Erläuterungen

Allgemeiner Teil

Am 24. Mai 2016 ist die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (in der Folge: DSGVO) in Kraft getreten. Sie gilt – nach einer zweijährigen „Übergangsfrist“ – ab 25. Mai 2018 im Gebiet der Europäischen Union und tritt ab diesem Zeitpunkt an die Stelle der bisherigen Datenschutzrichtlinie 95/46/EG.

Art. 54 der Charta der Grundrechte der europäischen Union, ABl. Nr. C 364 vom 18.12.2000 S. 1, sieht vor, dass kein Grundrecht so ausgelegt werden darf, dass es ein anderes Grundrecht abschafft oder stärker einschränkt, als dies in der Charta vorgesehen ist. In diesem Sinn bestimmt Erwägungsgrund 4 der Datenschutz-Grundverordnung, dass „[d]ie Verarbeitung personenbezogener Daten […] im Dienste der Menschheit stehen [sollte. Außerdem ist d]as Recht auf Schutz der personenbezogenen Daten […] kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden[, wie insbesondere die] Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen“.

Mit dem Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, wurden die aufgrund der Datenschutz-Grundverordnung erforderlichen Anpassungen im allgemeinen Teil des österreichischen Datenschutzrechts auf Bundesebene vorgenommen. Eine Anpassung hat bisher nur hinsichtlich der allgemeinen Datenschutzbestimmungen, nicht aber hinsichtlich der speziellen Bestimmungen etwa für den Bereich Wissenschaft und Forschung stattgefunden. Nach der Feststellung im Verfassungsausschuss vom 26. Juni 2017 soll die Anpassung der datenschutzrechtlichen Spezialbestimmungen in der Verantwortung der jeweiligen Ressorts erfolgen. Die Ausschussfeststellung betont „die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung“ und sieht vor, dass „die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten“.

Mit § 7 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 wurde der für den Bereich der wissenschaftlichen Forschung und Statistik noch geltende § 46 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, weitgehend übernommen. Die durch das Datenschutz-Anpassungsgesetz 2018 vorgenommenen Änderungen dienen bloß der terminologischen Anpassung an die Datenschutz-Grundverordnung. Dass die Z 1 in Abs. 1 und 2 von § 7 DSG nun – anders als ihre Vorgängerbestimmungen – nicht mehr mit einem ausdrücklichen „oder“, sondern einem Komma abgeschlossen werden, soll nach der Feststellung des Bundeskanzleramtes-Verfassungsdienst in einer interministeriellen Besprechung des Begutachtungsentwurfes zum Datenschutz-Anpassungsgesetz 2018 vom 19. Juni 2017 keine inhaltlichen Auswirkungen haben, sondern stellt bloß eine modernere Formulierung dar. Insbesondere sei – nach Ansicht des Verfassungsdienstes – aus der Legistischen Richtlinie 25 letzter Absatz nicht der Umkehrschluss zu ziehen, dass die Z 1 und 2 der Abs. 1 und 2 des § 7 DSG nunmehr kumulativ und nicht bloß alternativ zu erfüllen seien.

Die Regierungsvorlage des Datenschutz-Anpassungsgesetzes 2018 (ErläutRV 1664 d BlgNR 25. GP) enthielt in ihrem Art. 3 Anpassungsbestimmungen, mit denen die Begriffe „Auftraggeber“ im Sinne des § 4 Z 4 DSG 2000 bzw. „Dienstleister“ im Sinne des § 4 Z 5 DSG 2000 durch die neuen Begriffe der DSGVO, d.h. „Verantwortlicher“ und „Auftragsverarbeiter“ in der jeweils grammatikalisch richtigen Form hätten ersetzt werden sollen. In der Fassung des Ausschussberichtes (AB 1761 d BlgNR 25. GP) waren diese Anpassungsbestimmungen nicht mehr enthalten. Im Sinne der korrekten Bezeichnung und leichteren Lesbarkeit sollen in der vorliegenden Regierungsvorlage die erforderlichen Anpassungen vorgenommen werden. Auch nach einem mittlerweile ergangenen Rundschreiben des Bundeskanzleramtes-Verfassungsdienst vom 2. August 2017, Zl. BKA-810.026/0035-V/3/2017, „sollten [die] datenschutzrechtlichen Begrifflichkeiten geändert bzw. angepasst werden“ (Seite 3).

Mit der vorliegenden Regierungsvorlage wird der ebenfalls in diesem Rundschreiben enthaltenen Forderung nach Anpassung der speziellen Datenschutz- und Datenverarbeitungsbestimmungen nachgekommen (Seite 2). Außerdem wird Punkt 4 des Rundschreibens des Bundeskanzleramtes-Verfassungsdienst vom 14. Mai 2008, Zl. BKA-810.016/0001-V/3/2007, entsprochen, wonach „nach und nach bereichsspezifische Datenschutzbestimmungen und damit eine dem Art. 18 Abs. 1 B‑VG besser (als eine Generalklausel) entsprechende Verrechtlichung des EDV-Einsatzes zu schaffen“ ist. Auch dieser Forderung soll durch die vorliegende Regierungsvorlage nachgekommen werden.

Kernstück der vorliegenden Regierungsvorlage ist eine Novelle des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, mit der durch neue – und spezifische iSd Erwägungsgrundes (in der Folge: EG) 159 DSGVO – Bestimmungen, die für sämtliche wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gelten sollen, Rechtssicherheit geschaffen werden soll.

I. Wissenschaft und Forschung in der Datenschutz-Grundverordnung

Die DSGVO hat sich nach ihrem EG 166 zum Ziel gesetzt „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten“. Dabei soll „[d]ie Verarbeitung personenbezogener Daten […] im Dienste der Menschheit stehen“ (EG 4 DSGVO) und „[z]ur Erleichterung der wissenschaftlichen Forschung“ beitragen (EG 157 DSGVO). Deshalb kommt Wissenschaft und Forschung innerhalb der Datenschutz-Grundverordnung eine besondere Rolle zu, was sich insbesondere daran zeigt, dass

– die „legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden sollen“ (EG 113 DSGVO);

– die Bekämpfung weitverbreiteter Krankheiten wie Herz-Kreislauferkrankungen, Krebs und Depression durch zusätzliche Daten und Verknüpfungen entscheidend gestärkt werden soll (EG 157 DSGVO);

– „die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung […] weit ausgelegt werden“ (EG 159 DSGVO) sollte;

– die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke (Art. 89 Abs. 1 DSGVO) keine Verletzung des Zweckbindungsgrundsatzes darstellt (Art. 5 Abs. 1 Buchstabe b DSGVO);

– die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke keine Verletzung des Grundsatzes der Speicherbegrenzung darstellt (Art. 5 Abs. 1 Buchstabe e DSGVO);

– aufgrund unionsrechtlicher oder nationaler Rechtsvorschriften und unter Wahrung angemessener und spezifischer Maßnahmen sogar die Verarbeitung aller Arten von sensiblen Daten für Zwecke der wissenschaftlichen oder historischen Forschung sowie statistische Zwecke zulässig ist (Art. 9 Abs. 2 Buchstabe j DSGVO);

– aus Gründen der wissenschaftlichen und historischen Forschung oder für statistische Zwecke die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, beschränkt werden kann (Art. 14 Abs. 5 Buchstabe b DSGVO);

– das Löschungsrecht bei der wissenschaftlichen und historischen Forschung sowie für statistische Zwecke beschränkt werden kann (Art. 17 Abs. 3 Buchstabe d DSGVO);

– die Mitgliedstaaten zu einem umfassenden Ausgleich des Grundrechts auf Datenschutz mit der Freiheit der Meinungsäußerung und der Informationsfreiheit insbesondere zu wissenschaftlichen Zwecken verpflichtet sind (Art. 85 DSGVO);

– Ausnahmen zu den Rechten auf Auskunft, Berichtung, Einschränkung und Widerspruch vorgesehen werden können, „wenn diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen“ (Art. 89 DSGVO).

Diese besondere Bedeutung von Wissenschaft und Forschung zeigt sich sehr eindrucksvoll an einem Bericht des Weltwirtschaftsforums, wonach bis zum Jahr 2030 nur der Bereich der künstlichen Intelligenz die globale Wirtschaftsleistung um 14 Prozent steigern soll (https://www.weforum.org/agenda/2017/06/the-global-economy-will-be-14-bigger-in-2030-because-of-ai [08.01.2018]).

Grundsätzlich besteht für unionsrechtliche Verordnungen ein Umsetzungsverbot: sie sind unmittelbar, ohne Dazwischentreten des nationalen Gesetzgebers anzuwenden. In etwas mehr als 70 Öffnungsklauseln sieht die Datenschutz-Grundverordnung jedoch ausdrücklich vor, dass – ausnahmsweise – doch abweichendes nationales Recht beibehalten oder geschaffen werden darf oder sogar Durchführungsbestimmungen im nationalen Recht zu schaffen sind (in der folgenden Übersicht mit * gekennzeichnet). Diese Öffnungsklauseln sind:

