DATENSCHUTZ-FOLGENABSCHÄTZUNG
SYSTEMATISCHE BESCHREIBUNG
der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen
§ 26 Abs. 1 des Bundes-Sportförderungsgesetzes 2017 – BSFG 2017, BGBl. I Nr. 100/2017, regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, durch die Bundesministerin/den Bundesminister für öffentlichen Dienst und Sport. Die Erforderlichkeit zur Datenverarbeitung ergibt sich aus der Wahrnehmung ihrer/seiner Aufgaben nach dem BSFG 2017 und zum Zwecke der Vollziehung des BSFG 2017. Gemeint sind damit gemäß § 26 Abs. 4 BSFG 2017 vor allem die Gewährung von Förderungen, die Evaluierung und Kontrolle der Förderungen, die Kontrolle der widmungsgemäßen Verwendung der Fördermittel sowie die Verleihung der Sportleistungsabzeichen. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.
§ 26 Abs. 2 BSFG 2017 regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 DSGVO durch die Bundes-Sport GmbH. Die Erforderlichkeit zur Datenverarbeitung ergibt sich ebenfalls aus der Wahrnehmung ihrer Aufgaben nach dem BSFG 2017 und zum Zwecke der Vollziehung des BSFG 2017. Gemeint sind damit gemäß § 26 Abs. 4 BSFG 2017 vor allem die Gewährung von Förderungen, die Evaluierung und Kontrolle der Förderungen, die Kontrolle der widmungsgemäßen Verwendung der Fördermittel sowie die Verleihung der Sportleistungsabzeichen. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.
§ 26 Abs. 3 BSFG 2017 ermächtigt den den Fußball vertretenden Bundes-Sportfachverband, die Bundes-Sportdachverbände und den gesamtösterreichischen Verband alpiner Vereine, ausschließlich zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach diesem Bundesgesetz erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, insbesondere genetischer Daten, biometrischer Daten und Gesundheitsdaten, ist, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, gemäß § 26 Abs. 4 BSFG 2017 nur zulässig, sofern dies unbedingt erforderlich ist.
§ 39 Abs. 1 BSFG 2017 sieht zur Erhöhung der Transparenz im Bereich der Bundes-Sportförderung und zur Information der Bevölkerung vor, dass die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport und die Bundes-Sport GmbH die angeführten Daten, insbesondere die erforderlichen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, der Öffentlichkeit über das Internet zugänglich zu machen haben. Diese Daten müssen gemäß § 39 Abs. 2 BSFG 2017 sieben Jahre der Öffentlichkeit zugänglich sein.
Gemäß § 2 Abs. 2 des Anti-Doping-Bundesgesetzes 2007 – ADBG 2007, BGBl. I Nr. 30/2007, hat die Unabhängige Dopingkontrolleinrichtung die Österreichische Bundes-Sportorganisation (BSO), Sportorganisationen, Sportlerinnen/Sportler, Betreuungspersonen und Wettkampfveranstalterinnen/Wettkampfveranstalter über die gesetzlich angeführten Punkte zu informieren.
§ 4 Abs. 1 ADBG 2007 sieht unter anderem vor, dass die betroffene Person sowie der jeweils zuständige Bundes-Sportfachverband von der Unabhängigen Dopingkontrolleinrichtung nachweislich von der Feststellung von Kontroll- oder Meldepflichtversäumnissen und den damit verbundenen Kosten zu informieren sind.
Die Unabhängige Dopingkontrolleinrichtung und die Unabhängige Schiedskommission können unter der Voraussetzung des Interesses der Öffentlichkeit an sachlicher Information über Verfahren von öffentlicher Bedeutung als Reaktion auf öffentliche Stellungnahmen der betroffenen Sportlerin/des betroffenen Sportlers oder der betroffenen Betreuungsperson oder der betroffenen Sportorganisation über die Bestimmungen des § 2 Abs. 2 Z 5 ADBG 2007 hinausgehend gemäß § 4 Abs. 3 ADBG 2007 gegenüber der Öffentlichkeit zu einem Verfahren Stellung nehmen. Eine Stellungnahme ist nur unter den im Gesetz angeführten Voraussetzungen zulässig.
§ 4 Abs. 6 ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, soweit dies zur Wahrnehmung ihrer Aufgaben gemäß ADBG 2007 und zum Zwecke der Vollziehung des ADBG 2007 erforderlich ist, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Erforderlichkeit zur Datenverarbeitung ergibt sich gemäß § 4 Abs. 6a ADBG 2007 vor allem aus der wirksamen Umsetzung der Anti-Doping-Regelungen des World Anti-Doping Code (WADC), sofern sich die betroffenen Personen vertraglich zur Einhaltung des WADC verpflichtet haben. Besondere Kategorien personenbezogener Daten, insbesondere genetische Daten, biometrische Daten und Gesundheitsdaten, dürfen nur verarbeitet werden, sofern dies unbedingt erforderlich ist.
Die Unabhängige Dopingkontrolleinrichtung ist gemäß § 4 Abs. 6b ADBG 2007 ermächtigt, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, unbeschadet der Bestimmung des § 22c Abs. 1 ADBG 2007, die bei der Vollziehung des ADBG 2007 verarbeiteten personenbezogenen Daten auf begründetes und zu dokumentierendes Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, oder einer sonstigen Behörde erforderlichenfalls zu verarbeiten, wenn die personenbezogenen Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden und die Verarbeitung bundes- oder landesgesetzlich vorgesehen ist. Sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO dem Zweck des Ersuchens nicht mehr zuwiderläuft oder zuwiderlaufen kann, hat die ersuchende Behörde dies der Unabhängigen Dopingkontrolleinrichtung mitzuteilen.
§ 4 Abs. 6c ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, Analyseergebnisse von Dopingkontrollen, Entscheidungen in Anti-Doping-Verfahren und erteilte medizinische Ausnahmegenehmigungen an die jeweils zuständige Nationale Anti-Doping-Organisation, den jeweils zuständigen internationalen Sportfachverband und die World Anti-Doping Agency (WADA), soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.
