Anhang 19: Datenschutz-Folgenabschätzung zu § 12 Abs. 1 FOG

 

Nach Erwägungsgrund 92 und Art. 35 Abs. 10 DSGVO dürfen Datenschutz-Folgenabschätzungen auch auf abstrakter Ebene durchgeführt werden. Die folgende Datenschutz-Folgenabschätzung betrifft die Verarbeitung von Daten gemäß § 2 Z 4 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, im Zuge von Technologietransfers gemäß § 12 Abs. 1 FOG. Die Durchführung einer Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 1 DSGVO erforderlich, weil es potentiell auch zu einer (geographisch) umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten kommen kann.

 

 

 

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

 

Art der Verarbeitung:

(EG 90 DSGVO)

§ 12 Abs. 1 FOG stellt eine ausdrückliche Rechtsgrundlage für Verarbeitungen, insbesondere Übermittlungen, bei Technologietransfers dar. Mit der in diesem Entwurf vorgeschlagenen Rechtsgrundlage soll vermieden werden, dass Technologietransfers an datenschutzrechtlichen Vorgaben scheitern, obwohl die Übermittlung personenbezogener Daten eigentlich gar nicht beabsichtigt war, sondern bloß nicht vermeidbar (um die Funktionalität der zu transferierenden Technologie zu erhalten).

 

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

 

Umfang der Verarbeitung:

(EG 90 DSGVO)

Die von § 12 Abs. 1 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2 Z 4 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Durch den Verweis auf § 2 Z 4 FOG sind sowohl personenbezogene Daten iSd Art. 4 Nr. 1 DSGVO, als auch sonstige – nichtpersonenbezogene – Informationen umfasst.

 

Kontext der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21)

Die Verarbeitung erfolgt im Kontext des faktenbasierten Erkenntnisgewinns. Mit dem vorgeschlagenen § 12 Abs. 1 FOG soll Rechtssicherheit geschaffen werden, falls Technologien beispielsweise von wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) entwickelt worden sind und durch Unternehmen bzw. Einzelunternehmerinnen und -unternehmer zur Marktreife oder in den Markt gebracht werden sollen. Für den Fall, dass technologische Entwicklungen auf personenbezogenen Daten basieren, wie etwa bei Anwendungen der künstlichen Intelligenz, die mit personenbezogenen Daten trainiert wurden, darf aufgrund der vorgeschlagenen Bestimmung, dennoch ein Transfer erfolgen, auch wenn sonst keine Rechtsgrundlage, wie etwa eine Einwilligung (Art. 9 Abs. 2 Buchstabe a DSGVO) vorliegt. Vorbild für die vorgeschlagene Bestimmung ist § 50a Abs. 4 Z 3 DSG 2000 in der Fassung der Kundmachung, BGBl. I Nr. 132/2015, wonach die „bloße[…] Echtzeitwiedergabe [im Rahmen von Videoüberwachung, bei der personenbezogene Daten] also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt“ keine schutzwürdigen Geheimhaltungsinteressen im Sinne des § 1 DSG 2000 verletzt.

 

Zweck der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Die Verarbeitung der Daten ist grundsätzlich nicht beabsichtigt, weil bei Technologietransfers nicht die Offenlegung, insbesondere Übermittlung, personenbezogener Daten im Vordergrund steht, sondern der Transfer von technischem Wissen (§ 2 Z 13 FOG). Aufgrund der Bauweise bzw. Funktionalität der zu transferierenden Technologie kann es allerdings sein, dass Technologie und personenbezogene Daten nicht getrennt werden können, ohne die Funktionalität der zu transferierenden Technologie zu gefährden. Zweck der vorliegenden Bestimmung – und somit der umfassten Verarbeitungen – ist auch in diesen Fällen die Funktionalität uneingeschränkt beibehalten zu können, ohne eine Verletzung der Datenschutz-Grundverordnung zu riskieren.