DSGVO-Bestimmung	Inhalt	Regierungsvorlage
Art. 4 Z 7	Zuweisung der Rolle des Verantwortlichen, falls Zwecke und Mittel der Verarbeitung durch nationales Recht vorgegeben	Art. 9 Z 12 (§ 43 Abs. 4 HSG 2014); Art. 11 Z 15 (§ 14 Abs. 2 ISBG); Art. 12 Z 15 (§ 10a Abs. 9 OeADG)
Art. 4 Z 9	Behörden sind keine „Empfänger", wenn sie im Rahmen eines bestimmten Untersuchungsauftrags nach nationalem Recht Daten erhalten
Art. 6 Abs. 1 Buchstabe c iVm Abs. 2 und 3	Rechtmäßigkeit der Verarbeitung bei gesetzlicher Verpflichtung	Art. 17 Z 24 (§ 119 Abs. 3 UG)
Art. 6 Abs. 1 Buchstabe e iVm Abs. 2 und 3	Rechtmäßigkeit der Verarbeitung bei Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt	Art. 7 Z 7 (§ 2e FOG)
Art. 6 Abs. 4	Ausnahme vom Grundsatz der Zweckbindung bei gesetzlicher Grundlage für Verarbeitung
Art. 8 Abs. 1	Niedrigere Altersgrenze für Einwilligung eines Kindes
Art. 9 Abs. 2 Buchstabe a	Grenzen der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten (in der Terminologie des DSG 2000: „sensibler Daten“)
Art. 9 Abs. 2 Buchstabe b	Arbeits- und Sozialrecht als Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten
Art. 9 Abs. 2 Buchstabe g	nationale Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen eines erheblichen öffentlichen Interesses	Art. 7 Z 7 (§ 2i Abs. 1 FOG)
Art. 9 Abs. 2 Buchstabe h iVm Abs. 3	nationale Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten im Gesundheits- und Sozialbereich durch Fachpersonal, das einer Geheimhaltungspflicht unterliegt
Art. 9 Abs. 2 Buchstabe i	nationale Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich der öffentlichen Gesundheit	Art. 7 Z 7 (§ 2d Abs. 2 Z 3 FOG)
Art. 9 Abs. 2 Buchstabe j	nationale Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten für Archivzwecke, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke	Art. 7 Z 7 (2. Abschnitt)
Art. 9 Abs. 4	Aufrechterhaltung von Bedingungen und Beschränkungen für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten
Art. 10	Ausnahmen vom allgemeinen Verbot der Verarbeitung strafrechtlich relevanter Daten	Art. 7 Z 7 (§ 2g Abs. 3 Z 2 FOG)
Art. 14 Abs. 5 Buchstabe c	Ausnahme von Informationspflicht, wenn Verarbeitung im nationalen Recht ausdrücklich vorgesehen	Art. 7 Z 7 (2. Abschnitt)
Art. 14 Abs. 5 Buchstabe d	Ausnahme von Informationspflicht bei Berufsgeheimnis nach nationalem Recht
Art. 17 Abs. 1 Buchstabe e	Pflicht zur Löschung aufgrund gesetzlicher Verpflichtung
Art. 17 Abs. 3 Buchstabe b	Ausnahmen von der Löschungspflicht bei Verarbeitung aufgrund gesetzlicher Verpflichtung oder Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt	Art. 7 Z 7 (§ 2i Abs. 4 und 5 FOG)
Art. 22 Abs. 2 Buchstabe b	Zulässigkeit von automatisierten Entscheidungen und Profiling	Art. 7 Z 7 (§ 2d Abs. 8 FOG)
Art. 23	Beschränkungen der Betroffenenrechte u.a. aus Gründen der öffentlichen Sicherheit, zum Schutz wichtiger öffentlicher Interessen oder der Rechte und Freiheiten anderer Personen sowie zur Durchsetzung zivilrechtlicher Ansprüche	Art. 7 Z 7 (§ 2d Abs. 6 und § 2i Abs. 2 FOG)
Art. 26 Abs. 1	Festlegung der jeweiligen Aufgaben von gemeinsam Verantwortlichen in nationalen Rechtsvorschriften
Art. 28 Abs. 3 1. Satz	Auftragsverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach nationalem Recht	Art. 12 Z 15 (§ 10a Abs. 3 OeAD-Gesetz)
Art. 28 Abs. 3 Buchstabe a 1. Halbsatz	verpflichtende Datenverarbeitung für Auftragsverarbeiter außerhalb der Weisungen des Verantwortlichen
Art. 28 Abs. 3 Buchstabe a 2. Halbsatz	Verbot der Information des Verantwortlichen über Verarbeitung durch Auftragsverarbeiter
Art. 28 Abs. 3 Buchstabe g	Speicherpflicht für Auftragsverarbeiter
Art. 28 Abs. 4	Überbindung der Verpflichtungen auf Sub-Auftragsverarbeitung durch Vertrag oder anderes Rechtsinstrument nach nationalem Recht
Art. 29 und Art. 32 Abs. 4	verpflichtende Datenverarbeitung für Auftragsverarbeiter und seine unterstellten Personen außerhalb der Weisungen des Verantwortlichen
Art. 35 Abs. 10	Ausnahme von Pflicht zur Folgenabschätzung bei gesetzlicher Grundlage der Verarbeitung
Art. 36 Abs. 5	Besondere Pflicht zur Konsultation der Aufsichtsbehörde sowie Genehmigungsvorbehalt bei Verarbeitungen zur Erfüllung einer Aufgabe im öffentlichen Interesse
Art. 37 Abs. 4	Besondere Pflicht zur Benennung eines Datenschutzbeauftragten
Art. 40 Abs. 1*	Mitgliedstaaten fördern die Ausarbeitung von Verhaltensregeln für KMU
Art. 43 Abs. 1*	Benennung einer Akkreditierungsstelle
Art. 49 Abs. 1 Buchstabe d iVm Abs. 4	Datenübermittlung in ein Drittland aus wichtigen Gründen des öffentlichen Interesses	Art. 7 Z 7 (§ 2j FOG)
Art. 49 Abs. 1 Buchstabe g	Datenübermittlung in ein Drittland im Wege der Einsichtnahme in ein öffentliches Register
Art. 49 Abs. 5	Beschränkungen der Übermittlung bestimmter Datenkategorien an Drittländer aus wichtigen Gründen des öffentlichen Interesses
Art. 51 Abs. 1 iVm Art. 54 Abs. 1 Buchstabe a*	Errichtung einer Aufsichtsbehörde für die Überwachung der Anwendung der DSGVO
Art. 51 Abs. 3 iVm Art. 68 Abs. 4*	Regelungen im Falle einer Mehrzahl von Aufsichtsbehörden
Art. 52 Abs. 4*	Sicherstellung der erforderlichen Ressourcen für die Aufsichtsbehörde
Art. 52 Abs. 5*	Sicherstellung der Unabhängigkeit des Personals der Aufsichtsbehörde
Art. 52 Abs. 6*	Finanzkontrolle der Aufsichtsbehörde
Art. 54 Abs. 1 Buchstabe b iVm Art. 53 Abs. 2*	Voraussetzungen für die Ernennung der Mitglieder der Aufsichtsbehörde
Art. 54 Abs. 1 Buchstabe c iVm Art. 53 Abs. 1*	Verfahren für die Ernennung der Mitglieder der Aufsichtsbehörde
Art. 54 Abs. 1 Buchstabe d iVm Art. 53 Abs. 3*	Amtszeit der Mitglieder der Aufsichtsbehörde
Art. 54 Abs. 1Buchstabe e*	Wiederernennung eines Mitglieds der Aufsichtsbehörde
Art. 54 Abs. 1 Buchstabe f iVm Art. 52 Abs. 3, Art. 53 Abs. 3 und 4*	Pflichten der Mitglieder und Bediensteten der Aufsichtsbehörde, Unvereinbarkeitsregeln, Regeln über die Beendigung des Beschäftigungsverhältnisses
Art. 54 Abs. 2*	Amtsverschwiegenheit
Art. 55 Abs. 3 iVm EG 20	Einrichtung besonderer Stellen zur Aufsicht über die Datenverarbeitung durch Gerichte und Justizbehörden
Art. 57 Abs. 1 Buchstabe c*	Regelung der Beratungstätigkeit der Aufsichtsbehörde gegenüber Parlament und Regierung
Art. 58 Abs. 1 Buchstabe f*	Verfahren für datenschutzrechtliche Hausdurchsuchungen; Zugang der Aufsichtsbehörde zu Datenverarbeitungsanlagen
Art. 58 Abs. 3 Buchstabe b*	Stellungnahmen der Aufsichtsbehörde an (öffentliche und nichtöffentliche) Einrichtungen und Stellen und die Öffentlichkeit
Art. 58 Abs. 4*	Verfahrensrecht und Rechtsbehelfe gegen Aufsichtsbehörde
Art. 58 Abs. 5*	Anzeigerecht der Aufsichtsbehörde und Recht zur Einleitung eines gerichtlichen Verfahrens
Art. 58 Abs. 6	Zusätzliche Befugnisse der Aufsichtsbehörde
Art. 59 2. Satz	Benennung zusätzlicher Behörden, an welche der jährliche Tätigkeitsbericht der Aufsichtsbehörde zu übermitteln ist
Art. 62 Abs. 3 1. Satz 1. Halbsatz	Regelung der Übertragung von Untersuchungsbefugnissen an Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten
Art. 62 Abs. 3 1. Satz 2. Halbsatz	Gestattung der Ausübung von Untersuchungsbefugnissen durch Aufsichtsbehörden anderer Mitgliedstaaten nach ihrem jeweiligen nationalen Recht
Art. 80 Abs. 1	Vertretung von betroffenen Personen durch Verbände
Art. 80 Abs. 2	Verbandsklagebefugnis
Art. 83 Abs. 7	Festlegung, ob Geldbußen gegen Behörden und öffentliche Stellen verhängt werden können
Art. 83 Abs. 8*	Verfahren für die Verhängung von Geldbußen, einschließlich Rechtsbehelfe
Art. 83 Abs. 9	Sonderregelung für Dänemark und Estland, wo Geldbußen nicht von einer Verwaltungsbehörde verhängt werden können
Art. 84 Abs. 1*	Zusätzliche Sanktionen, insbesondere für Verstöße, die in Art. 83 mit keiner Geldbuße sanktioniert sind
Art. 85 Abs. 1*	Herstellung der Konformität der DSGVO mit dem Grundrecht auf freie Meinungsäußerung und Informationsfreiheit (Art. 11 der EU-Grundrechte-Charta)
Art. 85 Abs. 2*	Abweichungen und Ausnahmen von der DSGVO für die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken
Art. 86	Zugang der Öffentlichkeit zu amtlichen Dokumenten
Art. 87	Zulässigkeit der Verarbeitung nationaler Kennziffern, wie etwa der Stammzahl gemäß § 2 Z 8 des E‑Government-Gesetzes, BGBl. I Nr. 10/2004	Art. 7 Z 7 und 27 (§ 2d Abs. 2 und 9, § 2e, § 2k Abs. 3 und § 21 Abs. 2 FOG); Art. 9 Z 12 (§ 43 Abs. 5 HSG 2014); Art. 10 Z 22 (§ 31 Abs. 6 HS-QSG); Art. 12 Z 15 (§ 10a Abs. 4 OeADG)
Art. 88	Datenverarbeitung im Beschäftigungskontext; Arbeitnehmerdatenschutz
Art. 89 Abs. 2	Ausnahmen von bestimmten Betroffenenrechten bei Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken	Art. 7 Z 7 (§ 2d Abs. 6 FOG)
Art. 89 Abs. 3	Ausnahmen von bestimmten Betroffenenrechten bei Verarbeitung zu Archivzwecken	Art. 7 Z 7 (§ 2d Abs. 6 FOG)
Art. 90 Abs. 1	Regelung der Ausübung der Befugnisse der Aufsichtsbehörde gegenüber Berufsgeheimnisträgern
Art. 91 Abs. 2	Schaffung spezifischer Aufsichtsbehörden für Kirchen und religiöse Vereinigungen oder Gemeinschaften

II. Strafbarkeit nationaler Bestimmungen

Die Kenntnis der Öffnungsklauseln und ihrer Zuordnung zu den einzelnen Bestimmungen ist von zentraler Bedeutung, weil auf nationale Bestimmungen nur dann die hohen Strafdrohungen des Art. 83 DSGVO anzuwenden sind, wenn die Rechtsgrundlage dieser nationalen Bestimmungen Kapitel IX der DSGVO ist (Art. 83 Abs. 5 Buchstabe d DSGVO). Nationale Bestimmungen, die sich beispielsweise auf die Öffnungsklauseln in Art. 6 und 9 DSGVO stützen, fallen bereits nach dem Wortlaut nicht unter Art. 83 DSGVO. Nicht nur unterscheidet die DSGVO konsequent zwischen „Unionsrecht“ und dem „Recht eines Mitgliedstaats“ (vgl. Art. 9 Abs. 2 Buchstabe j DSGVO), vielmehr sieht auch EG 149 1. Satz DSGVO vor, dass „die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung, auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften [festgelegt werden] können“. Damit können – müssen aber nicht – die in Art. 83 DSGVO vorgesehenen Sanktionen auch für die – aufgrund der Öffnungsklauseln eingeführten – nationalen Bestimmungen vorgesehen werden. Im Umkehrschluss bedeutet dies, dass die aufgrund der Öffnungsklauseln eingeführten, nationalen Bestimmungen nicht per se von den Sanktionen gemäß Art. 83 DSGVO erfasst sind.

Die in den Materialien zum deutschen Datenschutz-Anpassungs- und ‑Umsetzungsgesetz EU vertretene Ansicht, „dass von den in den Absätzen 4 und 5 des Artikels 83 der Verordnung (EU) 2016/679 genannten ‚Verstößen gegen die folgenden Bestimmungen‘ auch dann gesprochen werden kann, wenn die Mitgliedstaaten bezüglich der in den Absätzen 4 und 5 der Verordnung genannten Bestimmungen nationale Regelungen aufgrund von Öffnungsklauseln erlassen haben“ (Deutscher Bundestag, Drucksache 18/11325, 18. Wahlperiode, 108, http://dipbt.bundestag.de/doc/btd/18/113/1811325.pdf [12.01.2018]) wird mit EG 149 DSGVO begründet, der allerdings genau das Gegenteil bestimmt, nämlich, dass Art. 84 DSGVO eine Möglichkeit zur Sanktionierung der nationalen Bestimmungen in gleicher Weise wie Art. 83 DSGVO vorsieht, d.h. nicht per se gegeben ist.

III. Zeitlicher Ablauf/Bisheriger Prozess

Angesichts des Zeitdrucks bei der Erlassung von Durchführungsbestimmungen für die Datenschutz-Grundverordnung wurde von einer gemeinsamen Erlassung allgemeiner und spezieller Durchführungsbestimmungen Abstand genommen und mit dem Datenschutz-Anpassungsgesetz 2018 vorerst der „Bereich der allgemeinen Angelegenheiten des Datenschutzes“ (ErläutRV 1664 d BlgNR 25. GP 1) geregelt. Da der Entwurf eines Datenschutz-Anpassungsgesetzes 2018 bereits in der 185. Sitzung des Nationalrates vom 7. Juni 2017 – und somit mehr als zwei Wochen vor Ablauf der offiziellen Begutachtungsfrist am 23. Juni 2017 – dem Verfassungsausschuss zugewiesen wurde, konnten viele der letztendlich 113 Begutachtungsstellungnahmen nicht im erforderlichen Ausmaß berücksichtigt werden. Um den praxisrelevanten Anforderungen, insbesondere aus den Bereichen Wissenschaft, Forschung und Statistik dennoch Genüge zu tun, hat das Bundesministerium für Wissenschaft, Forschung und Wirtschaft die bereits zu den Vorarbeiten des Datenschutz-Anpassungsgesetzes 2018 aufgenommene Prozessbegleitung intensiviert und in drei sogenannten Stakeholder-Runden versucht, sämtliche berechtigte Interessen der Communities aus den Bereichen Wissenschaft, Forschung und Statistik aufzunehmen und dem Begutachtungsentwurf sowie der vorliegenden Regierungsvorlage zugrunde zu legen.

Aufgrund des Begutachtungsverfahrens – durchgeführt zwischen 14. Februar 2018 und 7. März 2018 – mit 77 Stellungnahmen (Stand: 16. März 2018), kam es insbesondere zu folgenden Änderungen:

– legistische Anpassungen und Behebung von Redaktionsversehen,

– Einschränkung der im Zuge des Gesetzgebungsverfahrens durchgeführten Datenschutz-Folgenabschätzungen auf nichtsensible Daten in § 23 FHStG (Art. 5 Z 14), § 14 Abs. 4 FOG (Art. 7 Z 14), § 35a HS-QSG (Art. 10 Z 20), § 10a Abs. 10 OeADG (Art. 12 Z 15), § 7a PUG (Art. 14 Z 4), § 40 Abs. 9 und § 68a Abs. 4 StudFG (Art. 15 Z 23 und 44) sowie § 31 Abs. 5 TVG 2012 (Art. 16 Z 7),

– Umbenennung des Begriffs der Abwicklungsstelle in „Art‑89-Förder- und Zuwendungsstelle“ in § 2b Z 1 FOG (Art. 7 Z 7), um Kollisionen mit dem etablierten Begriff der Förderung gemäß § 30 Abs. 5 des Bundeshaushaltsgesetzes 2013 (BHG 2013), BGBl. I Nr. 139/2009, und somit Auslegungsschwierigkeiten zu vermeiden (Art. 7 Z 7),

– Einführung eines „neuen“ Begriffs der Art‑89-Fördermittel in § 2b Z 2 FOG, um Kollisionen mit dem etablierten Begriff der Förderung gemäß § 30 Abs. 5 BHG 2013 und somit Auslegungsschwierigkeiten zu vermeiden (Art. 7 Z 7),

– Einführung des Begriffs der „Tätigkeiten der Forschung und experimentellen Entwicklung“ in § 2b Z 10 FOG (Art. 7 Z 7),

– Aufnahme eines neuen § 2c FOG über die Zulässigkeit des Einsatzes bereichsspezifischer Personenkennzeichen (Art. 7 Z 7),

– Aufnahme eines neuen § 2d Abs. 1 FOG über einen Katalog an angemessenen Maßnahmen gemäß DSGVO (Art. 7 Z 7),

– Aufnahme zusätzlicher Anforderungen an die Registerforschung in § 2d Abs. 2 Z 3 FOG (Art. 7 Z 7),

– Entfall des Widerspruchsregisters gemäß § 5 Abs. 3 FOG in der Fassung des Begutachtungsentwurfs,

– Neuformulierung des sogenannten „broad consent“ in § 2d Abs. 3 FOG (Art. 7 Z 7),

– Entfall der Genehmigung durch die Datenschutzbehörde in § 2d Abs. 7 FOG (Art. 7 Z 7),

– Übernahme der „alten“ Formulierung des § 30a des Universitätsgesetzes 2002 in der Fassung des Bundesgesetzes BGBl. I Nr. 129/2017 in § 2f Abs. 6 FOG (Art. 7 Z 12),

– Erweiterung der Übergangsbestimmungen in § 38a FOG (Art. 7 Z 49),

– Aufnahme einer Verordnungsermächtigung für die – im Zuge der Registerforschung – zu öffnenden Register in § 38b FOG (Art. 7 Z 49) sowie

– Anpassung der datenschutzrechtlichen Rollenverteilung hinsichtlich der zentralen Mobilitäts- und Kooperationsdatenbank in § 10a OeADG (Art. 12 Z 15).

IV. Verhältnis zum Datenschutzgesetz 2000 und anderen Eingriffsermächtigungen

Wie bereits in den Erläuterungen zur Regierungsvorlage des Datenschutz-Anpassungsgesetzes 2018 selbst ausgeführt, „sollen die einschlägigen materienspezifischen Regelungen zu Datenverarbeitungen (leges speciales) den allgemeinen Regelungen des neuen DSG vorgehen“ (ErläutRV 1664 d BlgNR 25. GP 1). Die Bestimmungen der vorliegenden Regierungsvorlage sind somit leges speciales insbesondere gegenüber bestehenden und zukünftigen Bestimmungen, der in § 1 Abs. 4 FOG in der Fassung dieser Regierungsvorlage genannten Bundesgesetze, wie etwa des Datenschutzgesetzes 2000 (auch in der Fassung des Datenschutz-Anpassungsgesetzes 2018), des Bundesstatistikgesetzes 2000 oder des Gesundheitstelematikgesetzes 2012. Hintergrund ist, dass insbesondere der 1. und 2. Abschnitt des Forschungsorganisationsgesetzes in der Fassung dieser Regierungsvorlage speziell auf den Wissenschafts- und Forschungsbereich zugeschnittene Bestimmungen vorsehen, die in den angeführten Gesetzen nicht zu finden sind. Damit wird EG 159 DSGVO entsprochen, wonach, „[u]m den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu genügen, […] spezifische Bedingungen hinsichtlich der Veröffentlichung oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten [sollten]“. Die neuen Datenschutz- und Datenverarbeitungsbestimmungen sind nicht abschließend, sondern sollen bloß die wichtigsten Anwendungsfälle im Anwendungsbereich des Art. 89 DSGVO einer klaren und zweifelsfreien Regelung zuführen. Selbstverständlich können Datenverarbeitungen auch auf andere Bestimmungen der österreichischen Rechtsordnung oder auf Bestimmungen der DSGVO gestützt werden.