§ 4 Abs. 6d ADBG 2007 ermächtigt die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, der WADA auf begründetes und zu dokumentierendes Ersuchen der WADA personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 zugrunde gelegt wurden, soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.
§ 8 ADBG 2007 enthält Bestimmungen zu medizinischen Ausnahmegenehmigungen. Insbesondere ist gemäß § 8 Abs. 2 ADBG 2007 eine Entscheidung entsprechend den geltenden Anti-Doping-Regelungen des zuständigen internationalen Sportfachverbandes innerhalb von 21 Tagen ab Antrag zu treffen und der Sportlerin/dem Sportler schriftlich mitzuteilen. Die Genehmigung ist befristet auf die Dauer der notwendigen Verabreichung oder Behandlung zu erteilen. Ein Widerruf ist nur nach diesen Regelungen zulässig. Wird keine medizinische Ausnahmegenehmigung gewährt, kann die betroffene Sportlerin/der betroffene Sportler gemäß § 8 Abs. 7 ADBG 2007 innerhalb von vier Wochen ab Zustellung der Entscheidung die Überprüfung bei der Unabhängigen Schiedskommission begehren, sofern nach den geltenden Anti-Doping-Regelungen des zuständigen internationalen Sportfachverbandes nicht dieser zuständig ist.
§ 10 ADBG 2007 legt die Inhalte der Dopingkontrollanordnung fest.
Die §§ 11 ff ADBG 2007 enthalten allgemeine und spezielle Bestimmungen über Dopingkontrollen sowie die Analyse der Proben.
§ 14a ADBG 2007 enthält Regelungen bezüglich Prüfantrag sowie entsprechende Informationspflichten gegenüber der betroffenen Person und gegenüber dem jeweils zuständigen Bundes-Sportfachverband.
In § 15 ADBG 2007 wird das Verfahren vor der Unabhängigen Österreichischen Anti-Doping Rechtskommission geregelt. § 15a ADBG 2007 enthält hierzu sonstige Verfahrensbestimmungen, insbesondere zu Informationspflichten.
§ 17 ADBG 2007 behandelt das Verfahren vor der Unabhängigen Schiedskommission. Gemäß § 17 Abs. 14 ADBG 2007 hat die Unabhängige Schiedskommission die BSO, Sportorganisationen, Sportlerinnen/Sportler, Betreuungspersonen und Wettkampfveranstalterinnen/Wettkampfveranstalter sowie die Allgemeinheit über ihre Entscheidungen unter Angabe der Namen der betroffenen Personen, der Dauer der Sperre und Gründe hiefür, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann, zu informieren.
§ 19 ADBG 2007 regelt die besonderen Pflichten der Sportlerinnen/Sportler, die dem Nationalen Testpool angehören. Insbesondere haben sich diese gegenüber dem Bundes-Sportfachverband schriftlich gemäß § 19 Abs. 1 ADBG 2007 zu verpflichten, neben anderen Punkten auch die ausdrückliche Zustimmung zur Verarbeitung von besonderen Kategorien personenbezogener Daten zu erteilen, die bei der Analyse von Dopingproben und der Gewährung der medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 anfallen. Zusätzlich zu den Verpflichtungen gemäß § 19 Abs. 1 ADBG 2007 haben Sportlerinnen/Sportler, die gemäß § 5 ADBG 2007 dem Topsegment des Nationalen Testpools angehören, den in § 19 Abs. 3 ADBG 2007 angeführten Meldepflichten nachzukommen. So haben Sportlerinnen/Sportler an einem von der Unabhängigen Dopingkontrolleinrichtung festgelegten Datum vor dem ersten Tag jedes Quartals für jeden Tag des folgenden Quartals die vollständige Adresse des Ortes, an dem die Sportlerin/der Sportler wohnen wird, Namen und Adresse jedes Ortes, an dem sie/er trainieren, arbeiten oder einer anderen regelmäßigen Tätigkeit nachgehen wird sowie die üblichen Zeiten für diese regelmäßigen Tätigkeiten, ihren/seinen Wettkampfplan für das folgende Quartal, einschließlich des Namens und der Adresse jedes Ortes, an dem sie/er während des Quartals an Wettkämpfen teilnehmen wird, sowie die personenbezogenen Daten, zu denen sie/er an diesen Orten an Wettkämpfen teilnehmen wird sowie ein bestimmtes 60-minütiges Zeitfenster zwischen 6.00 und 23.00 Uhr, zu dem sie/er jedenfalls an einem bestimmten Ort für Dopingkontrollen erreichbar ist und zur Verfügung steht, zu melden. Alle Änderungen des Aufenthaltsortes oder der Erreichbarkeit während des Quartals sind unverzüglich nach Kenntnis bekannt zu geben, Änderungen des 60-minütigen Zeitfensters spätestens zwei Stunden vorher.
In § 19 Abs. 5 ADBG 2007 wird festgelegt, dass die Unabhängige Dopingkontrolleinrichtung den Sportlerinnen/Sportlern zur Wahrnehmung ihrer Meldepflichten gemäß § 19 Abs. 1 Z 5, Abs. 3 und 4 ADBG 2007 ein elektronisches Meldesystem zur Verfügung zu stellen hat. Die Sportlerinnen/Sportler haben ihre Meldepflichten über dieses System wahrzunehmen. Diese personenbezogenen Daten dürfen nur solange gespeichert werden, als dies für die Erfüllung der angeführten Aufgaben der Unabhängigen Dopingkontrolleinrichtung erforderlich ist. Davon unberührt bleiben die Rechte der Sportlerin/des Sportlers gemäß DSGVO.