 

Empfängerinnen und Empfänger:

(Art-29-Datenschutzgruppe, WP 248, 21)

Aus der Definition des Technologietransfers in § 2 Z 13 FOG ergibt sich, dass Empfängerinnen und Empfänger der gegenständlichen Verarbeitungen nur Unternehmen bzw.  Einzelunternehmerinnen und -unternehmer sein können, weil andernfalls kein Technologietransfer iSd § 2 Z 13 FOG vorliegt.

 

Speicherdauer:

(Art-29-Datenschutzgruppe, WP 248, 21)

Nach der allgemeinen Regel des § 5 Abs. 5 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für eine – potentielle – Verarbeitung personenbezogener Daten im Rahmen von Technologietransfers unbeschränkt.

 

Funktionelle Beschreibung der Verarbeitung:

(Art. 35 Abs. 7 Buchstabe a DSGVO)

Falls eine Verarbeitung – vorrangig wohl in der Form einer Übermittlung – erfolgt, geschieht sie durch die Weitergabe von Technologie. Voraussetzung für die Zulässigkeit des Technologietransfers ist, dass ohne die Verarbeitung der – potentiell – personenbezogenen Daten die Funktionalität der zu transferierenden Technologie nicht gewährleistet ist und durch Technikgestaltung (Art. 25 DSGVO) sichergestellt wird, dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis von den personenbezogenen Daten erlangen können. Dies kann beispielsweise durch eine Bauweise, bei der es keine oder nur eingeschränkte Schnittstellen, die keinen Zugriff auf die – potentiell – personenbezogenen Daten erlauben, erfolgen.

 

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

(Art-29-Datenschutzgruppe, WP 248, 21)

Die Technik ist ausreichend sicher gestaltet, wenn nur durch nichtordnungsgemäße Verwendung, wie etwa (teilweise) Zerstörung oder Hacking, die – potentiell – personenbezogenen Daten aus der zu transferierenden Technologie ausgelesen werden können.

Da

– Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch

   im Zuge von Gesetzgebungsverfahren zulässt und die konkret zu

   transferierende Technologie typischerweise nicht gesetzlich

   geregelt ist und

– eine Voraussetzung der Zulässigkeit des Technologietransfers die

   Einhaltung des Art. 25 DSGVO zur Technikgestaltung ist,

ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

 

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

(Art-29-Datenschutzgruppe, WP 248, 21)

 

 

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

 

Festgelegter Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Der verfolgte Zweck – das ist der Transfer von Technologie (arg: „im Rahmen von Technologietransfers“) – ist in § 12 Abs. 1 FOG festgelegt.

 

Eindeutiger Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Die Angabe des Zwecks in § 12 Abs. 1 FOG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies im Rahmen von Technologietransfers erforderlich ist, um die Funktionalität der zu transferierenden Technologie zu erhalten (§ 12 Abs. 1 Z 1 FOG).

 

Legitimer Zweck:

(Art. 5 Abs. 1 Buchstabe b DSGVO)

Der in § 12 Abs. 1 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

– des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

– des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches

   Interesse“) sowie

– des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt ist.

 

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Auf nationaler Ebene wurde ein wichtiges öffentliches Interesse, beispielsweise an dem Erfordernis der hauptberuflichen Tätigkeit von Berufsanwärtern bei Wirtschaftstreuhändern, erkannt (VfSlg. 12.164/1989). Das öffentliche Interesse war anscheinend so wichtig (bzw. erheblich – siehe Begründung: oben), dass es sogar einen Eingriff in die Erwerbsausübungsfreiheit durch Verpflichtung zur mehrjährigen, hauptberuflichen Praxis rechtfertigen konnte.

 

Rechtmäßigkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung für Zwecke des Technologietransfers aufgrund eines erheblichen öffentlichen Interesses erfolgt. Dieses erhebliche öffentliche Interesse besteht in dem Interesse an einer Verbesserung des Forschungs- und Wissenschaftsstandortes Österreich hinsichtlich der Effektivität der eingesetzten öffentlichen Mittel.

