SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 14 Abs. 3 FOG dürfen wissenschaftliche Einrichtungen (§ 2 Z 14 des Forschungsorganisationsgesetzes [FOG], BGBl. Nr. 341/1981) zur Identifikation von Arbeitnehmerinnen und Arbeitnehmern bereichsspezifische Personenkennzeichen Personalverwaltung (bPK-PV) verwenden. Diese dürfen sie von der Stammzahlenregisterbehörde verlangen. Im Rahmen der Identifikation können sämtliche personenbezogene Daten verarbeitet werden. Durch die Ausstattung mit bPK wird das Ergebnis der Verarbeitung indirekt personenbezogen.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 14 Abs. 3 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2 Z 4 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Der Kreis der betroffenen Personen ist auf die Arbeitnehmerinnen und Arbeitnehmer beschränkt. Der vorgeschlagene § 14 Abs. 3 FOG umfasst ein Recht auf Ausstattung bestehender (direkt personenbezogener Daten) mit bereichsspezifischen Personenkennzeichen (§ 9 E-GovG).

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Mit dem vorgeschlagenen § 14 Abs. 3 FOG soll eine Rechtsgrundlage für die Ausstattung von Daten (§ 2 Z 4 FOG) wissenschaftlicher Einrichtungen (§ 2 Z 14 FOG), die auch Verantwortliche des privaten Bereichs (§ 26 Abs. 4 DSG) sein können, im Rahmen der Identifikation von Angestellten geschaffen werden. Damit wird das bPK-System für die Identifikation von Angestellten in wissenschaftlichen Einrichtungen angewendet, was einer allgemeinen Lösung für wissenschaftliche Einrichtungen entspricht, um den Datenschutz zu wahren. § 108 Abs. 5 UG dient als Vorbild für die vorgeschlagene Bestimmung.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Identifikation von Arbeitnehmerinnen und Arbeitnehmern (vgl. § 14 Abs. 3 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Wissenschaftliche Einrichtungen (§ 2 Z 14 FOG) sind Empfängerinnen der Daten.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Nach der allgemeinen Regel des § 5 Abs. 6 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, ist auch die Speicherdauer für die von § 14 Abs. 3 FOG umfassten Daten unbeschränkt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 14 Abs. 3 FOG ist jede Form der Verarbeitung zulässig, solange bereichsspezifische Personenkennzeichen verwendet werden.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

§ 14 Abs. 3 FOG sieht vor, dass die Verarbeitung zur Identifikation von Arbeitnehmerinnen und Arbeitnehmern erfolgt.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 14 Abs. 3 FOG ist eindeutig: Die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Identifikation von Arbeitnehmerinnen und Arbeitnehmern notwendig ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 14 Abs. 3 FOG angegebene Zweck ist legitim, weil er

– einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c

    („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe j

   („Wissenschaft und Forschung“) DSGVO umfasst ist und

– andererseits in § 14 Abs. 3 FOG vorgesehen ist.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe e iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Mit § 14 Abs. 3 FOG wird wissenschaftlichen Einrichtungen das Recht zugestanden, eine Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Personalverwaltung“ zu verlangen. Damit wird die rechtliche Grundlage dafür geschaffen, dass wissenschaftliche Einrichtung die „Pseudonymisierung [anwenden, weil] es möglich ist, diese Zwecke [Anm.: des Art. 89 DSGVO] auf diese Weise zu erfüllen“ (Art 89 Abs. 1 DSGVO).

Damit ist das Grundrecht auf Datenschutz (§ 1 DSG 2000 bzw. Art. 8 EU-Grundrechte-Charta) aktuell nicht berührt, wie § 8 Abs. 2 und § 9 Z 2 DSG 2000 bestimmen. Durch die Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO, die indirekt personenbezogenen Daten ausdrücklich mitumfasst, und das Fehlen einer DSGVO-Regelung, die § 8 Abs. 2 oder § 9 Z 2 DSG 2000 entspricht, kommt es zu einer Verschärfung der Rechtslage. An der Gefährlichkeit, die mit der Verarbeitung indirekt personenbezogener Daten einhergeht, ändert sich nichts, da es sich bei der Beurteilung des damit verbundenen Risikos um eine faktische Frage handelt. Auf faktischer Ebene tritt am 25. Mai 2018 keine (sprunghafte) Änderung ein. Diese findet bloß auf rechtlicher Ebene statt. Wenn aber sich die faktische Gefährlichkeit nicht geändert hat, kann auch nach Verschärfung der Rechtslage (am 25. Mai 2018), die Verarbeitung indirekt personenbezogener Daten nicht unangemessen sein, außer es gäbe Regelungen, die Argumente für die Unangemessenheit lieferten oder diese sogar ausdrücklich vorsähen. Das Gegenteil ist der Fall: EG 28 und 156, Art. 6 Abs. 4 Buchstabe d, Art. 25 Abs. 1, Art. 32 Abs. 1 Buchstabe a sowie Art. 89 Abs. 1 DSGVO sehen die Pseudonymisierung als geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen an. Wäre die Verarbeitung pseudonymisierter Daten unangemessen, könnte die Pseudonymisierung niemals als Instrument zur Senkung des Risikos für die betroffenen Personen („angemessene Garantie“) fungieren.