§ 21 ADBG 2007 behandelt die Informationspflicht der Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte und Tierärztinnen/Tierärzte. Ist bei der Behandlung durch eine Ärztin/einen Arzt oder eine Zahnärztin/einen Zahnarzt, die/der für einen Sportverein oder eine Organisation gemäß § 3 Z 3, 9 oder 10 BSFG 2017 tätig ist oder die/der eine/einen Leistungssportlerin/Leistungssportler (Sportlerin/Sportler, die/der dem Nationalen Testpool angehört) ärztlich oder zahnärztlich betreut, die Verabreichung von Arzneimitteln mit verbotenen Wirkstoffen oder die Anwendung von verbotenen Methoden erforderlich, so hat sie/er gemäß § 21 Abs. 1 ADBG 2007 die betroffene Person darüber zu informieren, sofern sie sich als Leistungssportlerin/Leistungssportler gegenüber der behandelnden Ärztin/dem behandelnden Arzt oder der behandelnden Zahnärztin/dem behandelnden Zahnarzt deklariert hat. Die behandelnde Ärztin/Der behandelnde Arzt oder die behandelnde Zahnärztin/der behandelnde Zahnarzt hat der Leistungssportlerin/dem Leistungssportler auf ihr/sein Verlangen darüber eine Bestätigung auszustellen. § 21 Abs. 2 ADBG 2007 sieht vor, dass diese Informationspflicht nicht in Notfällen besteht.
§ 22b ADBG 2007 regelt die Sicherstellungsbefugnis und Informationspflichten der Zollbehörden. Gemäß § 22b Abs. 2 ADBG 2007 dürfen die Zollbehörden im Zusammenhang mit der Kontrolle der in § 22b Abs. 1 ADBG 2007 genannten Gegenstände, die in das, durch das oder aus dem Bundesgebiet verbracht werden, personenbezogene Daten gemäß Art. 4 Z 2 DSGVO verarbeiten und diese den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG übermitteln, soweit dies zur Erfüllung derer gesetzlicher Aufgaben erforderlich ist.
In § 22c ADBG 2007 geht es um die Zusammenarbeit zwischen den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG und der Unabhängigen Dopingkontrolleinrichtung. Die Unabhängige Dopingkontrolleinrichtung hat gemäß § 22c Abs. 1 ADBG 2007 den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG die ihr zur Kenntnis gelangten Sachverhalte und die ihr zur Kenntnis gebrachten Entscheidungen, in denen ein Verstoß gegen Anti-Doping-Regelungen festgestellt wurde, und das Protokoll der mündlichen Verhandlung – auf Verlangen auch die übrigen Verfahrensunterlagen - zu übermitteln, wenn der begründete Verdacht einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung besteht. § 22c Abs. 2 ADBG 2007 verpflichtet die zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG nach Beendigung des Ermittlungsverfahren dazu, der Unabhängigen Dopingkontrolleinrichtung Namen, Geschlecht, Geburtsdatum und -ort, Staatsangehörigkeit und Wohnanschrift sowie die im Zuge des Ermittlungsverfahrens erhobenen Beweise zum Zwecke der Durchführung von Dopingkontrollverfahren jener Personen zu übermitteln, bei denen aufgrund der Ermittlungen der konkrete Verdacht besteht, dass diese einen Verstoß gegen Anti-Doping-Regelungen begangen haben. Die Übermittlung kann jedoch aufgeschoben werden, solange durch sie der Zweck des Verfahrens oder eines damit im Zusammenhang stehenden Verfahrens gefährdet wäre. Liegt eine solche Gefahr nicht vor, sind die Strafverfolgungsbehörden auch vor Beendigung des Ermittlungsverfahrens ermächtigt, solche Auskünfte auf Verlangen der Unabhängigen Dopingkontrolleinrichtung im Sinne des § 22c Abs. 2 ADBG 2007 zu erteilen. Die Entscheidung zur Information obliegt den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG.
§ 22c Abs. 2a ADBG 2007 bestimmt, dass, sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO den in Abs. 2 genannten Zwecken nicht mehr zuwiderläuft oder zuwiderlaufen kann, die betroffene Person nachweislich durch die Unabhängige Dopingkontrolleinrichtung über die Übermittlung zu informieren ist. Die betroffene Person hat das Recht, gegenüber der Unabhängigen Dopingkontrolleinrichtung eine zu dokumentierende Stellungnahme abzugeben. Art. 12 bis 14 und Art. 16 bis 22 DSGVO sind vom Zeitpunkt des Einlangens eines Ersuchens bis zum Zeitpunkt der Information der betroffenen Person insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Zwecke gemäß § 22c Abs. 2 ADBG 2007 unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Zwecke des Ersuchens notwendig und verhältnismäßig ist.
BEWERTUNG
der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
In § 1 BSFG 2017 wird die gesellschaftliche Bedeutung des Sports dargelegt und dazu ausgeführt, dass Sport von der gesundheits- bis zur spitzensportbestimmten Ausübung wichtige Werte des gesellschaftlichen Miteinanders und Zusammenlebens wie Toleranz, Fairness und Respekt gegenüber anderen vermittelt, Menschen unterschiedlicher Kulturen und sozialer Hintergründe zusammenführt, Generationen verbindet, Gesundheit, Gemeinsamkeit, Integration, Kommunikation, Solidarität und Begeisterung für eine gemeinsame Sache fördert, politische Grenzen überwindet, Vorurteile abbaut und einen wichtigen Beitrag zur Persönlichkeits- und Identitätsfindung der einzelnen Menschen leistet, insbesondere jener mit Behinderung. Sport motiviert vor allem junge Menschen und jene, die noch keinen Sport betreiben, durch die Vorbildfunktion der Sportlerinnen/Sportler diese positiven Werte und Verhaltensweisen zu übernehmen. Die Förderung des Sports in Österreich ist daher ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar.
Dass daher die in § 26 Abs. 1 bis 3 BSFG 2017 angeführten Verantwortlichen unter den gesetzlichen Voraussetzungen erforderlichenfalls zur Datenverarbeitung ermächtigt werden, ist jedenfalls zur Erfüllung der angeführten Zwecke notwendig und auch sachgerecht. Durch die genannten Ermächtigungen wird die Wahrnehmung der Aufgaben nach dem BSFG 2017 ermöglicht und die ordnungsgemäße Vollziehung des BSFG 2017 gewährleistet. Im Falle des § 26 Abs. 3 BSFG 2017 erfolgt die Ermächtigung nur zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach dem BSFG 2017.