Die in dieser Regierungsvorlage enthaltenen Bestimmungen sollen nicht vor den Bestimmungen des Datenschutz-Anpassungsgesetzes 2018 in Kraft treten. Ein Inkrafttreten vor dem Datenschutz-Anpassungsgesetz 2018 würde schwierige und vor allem vermeidbare Auslegungsfragen aufwerfen, wenn es nämlich um die Frage geht, ob im Falle der Normkollision die speziellere oder die jüngere Bestimmung Vorrang haben soll. Da es vorrangiges Ziel der vorliegenden Regierungsvorlage ist Rechtsunsicherheiten nicht nur zu vermeiden, sondern sogar bestehende so weit als möglich zu beseitigen, soll auch kein vom Inkrafttreten der DSGVO abweichendes Inkrafttreten vorgesehen werden. Die vorliegende Regierungsvorlage soll daher – wie das Datenschutz-Anpassungsgesetz 2018 – grundsätzlich mit 25. Mai 2018 in Kraft treten. Ausgenommen sind nur Anpassungen, die etwa die Änderung des Bundesministeriengesetzes 1986, BGBl. Nr. 76/1986, betreffen.

V. Rundschreiben und Legistische Richtlinien des Verfassungsdienstes

Der Verfassungsdienst hat in mehreren Rundschreiben zu datenschutzrechtlichen Aspekten Stellung genommen. Zwei davon sind für die vorliegende Regierungsvorlage von besonderer Bedeutung und zwar:

– das Rundschreiben des Bundeskanzleramtes-Verfassungsdienst vom 14.05.2008, BKA-810.016/0001-V/3/2007, weil es unter Punkt 4 fordert, ausdrückliche gesetzliche Regelungen zu treffen, um „nach und nach bereichsspezifische Datenschutzbestimmungen und damit eine dem Art. 18 Abs. 1 B‑VG besser (als eine Generalklausel) entsprechende Verrechtlichung des EDV-Einsatzes zu schaffen“;

– das Rundschreiben des Bundeskanzleramtes-Verfassungsdienst vom 02.08.2017, BKA-810.026/0035-V/3/2017, weil es Vorgaben zur Überprüfung und Anpassung spezialgesetzlicher Bestimmungen aufgrund der Datenschutz-Grundverordnung (DSGVO) und des Datenschutz-Anpassungsgesetzes 2018 trifft.

Beiden Rundschreiben wird durch die Schaffung ausdrücklicher gesetzlicher Regelungen sowie die umfassende Anpassung der Terminologie nachgekommen.

Die Novelle steht außerdem im Zeichen der Legistischen Richtlinien (LRL), deren Schwerpunkt auf Rechtssicherheit und Klarheit liegt. Diese Prinzipien finden sich nicht nur prominent am Beginn der Legistischen Richtlinien, sondern sind auch als Motivation für die meisten der insgesamt 149 Legistischen Richtlinien zu sehen.

Von zentraler Bedeutung – nicht nur für die vorliegende Regierungsvorlage – sind:

– die LRL 1 über sprachliche Sparsamkeit,

– die LRL 7 über sprachliche Klarheit,

– die LRL 9 über Verständlichkeit von Rechtsvorschriften,

– die LRL 10 über die sprachliche Gleichbehandlung von Frau und Mann,

– die LRL 11 über die Erforderlichkeit einer klar erkennbaren Systematik sowie

– die LRL 12 über die systematische und klare Gliederung von Rechtsvorschriften.

Die vorliegende Regierungsvorlage nimmt besondere Rücksicht auf die genannten Legistischen Richtlinien, insbesondere durch systematische Verbesserungen bei der Gliederung der zu ändernden Rechtsvorschriften. Verweise auf die durch die vorliegende Regierungsvorlage zu ändernden Gesetze sind als Verweise auf die vorgeschlagene Fassung zu verstehen.

VI. Datenschutz für juristische Personen

Ungeklärt blieb im Rahmen der Änderungen durch das Datenschutz-Anpassungsgesetz 2018 auch die Frage nach dem Schutz personenbezogener Daten von juristischen Personen. Zwar sah die Regierungsvorlage den Entfall von Datenschutz für juristische Personen vor (ErläutRV 1664 d BlgNR 25. GP 3), allerdings gab es einen gesamtändernden Abänderungsantrag im Verfassungsausschuss, mit dem die vorgeschlagenen Änderungen der Grundrechtsbestimmungen wieder vollständig zurückgenommen wurden (AB 1761 d BlgNR 25. GP).

Aus Art. 2 Abs. 1 DSGVO iVm Art. 4 Nr. 1 DSGVO sowie Erwägungsgrund 14 der DSGVO ergibt sich, dass die Datenschutz-Grundverordnung nicht für juristische Personen gilt. Allerdings sieht keine Bestimmung der Datenschutz-Grundverordnung ein Verbot zur Regelung von Datenschutzangelegenheiten durch den nationalen Gesetzgeber vor.

Vor dem Hintergrund, dass

– die einschlägige Grundrechtsbestimmung des § 1 DSG 2000 – auch durch das Datenschutz-Anpassungsgesetz 2018 – nicht geändert wurde,

– die bestehende Judikatur des Verfassungsgerichtshofs – insbesondere VfSlg. 12.228/1989 und VfSlg. 16.369/2001 – daher weiterhin als einschlägig zu betrachten ist sowie

– die Datenschutz-Grundverordnung den Schutz personenbezogener Daten von juristischen Personen bloß ungeregelt lässt, aber nicht verbietet,

ist weiterhin auch von einem grundrechtlichen Schutz von Daten juristischer Personen in Österreich auszugehen. Die schutzwürdigen Geheimhaltungsinteressen bei juristischen Personen betreffen vor allem die Geheimhaltung von Geschäfts- und Betriebsgeheimnissen (VfSlg. 16.369/2001). Diese sind nach ständiger Judikatur des Obersten Gerichtshofes, „Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzten Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und an deren Geheimhaltung ein wirtschaftliches Interesse besteht“ (RS0079599).

Je größer der Finanzierungsanteil der öffentlichen Hand an der wissenschaftlichen Arbeit der juristischen Personen – genauer gesagt der nichtnatürlichen Personen – ist, desto geringer sind die schutzwürdigen Geheimhaltungsinteressen.

Aus der Tatsache, dass die Definition der betroffenen Person gemäß Art. 4 Nr. 1 DSGVO – im Gegensatz zur Definition der Betroffenen gemäß § 4 Z 1 DSG 2000 – nur mehr auf „natürliche Personen“ abstellt, kann nicht geschlossen werden, dass das Grundrecht gemäß § 1 DSG 2000 – künftig § 1 DSG – ab dem 25. Mai 2018 juristische Personen nicht mehr umfasst. Hierzu hätte es eines ausdrücklichen Verbots auf unionsrechtlicher Ebene oder einer Änderung auf grundrechtlicher Ebene bedurft. Beides ist nicht geschehen.

VII. Datenschutz-Folgenabschätzungen

Nach der Datenschutz-Grundverordnung müssen Datenschutz-Folgenabschätzungen durchgeführt werden, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Das ist insbesondere der Fall bei

– „systematische[r] und umfassende[r] Bewertung persönlicher Aspekte natürlicher Personen“ (Art. 35 Abs. 3 Buchstabe a DSGVO),

– „umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 [DSGVO]“ (Art. 35 Abs. 3 Buchstabe b DSGVO) sowie

– „systematische[r] umfangreiche[r] Überwachung öffentlich zugänglicher Bereiche“ (Art. 35 Abs. 3 Buchstabe c DSGVO).

Während die Fälle des Art. 35 Abs. 3 Buchstaben b und c DSGVO vergleichsweise gut abgrenzbar sind, ist die „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen“ im Sinne des Art. 35 Abs. 3 Buchstabe a DSGVO begrifflich schwer zu fassen. Die aufgrund von Art. 29 der Richtlinie 95/46/EG (Datenschutzrichtlinie) eingerichtete sogenannte Artikel-29-Datenschutzgruppe hat in ihren Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 (Seite 7 ff) folgende Kriterien erarbeitet, die für ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen und somit eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung sprechen:

– Verfahren zur Beurteilung und Bewertung, wie insbesondere Scoring-Verfahren,

– automatisierte Entscheidungsfindung mit rechtlichen oder vergleichbar schwerwiegenden Konsequenzen,

– systematische Überwachung,

– Verarbeitung sensibler Daten (= Daten gemäß Art 9 DSGVO; vgl. Erwägungsgrund 10 DSGVO),

– umfangreiche Verarbeitungen,

– Kombination oder Abgleich von Datensätzen,

– Verarbeitung von Daten von besonders schutzwürdigen Personen, wie etwa Kindern,

– innovativer Einsatz von technologischen und organisatorischen Lösungen,

– Übermittlung von Daten in Drittstaaten sowie

– Einschränkungen der Rechte von betroffenen Personen.

Nach Ansicht der Art-29-Datenschutzgruppe sind mit dem Begriff „systematisch“ folgende Bedeutungen verbunden:

– „einem System entsprechend“ oder

– „vorausgeplant, organisiert oder methodisch“ oder

– „als Teil eines allgemeinen Plans zur Erhebung von Daten“ oder

– „als Teil einer Strategie“.

Vor allem die genannten Kriterien können helfen, den Anwendungsbereich von Art. 35 DSGVO näher einzugrenzen und so besser feststellen zu können, wann eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 Buchstabe a DSGVO besteht und wann nicht.

Bei der Datenschutz-Folgenabschätzung sind die Risiken den Maßnahmen zur Eindämmung dieser Risiken gegenüberzustellen (Erwägungsgrund 90 DSGVO). Gemäß Art. 35 Abs. 10 DSGVO entfällt die Pflicht zur Datenschutz-Folgenabschätzung für die Verantwortlichen, wenn „bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte“. Um die Anforderungen in der Praxis für Verantwortliche zu erleichtern, werden Datenschutz-Folgenabschätzungen für:

– die Vergabe von Matrikelnummern an Fachhochschulen gemäß § 4 Abs. 11 des Fachhochschul-Studiengesetzes (FHStG), BGBl. Nr. 340/1993 (Art. 5 Z 8) in Anhang 1,

– die Aufbewahrung von fachhochschulspezifischen Daten gemäß § 13 Abs. 8 FHStG (Art. 5 Z 10) in Anhang 2,

– das Berichtswesen der Erhalter von Fachhochschul-Studiengängen an die Agentur für Qualitätssicherung gemäß § 23 FHStG (Art. 5 Z 12 und 13) in Anhang 3,

– die privilegierten Verarbeitungen gemäß § 2d Abs. 2 FOG (Art. 7 Z 7) in Anhang 4,

– die weite Zustimmungserklärung gemäß § 2d Abs. 3 FOG (Art. 7 Z 7) in Anhang 5,

– die Klarstellung zur Beschränkbarkeit der Rechte der betroffenen Personen gemäß § 2d Abs. 6 FOG (Art. 7 Z 7) in Anhang 6,

– die Klarstellung zum automatisierten Bildabgleich gemäß § 2d Abs. 8 FOG (Art. 7 Z 7) in Anhang 7,

– die Markierung von Forschungsmaterial durch bereichsspezifische Personenkennzeichen gemäß § 2d Abs. 9 FOG (Art. 7 Z 7) in Anhang 8,

– das Qualitätsmanagement gemäß § 2e FOG (Art. 7 Z 7) in Anhang 9,

– die Sammlung und Archivierung von Forschungsmaterial gemäß § 2f Abs. 1 FOG (Art. 7 Z 7) in Anhang 10,

– die Speicherung von Rohdaten gemäß § 2f Abs. 3 (Art. 7 Z 7) FOG in Anhang 11,

– die Klarstellung zu Biobanken gemäß § 2f Abs. 4 (Art. 7 Z 7) FOG in Anhang 12,

– die Klarstellung für Verarbeitungen im Rahmen der Lehre gemäß § 2f Abs. 5 FOG (Art. 7 Z 7) in Anhang 13,

– die Verarbeitung von (nicht) abgeschlossenen Anträgen gemäß § 2g Abs. 1 Z 1 FOG (Art. 7 Z 7) in Anhang 14,

– die Veröffentlichung von Förderungsnehmerinnen und -nehmern gemäß § 2g Abs. 1 Z 2 FOG (Art. 7 Z 7) in Anhang 15,

– die Speicherung von Alumni-Daten durch Abwicklungsstellen gemäß § 2g Abs. 1 Z 3 FOG (Art. 7 Z 7) in Anhang 16,

– die Öffentlichkeitsarbeit von wissenschaftlichen Einrichtungen gemäß § 2h Abs. 1 FOG (Art. 7 Z 7) in Anhang 17,

– die Aufsichtspflicht von Bundesministerien gemäß § 2h Abs. 2 FOG (Art. 7 Z 7) in Anhang 18,

– die Klarstellung zum Technologietransfer gemäß § 2i Abs. 1 FOG (Art. 7 Z 7) in Anhang 19,

– die Klarstellung zu Open Science und Citizen Science-Projekten gemäß § 2i Abs. 4 und 5 FOG (Art. 7 Z 14) in Anhang 20,

– die Identifikation von Arbeitnehmerinnen und Arbeitnehmern gemäß § 2k Abs. 3 FOG (Art. 7 Z 14) in Anhang 21,

– die Ombudsstelle gemäß § 31 HS-QSG (Art. 10 Z 18) in Anhang 22,

– die zentrale Mobilitäts- und Kooperationsdatenbank gemäß § 10a des OeAD-Gesetzes (OeADG), BGBl. I Nr. 99/2008 (Art. 12 Z 15) in Anhang 23,

– die Vergabe von Matrikelnummern an Privatuniversitäten gemäß § 3 Abs. 10 des Privatuniversitätengesetzes (PUG), BGBl. I Nr. 74/2001 (Art. 14 Z 2) in Anhang 24,

– die Aufbewahrung von privatuniversitätsspezifischen Daten gemäß § 3 Abs. 11 PUG (Art. 14 Z 2) in Anhang 25,

– das Berichtswesen der Privatuniversitäten an die Agentur für Qualitätssicherung gemäß § 6 PUG (Art. 14 Z 3) in Anhang 26,

– die Nachweispflichten gemäß § 40 des Studienförderungsgesetzes 1992 (Art. 15 Z 23) in Anhang 27,

– die Veröffentlichung nichttechnischer Projektzusammenfassungen gemäß § 31 des Tierversuchsgesetzes 2012, BGBl. I Nr. 114/2012 (Art. 16 Z 5 bis 7) in Anhang 28

vorgenommen. Damit wird zudem die Gelegenheit wahrgenommen, auch für andere als die in den Anhängen 1 bis 28 genannten Verantwortlichen, Rechtssicherheit zu schaffen, denn zumindest in Bezug auf den Umfang und die Struktur von Datenschutz-Folgenabschätzungen sollte nach Durchführung dieses Begutachtungsverfahrens – und den Stellungnahmen der Datenschutzbehörden im Sinne des Art. 57 Abs. 1 Buchstabe c DSGVO – Klarheit herrschen, welche Mindestanforderungen zu erfüllen sind.

