbeitung wird nicht eingeschränkt, solange Daten für Zwecke der Lehre verarbeitet werden. Insbesondere Verarbeitungen im Rahmen des Verfassens

– schriftlicher Seminar- und Prüfungsarbeiten

– von Bachelorarbeiten und

– wissenschaftlicher und künstlerischer Arbeiten

durch Studierende sind vom § 9 Abs. 5 FOG umfasst.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Verarbeitung, die durch § 9 Abs. 5 FOG legitimiert wird, umfasst grundsätzlich alle Daten gemäß § 2 Z 4 FOG. Da die vorgeschlagene Regelung auf der Öffnungsklausel gemäß Art. 9 Abs. 2 Buchstabe j DSGVO beruht, ist neben der Verarbeitung personenbezogener Daten auch die Verarbeitung sensibler Daten zulässig.

Voraussetzung der Verarbeitungen ist, dass

– die Verarbeitung für Zwecke der Lehre und

– keine Übermittlung an Empfängerinnen oder Empfänger zu anderen

   Zwecken als gemäß Art. 89 Abs. 1 DSGVO

erfolgt.

Hinsichtlich der betroffenen Personen bestehen keine Einschränkungen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Regelung schafft eine Rechtsgrundlage für Verarbeitungen im Kontext wissenschaftlicher und schriftlicher Arbeiten. Von der Regelung sind aber auch Beurteilungsunterlagen umfasst. Verpflichtende Veröffentlichungen ergeben sich u.a. aus § 19 des Fachhochschul-Studiengesetzes, § 49 des Hochschulgesetzes 2005, § 3 des Privatuniversitätengesetz oder § 86 des Universitätengesetzes zu verstehen.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt für Zwecke der Lehre.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerinnen und Empfänger der Daten werden nicht beschränkt, jedoch ist eine Übermittlung nur

– wegen Erfüllung gesetzlicher Verpflichtungen und

– zu Zwecken gemäß Art. 89 DSGVO

erlaubt.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Speicherdauer wird in § 5 Abs. 5 FOG angegeben. Diese Bestimmung besagt, dass personenbezogene Daten für Zwecke des 2. Abschnittes unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden. Da keine speziellere Regelung in § 9 Abs. 5 FOG getroffen wird, ist die Speicherdauer unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Gemäß § 9 Abs. 5 FOG dürfen Daten für Zwecke der Lehre verarbeitet werden. Davon umfasst ist auch die Verwendung von „Beurteilungsunterlagen“ wie sie in § 44 Hochschulgesetz 2005 oder in § 79 des Universitätengesetzes 2002 vorgeschrieben sind. Auch ermöglicht die Regelung die Verarbeitung von Daten im Zuge von Angaben auf Prüfungsbögen.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der verfolgte Zweck ist in § 9 Abs. 5 FOG festgelegt. Die Formulierung für „Zwecke der Lehre“ soll insbesondere Rechtssicherheit für Studierende im Bereich ihrer wissenschaftlichen und schriftlichen Arbeiten erzeugen.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 9 Abs. 5 FOG ist eindeutig: Die angeführten Daten dürfen nur verarbeitet werden, soweit die für Zwecke der Lehre erfolgt.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung mittels:

– einer Definition des Zwecks in § 9 Abs. 5 FOG und

– dem Ausschluss der Übermittlung zu anderen als den in Art. 89 Abs. 1

   DSGVO genannten Zwecken.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 9 Abs. 5 FOG angegebene Zweck ist legitim, weil er

– einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c

   („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe j

   („Wissenschaft und Forschung“) DSGVO umfasst ist und

– andererseits in § 9 Abs. 5 FOG vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung aufgrund einer rechtlichen Verpflichtung erfolgt. Siehe dazu näher: oben Bewertung / Legitimer Zweck.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die vorliegende Norm stellt einen Eingriff ins das Recht des Datenschutzes der betroffenen Person dar. Dies kann jedoch dann gerechtfertigt sein, sofern es zur Wahrung wichtiger öffentlicher Interessen passiert und gleichzeitig angemessene Garantien für den Schutz der betroffenen Person festgelegt werden (vgl. VfGH vom 08.10.2015, G 20/2015 ua). § 9 Abs. 5 FOG stellt eine Ermächtigung zur Verarbeitung von Daten nur im Rahmen der Lehre an wissenschaftlichen Einrichtungen dar.

Zur Begründung warum der Zweck legitim ist, darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Die Angemessenheit ergibt sich aus den angemessene Garantien, die für den Schutz der betroffenen Person festgelegt werden. In § 9 Abs. 5 FOG wird etwa vorgesehen, dass „keine Übermittlung an Empfängerinnen oder Empfänger zu anderen Zwecken als gemäß Art. 89 Abs. 1 DSGVO erfolgt“.

Aufgrund dieser Beschränkungen und Maßnahmen ist die Angemessenheit der Verarbeitung gegeben.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Regelung schafft Rechtssicherheit für Studierende. Die Erheblichkeit davon zeigt sich, dass sich die Studentenzahlen in den letzten 30 Jahren stetig erhöht haben. In den letzten 15 Jahren hat sich die Zahl der Studierenden um ca. 100.000 auf 280.783 Studierende erhöht (https://www.statistik.at/web_de/statistiken/ menschen_und_gesellschaft/bildung_und_kultur/formales_ bildungswesen/universitaeten_studium/021631.html; [02.02.2018]).