Die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck wird dem Kriterium der Erforderlichkeit unterstellt, das für § 26 Abs. 1 und 2 BSFG 2017 in § 26 Abs. 4 BSFG 2017 nicht abschließend näher dargelegt wird. Die Erforderlichkeit gemäß § 26 Abs. 3 BSFG 2017 ergibt sich aufgrund der strengen Einschränkung der Datenverarbeitung auf Zwecke der Gewährung von Bundeszuschüssen direkt aus diesem Absatz.
§ 26 Abs. 4 BSFG 2017 bestimmt, dass besondere Kategorien personenbezogener Daten – mit Ausnahme der Daten zur Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern – nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g DSGVO gestützt.
Die Datenverarbeitung gemäß § 39 BSFG 2017 erfolgt aus Gründen der Information der Bevölkerung und Transparenz, insbesondere zur Vermeidung von Doppelförderungen und zu Dokumentationszwecken. Es muss gewährleistet sein, dass die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport und die Bundes-Sport GmbH die angeführten Daten, insbesondere die personenbezogenen Daten und die besonderen Kategorien personenbezogener Daten, im angeführten Umfang der Öffentlichkeit über das Internet zugänglich machen können, was in Anbetracht des eingangs beschriebenen wichtigen öffentlichen Interesses verhältnismäßig und sachgerecht ist.
In § 1 ADBG 2007 wird ausgeführt, dass Doping durch die Beeinflussung der sportlichen Leistungsfähigkeit sowohl dem Grundsatz der Fairness im sportlichen Wettbewerb als auch dem wahren, mit dem Sport ursprünglich verbundenen Wert (Sportsgeist) widerspricht und außerdem der Gesundheit schaden kann. Das von der UNESCO angenommene Internationale Übereinkommen gegen Doping im : UNESCO-Übereinkommen), verpflichtet Österreich, die in diesem Übereinkommen vorgesehenen Maßnahmen im Kampf gegen Doping insbesondere auch durch Datenaustausch zwischen den Anti-Doping-Organisationen zu unterstützen. Die im ADBG 2007 normierten Maßnahmen und Verarbeitungen personenbezogener Daten und besonderer Kategorien personenbezogener Daten dienen der Umsetzung dieser völkerrechtlichen Verpflichtung und liegen somit im öffentlichen Interesse.
Dass daher die Unabhängige Dopingkontrolleinrichtung in § 4 Abs. 6 ADBG 2007 unter den gesetzlichen Voraussetzungen erforderlichenfalls zur Datenverarbeitung ermächtigt wird, ist jedenfalls zur Erfüllung der angeführten Zwecke notwendig und auch sachgerecht. Durch die genannte Ermächtigung wird die Wahrnehmung der Aufgaben nach dem ADBG 2007 ermöglicht und die ordnungsgemäße Vollziehung des ADBG 2007 gewährleistet. § 4 Abs. 6 ADBG 2007 unterstellt die Ermächtigung zur Datenverarbeitung zum jeweils genannten Zweck dem Kriterium der Erforderlichkeit, das in § 4 Abs. 6a ADBG 2007 näher dargelegt wird.
§ 4 Abs. 6a ADBG 2007 bestimmt, dass besondere Kategorien personenbezogener Daten nur verarbeitet werden dürfen, sofern dies unbedingt erforderlich ist. Unbedingt erforderlich ist eine Verarbeitung besonderer Kategorien personenbezogener Daten dann, wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann. So wird ein entsprechend höheres Schutzniveau für besondere Kategorien personenbezogener Daten vorgesehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten wird auf Art. 9 Abs. 2 lit. g DSGVO gestützt.
Auch die Ermächtigung der Unabhängigen Dopingkontrolleinrichtung gemäß § 4 Abs. 6b ADBG 2007 zur bloßen Verarbeitung auf Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 DSG im gesetzlich genannten Umfang und zu den angeführten Zwecken liegt ebenso wie die Ermächtigungen zur Übermittlung gemäß § 4 Abs. 6c und 6d ADBG 2007 im öffentlichen Interesse. Die Unabhängige Dopingkontrolleinrichtung, insbesondere im Rahmen der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, muss nämlich zur Erfüllung ihrer Aufgaben nach dem ADBG 2007 sowie zur Vollziehung des ADBG 2007 in der Lage sein, erforderlichenfalls Analyseergebnisse von Dopingkontrollen, Entscheidungen in Anti-Doping-Verfahren und erteilte medizinische Ausnahmegenehmigungen an die jeweils zuständige Nationale Anti-Doping-Organisation, den jeweils zuständigen internationalen Sportfachverband und die WADA, soweit dies im WADC vorgesehen ist, zu übermitteln. Gleiches gilt für den Fall, dass seitens der WADA ein begründetes und zu dokumentierendes Ersuchen ergeht, dass personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 ADBG 2007 zugrunde gelegt wurden, soweit dies im WADC vorgesehen ist, übermittelt werden sollen.
Auch die in § 22b ADBG 2007 geregelte Sicherstellungsbefugnis und Informationspflicht der Zollbehörden sowie die in § 22c ADBG 2007 vorgesehene Zusammenarbeit zwischen den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG sind notwendig und sachgerecht und dienen der Durchsetzung des zuvor beschriebenen wichtigen öffentlichen Interesses.
Die Verarbeitung und Übermittlung der jeweiligen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten liegt aber auch im Interesse der betroffenen Personen und ist erforderlich, damit die Verantwortlichen oder die betroffenen Personen ihre Rechte und Pflichten ausüben oder geltend machen können.
Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame und auf den jeweiligen Einzelfall bezogene Abhilfemaßnahmen vorgesehen, sodass die Datenschutz-Folgenabschätzung klar positiv ausfällt.
RISIKEN
Risiken, die bei der Verarbeitung und Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten bestehen, werden vor allem durch die strikte Einhaltung der Erfassungs- und Bearbeitungsvorgaben (z.B. Handbücher, Sicherheitskonzepte, Verfahrensvorschriften,…) minimiert.