VIII. Kompetenzgrundlage

Die vorliegende Regierungsvorlage stützt sich

– hinsichtlich der Bestimmungen, die das Schul- und Erziehungswesen betreffen, wie etwa Art. 5 (Fachhochschul-Studiengesetz – siehe ErläutRV 949 d BlgNR 18. GP 11) auf Art. 14 Abs. 1 B‑VG („Schul- und Erziehungswesen“),

– hinsichtlich sämtlicher Bestimmungen, die die Verarbeitung – auch – personenbezogener Daten betreffen, wie etwa § 10 des Forschungsorganisationsgesetzes, in der Fassung der vorliegenden Regierungsvorlage (Art. 7 der vorliegenden Regierungsvorlage), auf § 2 Abs. 1 DSG 2000 („Datenschutz“), wobei zur näheren Begründung auf die Erläuterungen zu § 48a DSG 2000 (IA 515/A 22. GP 7) sowie die einschlägige VfGH-Judikatur (insb. VfSlg. 19.684/2012) verwiesen wird,

– hinsichtlich der Bestimmungen, die die Organisation der Innovationsstiftung für Bildung betreffen (Art. 11 der vorliegenden Regierungsvorlage – ErläutRV 1350 d BlgNR 25. GP 6) auf Art. 10 Abs. 1 Z 13 B‑VG („Stiftungs- und Fondswesen“) sowie

– hinsichtlich der übrigen Bestimmungen auf Art. 10 Abs. 1 Z 13 B‑VG („Angelegenheiten der künstlerischen und wissenschaftlichen Sammlungen und Einrichtungen des Bundes“).

Besonderer Teil

Zu Artikel 1 (Änderung des Austria Wirtschaftsservice-Gesetzes):

Zu Art. 1 Z 1 (Titel):

Zur besseren Zitierbarkeit des Austria Wirtschaftsservice-Gesetzes, BGBl. I Nr. 130/2002, wird eine offizielle Abkürzung eingefügt.

Zu Art. 1 Z 2 (§ 1 – „Errichtung durch Verschmelzung zur Neugründung“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu formulierten Abs. 7 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für die Austria Wirtschaftsservice Gesellschaft mit beschränkter Haftung gelten.

Zu Art. 1 Z 3, 5 bis 11, 13, 14 und 18 bis 21 (Anpassung der Ressortbezeichnungen):

Die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, macht – in Kombination mit den Legistischen Richtlinien (LRL) insbesondere betreffend sprachliche Klarheit (LRL 7), Verständlichkeit (LRL 9), sprachliche Gleichbehandlung von Frau und Mann (LRL 10) sowie Anpassung von Verweisungen (LRL 72) – eine Anpassung der Ressortbezeichnungen erforderlich.

Zu Art. 1 Z 4 (§ 2 – „Aufgaben der Gesellschaft“):

Die Neufassung des Abs. 2 erfolgte, weil die bisherige Detailgliederung in Buchstaben erfolgte und nicht – wie durch die Legistische Richtlinie 113 vorgesehen – durch Zahlen. Außerdem wurde in der bisherigen lit. c – nun Z 3 – das Arbeitsmarktförderungsgesetz, BGBl. Nr. 31/1969, nicht – wie in der Legistischen Richtlinie 133 vorgesehen – der Kurztitel, sondern der Titel verwendet. Dieses Redaktionsversehen soll im Sinne der leichteren Lesbarkeit auch behoben werden. In Z 5 erfolgt eine Anpassung der Ressortbezeichnungen (siehe dazu oben: Erläuterungen zu Art. 1 Z 3, 5 bis 11, 13, 14 und 18 bis 21).

Zu Art. 1 Z 12 (§ 8a – „Personal“):

Durch diese neue Bestimmung soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, auch für die Gehilfinnen und Gehilfen der Austria Wirtschaftsservice Gesellschaft mit beschränkter Haftung gilt, womit beispielsweise internes Personal, wie Beamte gemäß § 7 oder Vertragsbedienstete gemäß § 8, aber auch externe Mitarbeiterinnen und Mitarbeiter oder sogar beauftragte Unternehmen umfasst sind. Zur näheren Begründung darf auf die detaillierten Ausführungen zu Art. 7 Z 14 (§ 14 – Organisatorische Aspekte und Rechtsschutz) verwiesen werden.

Zu Art. 1 Z 15, 17 und 22 (§§ 13 ff – Anpassung der Überschriften):

Durch die vorgesehenen Anpassungen wird sichergestellt, dass – der Legistischen Richtlinie 117 entsprechend – jeder Paragraf eine eigene Überschrift hat.

Zu Art. 1 Z 16 (§ 13 – „Inkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 5 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 2 (Änderung des Bundesgesetzes über das Institute of Science and Technology – Austria):

Eine Anpassung datenschutzrechtlicher Begriffe ist – mangels Vorkommens – nicht erforderlich.

Zu Art. 2 Z 1 (Titel):

Zur besseren Zitierbarkeit des Bundesgesetzes über das Institute of Science and Technology – Austria, BGBl. I Nr. 69/2006, wird ein offizieller Kurztitel eingefügt.

Zu Art. 2 Z 2 (§ 1 – „Errichtung und Rechtsstellung“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich aus dem 1. und 2. Abschnitt des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, in der Fassung der vorliegenden Regierungsvorlage. Durch den vorgeschlagenen neuen Abs. 3 soll – aus Gründen der Rechtssicherheit – ausdrücklich auf diese Spezialbestimmung verwiesen und diese jedenfalls auch für das Institute of Science and Technology – Austria anwendbar sein.

Zu Art. 2 Z 3 (§ 10 – „Personal“):

Durch den neuen Abs. 3 soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, auch für die Gehilfinnen und Gehilfen des Institute of Science and Technology – Austria gilt, womit beispielsweise internes Personal, aber auch externe Mitarbeiterinnen und Mitarbeiter oder sogar beauftragte Unternehmen umfasst sind. Zur näheren Begründung darf auf die detaillierten Ausführungen zu Art. 7 Z 14 (§ 14 – Organisatorische Aspekte und Rechtsschutz) verwiesen werden.

Zu Art. 2 Z 4 (§ 13a – „Inkraft- und Außerkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich in der neu eingefügten Bestimmung angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Art. 2 Z 5 (§ 14 – „Vollziehung“):

Die Vollziehung des § 12 Abs. 2 (Z 1) oblag bisher der Bundesministerin oder dem Bundesminister für Wirtschaft und Arbeit. Sowohl in der aktuellen Fassung als auch in der Fassung der Novelle, BGBl. I Nr. 164/2017, sieht das Bundesministeriengesetz 1986 eine ressortmäßige Trennung von Arbeit und Wirtschaft vor. Die Vollziehungsklausel des Ausländerbeschäftigungsgesetzes, BGBl. Nr. 218/1975, zeigt, dass die Materie dem Arbeits- und nicht dem Wirtschaftsressort zuzurechnen ist. Das Arbeitsressort wird nach der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz heißen. Hinsichtlich der Anwendung der sozialversicherungsrechtlichen Bestimmungen betreffend die Mitversicherung von Kindern ist die Zuständigkeit der Bundesministerin oder des Bundesministers für Arbeit, Soziales, Gesundheit und Konsumentenschutz offenkundig und bedarf keiner näheren Erläuterung.

Die Gewerbeordnung fällt nach der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, in die Zuständigkeit des Bundesministeriums für Digitalisierung und Wirtschaftsstandort. Dementsprechend war die Vollziehungsklausel zu § 12 Abs. 6 (Z 2) zu adaptieren.

In Z 3 war keine Anpassung erforderlich.

In Z 4 wurde der Namensänderung des Wissenschaftsressorts durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, Rechnung getragen.

Zu Artikel 3 (Änderung des Bundesgesetzes vom 14. Oktober 1921, betreffend die Akademie der Wissenschaften in Wien.):

Eine Anpassung datenschutzrechtlicher Begriffe ist – mangels Vorkommens – nicht erforderlich.

Zu Art. 3 Z 1, 2, 4 bis 6, 8 und 10 (Kurztitel und Überschriften):

Zur besseren Zitier- und Lesbarkeit werden ein offizieller Kurztitel, eine Abkürzung sowie Paragrafenüberschriften eingefügt.

Zu Art. 3 Z 3 (§ 1 – „Errichtung und Gegenstand“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 2 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für die Österreichische Akademie der Wissenschaften gelten.

Zu Art. 3 Z 7 (§ 4 – „Personal“):

Durch den neuen Abs. 2 soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, auch für die Gehilfinnen und Gehilfen der Österreichischen Akademie für Wissenschaften gilt. Zur näheren Begründung darf auf die detaillierten Ausführungen zu Art. 7 Z 14 (§ 14 – Organisatorische Aspekte und Rechtsschutz) verwiesen werden.

Zu Art. 3 Z 9 (Anpassung der Ressortbezeichnungen):

Zu Art. 3 Z 11 (§ 6 – „Inkraft- und Außerkrafttreten“):

Zu Artikel 4 (Änderung des DUK-Gesetzes 2004):

Zu Art. 4 Z 1 (Kurztitel):

Zur besseren Zitierbarkeit des DUK-Gesetzes 2004, BGBl. I Nr. 22/2004, wird eine Abkürzung eingefügt.

Zu Art. 4 Z 2 (§ 1 – „Geltungsbereich“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 2 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für die Donau-Universität Krems gelten.

Zu Art. 4 Z 3 (§ 5 – „Organisation und Studien“):

Durch den neuen Abs. 4 soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, auch für die Gehilfinnen und Gehilfen der Österreichischen Donau-Universität Krems gilt. Zur näheren Begründung darf auf die detaillierten Ausführungen zu Art. 7 Z 14 (§ 14 – Organisatorische Aspekte und Rechtsschutz) verwiesen werden.

Zu Art. 4 Z 4 (§ 16 – „In-Kraft-Treten und Außer-Kraft-Treten“):

Zu Art. 4 Z 5 (Anpassung der Ressortbezeichnungen):

Zu Artikel 5 (Änderung des Fachhochschul-Studiengesetzes):

Neben terminologischen Anpassungen aufgrund der Datenschutz-Grundverordnung, erfolgen Anpassungen aufgrund der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Art. 5 Z 1 bis 5, 7, 9, 11 und 15 (Inhaltsverzeichnis und Anpassung der Ressortbezeichnungen):

Zur besseren Lesbarkeit wird in Entsprechung der Legistischen Richtlinie 119 ein Inhaltsverzeichnis eingefügt.

Außerdem werden aufgrund der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, – in Kombination mit den Legistischen Richtlinien (LRL) insbesondere betreffend sprachliche Klarheit (LRL 7), Verständlichkeit (LRL 9), sprachliche Gleichbehandlung von Frau und Mann (LRL 10) sowie Anpassung von Verweisungen (LRL 72) – die Ressortbezeichnungen angepasst.

Zu Art. 5 Z 6 (§ 1 – „Anwendungsbereich“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 2 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Fachhochschul-Studiengesetzes gelten.

Zu Art. 5 Z 8 (§ 4 – „Studierende“):

Universitäten und Pädagogische Hochschulen verwenden das gleiche Matrikelnummernsystem. Ausgelöst durch die gemeinsam eingerichteten Lehramtsstudien mussten die Matrikelnummern gegenseitig übernommen werden. Voraussetzung dafür war eine eindeutige „Personen-ID“ und damit auch die Anbindung der Pädagogischen Hochschulen an den Datenverbund der Universitäten. Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten verwenden derzeit andere Personen-ID-Systeme. Durch die vorgeschlagene Änderung sollen nunmehr auch die Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten in ein einheitliches Matrikelnummernsystem einbezogen werden. Dies bedingt auch die Anbindung an den Datenverbund der Universitäten und Pädagogischen Hochschulen, was durch eine Novellierung des Bildungsdokumentationsgesetzes erfolgen soll. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet die Grundlage für die Administration von gemeinsam eingerichteten Studien und fördert die Durchlässigkeit, Administrierbarkeit und Praktikabilität.

Zu Art. 5 Z 10 (§ 13 – „Allgemeine Prüfungsmodalitäten“):

Neu aufgenommen wird ein Verweis, dass auf die Aufbewahrung von fachhochschulspezifischen Daten § 53 des Universitätsgesetzes 2002 anzuwenden ist. In dem Antrag der Abgeordneten Mag. Elisabeth Grossmann, Dr. Karlheinz Töchterle, Kolleginnen und Kollegen betreffend ein Bundesgesetz, mit dem das Hochschulgesetz 2005, das Schulorganisationsgesetz und das Land- und forstwirtschaftliche Bundesschulgesetz geändert werden sowie das Hochschul-Studienberechtigungsgesetz aufgehoben wird und das Universitätsgesetz 2002, das Fachhochschul-Studiengesetz, das Privatuniversitätengesetz und das Hochschul-Qualitätssicherungsgesetz geändert werden (2235/A) zu finden unter https://www.parlament.gv.at/PAKT/VHG/XXV/A/A_02235/index.shtml (29.12.2017) wird dazu ausgeführt:

„Neu aufgenommen wurde nunmehr eine Bestimmung, dass die Bezeichnung von Prüfungen und wissenschaftlichen sowie künstlerischen Arbeiten, die vergebenen ECTS-Anrechnungspunkte, die Beurteilung, die Namen der Prüferinnen oder Prüfer, das Datum der Prüfung und der Name und die Matrikelnummer der oder des Studierenden mindestens 80 Jahre in geeigneter Form aufbewahrt werden müssen. Dies kann auch in elektronischer Form erfolgen.“

Zu Art. 5 Z 12 und 13 (§ 23 – „Berichtswesen“):

In Abs. 4 erfolgt eine terminologische Anpassung an die Datenschutz-Grundverordnung. Der Begriff „Bereitstellung“ kann – angesichts seiner Verwendung in Art. 4 Nr. 2 DSGVO – beibehalten werden. Hinsichtlich des Datenbegriffs erfolgt allerdings eine Klarstellung, dass es sich um personenbezogene Daten iSd Art. 4 Nr. 1 DSGVO sowie sonstige Informationen handelt.