 

Angemessenheit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Allerdings sind die zwei in den Ziffern zu § 12 Abs. 1 FOG angeführten Voraussetzungen so hoch, dass die Angemessenheit der Verarbeitung jedenfalls gewährleistet ist. Die genannten Anforderungen sind:

1. die Erforderlichkeit der Verarbeitung sowie

2. die Sicherstellung, dass Dritte keine Kenntnis von den Daten erlangen dürfen. Damit ist das Grundrecht auf Datenschutz (§ 1 DSG 2000 bzw. Art. 8 EU-Grundrechte-Charta) eigentlich nicht berührt, wie der aktuelle § 50a Abs. 4 Z 3 DSG 2000 richtig festhält, weil (inhaltlich) gar keine Übermittlung und somit Verarbeitung stattfindet. Das Kriterium der Angemessenheit ist somit im höchsten Maße erfüllt.

 

Erheblichkeit der Verarbeitung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung der Daten ist erheblich, da Technologietransfers sonst u.U. unzulässig sind, weil keine klare bzw. gesicherte Rechtsgrundlage besteht (siehe näher dazu unten: Abhilfemaßnahmen / Minimierung der Verarbeitung personenbezogener Daten).

 

Beschränktheit der Verarbeitung auf das notwendige Maß:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die übermittelten Daten Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls zur Kenntnis gebracht werden dürfen (§ 12 Abs. 1 Z 2 FOG).

 

Speicherbegrenzung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)

Eine zeitliche Beschränkung der Speicherdauer ist nicht möglich, weil die erforderliche Speicherdauer von der „Lebensdauer“ der zu transferierenden Technologie abhängt und diese im Vorhinein völlig unbekannt ist.

 

Generelle Information der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Mit § 12 Abs. 2 FOG wird die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, wonach die Rechte der betroffenen Personen durch nationales Recht eingeschränkt werden dürfen, wenn dies eine notwendige und verhältnismäßige Maßnahme im wichtigen wirtschaftlichen Interesse eines Mitgliedstaates darstellt. Die Maßnahme ist erforderlich, weil die Einhaltung der angeführten Pflichten

– einerseits aufgrund der einzuhaltenden Voraussetzungen gemäß

   § 12 Abs. 1 Z 2 FOG, dass die Daten Dritten nicht zur Kenntnis

   gelangen dürfen, sowie

– andererseits aufgrund der Beschaffenheit der Technologie,

   insbesondere bei Anwendung von neuronalen Netzen,

ausgeschlossen ist. Würde die Möglichkeit zur Beschränkung gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht wahrgenommen, käme dies einem rechtlichen Ausschluss von Technologietransfers gleich, weil auf rechtlicher Ebene etwas verlangt würde, was auf faktischer Ebene nicht geleistet werden kann. Die vorgeschlagene Bestimmung wäre in diesem Fall sinnlos.

Die Beschränkung ist zudem verhältnismäßig in einer demokratischen Gesellschaft, weil § 12 Abs. 1 Z 2 FOG vorsieht, dass die Daten Dritten nicht zur Kenntnis gelangen dürfen.

Gemäß Art. 23 Abs. 2 DSGVO müssen nationale Bestimmungen, die die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch nehmen, zumindest folgende Angaben enthalten:

– die Zwecke der Verarbeitung oder die Verarbeitungskategorien, die

   durch die Wortfolge „im Rahmen von Technologietransfers“ in § 12

   Abs. 1 FOG erfolgt;

– die Kategorien personenbezogener Daten, die durch die Wortfolge

   „personenbezogener Daten“ in § 12 Abs. 1 FOG erfolgt;

– den Umfang der vorgenommenen Beschränkungen, der durch die

   Wortfolge „die Pflichten und Rechte gemäß den Art. 12 bis 22 und

   Art. 34 sowie Art. 5 DSGVO, insofern dessen Bestimmungen den

   in den Art. 12 bis 22 DSGVO vorgesehenen Rechten und Pflichten

   entsprechen“ in § 12 Abs. 2 FOG erfolgt;