Als Risiken werden insbesondere in Erwägungsgrund 85 der DSGVO unter anderem genannt:
– „physische, materielle oder immaterielle Schäden“, „unbefugte Aufhebung der Pseudonymisierung“, „Rufschädigung“, „Identitätsdiebstahl oder -betrug“, „finanzielle Verluste“, „Verlust der Vertraulichkeit bei Berufsgeheimnissen“ oder „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“:
Diese Risiken beziehungsweise Nachteile sind nahezu ausgeschlossen, weil mit den Strafbestimmungen des vierten bis sechsten sowie zweiundzwanzigsten Abschnittes des Besonderen Teiles des Strafgesetzbuches – StGB, BGBl. Nr. 60/1974, sowie den allenfalls anzuwendenden dienstrechtlichen Bestimmungen, wie beispielsweise dem Disziplinarrecht, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung von Daten und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen. Wer die jeweiligen Daten missbraucht, geht angesichts der gerichtlichen Strafdrohung selbst ein sehr hohes Risiko ein.
Auf die Regelungen zur Amtsverschwiegenheit sowie auf anderweitige Verschwiegenheitspflichten darf verwiesen werden (vgl. Art. 20 B-VG, § 46 Beamten-Dienstrechtsgesetz 1979 – BDG 1979, BGBl. Nr. 333/1979 u.a.). Insbesondere finanzielle Verluste sind trotz der Verwendung von Finanzdaten aufgrund der Transparenz und der Kontrollmöglichkeit der Daten vor allem durch die betroffenen Personen nicht zu erwarten.
Eine unbefugte Aufhebung einer Pseudonymisierung ist bei schon jetzt umgesetzten Rollenkonzepten ausgeschlossen.
– „Verlust der Kontrolle über personenbezogene Daten“:
Dieses Risiko wird dadurch verringert, dass Art. 5 Abs. 2 DSGVO als unmittelbar anwendbaren Grundsatz die Rechenschaftspflicht vorsieht. Der Verantwortliche ist also nicht nur für die Einhaltung des Art. 5 Abs. 1 DSGVO verantwortlich, sondern muss auch dessen Einhaltung nachweisen können, was durch entsprechende Protokollierung und Dokumentation (vgl. § 4 Abs. 1, § 14 Abs. 2 und § 15 Abs. 1, 3 und 8 ADBG 2007) sowie eine Aufbewahrungspflicht (vgl. § 24 Abs. 2 und § 39 Abs. 2 BSFG 2017) erfolgt.
Beispiele für Regelungen, die insbesondere aus Gründen der Nachvollziehbarkeit das Schriftlichkeitserfordernis vorsehen, sind etwa § 8 Abs. 2 und 4, § 10 Abs. 1, § 11 Abs. 5 und § 19 Abs. 1 ADBG 2007.
– „Diskriminierung“:
Dieses Risiko ist durch diverse Diskriminierungsverbote ausgeschlossen, insbesondere durch solche des Gleichbehnaldungsgesetzes – GlBG, BGBl. I Nr. 66/2004, sowie des Bundes-Gleichbehandlungsgesetzes – B-GlBG, BGBl. Nr. 100/1993, oder etwa durch § 43a BDG 1979.
– „Einschränkung der Rechte der betroffenen Personen“:
In § 26 Abs. 6 bis 9 BSFG 2017 wird von der in Art. 23 DSGVO eröffneten Möglichkeit der Beschränkung der Pflichten und Rechte gemäß Art. 5, 12 bis 22 und 34 DSGVO Gebrauch gemacht. Dies erfolgt unter Beachtung des Wesensgehalts der Grundrechte und Grundfreiheiten. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Derartige Beschränkungen von Rechten und Pflichten müssen darüber hinaus der Sicherstellung bestimmter Zwecke dienen, unter denen beispielsweise in Art. 23 Abs. 1 lit. e DSGVO der „Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit“ genannt wird. Sport vermittelt von der gesundheits- bis zur spitzensportbestimmten Ausübung wichtige Werte des gesellschaftlichen Miteinanders und Zusammenlebens wie Toleranz, Fairness und Respekt gegenüber anderen, führt Menschen unterschiedlicher Kulturen und sozialer Hintergründe zusammen, verbindet Generationen, fördert Gesundheit, Gemeinsamkeit, Integration, Kommunikation, Solidarität und Begeisterung für eine gemeinsame Sache, überwindet politische Grenzen, baut Vorurteile ab und leistet einen wichtigen Beitrag zur Persönlichkeits- und Identitätsfindung der einzelnen Menschen, insbesondere jener mit Behinderung. Sport motiviert vor allem junge Menschen und jene, die noch keinen Sport betreiben, durch die Vorbildfunktion der Sportlerinnen/Sportler diese positiven Werte und die Verhaltensweisen zu übernehmen. Die Förderung des Sports in Österreich ist daher ein gesamtgesellschaftliches Anliegen und stellt ein wichtiges öffentliches Interesse dar. Insbesondere ist es erforderlich, dass im Bereich der Bundes-Sportförderung die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel gegeben und Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel gewährleistet ist. Dies dient insbesondere auch der Vermeidung von Doppelförderungen sowie der Revisionssicherheit. Es ist daher erforderlich und sachgerecht, gewisse Beschränkungen der Rechte der betroffenen Personen vorzunehmen.