Mit Abs. 5 soll Rechtssicherheit für die in der Praxis erforderlichen Verarbeitungen geschaffen werden, insbesondere für die Fälle, in denen die Aggregationsgröße unter fünf sinkt (vgl. DSB 30.03.2015, DSB-D215.611/0003-DSB/2014; 22.05.2013, K213.180/0021-DSK/2013).

Zu Art. 5 Z 14 (§ 23a – „Datenschutz-Folgenabschätzungen“):

Durch diesen ausdrücklichen Hinweis soll klargestellt werden, dass die in den Anhängen 1 bis 3 bereits durchgeführten Datenschutz-Folgenabschätzungen gemäß Art. 35 Abs. 10 DSGVO von den Verantwortlichen nicht mehr durchgeführt werden müssen.

Zu Art. 5 Z 16 (§ 26 – „Inkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 10 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Art. 5 Z 17 (§ 27 – „Übergangsbestimmungen“):

Im Rahmen der Öffnungsklausel des Art. 9 Abs. 2 Buchstabe j DSGVO erfolgt eine Klarstellung, dass der Austausch sowohl von personenbezogenen Daten iSd Art. 4 Nr. 1 DSGVO als auch sonstigen Informationen zulässig ist.

Zu Artikel 6 (Änderung des Forschungs- und Technologieförderungsgesetzes):

Zu Art. 6 Z 1 (§ 1 – „Zielsetzungen“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 2 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Forschungs- und Technologieförderungsgesetzes gelten.

Zu Art. 6 Z 2, 3, 5, 7 bis 9, 11 bis 15 und 17 bis 20 (Anpassung der Ressortbezeichnungen):

Zu Art. 6 Z 4 (§ 2d – „Aufsicht über den Wissenschaftsfonds“):

Im Vergleich zur bestehenden Fassung, werden in Abs. 3 nicht nur die Ressortbezeichnungen aktualisiert, sondern nach dem Wort „Daten“ auch der Klammerausdruck „(§ 2b Z 5 FOG)“ eingefügt.

Zu Art. 6 Z 6 (§ 3d – „Vertraulichkeit“):

In Abs. 2 wurden folgende Änderungen vorgenommen:

– aus terminologischer Sicht wurden die Begriffe „Betroffene“ und „zugestimmt“ durch „betroffene Personen“ iSd Art. 4 Nr. 1 DSGVO sowie „eingewilligt“ iSd Art. 4 Nr. 11 DSGVO ersetzt;

– aus Gründen der Rechtssicherheit wurde vor dem Wort „Daten“ das Wort „Personenbezogene“ eingefügt, um klarzustellen, dass die normierten Anforderungen für nur für personenbezogene Daten gelten – auf nichtpersonenbezogene Daten ist die in dieser Bestimmung normierte Vertraulichkeit nicht anzuwenden;

– außerdem wurde aus Gründen der Rechtssicherheit klargestellt, dass das Wort „Dritte“ im Sinne des Art. 4 Nr. 10 DSGVO zu verstehen ist und bei dieser Gelegenheit auch das Vollzitat der Datenschutz-Grundverordnung aufgenommen.

Zu Art. 6 Z 10 (§ 8 – „Aufgaben des Präsidiums“):

Der kaufmännischen Vizepräsidentin oder dem kaufmännischen Vizepräsidenten des Wissenschaftsfonds kommt unter anderem die Aufgabe zu, den Corporate-Governance-Bericht zu veröffentlichen. Hiefür ist nach der einschlägigen EuGH-Judikatur, allerdings die datenschutzrechtliche Zustimmung, d.h. ab 25. Mai 2018 die Einwilligung gemäß Art. 4 Nr. 11 DSGVO, erforderlich. Zur leichteren Lesbarkeit soll in Abs. 3 Z 5 der Begriff der „Zustimmung“ durch den Begriff der „Einwilligung“ gemäß Art. 4 Nr. 11 DSGVO ersetzt werden.

Außerdem erfolgt eine Klarstellung, dass es sich bei den in den lit. a bis d genannten Daten um personenbezogene Daten handelt, durch die Einfügung des Wortes „personenbezogenen“ vor dem Wort „Daten“.

Zu Art. 6 Z 16 (§ 29 – „In- und Außer-Kraft-Treten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 7 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 7 (Änderung des Forschungsorganisationsgesetzes):

Eine Anpassung datenschutzrechtlicher Begriffe ist – mangels Vorkommens – nicht erforderlich.

Zu Art. 7 Z 1 bis 5, 8, 13 bis 26, 28 bis 46 und 48 bis 50 (Titel, Inhaltsverzeichnis, Artikelbezeichnungen, Überschriften und Anpassung der Ressortbezeichnungen):

Die Lesbarkeit des Forschungsorganisationsgesetzes soll insbesondere dadurch erhöht werden, dass eine den Legistischen Richtlinien entsprechende (Grob-)Gliederung vorgesehen wird. Außerdem werden veraltete Ressortbezeichnungen aktualisiert, Überschriften eingefügt und obsolete Bestimmungen (Z 50) aufgehoben.

Zu Art. 7 Z 6 (§ 1 – „Gegenstand und Ziele“):

Durch den vorgeschlagenen, neuen Abs. 3 wird der Gegenstand des Forschungsorganisationsgesetzes nun wesentlich erweitert und umfasst nun auch „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“. Damit sollen die im neuen 2. Abschnitt enthaltenen Durchführungsbestimmungen zur DSGVO auch umfasst sein, insbesondere um die Kontinuität im Anwendungsbereich des Art. 89 Abs. 1 DSGVO zu gewährleisten, wobei die förderrechtlichen Bestimmungen des Bundes durch die vorliegende Regierungsvorlage unberührt bleiben. Hintergrund ist der hohe Stellenwert von Wissenschaft und Forschung nicht nur in der Gesellschaft, wie etwa Art. 179 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV), ABl. Nr. C 326 vom 26.10.2012 S. 47, oder insbesondere auch die Datenschutz-Grundverordnung (siehe im Detail dazu oben: Allgemeiner Teil Punkt I) zeigen. Die Bedeutung von Wissenschaft und Forschung wird zukünftig sogar noch weiter zunehmen, wie eine aktuelle Studie des Weltwirtschaftsforums bereits für einen einzelnen Forschungsbereich, nämlich die künstliche Intelligenz, zeigt (https://www.weforum.org/agenda/2017/06/the-global-economy-will-be-14-bigger-in-2030-because-of-ai [10.08.2017]).

Die in Art. 89 Abs. 1 DSGVO genannten Zwecke sind nach Erwägungsgrund 159 DSGVO weit auszulegen und umfassen „beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung“, wie etwa industrielle Forschung (vgl. dazu unten: Erläuterungen zur Legaldefinition der wissenschaftlichen Einrichtungen gemäß § 2b Z 12 FOG). Außerdem ist nach Erwägungsgrund 159 DSGVO „dem in Artikel 179 Absatz 1 AEUV festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung [zu] tragen“.

Abs. 4 fügt eine generelle Verweisungsbestimmung entsprechend der Legistischen Richtlinie 62 ein.

Zu Art. 7 Z 7 (§ 2a – „Allgemeine Bestimmungen zur Durchführung“):

Durch die vorgeschlagene Bestimmung wird klargestellt, auf welcher Ebene die neuen Bestimmungen des Forschungsorganisationsgesetzes eingefügt werden sollen: Die im vorliegenden Abschnitt enthaltenen Bestimmungen sind grundsätzlich spezieller als die im Datenschutzgesetz enthaltenen Bestimmungen und gehen diesen daher vor, aber selbst wiederum allgemeiner als die in der vorliegenden Bestimmung angeführten Spezialgesetzen enthaltenen Bestimmungen und gehen diesen daher nach. Da es beispielsweise keine Bestimmung im Allgemeinen Sozialversicherungsgesetz, BGBl. Nr. 189/1955, gibt, die Registerforschung ausschließt, wären die Bestimmungen des FOG, insbesondere des 2. Abschnitts, auch auf Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 DSGVO im Anwendungsbereich des Allgemeinen Sozialversicherungsgesetzes, anzuwenden. Das gilt für sämtliche hier genannte Gesetze.

Zu Art. 7 Z 7 (§ 2b – „Begriffsbestimmungen“):

Der Begriff der Art‑89-Förder- und Zuwendungsstelle (Z 1) wird eingeführt, um insbesondere im Bereich der Fördervergabe Rechtssicherheit schaffen zu können. Es sollen darunter jedenfalls sämtliche Einrichtungen – ungeachtet ihrer Organisation und Rechtspersönlichkeit – verstanden werden, die die tatsächliche Abwicklung von Art‑89-Mitteln (Z 2) durchführen. Die Formulierung „natürliche oder juristische Personen, öffentliche Stellen, Behörden, Einrichtungen oder andere Stellen“ ist angelehnt an die Definition des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO, umfasst aber zusätzlich noch öffentliche Stellen. Aufgrund der vom Gemeinnützigkeitsgesetz 2015, BGBl. I Nr. 160/2015, gesetzten Anreize auch verstärkt private Mittel zur Förderung von Forschung und Wissenschaft zur Verfügung zu stellen, sollen die Art‑89-Förder- und Zuwendungsstellen jedenfalls auch private Einrichtungen umfassen. Allerdings muss der überwiegende Zweck einer Stelle in der Vergabe von Art‑89-Mitteln liegen, um als Art-89-Förder- und Zuwendungsstelle iSd vorliegenden Bestimmung gelten zu können. Es sollen nur „vergebende“ Stellen als Art‑89-Förder- und Zuwendungsstellen definiert werden. Dass auch „empfangende“ Stellen zur Abwicklung von Art‑89-Mitteln zur Erreichung der Ziele gemäß § 1 Abs. 2 Daten verarbeiten müssen, wird insbesondere durch § 2g Abs. 4 in der Fassung der vorliegenden Regierungsvorlage abgedeckt.

Art‑89-Förder- und Zuwendungsstellen sind

– zur Feststellung der Wirkungen der Tätigkeit von wissenschaftlichen Einrichtungen zur Hilfeleistung verpflichtet (§ 2e Abs. 3 Z 2),

– zur Feststellung der Wirkungen ihrer Tätigkeit auch unter Einbeziehung von Daten von öffentlichen Stellen und anderen Art‑89-Förder- und Zuwendungsstellen sowie zur Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen berechtigt (§ 2e Abs. 4),

– zu Zwecken der Förderung von Wissenschaft und Forschung sowie der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen zur Verarbeitung der in § 2g Abs. 1 genannten Daten berechtigt,

– verpflichtet, betroffene Personen über geplante Verarbeitungen gemäß § 2g Abs. 1 vorab – im Rahmen ihres Internetauftritts – zu informieren (§ 2g Abs. 6),

– soweit für Zwecke der Erfüllung ministerieller Aufsichtspflichten erforderlich, zur Bereitstellung von – auch personenbezogenen Auswertungen – an die zuständigen Bundesministerinnen und Bundesminister verpflichtet (§ 2h Abs. 2),

– im Übergangszeitraum gemäß § 38a Abs. 4, auch wenn sie sich in Drittländern befinden, zulässige Empfängerinnen von personenbezogenen Daten (§ 38a Abs. 4),

– zur Bereitstellung von Daten an die Mobilitäts- und Kooperationsdatenbank (§ 10a Abs. 5 Z 2 OeADG) verpflichtet.

Der Begriff der Art‑89-Förder- und Zuwendungsstelle umfasst insbesondere:

– Abwicklungsstellen gemäß § 12 Abs. 1 FTFG (lit. a), d.h. insbesondere „die Österreichische Forschungsförderungsgesellschaft mbH, die Austria Wirtschafts Service GmbH, den Wissenschaftsfonds oder andere geeignete Förderungseinrichtungen“,

– Begünstigte gemäß § 3 Abs. 1 des FTE-Nationalstiftungsgesetz (lit. b), wie etwa die Austria Wirtschaftsservice Gesellschaft mit beschränkter Haftung, die Christian-Doppler-Gesellschaft, der Fonds zur Förderung der wissenschaftlichen Forschung, die Ludwig-Boltzmann-Gesellschaft, die Österreichische Akademie der Wissenschaften oder die Österreichische Forschungsförderungsgesellschaft mbH,

– leistende Stellen gemäß § 16 TDBG 2012 (lit. c), d.h. inländische Einrichtungen, denen die Abwicklung von Leistungen im Sinne des § 4 Abs. 1 Z 1 lit. a bis e TDBG 2012 in Bezug auf Leistungsempfängerinnen oder Leistungsempfänger (§ 13 TDBG 2012) oder Leistungsverpflichtete (§ 14 TDBG 2012) obliegt, wobei im Anwendungsbereich der vorliegenden Regierungsvorlage als Beispiel die Studienbeihilfebehörde – samt Stipendienstellen – gemäß den §§ 32 ff StudFG zu nennen wäre, da diese gemäß § 35 Abs. 1 StudFG Förderungen iSd § 4 Abs. 1 Z 1 lit. c TDBG 2012 zu vergeben haben; aber auch Einrichtungen anderer Gebietskörperschaften als des Bundes – wie etwa Landesstellen – sind als leistende Stellen gemäß § 16 TDBG 2012 anzusehen, was sich nicht nur aus der weiten Definition der Leistung gemäß § 4 TDBG 2012 ergibt, sondern insbesondere auch aus § 29 Abs. 1 Z 4 TDBG 2012, wonach Mitteilungen über „Leistungen, für die ein Land, eine Gemeinde oder ein Gemeindeverband oder eine Einrichtung eines Landes, einer Gemeinde oder eines Gemeindeverbandes als leistende Stelle fungiert“ nicht verpflichtend sind, was im Umkehrschluss nur bedeuten kann, dass der Begriff der leistenden Stelle auch Landesstellen umfasst,

– die OeAD-GmbH gemäß § 1 des OeAD-Gesetzes, BGBl. I Nr. 99/2008, die nicht von lit. b (Begünstigten der Nationalstiftung für Forschung, Technologie und Entwicklung) umfasst ist, weil die Aufgabe der Nationalstiftung „die Förderung von Forschung, Technologie und Entwicklung in Österreich, insbesondere langfristig verwertbarer, interdisziplinärer Forschungsmaßnahmen“ ist, d.h. auch wenn die OeAD-GmbH grundsätzlich eine „vom Bund getragene Fördereinrichtung“ iSd § 3 Abs. 1 FTEG ist, bedarf es hier der ausdrücklichen Nennung in lit. d, weil die Aufgaben der OeAD-GmbH keine Förderung durch die Nationalstiftung gemäß § 2 FTEG erlauben,

– die Austrian-American Educational Commission (Fulbright Austria), deren Rechtsgrundlage in Art. 1 des Abkommens zwischen der österreichischen Bundesregierung und der Regierung der Vereinigten Staaten von Amerika, betreffend die Finanzierung gewisser Erziehungs- und Kulturaustauschprogramme, BGBl. Nr. 213/1963, besteht und die darin als „Österreichisch-Amerikanische Erziehungskommission“ bezeichnet wird, unter der Nummer 9110025276821 im Ergänzungsregister für sonstige Betroffene als Austrian-American Educational Commission eingetragen ist, in ihrer Rechtsgrundlage als so genannte binationale Organisation, die „zur Erleichterung der Durchführung eines Erziehungs- und Kulturprogramms geschaffen und eingerichtet wird, welches mit Mitteln, die der Kommission für den erwähnten Zweck zur Verfügung gestellt werden, finanziert wird“ bezeichnet wird und als binationale Organisation keine inländische Einrichtung iSd § 16 des Transparenzdatenbankgesetzes 2012 (TDBG 2012), BGBl. I Nr. 99/2012, und somit auch keine leistende Stelle gemäß § 16 TDBG 2012 ist, weshalb sie in einer eigenen lit. e – neben den leistenden Stellen gemäß lit. c – anzuführen ist,

– Privatstiftungen gemäß § 1 Abs. 1 des Privatstiftungsgesetzes, BGBl. Nr. 694/1993 (lit. f), wobei von der Generalklausel des Einleitungssatzes – „sämtliche Stellen, die Förderungen, Forschungsaufträge oder Aufträge für sonstige wissenschaftliche Untersuchungen […] vergeben“ – auch sämtliche andere juristische Personen des Privatrechts umfasst sind,

– Stiftungen gemäß § 2 Abs. 1 des Bundes-Stiftungs- und Fondsgesetzes 2015, BGBl. I Nr. 160/2015 (lit. g), wie etwa die Marshallplan-Jubiläumsstiftung oder

– Substiftungen gemäß § 4 Abs. 5 ISBG (lit. h).