Der Zugang zu einer Hochschule ermöglicht bessere Chancen auf dem Arbeitsmarkt. Die Gefahr von Arbeitslosigkeit ist unter Akademiker und Akademikerinnen am geringsten. Demnach ist das Arbeitslosigkeitsrisikos eines Absolventen einer Universität/FH die geringste unter allen abgeschlossenen Ausbildungen. Die Arbeitslosenquote liegt bei Akademikerinnen bei 2,7 Prozent, während sie z.B. bei einer Lehrausbildung bei 6,5 Prozent liegt (vgl. http://www.ams.at/b_info/download/stunifhph.pdf, 39ff; [02.02.2018]).

Gemäß dem Bericht „Bildung in Zahlen 2015/2016“ der Statistik Austria (https://uniko.ac.at/modules/download.php?key=13584_ DE_O&cs=4BAE, 95; [24.01.2018]) haben 16,2 Prozent der 25- bis 64-jährigen einen Hochschul- oder Akademieabschluss. Personen mit einem Hochschul- oder Akademieabschluss haben ein, im Vergleich zum allgemeinen Medianeinkommen, um 34,5 Prozent höheres Einkommen (vgl. Bildung in Zahlen 2015/2016, 104 ff). Die Erheblichkeit zeigt sich auch an dem Faktum, dass in Österreich im internationalen Vergleich wenig Akademiker und Akademikerinnen hat. In Deutschland beläuft sich der Anteil, jener 25- bis 64-Jähriger, die zumindest einen Bachelorabschluss haben, auf 27 Prozent. In Österreich sind es 16 Prozent. Der OECD-Durchschnitt liegt bei 29 Prozent. Der EU22-Durchschnitt liegt bei 28 Prozent (vgl. OECD, Bildung auf einen Blick 59; [http://www.oecd-ilibrary.org/docserver/download/ 9617045e.pdf?expires= 1517563608&id=id&accname=guest &checksum=00D2BBB3583763 D12AE31AFA8A26A009, 59; [02.02.2018]). Diese Werte zeigen, dass Österreich starken Aufholbedarf hat.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das notwendige Maß beschränkt, weil sie nur für Zwecke der Lehre zugelassen werden. Es wird klargestellt, dass Übermittlungen nur – außer die Verarbeitung ist gesetzlich vorgesehen – zu Zwecken des Art. 89 Abs. 1 DSGVO erfolgen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Begrenzung der Speicherdauer ist nicht möglich, weil es die Zwecke der Lehre erfordern, die Daten lange aufzubewahren.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen ihre Prozesse so anpassen, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 9 Abs. 5 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 9 Abs. 5 iVm § 5 Abs. 6 FOG als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls ihre Absicht die personenbezogenen Daten

   an ein Drittland oder eine internationale Organisation zu

   übermitteln sowie das Vorhandensein oder das Fehlen eines

   Angemessenheitsbeschlusses der Kommission,

– einen Hinweis auf das Bestehen eines Rechts auf

   – Auskunft (Art. 15 DSGVO),

   – Berichtigung (Art. 16 DSGVO),

   – Löschung (Art. 17 DSGVO),

   – Einschränkung (Art. 18 DSGVO) und

   – Beschwerde (Art. 77 DSGVO),

– einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

– gegebenenfalls das Bestehen einer automatisierten

   Entscheidungsfindung einschließlich Profiling gemäß Art. 22

   Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlichen, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Übermittlungen an Drittländer sind nach § 13 FOG zulässig. Die Übermittlungen sind nur soweit zulässig, als sie der Erreichung des Verarbeitungszweckes dienen, was wohl selten der Fall sein wird. Kommt es zu einer Übermittlung, müssen die Voraussetzungen des § 9 Abs. 5 FOG eingehalten werden und gemäß Art. 25 DSGVO „geeignete technische und organisatorische“ getroffen werden, um „die Rechte der betroffenen Personen zu schützen.“

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde dieser die Möglichkeit gibt, sich im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes zu beteiligen, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des § 6 FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist – für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen sind – mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, Bestimmungen über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen vorgesehen, die wie § 302 (Amtsmissbrauch) oder § 310 („Verletzung des Amtsgeheimnisses“) Schäden vorbeugen (RIS-Justiz, RS0054100) und so für eine effektive Risikominimierung sorgen.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Diskriminierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Identitätsdiebstahls und -betrugs wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko finanzieller Verluste wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der unbefugten Aufhebung der Pseudonymisierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Rufschädigung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Verlusts der Vertraulichkeit bei Berufsgeheimnissen wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko erheblicher wirtschaftlicher und gesellschaftlicher Nachteile wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für wissenschaftliche Einrichtungen, die keine öffentlichen Stellen

   sind: Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für wissenschaftliche Einrichtungen, die öffentlichen Stellen sind:

   Insbesondere durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Die Minimierung der Verarbeitung personenbezogener Daten ergibt sich aus der Tatsache, dass nur Datenverarbeitungen im Rahmen der Lehre an wissenschaftlichen Einrichtungen durchgeführt werden dürfen.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt, wonach „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 9 Abs. 5 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Wissenstransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die wissenschaftlichen Einrichtungen zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Wissenstransfers zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.