Ein Verantwortlicher ist nach der DSGVO zur Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten, die durch ihn verarbeitet werden, verpflichtet. Dies ergibt sich einerseits aus Art. 5 Abs. 1 lit. d DSGVO und andererseits aus dem Recht der betroffenen Person auf Berichtigung gemäß Art. 16 DSGVO. Der Rechtskraft fähige Erledigungen enthalten personenbezogene Daten und unter Umständen auch besondere Kategorien personenbezogener Daten, die grundsätzlich dem Recht auf beziehungsweise der Pflicht zur Berichtigung gemäß den Bestimmungen der DSGVO unterliegen. Da sich daraus ein Spannungsverhältnis zum allgemeinen Konzept der Rechtskraft beziehungsweise der Verjährung ergibt, ist eine Beschränkung des Grundsatzes der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie des Rechtes auf Berichtigung gemäß Art. 16 DSGVO vorgesehen. § 26 Abs. 6 BSFG 2017 beschränkt den Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO sowie das Recht auf Berichtigung gemäß Art. 16 DSGVO bei unrichtigen oder unvollständigen personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten insoweit, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn ein zumutbarer Rechtsweg besteht oder bestand. Dies dient nicht nur dem Schutz des jeweils vorgesehenen Verfahrens, sondern stellt insbesondere klar, dass das Recht auf Berichtigung auch im Anwendungsbereich des BSFG 2017 nicht der Umgehung anderer rechtlicher Vorschriften oder eines durch den Gesetzgeber vorgesehenen Rechtsweges dient. Dass eine nicht inhaltsändernde Stellungnahme abgegeben werden kann, bedeutet, dass im Sinne einer Vervollständigung oder ergänzenden Erklärung zwar von den personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten abweichende Inhalte angeführt werden können, diese Inhalte der personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten gemäß § 26 Abs. 1 bis 3 BSFG 2017 aber aufgrund der Stellungnahme nicht geändert werden dürfen. Die Wahrung der Rechtssicherheit und Rechtsbeständigkeit stellt ein wichtiges Ziel des allgemeinen öffentlichen Interesses dar und daher ist eine Beschränkung im Ausmaß des § 26 Abs. 6 BSFG 2017 von Art. 23 Abs. 1 lit. e DSGVO gedeckt.
§ 26 Abs. 7 BSFG 2017 stellt klar, dass für zulässig verarbeitete Daten das Recht auf Löschung gemäß Art. 17 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung ausgeschlossen ist. Eine solche Möglichkeit besteht gemäß Art. 17 Abs. 3 DSGVO zur Erfüllung einer rechtlichen Verpflichtung, wie beispielsweise einer Aufbewahrungspflicht, die die Verarbeitung nach dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Zur Aufrechterhaltung der Bundes-Sportförderung als wichtiges öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten von betroffenen Personen verbundenen Kontroll-, Überwachungs- und Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der genannten Daten bis zum Ablauf der durch Gesetz oder durch Verordnung bestimmten Frist der Aufbewahrungspflicht erforderlich. Dies gilt umso mehr, als zu Unrecht bezogene Förderungen zurückgefordert können werden müssen. Auf Art. 17 Abs. 3 lit. e DSGVO wird hingewiesen. Macht eine betroffene Person glaubhaft, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt, so kann auf Antrag der betroffenen Person für die verbleibende Dauer der Aufbewahrungspflicht eine Speicherung ohne Aufbereitung vorgesehen werden, wenn für diesen Zeitraum keine weitere Verarbeitung vorgesehen ist.
§ 26 Abs. 8 BSFG 2017 regelt eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Die Überprüfung der Richtigkeit der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten der betroffenen Person soll nicht dazu führen, dass die Datenverarbeitung einzuschränken wäre, was die Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie die Kontrolle der widmungsgemäßen Verwendung der Fördermittel und die Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel beeinträchtigen würde, weswegen für den Anwendungsbereich des § 26 Abs. 1 bis 3 BSFG 2017 eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung im erforderlichen Ausmaß sachgerecht ist. Gleiches gilt für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Eine Beschränkung des Rechtes auf Einschränkung der Verarbeitung ist auch im Lichte des wichtigen wirtschaftlichen und finanziellen Interesses des Staates erforderlich und sachgerecht im Sinne des Art. 23 Abs. 1 lit. e DSGVO, da etwa die rechtskonforme Abwicklung von Bundes-Sportförderungen und die Vermeidung von Doppelförderungen sowie die Revisionssicherheit wichtige Ziele des allgemeinen öffentlichen Interesses darstellen, deren Schutz die Beschränkung gemäß § 26 Abs. 8 BSFG 2017 rechtfertigt.
Aufgrund des überwiegenden, berechtigten öffentlichen Interesses an der Verarbeitung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß § 26 Abs. 1 bis 3 BSFG 2017 ist es erforderlich und sachgerecht, das Recht auf Widerspruch gemäß Art. 21 DSGVO in § 26 Abs. 9 BSFG 2017 für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung auszuschließen, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und die die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die Erforderlichkeit und Sachlichkeit dieser Beschränkung ergibt sich aus dem überwiegenden, berechtigten öffentlichen Interesse an der Überprüfbarkeit und Nachvollziehbarkeit der Gewährung, Evaluierung und Kontrolle der Förderungen sowie der Kontrolle der widmungsgemäßen Verwendung der Fördermittel und der Transparenz im Zusammenhang mit dem Einsatz öffentlicher Mittel sowie der Notwendigkeit der Nachvollziehbarkeit und der Gewährleistung der Revisionssicherheit. Verarbeitungen gemäß § 26 Abs. 1 bis 3 BSFG 2017 unterstehen dem Grundsatz der Erforderlichkeit. Es wird daher eine sachgerechte und erforderliche Beschränkung des Rechtes auf Widerspruch gemäß Art. 21 DSGVO im Sinne des Art. 23 DSGVO für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung vorgeschlagen, sofern nicht eine beschriebene besondere Situation vorliegt. In Fällen, in denen das Widerspruchsrecht nicht gemäß § 26 Abs. 9 BSFG 2017 eingeschränkt ist, kann sich direkt aus Art. 21 Abs. 1 letzter Satz und Abs. 6 letzter Satz DSGVO ergeben, dass trotz Widerspruchs eine Verarbeitung personenbezogener Daten oder besonderer Kategorien personenbezogener Daten zulässig ist.