Die Reihung der Literae erfolgt nach alphabetischer Reihenfolge. Voraussetzung für die Eigenschaft als Art‑89-Förder- und Zuwendungsstelle ist immer die Vergabe von Art‑89-Mitteln für sonstige wissenschaftliche Untersuchungen zur Erreichung der Ziele gemäß § 1 Abs. 2, d.h.

– der Gewinnung, Erweiterung und Vertiefung wissenschaftlicher Erkenntnisse (§ 1 Abs. 2 Z 1) oder

– des verantwortlichen Beitrags zur Lösung sozialer, wirtschaftlicher, kultureller und wissenschaftlicher Problemstellungen, vor allem zur Sicherung und Hebung der allgemeinen Lebensqualität und der wirtschaftlichen Entwicklung (§ 1 Abs. 2 Z 2) oder

– der raschen Verbreitung und Verwertung der Ergebnisse von Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 DSGVO (§ 1 Abs. 2 Z 3) oder

– der Förderung des wissenschaftlichen Nachwuchses, insbesondere der Erhöhung des Frauenanteils im Bereich des universitären und außeruniversitären wissenschaftlichen Nachwuchses (§ 1 Abs. 2 Z 4) oder

– der Schaffung, der für eine positive Entwicklung von Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 DSGVO notwendigen Rechtssicherheit.

Der vorgeschlagenen Big Data-Definition (Z 3) wird die Definition des National Institutes of Standards and Technology (NIST) vom September 2017 zugrunde gelegt (vgl. NIST, NIST Big Data Interoperability Framework: Volume 1, Definitions; http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-1.pdf [09.01.2018]). Demnach wurde der Begriff „Big Data“ für (neue) Datensätze geprägt, die aufgrund ihrer

– Größe,

– Vielfalt,

– Schnelligkeit und

– Dynamik, insbesondere hinsichtlich ihrer Struktur,

mit herkömmlichen Architekturen nicht verarbeitet werden können (NIST Big Data Interoperability Framework: Volume 1, Definitions, 4).

Der Forschungs- und Technologiebericht 2017 führt auf den Seiten 97 f Folgendes zu Big Data aus:

„Die Menge an Daten, die in der Wissenschaft, Wirtschaft und Gesellschaft produziert wird, steigt exponentiell an. Daten, die von Sensoren in Mobiltelefonen oder Kraftfahrzeugen gesammelt werden, können hier ebenso angeführt werden wie gespeicherte Daten in sozialen Netzwerken oder Finanztransaktionen. Studien beziffern, dass lt. den jüngsten zur Verfügung stehenden Daten (Stand 2014) rd. 4,4 Zettabyte an elektronischen Daten existieren und bei weiter steigenden jährlichen Wachstumsraten bis zum Jahr 2020 40 Zettabyte Daten generiert werden.[…] Dieser Trend – auch als Big Data bezeichnet – wird als großes Potenzial innerhalb der Wissenschaft gesehen, um neuartige Forschungsfragen zu beantworten. Bislang hat sich die Forschung dabei vor allem mit der Frage befasst, wie die riesigen und heterogenen Datenmengen nicht nur analysiert, sondern auch langfristig archiviert, transferiert und durch innovative Technologien und Applikationen genutzt werden können.

In den Biowissenschaften und der Medizin kann etwa eine Reihe von Projekten und Initiativen angeführt werden, die versuchen, Daten zu kombinieren, zu verwalten und für unterschiedliche Anwendungen weltweit verfügbar zu machen.[…] Dies geht einher mit neuartigen verteilten Rechnerarchitekturen und -systemen, wie etwa dem Grid Computing, einer Form des verteilten Rechnens, bei der die Rechnerkapazitäten mehrerer Computer gleichzeitig genutzt werden. Die Nutzung und Aufbereitung dieser Daten, beispielsweise durch die Identifikation unerwarteter Zusammenhänge in den Datenstrukturen, die Interpretation von empirischen Befunden oder der Formulierung neuartiger Forschungsfragen wird dabei als eine zentrale Herausforderung für die öffentliche und private Forschung gesehen. […]

Die Europäische Kommission fördert in Horizon 2020 Big-Data-Projekte und hat in der Programmlinie Informations- und Kommunikationstechnologien Schwerpunkte zur Förderung von Big Data gesetzt. Auch die European Grid Infrastructure Initiative kann hier angeführt werden. […] Diese E-Infrastruktur, deren Aufbau durch die Europäische Kommission unterstützt wird, verbindet europäische ForscherInnen durch eine gemeinsame Daten- und Rechnerstruktur. Während sich die aktuelle Diskussion um Big Data hauptsächlich um die Analyse unstrukturierter Daten dreht, sind in der Forschung auch große Mengen von strukturierten Daten von Bedeutung. Hier kann der Large Hadron Collider (LHC) am CERN angeführt werden, der nach dem Prinzip von Open Data seit 2009 große Datenmengen der Forschungsgemeinschaft zur Verfügung stellt. Mit dem LHC Computing Grid (LCG) wird eine verteilte Rechner- und Speicher-Netzwerk-Infrastruktur für die Experimente am Large Hadron Collider bereitgestellt.

Die Bioinformatik zählt zu den frühen Anwendern von Big und Open Data. […]

In Österreich werden seit 2013 unter dem Programmdach „IKT der Zukunft“ Big-Data-Projekte von Seiten des BMVIT gefördert. Big Data ist etwa für Mobilitätsanwendung von Relevanz. Am Austrian Institute of Technology werden im Rahmen eines Real Time Data Analytics Projekts große Datenmengen für die Entwicklung von Mobilitätsanwendungen verarbeitet. JOANNEUM RESEARCH hat im Rahmen eines Projekts eine offene Plattform für interoperable Dienste entwickelt, die ein intelligentes, ereignisgesteuertes Management von sehr großen Datenmengen und vielfältigen Informationsflüssen in Krisensituationen ermöglicht. Hier beschäftigen sich Forschungsgruppen weiters mit der Satellitenbildauswertung in der Fernerkundung. Dabei werden Daten mit modernen Algorithmen weiterverarbeitet und punktuell validiert („IKT der Zukunft“, Leitprojekt Data Market Austria […]). Mit dem Projekt Prepare4EODC kann ein weiteres Projekt angeführt werden, bei dem unter der Koordination der Technischen Universität Wien in Kooperation mit weiteren Partnern aus der Wissenschaft, der öffentlichen Hand als auch der Privatwirtschaft Erdbeobachtungsdaten für die Beobachtung globaler Wasserressourcen nutzbar gemacht werden. Auch für die Stadtplanung und -entwicklung werden im Rahmen von laufenden Smart-Cities-Projekten unterschiedlichste Daten kombiniert und für innovative Anwendungen genutzt, finanziert unter anderem durch die FFG.“

In diesem Zusammenhang soll der Begriff „Open Data“, der von verschiedenen Akteuren unterschiedlich verstanden und behandelt wird, als das Bereitstellen von Daten (Z 5) öffentlicher Stellen (Z 8) für die Allgemeinheit, wie insbesondere Unternehmen verstanden werden. In Österreich ist Open Data sehr stark im Diskurs von Open Government verankert. Darunter versteht man die digitale Öffnung von Regierung und Verwaltung gegenüber der Bevölkerung und der Wirtschaft, insbesondere durch Web 2.0 Technologien. Das beinhaltet auch, aber nicht nur die Bereitstellung von Daten, die seitens der öffentlichen Hand bzw. deren Agenturen und umsetzenden Einrichtungen im öffentlichen Interesse erhoben bzw. gefördert werden. (aus „OPEN FTI DATA POLICY – IMPLIKATIONEN FÜR DIE OPEN FTI-GOVERNANCE“ S. 9; https://www.bmvit.gv.at/innovation/publikationen/forschungspolitik/downloads/open_fti_data_policy_endbericht.pdf [25.02.2018]).

Citizen Science (Z 4) ist als Teil von Open Science (Z 9) zu verstehen (Forschungs- und Technologiebericht 2017, 87). Die vorgeschlagene Definition geht auf die Stellungnahme des ERA Portal Austria vom Dezember 2015 zu Open Science (ERA Portal Austria, https://era.gv.at/object/document/2279/attach/ERA_Open_Science_POLICY_BRIEF_December_2015.pdf [09.01.2018]) zurück (vgl. Seite 6 der ERA-Stellungnahme). Darin wird die Verknüpfung zwischen Open Science und Citizen Science hergestellt: während es bei Open Science um Partizipation geht, geht es bei Citizen Science um Impulse für die Wissenschaft aus der nichtwissenschaftlichen Welt. Im Rahmen von Citizen-Science-Projekten können Menschen nicht nur ihre Arbeitskraft und Denkleistung zur Verfügung stellen, sondern beispielsweise auch sich – im Wege von Crowdfunding – als Financiers beteiligen. Als eines der bekanntesten Citizen-Science-Projekte kann die Online-Enzyklopädie, Wikipedia angesehen werden.

Die Definition der Daten in Z 5 soll klarstellen, dass immer, wenn in gesetzlichen Bestimmungen auf den Begriff „Daten“ verwiesen wird, nicht notwendigerweise nur, jedenfalls aber auch, personenbezogene Daten umfasst sind. Damit entspricht der Begriff „Daten“ – nicht jedoch der Begriff „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) – dem Informationsbegriff im Sinne der Datenschutz-Grundverordnung (siehe insbesondere: Erwägungsgrund 26 DSGVO, Art. 4 Nr. 1, Art. 12, Art. 13 Abs. 2 DSGVO). Dass sich Informationen auf personenbezogene sowie nichtpersonenbezogene Daten bezieht, zeigt Erwägungsgrund 26 DSGVO, wonach „[d]ie Grundsätze des Datenschutzes […] für alle Informationen gelten [sollten], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen [… hingegen] nicht für anonyme Informationen […], d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Die vorgeschlagene Klarstellung zum Datenbegriff gilt jedenfalls für die in § 1 Abs. 4 in der Fassung der vorliegenden Regierungsvorlage genannten Gesetze bzw. die aufgrund dieser Regierungsvorlage zu ändernden Gesetze, wie etwa:

– § 9 Abs. 3 des Forschungsförderungsgesellschaftsgesetzes,

– § 31 Abs. 4 des Hochschul-Qualitätssicherungsgesetzes,

– § 4 Abs. 6 Z 7 des Innovationsstiftung-Bildung-Gesetzes,

– § 39 Abs. 5 des Studienförderungsgesetzes,

– § 33 Abs. 1 des Tierversuchsgesetzes 2012 oder

– § 13a Abs. 4 des Universitätsgesetzes 2002.

Auch der Begriff „Informationen“ ist nach der DSGVO (Art. 4 Nr. 1 DSGVO) so zu verstehen, dass er sowohl personenbezogene als auch nichtpersonenbezogene Daten umfasst.

Der Begriff des Forschungsmaterials (Z 6) wird eingeführt, um größtmögliche Rechtssicherheit für bestehende und zukünftige Archive bzw. sonstige Sammlungen, die für wissenschaftliche Zwecke genutzt werden können, zu schaffen. Der Begriff der körperlichen Sache ist im zivilrechtlichen Sinne, d.h. insbesondere im Sinn der §§ 285 und 292 des Allgemeinen bürgerlichen Gesetzbuches auszulegen.

Die Definition der Mobilität in Z 7 wurde angesichts des neuen § 10a des OeAD-Gesetzes über die zentrale Mobilitäts- und Kooperationsdatenbank aufgenommen. Vereinfacht gesagt entspricht eine Mobilität einem Auslandsaufenthalt (arg: „grenzüberschreitend“). Eine Person kann somit mehreren Mobilitäten zugeordnet sein, nicht aber eine Mobilität mehreren Personen.

Der bisherige (auch wissenschaftliche) Diskurs hat gezeigt, dass große Unklarheiten hinsichtlich der Definition des Begriffs der „öffentliche Stelle“ existieren. Es soll daher in Z 8 durch den Verweis auf die § 4 Z 1 des Informationsweiterverwendungsgesetzes (IWG), BGBl. I Nr. 135/2005, eine Klarstellung vorgenommen werden.

Der Begriff der öffentlichen Stelle ist vor allem iZm der Strafbefreiung gemäß § 30 Abs. 5 DSG von Bedeutung. Aber auch in der vorliegenden Regierungsvorlage wird an vielen Stellen auf ihn verwiesen, wie etwa in:

– § 2e Abs. 1 („Qualitätsmanagement“) iZm dem optimalen Mitteleinsatz öffentlicher Stellen,

– § 2e Abs. 3 („Qualitätsmanagement“) iZm der Übermittlungspflicht von öffentlicher Stellen,

– § 2g Abs. 1 („Verarbeitungen durch Art‑89-Förder- und Zuwendungsstellen“) als zulässige Empfängerinnen von Förderunterlagen (vgl. zum Begriff der Förderunterlagen: § 2g Abs. 1 Z 1),

– § 2h Abs. 2 („Erhöhung der Transparenz bei Verarbeitungen gemäß Art. 89 DSGVO“) iZm der Übermittlungspflicht von Art‑89-Förder- und Zuwendungsstellen, die gleichzeitig öffentliche Stellen sind,

– § 2j Z 1 lit. d („Internationalität von Verarbeitungen gemäß Art. 89 DSGVO“) als zulässige Empfängerinnen von personenbezogenen Daten, die gemäß den §§ 5 ff verarbeitet werden, im EU-Ausland sowie Drittländern,

– § 2k Abs. 1 („Organisatorische Aspekte und Rechtsschutz“) iZm der Stellung von Datenschutzbeauftragten im Ressortbereich des Bundesministeriums für Bildung, Wissenschaft und Forschung,

– § 2k Abs. 2 Z 2 („Organisatorische Aspekte und Rechtsschutz“) iZm der Strafbefreiung auch für die Gehilfinnen und Gehilfen von öffentlichen Stellen,

– § 2k Abs. 4 („Organisatorische Aspekte und Rechtsschutz“) iZm – durch die vorliegenden Erläuterungen – bereits erfüllten Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen sowie

– § 76 Abs. 4 StudFG („Vollziehung“) iZm der Stellung von Datenschutzbeauftragten im Ressortbereich des Bundesministeriums für Bildung, Wissenschaft und Forschung.