Das Kriterium der Angemessenheit ist somit im höchsten Maße erfüllt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Klarstellung in § 14 Abs. 3 FOG schafft eine allgemeine Lösung für wissenschaftliche Einrichtungen, bereichsspezifische Personenkennzeichen für die Identifikation von Arbeitnehmerinnen und Arbeitnehmern einzuführen. Die eindeutige Identifikation dient der Vereinfachung der Personalverwaltung. Personalausgaben betragen einen großen Anteil an den Ausgaben für Forschung und experimenteller Entwicklung (http://www.statistik.at/ web_de/statistiken/energie_umwelt_innovation_mobilitaet/ forschung_und_innovation/f_und_e_in_allen_volkswirtschaftlichen_ sektoren/041534.html [05.02.2018]). In ganz Österreich wurden fast die Hälfte (49,59 Prozent) der Ausgaben für F&E für das Personal aufgewendet. In einigen Bundesländern (Burgenland, Niederösterreich, Salzburg und Vorarlberg) wurde sogar mehr als die Hälfte der Ausgaben für das Personal verwendet. Dass Verbesserungen in diesem Bereich notwendig sind, zeigt insbesondere der Global Innovation Index 2017 (https://www.globalinnovationindex.org/gii-2017-report# [05.02.2018]). Österreich gibt im internationalen Vergleich viel Geld für Forschung und Entwicklung aus („Gross expenditure on R&D, % GDP“) und rangiert an 5. Position. Trotzdem befindet sich Österreich in der Kategorie „Wissensbildung“ („Knowledge creation“) nur an 18. Stelle. Dies zeigt, dass die finanziellen Mitteln vorhanden sind, jedoch nicht in effizienter Weise eingesetzt werden.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 5 Abs. 1 FOG).

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer ist nicht möglich. Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen die Daten sogar länger, als für die Zwecke, für die sie verarbeitet werden, gespeichert werden.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 14 Abs. 3 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 14 Abs. 3 iVm § 5 Abs. 6 FOG als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten der oder des Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls die Absicht die personenbezogenen Daten an ein

   Drittland oder eine internationale Organisation zu übermitteln sowie

   das Vorhandensein oder das Fehlen eines Angemessenheits-

   beschlusses der Kommission,

– ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte

   der betroffenen Personen,

– ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77

   DSGVO),

– gegebenenfalls Informationen über das Bestehen einer

   automatisierten Entscheidungsfindung einschließlich Profiling

   gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Information der betroffenen Personen bei Erhebung.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) ihre Prozesse so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 13 FOG grundsätzlich zulässig, allerdings nur an die in § 13 FOG genannten Empfängerinnen und Empfänger, d.h.:

– wissenschaftliche Einrichtungen (§ 2 Z 14 FOG),

– Abwicklungsstellen (§ 2 Z 1 FOG),

– Gutachterinnen und Gutachter oder

– österreichische öffentliche Stellen (§ 2 Z 8 FOG).

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei der Verarbeitung im Rahmen von § 14 Abs. 3 FOG minimal, weil die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) im Zuge der Verarbeitung dafür zu sorgen haben, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Die Datensicherheitsmaßnahmen werden in Art. 32 DSGVO konkretisiert und sind von den wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) einzuhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) einzuhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken eines Verlustes der Kontrolle über personenbezogene Daten effektiv ein.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko bei der Verarbeitung im Rahmen der Identifikation von Arbeitnehmerinnen und Arbeitnehmern gemäß § 14 Abs. 3 FOG ist minimal, insbesondere weil die wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) im Zuge der Verarbeitung dafür zu sorgen, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Damit wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen die unbefugte

   Aufhebung der Pseudonymisierung, bieten.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen Rufschädigung,

   bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen den Verlust der

   Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unionsrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle

   oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen den Verlust der

   Vertraulichkeit bei Berufsgeheimnissen, bieten.

Durch den vorliegenden Entwurf wird zudem auch der Datenschutz hinsichtlich der in der Tierversuchskommission des Bundes durchgeführten Beratungen (vgl. Änderung zu § 35 Abs. 4 TVG 2012) verbessert.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten ist insoweit vorgesehen, als die Datenverarbeitung nur unter der Voraussetzung der Ausstattung der Daten mit bPK erfolgen darf.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung erfolgt nicht nur schnellstmöglich, sondern ist Voraussetzung für die Zulässigkeit der Verarbeitungen gemäß § 14 Abs. 3 FOG. Die Ausstattung mit bereichsspezifischen Personenkennzeichen gemäß § 14 Abs. 3 FOG ist Voraussetzung für die Pseudonymisierung mittels bereichsspezifischer Personenkennzeichen gemäß § 14 Abs. 3 FOG. Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstabe j DSGVO. Durch die Formulierung etwa in § 5 Abs. 1 Z 3 FOG, dass „Namensangaben durch bereichsspezifische Personenkennzeichen zu ersetzen sind“ soll eine praxisnahe Regelung getroffen werden, indem die gesetzliche Vermutung aufgestellt wird, dass dieser Austausch von Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Die Normadressatinnen und -adressaten brauchen sich aufgrund dieser Formulierung keine Gedanken machen, ob nun eine tatsächliche Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO eingetreten ist oder nicht, sondern bloß die Namen durch bereichsspezifische Personenkennzeichen austauschen, womit die Rechtssicherheit wesentlich erhöht wird. Diese Vorgangsweise ist auch durch das Unionsrecht gedeckt, weil Art. 89 Abs. 1 DSGVO die Pseudonymisierung als bloß eine unter mehreren möglichen geeigneten Garantien anführt. Außerdem sollten gemäß EG 26 DSGVO „[b]ei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Nach heutigem Stand der Technik ist davon auszugehen, dass der Austausch der Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Dies umso mehr als, die „zusätzliche[n] Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (EG 29 DSGVO) nur der Stammzahlenregisterbehörde bekannt und somit dem Zugriff des oder der Verantwortlichen entzogen sind.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 14 Abs. 3 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten im Rahmen der Identifikation von Arbeitnehmerinnen und Arbeitnehmern von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von den wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.