– die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder

   unrechtmäßige Übermittlung, die durch die Wortfolge „wenn […]

   insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO

   sichergestellt ist, dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis

   der übermittelten Daten erlangen“ in § 12 Abs. 1 FOG erfolgt;

– die Angaben zu dem Verantwortlichen oder den Kategorien von

   Verantwortlichen, die durch die Wortfolge „im Rahmen von

   Technologietransfers“ in § 12 Abs. 1 FOG erfolgt, weil damit nur

   jene Verantwortliche gemeint sein können, die

   Technologietransfers durchführen;

– die jeweiligen Speicherfristen sowie die geltenden Garantien unter

   Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung

   oder der Verarbeitungskategorien, die durch die Wortfolge

   „unbeschränkt gespeichert und gegebenenfalls verarbeitet werden

   in § 5 Abs. 5 FOG erfolgt, wobei die Garantie in § 12 Abs. 1 Z 1

   FOG zu finden ist und vorsieht, dass „insbesondere durch

   Technikgestaltung gemäß Art. 25 DSGVO sichergestellt ist, dass

   Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten

   Daten erlangen“ können;

– die Risiken für die Rechte und Freiheiten der betroffenen Personen,

   die durch den Verweis in § 12 Abs. 2 FOG auf die Wortfolge

   „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO

   sichergestellt ist, dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis

   der übermittelten Daten erlangen“ in § 12 Abs. 1 Z 2 FOG erfolgt;

– das Recht der betroffenen Personen auf Unterrichtung über die

   Beschränkung, sofern dies nicht dem Zweck der Beschränkung

   abträglich ist, was durch die Publikation des § 12 Abs. 1 und 2 FOG

   im Bundesgesetzblatt erfolgt.

 

Information der betroffenen Personen bei Erhebung:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)

Die gemäß Art. 13 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Auskunftsrecht der betroffenen Personen:

(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Recht auf Datenübertragbarkeit:

(Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

 

Auftragsverarbeiterinnen und Auftragsverarbeiter:

(Art. 28 DSGVO)

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

 

Schutzmaßnahmen bei der Übermittlung in Drittländer:

(Kapitel V DSGVO)

Technologietransfers in Drittländer sind nach § 13 FOG zulässig, wobei die Garantie in § 12 Abs. 1 Z 1 FOG zu finden ist und vorsieht, dass „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

 

Vorherige Konsultation:

(Art. 36 und EG 96 DSGVO)

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

 

 

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

 

Physische, materielle oder immaterielle Schäden:

(EG 90 iVm 85 DSGVO)

Diese Risiken sind für die Technologietransfers vorhanden, aber eingeschränkt, weil die Voraussetzung für die Rechtmäßigkeit von Technologietransfers gemäß § 12 Abs. 1 Z 1 FOG vorsieht, dass „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

 

Verlust der Kontrolle über personenbezogene Daten:

(EG 90 iVm 85 DSGVO)

Diesem Risiko wird durch die Garantie in § 12 Abs. 1 Z 1 FOG Rechnung getragen, wonach „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO einzuhalten und deren Nichteinhaltung mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

 

Diskriminierung:

(EG 90 iVm 85 DSGVO)

Dieses Risiko ist für die Technologietransfers vorhanden, aber eingeschränkt, weil die Voraussetzung für die Rechtmäßigkeit von Technologietransfers gemäß § 12 Abs. 1 Z 1 FOG vorsieht, dass „insbesondere durch Technikgestaltung gemäß Art. 25 DSGVO sichergestellt [sein muss], dass Dritte (Art. 4 Nr. 10 DSGVO) keine Kenntnis der übermittelten Daten erlangen“ können.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO einzuhalten und deren Nichteinhaltung mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Damit wird die Wahrscheinlichkeit einer Diskriminierung effektiv gemindert.