Grund für die aufgetretenen Unklarheiten ist eine fehlende Definition in der Datenschutz-Grundverordnung. Auch das Datenschutz-Anpassungsgesetz 2018 sieht keine Definition der öffentlichen Stelle vor.

Verschärft wird das Problem dadurch, dass selbst die Datenschutzbehörde in ihrem Leitfaden zur DSGVO (https://www.dsb.gv.at/documents/22758/116802/DSGVO-2016-Leitfaden.pdf/93d6cb80-8d8e-433d-a492-a827e3ed81a2 [14.10.2017]) festhält, dass sie „keine konkrete Einzelfallprüfung vor- bzw. vorwegnehmen [kann], ob eine Stelle als öffentliche Stelle anzusehen ist oder nicht“. Anhaltspunkte was unter einer „öffentlichen Stelle“ zu verstehen sei, liefere nach Ansicht der Datenschutzbehörde das Datenschutz-Anpassungsgesetz 2018, das in § 26 Abs. 1 DSG den Verantwortlichen des öffentlichen Bereichs wie folgt definiert:

„[…] Verantwortliche des öffentlichen Bereichs sind alle Verantwortliche,

1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder

2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.“

Die Datenschutzbehörde verweist in diesem Zusammenhang auch auf den Begriff der „öffentlichen Stelle“ im deutschen Bundesdatenschutzgesetz. Dieser lautet in der Fassung des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU, Bundesgesetzblatt Teil I 2017 Nr. 44 05.07.2017 S. 2097, wie folgt:

„§ 2

Begriffsbestimmungen

(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindesverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stelle des Bundes, wenn

1. sie über den Bereich eines Landes hinaus tätig werden oder

2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.

Andernfalls gelten sie als öffentliche Stellen der Länder.“

Im Vergleich zu § 26 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 zeigt sich, dass die Definition des § 2 des deutschen Bundesdatenschutzgesetzes in der Fassung des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU sehr wohl auch (privatwirtschaftlich tätige) Ausgliederungen und Unternehmen der öffentlichen Hand umfasst, auch wenn diese nicht (nur) hoheitlich tätig werden. Zudem definiert § 26 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 nicht den Begriff der „öffentlichen Stelle“, sondern den Begriff des „Verantwortlichen des öffentlichen Bereichs“. Dieser Begriff wird im DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 wie folgt verwendet:

– in § 10 Abs. 1, 2 und 4 leg. cit. in Zusammenhang mit der Verarbeitung personenbezogener Daten im Katastrophenfall,

– in § 14 Abs. 2 leg. cit. in Zusammenhang mit den Aufgaben des Datenschutzrates und

– in § 26 Abs. 2 und 3 leg. cit. in Zusammenhang mit der Parteistellung in Verfahren vor der Datenschutzbehörde, dem Bundesverwaltungsgericht und dem Verwaltungsgerichtshof.

Eine darüberhinausgehende Bedeutung scheint dem Begriff des „Verantwortlichen des öffentlichen Bereichs“ nicht zuzukommen. Auch der DSGVO ist dieser Begriff nicht bekannt und kann somit nicht zur Interpretation des – in der DSGVO verwendeten – Begriffs der „öffentlichen Stelle“ herangezogen werden.

Zudem verlangen nach „ständiger Rechtsprechung [des Europäischen Gerichtshofs] die einheitliche Anwendung des [Unions]rechts und der Gleichheitssatz, dass Begriffe einer Vorschrift des [Union]srechts, die für die Ermittlung ihres Sinnes und ihrer Bedeutung nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Gemeinschaft autonom und einheitlich ausgelegt werden, wobei diese Auslegung unter Berücksichtigung des Regelungszusammenhangs und des mit der Regelung verfolgten Zweckes zu ermitteln ist“ (EuGH 27.02.2003, C-373/00, ECLI:EU:C:2003:110, Adolf Truley Rz 35; 19.11.2000, C-357/98, ECLI:EU:C:2000:604, Yiadom Rz 26; 19.09.2000, C-287/98, ECLI:EU:C:2000:468, Linster Rz 43).

Auf unionsrechtlicher Ebene sind folgende Definitionen der „öffentlichen Stelle“ zu finden:

– Art. 3 Nr. 1 der Richtlinie (EU) 2016/2102 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen, wonach eine „öffentliche Stelle“, „den Staat, die Gebietskörperschaften, die Einrichtungen des öffentlichen Rechts im Sinne der Definition in Artikel 2 Absatz 1 Nummer 4 der Richtlinie 2014/24/EU oder Verbände, die aus einer oder mehreren solcher Körperschaften oder Einrichtungen des öffentlichen Rechts bestehen, sofern diese Verbände zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben nicht gewerblicher Art zu erfüllen“ bezeichnet.

– Art. 2 Nr. 1 und 2 der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors, ABl. Nr. L 345 vom 31.12.2003 S. 90, die „öffentliche Stelle“ als „den Staat, Gebietskörperschaften, Einrichtungen des öffentlichen Rechts und Verbände, die aus einer oder mehreren dieser Körperschaften oder Einrichtungen bestehen“ definiert und die „Einrichtung des öffentlichen Rechts“ als „eine Einrichtung, die

a) zu dem besonderen Zweck gegründet wurde, im Allgemeininteresse liegende Aufgaben zu erf[ü]llen, die nicht gewerblicher Art sind, und

b) Rechtspersönlichkeit besitzt und

c) überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert wird oder hinsichtlich ihrer Leitung der Aufsicht durch letztere unterliegt oder deren Verwaltungs-, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt worden sind“ definieren.

Da die Datenschutz-Grundverordnung in Erwägungsgrund 154 im Zusammenhang mit der Auslegung des Begriffs der „öffentlichen Stelle“ auf die Richtlinie 2003/98/EG verweist, soll für die Anwendung der Datenschutz-Grundverordnung auf die Definition gemäß Art. 2 RL 2003/98/EG zurückgegriffen werden.

Die österreichische Umsetzung des Art. 2 RL 2003/98/EG findet sich in § 4 Z 1 IWG, der den Begriff „öffentliche Stelle“ wie folgt definiert:

„1. öffentliche Stelle:

a) der Bund,

b) bundesgesetzlich eingerichtete Selbstverwaltungskörperschaften,

c) Einrichtungen auf bundesgesetzlicher Grundlage wie Stiftungen, Privatstiftungen, Fonds und Anstalten sowie sonstige Körperschaften des öffentlichen Rechts, die

— zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind und

— zumindest teilrechtsfähig sind und

— überwiegend vom Bund, von anderen Einrichtungen auf bundesgesetzlicher Grundlage oder von sonstigen öffentlichen Stellen (Art. 2 Z 1 der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors, ABl. Nr. L 345 vom 31.12.2003 S. 90) finanziert werden oder hinsichtlich ihrer Leitung der Aufsicht durch diese unterliegen oder deren Verwaltungs-, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die vom Bund, von anderen Einrichtungen auf bundesgesetzlicher Grundlage oder von sonstigen öffentlichen Stellen (Art. 2 Z 1 der Richtlinie 2003/98/EG) ernannt worden sind,

d) Unternehmungen im Sinne des Art. 126b Abs. 2 B‑VG, des Art. 127 Abs. 3 B‑VG und des Art. 127a Abs. 3 B‑VG, die

— zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind und

— überwiegend von Bund, Ländern, Gemeinden oder anderen Einrichtungen auf bundes- oder landesgesetzlicher Grundlage finanziert werden oder hinsichtlich ihrer Leitung der Aufsicht durch diese unterliegen oder deren Verwaltungs-, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die von Bund, Ländern, Gemeinden oder anderen Einrichtungen auf bundes- oder landesgesetzlicher Grundlage ernannt worden sind, wobei das Erfordernis der Gemeindeeinwohnerzahl von 10.000 für Unternehmungen gemäß Art. 127a Abs. 3 B-VG unbeachtlich ist,

e) Verbände, die sich überwiegend aus zwei oder mehreren öffentlichen Stellen gemäß lit. a bis d zusammensetzen“.

Vor diesem Hintergrund ist daher die Definition des § 4 Z 1 IWG auch für den Bereich der Wissenschaft und Forschung zu verwenden. Als Beispiele für öffentliche Stellen wären u.a.

– die Geologische Bundesanstalt gemäß § 18,

– die Zentralanstalt für Meteorologie und Geodynamik gemäß § 22,

– die Austria Wirtschaftsservice Gesellschaft mit beschränkter Haftung gemäß Austria Wirtschaftsservice-Gesetz,

– die Österreichische Forschungsförderungsgesellschaft mbH gemäß Forschungsförderungsgesellschaftsgesetz,

– der Wissenschaftsfonds gemäß § 2 FTFG,

– die Österreichische Akademie der Wissenschaften nach dem ÖAW-Gesetz,

– das Institute of Science and Technology Austria gemäß IST-Austria-Gesetz,

– die Psychologische Studierendenberatung gemäß § 68a des Studienförderungsgesetzes 1992,

– die Universitäten gemäß § 6 des Universitätsgesetzes 2002, und zwar auch, wenn sie in drittmittelfinanzierten Projekten tätig werden und die gesamte Drittmittelfinanzierung die Finanzierung durch die öffentliche Hand übersteigen sollte, weil gemäß § 9 UG die Rechtsaufsicht des Bundes vorgesehen ist und somit der zweite Spiegelstrich von § 4 Z 1 lit. d IWG jedenfalls erfüllt ist,

– die Privatuniversitäten nach Universitäts-Akkreditierungsgesetz, BGBl. I Nr. 168/1999 sowie Privatuniversitätengesetz aufgrund der Aufsicht über diese gemäß § 29 des Hochschul-Qualitätssicherungsgesetzes, weshalb der zweite Spiegelstrich von § 4 Z 1 lit. d IWG jedenfalls erfüllt ist,

– die Fachhochschulstudiengänge gemäß Fachhochschul-Studiengesetz, aufgrund der Aufsicht über diese gemäß § 29 des Hochschul-Qualitätssicherungsgesetzes, weshalb der der zweite Spiegelstrich von § 4 Z 1 lit. d IWG jedenfalls erfüllt ist,

– die Donau-Universität Krems nach dem DUK-Gesetz 2004,

– die Psychologische Studierendenberatung gemäß § 68a des Studienförderungsgesetzes 1992,

– das Land Niederösterreich gemäß § 34 Z 1 lit. a des NÖ Auskunftsgesetzes in seiner Rolle als Rechtsträger von Krankenanstalten,

– die Innovationsstiftung für Bildung gemäß Innovationsstiftung-Bildung-Gesetz oder

– die OeAD-GmbH nach dem OeAD-Gesetz

zu nennen.

Vor dem Hintergrund des § 4 Z 1 lit. d IWG sind auch private Rechtsträger, wie etwa die Christian-Doppler-Gesellschaft oder die Ludwig-Boltzmann-Gesellschaft als öffentliche Stellen anzusehen, wenn sie

– zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind,

– Rechtspersönlichkeit besitzen und

– überwiegend aus öffentlichen Mitteln finanziert werden oder hinsichtlich ihrer Leitung der Aufsicht durch den Bund, die Länder, die Gemeinden oder andere Einrichtungen auf bundes- oder landesgesetzlicher Grundlage, unterliegen.

An dieser Sicht vermag auch der Erwägungsgrund 10 der RL 2003/98/EG nichts zu ändern, weil § 4 Z 1 lit. d IWG, der auch Unternehmungen umfasst, eine zulässige Umsetzung des Art. 2 Nr. 1 und 2 RL 2003/98/EG darstellt.

Dem Begriff der öffentlichen Stelle ist ein organisatorisches Begriffsverständnis zugrunde zu legen. Dies ergibt sich insbesondere aus § 2k Abs. 2 Z 2 FOG, wonach sich die Straffreiheit gemäß § 30 Abs. 5 DSG jedenfalls auch auf die Gehilfinnen und Gehilfen von öffentlichen Stellen und Behörden erstreckt. Damit wird nämlich eine funktionelle Sicht – für die Fälle der Beauftragung – ausdrücklich vorgesehen. Da in § 14 Abs. 2 Z 3 die funktionelle Sicht – ausdrücklich – vorgesehen werden muss, ergibt sich im Umkehrschluss, dass diese funktionelle Sicht aufgrund der vorliegenden Definition der öffentlichen Stelle nicht besteht.

Durch den Verweis auf den gesamten § 4 Z 1 IWG – und nicht bloß einzelne Literae des § 4 Z 1 IWG – umfasst der Begriff der öffentlichen Stelle im Sinne der vorliegenden Regierungsvorlage auch Verbände, die sich überwiegend aus anderen öffentlichen Stellen zusammensetzen. Solche Verbände können beispielsweise Tochtergesellschaften sein.

Durch lit. a wird klargestellt, dass auch ausländische öffentliche Stellen, wie etwa öffentliche Stellen aus anderen Mitgliedstaaten der Europäischen Union oder Drittländern oder die Kommission nach dem Abkommen zwischen Österreich und Amerika betreffend die Finanzierung gewisser Erziehungs- und Kulturaustauschprogramme, BGBl. Nr. 213/1963, („Fulbright Commission“) ebenfalls als öffentliche Stellen im Sinne der vorliegenden Bestimmung anzusehen sind. Dass der Begriff der öffentlichen Stelle nach der RL 2003/98/EG auch ausländische öffentliche Stellen umfassen muss, ergibt sich bereits aus dem unionsrechtlichen Charakter des Art. 2 RL 2003/98/EG, der zwangsläufig nicht nur österreichische, sondern auch öffentliche Stellen aller anderen Mitgliedstaaten umfasst. Unter diese Bestimmungen fallen somit insbesondere auch Botschaften und konsularische Vertretungen. Es sind aber nicht nur ausländische öffentliche Stellen von dem Begriff der öffentlichen Stelle umfasst, sondern auch internationale öffentliche Stellen. Voraussetzung ist immer, dass die Finanzierung überwiegend durch die öffentliche Hand erfolgt (§ 4 Z 1 lit. c dritter Spiegelstrich IWG). Durch die Formulierung „und internationale“ fallen auch sonstige internationale Organisationen, die – im Gegensatz zu den internationalen Organisationen gemäß lit. b – auch aus privaten Rechtsträgern bestehen können, unter die Definition der öffentlichen Stelle gemäß lit. a.