Die Beschränkung der Rechte der betroffenen Person gemäß Art. 23 DSGVO erfolgt in § 4 Abs. 6b ADBG 2007 im notwendigen und verhältnismäßigen Ausmaß im Rahmen einer Einzelfallprüfung, liegt im allgemeinen öffentlichen Interesse und stellt sicher, dass die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit gewährleistet ist. Die zuständige Behörde soll durch die Vornahme der erforderlichen bloßen Verarbeitung durch die Unabhängige Dopingkontrolleinrichtung unterstützt werden. Diese Verarbeitung dient primär den Zwecken des ADBG 2007 und wird von der Unabhängigen Dopingkontrolleinrichtung durchgeführt, deren Hauptaufgabe nicht im Bereich der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten liegt, weswegen der Anwendungsbereich der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 04.05.2016 S. 89, nicht eröffnet ist.
Im Einzelfall ist zu prüfen, in welchem Ausmaß die Rechte der betroffenen Person gemäß Art. 12 bis 14 und Art. 16 bis 22 DSGVO in der Zeit vom Einlangen des Ersuchens bis zum Zeitpunkt der Information der betroffenen Person beschränkt werden müssen, damit die Verwirklichung der Zwecke des Ersuchens nicht unmöglich gemacht oder ernsthaft beeinträchtigt wird. Dabei kommen die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zur Anwendung. Da die entsprechenden Beschränkungen der Rechte der betroffenen Person bereits in § 4 Abs. 6b ADBG 2007 kundgemacht werden und eine Unterrichtung über die Beschränkung im Einzelfall dem Zweck der Beschränkung abträglich wäre, ist ein Informieren der betroffenen Person erst vorgesehen, sobald es nicht mehr dem Zweck des Ersuchens zuwiderläuft oder zuwiderlaufen kann. Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung ergeben sich aus den jeweiligen Verfahrensrechten. Für den Bereich des § 4 Abs. 6b ADBG 2007, also der bloßen Verarbeitung aufgrund eines entsprechenden Ersuchens, insbesondere auch im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, ist die Unabhängige Dopingkontrolleinrichtung Verantwortlicher gemäß Art. 4 Z 7 DSGVO. Das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO hat erst nach Mitteilung durch die ersuchende zuständige Behörde an die Unabhängige Dopingkontrolleinrichtung zu erfolgen. Zudem wird der betroffenen Person ein Recht zur Stellungnahme gegenüber der Unabhängigen Dopingkontrolleinrichtung eingeräumt.
In § 22c Abs. 2a ADBG 2007 erfolgt eine notwendige und verhältnismäßige Einschränkung der Betroffenenrechte bei der Übermittlung von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten. Auf die Ausführungen zu § 4 Abs. 6b ADBG 2007 wird sinngemäß verwiesen.
Die genannten Risiken sind nach Erwägungsgrund 75 DSGVO mit Eintrittswahrscheinlichkeit und Schwere anzugeben. Angesichts der verschwindend geringen Zahl von zwei Verurteilungen nach § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) im Jahr 2016 (Statistik Austria, Gerichtliche Kriminalstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/soziales/kriminalitaet/index.html, [29.03.2018]) sowie einer Zahl von ca. 3,6 Mio. aktiven IT-Systemen in Österreich, ergibt sich eine Wahrscheinlichkeit von unter 1:1 Million, dass sich die von der DSGVO angeführten Risiken oder Nachteile verwirklichen. Die Zahl von 3 610 602 aktiven IT-Systemen ergibt sich aus der Zahl der Privathaushalte, die für das Jahr 2016 mit 3 865 000 beziffert wird (Statistik Austria, Haushaltsstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/bevoelkerung/haushalte_familien_lebensformen/index.html, [29.03.2018]), der Zahl der Unternehmen, die für das Jahr 2015 mit 328 638 beziffert wird (Statistik Austria, Leistungs- und Strukturstatistik 2015, http://www.statistik.at/web_de/statistiken/wirtschaft/unternehmen_arbeitsstaetten/index.html, [29.03.2018]) sowie dem Faktor der IKT-Nutzung der für das Jahr 2016 für private Haushalte mit 85 Prozent und für Unternehmen mit 99 Prozent (Statistik Austria, IKT-Einsatz in Haushalten beziehungsweise Unternehmen, https://www.statistik.at/web_de/statistiken/energie_umwelt_innovation_mobilitaet/informationsgesellschaft/index.html, [29.03.2018]) beziffert wird.
Im Jahr 2016 (Statistik Austria, Gerichtliche Kriminalstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/soziales/kriminalitaet/index.html, [29.03.2018]) erfolgten 57 Verurteilungen nach § 302 StGB (Missbrauch der Amtsgewalt) und eine Verurteilung nach § 310 StGB (Verletzung des Amtsgeheimnisses). Wie viele der Verurteilungen etwa aufgrund des gezielten Beschaffens personenbezogener Daten oder besonderer Kategorien personenbezogener Daten durch Abfrage in für die Erfüllung dienstlicher Aufgaben eingerichteten Datenbanken oder aufgrund des Ermittelns personenbezogener Daten oder besonderer Kategorien personenbezogener Daten ohne dienstliche Rechtfertigung erfolgten, war nicht feststellbar. Daher kann für die Fälle des Missbrauches der Amtsgewalt sowie der Verletzung des Amtsgeheimnisses keine Wahrscheinlichkeit des Verwirklichens der von der DSGVO angeführten Risiken oder Nachteile angegeben werden.
ABHILFEMAßNAHMEN
Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in Erwägungsgrund 78 der DSGVO unter anderem genannt:
– „Minimierung der Verarbeitung personenbezogener Daten“ und „Verwendungsbeschränkung“:
Die Minimierung der Verarbeitung personenbezogener Daten ergibt sich unmittelbar aus Art. 5 Abs. 1 lit. c DSGVO. Dort wird die Datenminimierung in dem Sinne geregelt, dass Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Dieser Grundsatz ist in vielfältiger Weise auch im Gesetzestext anzutreffen, insbesondere durch den konsequenten Einsatz des Kriteriums der Erforderlichkeit der jeweiligen Verarbeitung oder Übermittlung (vgl. § 26 Abs. 1 bis 4 und § 39 Abs. 1 BSFG 2017 sowie § 4 Abs. 6 bis 6d ADBG 2007).