 

Identitätsdiebstahl oder -betrug:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

Finanzielle Verluste:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

Unbefugte Aufhebung der Pseudonymisierung:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

Rufschädigung:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

(EG 90 iVm 85 DSGVO)

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung aufgrund des Art. 32 DSGVO iVm Art. 83 Abs. 4 Buchstabe a DSGVO minimiert, wonach die Missachtung von Datensicherheitsmaßnahmen mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist und Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte vorzusehen sind („organisatorische Maßnahmen, um […] die Vertraulichkeit, Integrität […] sicherzustellen“ – Art. 32 Abs. 1 DSGVO).

 

 

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

 

Minimierung der Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Eine Minimierung der Verarbeitung personenbezogener Daten kann nicht vorgeschrieben werden, weil im Vorhinein nicht bekannt ist, welche Daten überhaupt verarbeitet werden sollen. Aus diesem Grund wird in § 12 Abs. 1 Z 2 FOG vorgesehen, dass – potentielle – personenbezogene Daten Dritten nicht zur Kenntnis gelangen dürfen.

Eine Pflicht zur Minimierung der Verarbeitung personenbezogener Daten besteht aber für die Verarbeitung, die vor dem Technologietransfer durchgeführt wird.

 

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

(EG 28 und 78 DSGVO)

Die Pseudonymisierung der verarbeiteten personenbezogenen Daten kann nicht vorgeschrieben werden, weil im Vorhinein nicht bekannt ist, welche Daten verarbeitet werden sollen und welche Funktion die Verarbeitung erfüllen sollen. Aus diesem Grund wird in § 12 Abs. 1 Z 2 FOG vorgesehen, dass – potentielle – personenbezogene Daten Dritten nicht zur Kenntnis gelangen dürfen.

Auch wenn für den Transfer von Technologie keine Pflicht zur Pseudonymisierung vorgesehen ist, kommt die Pflicht gemäß § 12 Abs. 1 Z 2 FOG der Anonymisierung im Endeffekt sehr nahe.

 

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

(EG 78 DSGVO)

Durch die Publikation des § 12 Abs. 1 und 2 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Technologietransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

 

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

(EG 78 DSGVO)

Mit § 12 Abs. 2 FOG wird die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, wonach die Rechte der betroffenen Personen durch nationales Recht eingeschränkt werden dürfen, wenn dies eine notwendige und verhältnismäßige Maßnahme im wichtigen wirtschaftlichen Interesse eines Mitgliedstaates darstellt. Die Maßnahme ist erforderlich, weil die Einhaltung der angeführten Pflichten

– einerseits aufgrund der einzuhaltenden Voraussetzungen gemäß

   § 12 Abs. 1 Z 2 FOG, dass die Daten Dritten nicht zur Kenntnis

   gelangen dürfen, sowie

– andererseits aufgrund der Beschaffenheit der Technologie,

   insbesondere bei Anwendung von neuronalen Netzen,

ausgeschlossen ist. Würde die Möglichkeit zur Beschränkung gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht wahrgenommen, käme dies einem rechtlichen Ausschluss von Technologietransfers gleich, weil auf rechtlicher Ebene etwas verlangt würde, was auf faktischer Ebene nicht geleistet werden kann. Der vorgeschlagene § 12 Abs. 1 FOG wäre in diesem Fall sinnlos.

 

Datensicherheitsmaßnahmen:

(EG 78 und 83 DSGVO)

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert. Entsprechende Datensicherheitsmaßnahmen sind daher auch bei Technologietransfers zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

 

 

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

 

Stellungnahme der Datenschutzbehörde:

(Art. 36 Abs. 4 DSGVO)

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

 

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

(Art. 35 Abs. 2 DSGVO)

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

 

Stellungnahme betroffener Personen:

(Art. 35 Abs. 9 DSGVO)

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.