Die Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO, wonach personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, ergibt sich ebenso aus dem Kriterium der Erforderlichkeit sowie aus den bereits beschriebenen Aufbewahrungspflichten.
Der sich aus Art. 5 Abs. 1 lit. b DSGVO ergebende Grundsatz der Zweckbindung ist ebenso durchgehend umgesetzt. Danach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Die bestehenden Zugriffs- und Berechtigungskonzepte entsprechen dem Grundsatz der Beschränkung auf das notwendige Maß.
– „schnellstmögliche Pseudonymisierung personenbezogener Daten“ (siehe auch Erwägungsgrund 28 DSGVO):
Eine Pseudonymisierung oder Anonymisierung der auf Grundlage des BSFG 2017 oder des ADBG 2007 erhobenen personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten selbst ist nur bedingt möglich, weil im Sinne des jeweiligen Rechtsverhältnisses eine zweifelsfreie Zuordnung sowohl in der analogen, als auch in der digitalen Welt möglich bleiben muss, was auch dem Kriterium der Erforderlichkeit entspricht. Ist eine Auflösung des Personenbezuges durch geeignete technische Mittel jedoch möglich, so wird diese insbesondere gemäß den Grundsätzen der Datenminimierung und der Speicherbegrenzung und im Sinne des Art. 32 DSGVO vorgenommen, sofern nicht ohnedies eine Löschung zu erfolgen hat.
– „Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten“ und „Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen“:
Durch die explizite gesetzliche Regelung der Datenverarbeitung sowie deren Zwecke wird den Anforderungen der Transparenz bereits durch die Kundmachung in hohem Maße Rechnung getragen.
Auf die Informationspflichten gemäß Art. 13 und Art. 14 DSGVO wird an dieser Stelle hingewiesen.
Sofern eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen ausübt, hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Die Benennung einer/eines Datenschutzbeauftragten gemäß Art 37 bis 39 DSGVO erfolgt durch den jeweiligen Verantwortlichen unmittelbar aufgrund der DSGVO.
Bei der Geltendmachung von Betroffenenrechten ist darauf zu achten, dass die Rechte Dritter nicht nachteilig beeinflusst werden, was insbesondere bei namentlicher Nennung Dritter der Fall sein kann. Die Übermittlung von Informationen kann bei Verständigung der betroffenen Person durch gesicherten Fernzugriff, also durch Abholung erfolgen. Es wird auf Art. 12 DSGVO verwiesen, der die transparente Information, Kommunikation und die Modalitäten für die Ausübung der Rechte der Betroffenen regelt.
Außerdem wird durch das gemäß Art. 30 DSGVO zu führende Verzeichnis von Verarbeitungstätigkeiten, das der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist, dargestellt, welche Verarbeitungstätigkeiten jeweils vorgenommen werden und der jeweiligen Zuständigkeit unterliegen.
Beispiele für Informationspflichten im Zusammenhang mit betroffenen Personen finden sich etwa in § 39 BSFG 2017 sowie § 4 Abs. 6b und 22c ADBG 2007.
– „Datensicherheitsmaßnahmen“ (Erwägungsgrund 83 DSGVO):
Durch entsprechende technische und personelle Maßnahmen wird im Einzelfall sichergestellt, dass personenbezogene Daten oder besondere Kategorien personenbezogener Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet und einen entsprechenden Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bietet, wodurch vor allem dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO Rechnung getragen wird. In diesem Zusammenhang wird auch auf Art. 25 DSGVO hingewiesen.
Die Verantwortlichen gemäß § 26 Abs. 1 bis 3 BSFG 2017 und die Unabhängige Dopingkontrolleinrichtung gemäß § 4 Abs. 6a BSFG 2017 haben jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten und der besonderen Kategorien personenbezogener Daten zu sorgen.
Datensicherheitsmaßnahmen werden etwa auch durch Sicherheitsanalysen bei der Programmierung sowie bereits jetzt umgesetzte Rollenkonzepte und die damit eindeutige Identifikation der/des jeweiligen Verarbeitenden getroffen.
Es wird außerdem an dieser Stelle auf die Regelungen zu Auftragsverarbeitern in Art. 28 DSGVO hingewiesen.
Gemäß Art. 35 Abs. 10 DSGVO ist eine Datenschutz-Folgenabschätzung im Zuge von Gesetzgebungsverfahren zulässig. Die konkret eingesetzte Infrastruktur wird jedoch typischerweise nicht gesetzlich geregelt, weswegen an dieser Stelle auf die Einhaltung der Maßnahmen gemäß Art. 25 und Art. 32 DSGVO hingewiesen wird. Durch die Publikation der angeführten Bestimmungen in den jeweiligen gesetzlichen Grundlagen als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung und Übermittlung personenbezogener Daten und besonderer Kategorien personenbezogener Daten sowie die zum Begutachtungsentwurf erfolgten Stellungnahmen von der Öffentlichkeit kostenlos eingesehen und nachvollzogen werden. Im Rahmen des erfolgten Begutachtungsverfahrens wurde insbesondere der Datenschutzbehörde, den Datenschutzbeauftragten, den betroffenen Personen und den Verantwortlichen die Möglichkeit zur Stellungnahme eingeräumt. Durch die Abgabe von Stellungnahmen erfolgte eine aktive Mitwirkung an der Gestaltung des Gesetzestextes, um die Vereinbarkeit der geplanten Verarbeitungen und Übermittlungen mit der DSGVO sicherzustellen.
Weiters trägt die Benennung einer/eines jeweils zuständigen Datenschutzbeauftragten maßgeblich zur Datensicherheit bei. Hinzu kommen beispielsweise entsprechende Schulungen, Handbücher, Sicherheitskonzepte oder gegebenenfalls Weisungen, die auf den jeweiligen Einzelfall abstellen.
Außerdem bestehen Verarbeitungs- und Übermittlungsmöglichkeiten stets nur für Personen, die sich in ihrem jeweiligen Rechtsverhältnis entsprechend bewährt und als verlässlich erwiesen haben. Dies bewirkt ebenso eine Erhöhung der Datensicherheit.