§ 4 Abs. 1 lit. c IWG bezieht sich auch auf „sonstige Körperschaften des öffentlichen Rechts“. Diese Formulierung ist in der Definition der öffentlichen Stelle auf unionsrechtlicher Ebene (Art. 1 Nr. 1 und 2 RL 2003/98/EG) nicht enthalten. Insbesondere aus Erwägungsgrund 16 RL 2003/98/EG, wonach die „Zielvorgabe [das ist die Offenlegung allgemein verfügbarer Dokumente] für Institutionen auf allen Ebenen, das heißt auf lokaler, nationaler und internationaler Ebene” gilt, ist abzuleiten, dass auch internationale Organisationen unter den Begriff der öffentlichen Stelle zu subsumieren sind, wenn die Finanzierung überwiegend durch die öffentliche Hand erfolgt. Um sämtliche Zweifel in dieser Hinsicht zu beseitigen, soll durch lit. b ausdrücklich klargestellt werden, dass auch internationale Organisationen, die die Finanzierungserfordernisse, d.h. die überwiegende Finanzierung durch die öffentliche Hand, erfüllen, als öffentliche Stellen iSd DSGVO anzusehen sind. Dazu wird auf die Definition der internationalen Organisation in Art. 4 Nr. 17 DSGVO verwiesen, die wie folgt lautet:

„eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde“.

Durch die ausdrückliche Definition in der DSGVO ist eine Bezugnahme auf nationale Definitionen wie etwa in § 2 Z 11 des Grundsteuergesetzes 1955 (GrStG 1955), BGBl. Nr. 149/1955, oder in § 1 Abs. 7 des Bundesgesetzes vom 14. Dezember 1977 über die Einräumung von Privilegien und Immunitäten an internationale Organisationen, BGBl. Nr. 677/1977, ausgeschlossen. Einrichtungen, die auf Grundlage einer Übereinkunft zwischen zwei oder mehr Ländern geschaffen wurden und somit als internationale Organisationen anzusehen sind, sind beispielsweise die Europäische Union oder europäische Forschungsinfrastrukturen („ERIC“) nach der Verordnung (EG) Nr. 723/2009 über den gemeinschaftlichen Rechtsrahmen für ein Konsortium für eine europäische Forschungsinfrastruktur (ERIC), ABl. Nr. L 206 vom 08.08.2009 S. 1.

Durch Open Science (Z 9) sollen Wissenschaft, Gesellschaft und Wirtschaft neue Möglichkeiten im Umgang mit wissenschaftlichen Erkenntnissen eröffnet werden. Das Ziel ist, die Qualität der Forschung zu verbessern und Art‑89-Mittel effizienter einzusetzen.

Open Science beruht auf folgenden vier Grundprinzipien:

– Transparenz,

– Reproduzierbarkeit,

– Wiederverwendbarkeit (Reproducibility) und

– offene Kommunikation.

Darüber hinaus ist „Offenheit“ (Openness) ein zentraler Begriff bei all den Versuchen, die Rolle von Innovation und Wissen im digitalen Zeitalter neu zu definieren.

Ebenfalls von Interesse ist in diesem Zusammenhang der Begriff „Open Innovation“, d.h. die gezielte und systematische Überschreitung der Grenzen von Organisationen, Branchen und Disziplinen, um neues Wissen zu generieren und neue Produkte, Services oder Prozesse zu entwickeln. Zusammengefasst soll unter „Open Innovation“ das Erwerben und Teilen von Wissen, um die eigene Innovationsfähigkeit zu steigern, verstanden werden. Dabei werden häufig Online-Werkzeuge und -Plattformen genutzt, auf denen sich Wissensgeberinnen und -geber vernetzen und zusammenarbeiten können. Vor allem Anwenderinnen und Anwendern kommt dabei eine wachsende Bedeutung zu: User, User Crowds und User Communities können Bedürfnisse, Problemstellungen und Lösungen in die Innovationsprozesse von Unternehmen, Wissenschaft und öffentlicher Verwaltung einbringen und erhöhen somit die Erfolgsrate von Innovationen. Wissen kann so in eine Organisation dringen. Gleichzeitig kann die Gesellschaft Innovationsprozesse aktiv mitgestalten. Für das Innovationssystem bedeutet Open Innovation somit, dass Zivilgesellschaft, Wissenschaft, Unternehmen und Verwaltung (Quadruple Helix-Modell) in dynamischen, vielfältigen Innovations-Ökosystemen online wie offline zusammenarbeiten. Vor allem durch die Diversität der Akteurinnen und Akteure steigt die Chance, wirklich neuartiges Wissen und mehr radikale Innovation zu schaffen. Voraussetzung dafür ist eine Open Innovation-Kultur, die auch das sinnvolle und selektive Teilen von Forschungsergebnissen und Daten unterstützt. Durch Open Innovation werden somit Barrieren in Forschung, Entwicklung und Innovation abgebaut und eine Innovationsdynamik erzeugt, die mit traditionellen Methoden nicht zu erreichen ist. (siehe: Open Innovation Strategie S. 35; http://openinnovation.gv.at/wp-content/uploads/2016/08/Open-Innovation-barrierefrei.pdf [25.02.2018]).

Ein Teil der von Art. 89 Abs. 1 DSGVO erfassten Tätigkeiten sind Forschung und experimentelle Entwicklung (vgl. EG 159 DSGVO zur weiten Auslegung des Art. 89 DSGVO). Für Zwecke der vorliegenden Regierungsvorlage soll durch die Definition der Tätigkeiten der Forschung und experimentellen Entwicklung in Z 10 auf eine bereits international etablierte Definition im sogenannten Frascati-Manual zurückgegriffen werden (OECD, Frascati-Handbuch 2015, 48; https://www.keepeek.com//Digital-Asset-Management/oecd/science-and-technology/frascati-handbuch-2015_9789264291638-de#page49 [17.03.2018]). Demnach ist Forschung und experimentelle Entwicklung (FuE) schöpferische und systematische Arbeit zur Erweiterung des Wissensstands – einschließlich des Wissens über die Menschheit, die Kultur und die Gesellschaft – und zur Entwicklung neuer Anwendungen auf Basis des vorhandenen Wissens. „FuE-Tätigkeiten zeichnen sich durch eine Reihe gemeinsamer Merkmale aus, selbst wenn sie von unterschiedlichen Einheiten ausgeführt werden. FuE-Tätigkeiten können auf die Erreichung spezifischer oder allgemeiner Ziele ausgerichtet sein. FuE zielt immer darauf ab, anhand innovativer Konzepte (und ihrer Übertragung) oder Hypothesen neue Erkenntnisse zu gewinnen. Das Endergebnis (oder zumindest der für seine Erreichung erforderliche Zeit- und Ressourcenaufwand) ist im Wesentlichen ungewiss. FuE ist ein geplanter und budgetierter Prozess (selbst bei Durchführung durch Einzelpersonen), der auf die Erzielung von Ergebnissen ausgerichtet ist, die entweder frei weitergegeben oder am Markt gehandelt werden können. Um als FuE-Tätigkeit eingestuft zu werden, muss die Aktivität fünf Kernkriterien erfüllen. […] Die Aktivität muss

– neuartig,

– schöpferisch,

– ungewiss in Bezug auf das Endergebnis,

– systematisch [und]

– übertragbar und/oder reproduzierbar sein.

[…] Zumindest prinzipiell müssen bei jeder kontinuierlich oder gelegentlich betriebenen FuE-Tätigkeit alle fünf Kriterien erfüllt sein. Die soeben dargelegte Definition von Forschung und experimenteller Entwicklung stimmt mit der FuE-Definition in früheren Ausgaben des Frascati-Handbuchs überein und deckt das gleiche Spektrum an Aktivitäten ab.

[…] Der Begriff FuE umfasst drei Tätigkeitsbereich: Grundlagenforschung, angewandte Forschung und experimentelle Entwicklung. Bei der Grundlagenforschung handelt es sich um experimentelle oder theoretische Arbeiten, die primäer der Erlangung neuen Wissens über die grundlegenden Ursachen von Phänomenen und beobachtbaren Fakten dienen, ohne dabei eine bestimmte Anwendung oder Nutzung im Blick zu haben. Bei der angewandten Forschung handelt es sich um originäre Arbeiten, die zur Aneignung neuen Wissens durchgeführt werden, aber primär auf ein spezifisches praktisches Ziel oder Ergebnis ausgerichtet sind. Bi der experimentellen Entwicklung handelt es sich um systematische, auf vorhandenen Kenntnissen aus Forschung und praktischer Erfahrung aufbauende und ihrerseits zusätzliches Wissen erzeugende Arbeiten, die auf die Herstellung neuer Produkte oder Verfahren bzw. die Verbesserung existierender Produkte oder Verfahren abzielen“ (OECD, Frascati-Handbuch 2015, 48).

Technologietransfer (Z 11) ist von entscheidender, gesellschaftlicher Bedeutung, weil damit Wissen in die Gesellschaft transferiert und breiter Nutzen gestiftet werden. Da die geringe Transformation von guter Bildungsarbeit in Wertschöpfung nach dem Global Innovation Index 2015 eine der größten Schwächen des österreichischen Bildungssystems darstellt (Global Innovation Index [GII] 2015, 168), braucht es rechtliche Klarheit und Rahmenbedingungen, um Impulse für zukünftigen Technologietransfer setzen zu können. Die Voraussetzungen unter denen sie zulässig sind, finden sich in § 2i in der Fassung der vorliegenden Regierungsvorlage.

Aus Gründen der Rechtssicherheit wird in Z 12 ausdrücklich definiert, dass unter „wissenschaftlichen Einrichtungen […] natürliche Personen, Personengemeinschaften sowie juristische Personen, die Zwecke gemäß Art. 89 Abs. 1 DSGVO verfolgen, ungeachtet dessen, ob dies […] zu gemeinnützigen Zwecken (§§ 34 ff der Bundesabgabenordnung, BGBl. Nr. 194/1961) oder nicht oder im universitären, betrieblichen oder außeruniversitären Rahmen erfolgt“ zu verstehen sind. Auf die Rechtsform kommt es nicht an. Somit sind von der Legaldefinition insbesondere auch Unternehmen, Universitäten und natürliche sowie juristische Personen umfasst. Durch das Abstellen auf „Personengemeinschaften“ ist auch die Rechtsfähigkeit nicht erforderlich. Durch den Verweis auf Art. 89 Abs. 1 DSGVO soll auf die wissenschaftliche Methode verwiesen werden, wie sie in Z 10 näher beschrieben ist. Vor dem Hintergrund des verfassungsrechtlichen Gleichheitssatzes erscheint es zudem geboten, behördliche und private Verarbeitungen gleich zu behandeln. Eine unterschiedliche Behandlung wäre auch unionsrechtswidrig, weil die Definition des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO neben Privaten auch Behörden umfasst. Somit können wissenschaftliche Einrichtungen neben Privaten auch öffentliche Stellen umfassen. Im Hinblick auf die unionsrechtliche Natur der Datenschutz-Grundverordnung sowie die große Bedeutung der internationalen Zusammenarbeit für Zwecke des Art. 89 Abs. 1 DSGVO, sind selbstverständlich auch ausländische natürliche Personen, Personengemeinschaften oder juristische Personen wissenschaftliche Einrichtungen im Sinne der vorliegenden Bestimmung.

Unter Wissenstransfer (Z 13) ist die Bereitstellung von Wissen durch wissenschaftliche Einrichtungen an andere Teile der Gesellschaft, wie insbesondere Unternehmen zu verstehen. Diese Definition stützt sich auf das Begriffsverständnis des aktuellen Forschungs- und Technologieberichts 2017 (vgl. Forschungs- und Technologiebericht 2017, 154). Im Gegensatz zu früheren Definitionen, die sich auf den Transfer zwischen Wissenschaft und Wirtschaft beschränkten, soll für Zwecke der vorliegenden Regierungsvorlage von einem weiten Begriffsverständnis ausgegangen werden, das den Austausch von Wissen nicht nur zwischen Wirtschaft und Wissenschaft umfasst, sondern allgemein jegliche Form der Kommunikation von Wissenschaft mit anderen Teilen der Gesellschaft, wie dies etwa bei Citizen Science der Fall ist. Durch die Formulierung „von Teilen der Gesellschaft an andere Teile der Gesellschaft“ wird klargestellt, dass der Wissenstransfer nicht notwendigerweise nur in eine Richtung, beispielsweise von der Wissenschaft an die Wirtschaft, erfolgen kann, sondern beispielsweise auch von Unternehmen an wissenschaftliche Einrichtungen oder andere Teile der Gesellschaft.

Zu Art. 7 Z 7 (§ 2c – „Zulässigkeit des Einsatzes bereichsspezifischer Personenkennzeichen“):

In Anlehnung an § 71 des Niederlassungs- und Aufenthaltsgesetzes (NAG), BGBl. I Nr. 100/2005, und die §§ 23 ff des Hochschul-Qualitätssicherungsgesetzes soll mit der vorgeschlagenen Bestimmung Rechtssicherheit geschaffen werden, welche wissenschaftlichen Einrichtungen bereichsspezifische Personenkennzeichen einsetzen dürfen, d.h. grundsätzlich geeignet sind, die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen zu verlangen.

Wissenschaftliche Einrichtungen nach dieser Bestimmung dürfen

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 2 Z 2,

– die Bereitstellung von Daten gemäß § 2d Abs. 2 Z 3 („Registerforschung“),

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen zur Feststellung von Wirkungen gemäß § 2e Abs. 1 sowie

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen gemäß § 2k Abs. 3

verlangen.

Die in Abs. 1 angeführten wissenschaftlichen Einrichtungen dürfen bereichsspezifische Personenkennzeichen ex lege einsetzen. Solche wissenschaftlichen Einrichtungen sind:

– Bundesmuseen nach dem Bundesmuseen-Gesetz 2002 (Z 1), d.h. (aufgrund der aktuellen Rechtslage):

– Albertina,

– Kunsthistorisches Museum mit Weltmuseum Wien und Theatermuseum Wien (KHM-Museumsverband),

– Österreichische Galerie Belvedere,

– MAK – Österreichisches Museum für angewandte Kunst,

– Museum moderner Kunst Stiftung Ludwig Wien (MUMOK),

– Naturhistorisches Museum Wien,

– Technisches Museum Wien mit Österreichischer Mediathek und

– Österreichische Nationalbibliothek,

– Fachhochschulen nach dem Fachhochschul-Studiengesetz (Z 2),

– die Geologische Bundesanstalt (GBA) gemäß § 18 (Z 3),

– das Institute of Science and Technology – Austria (Z 4),

– natürliche Personen, Personengemeinschaften sowie juristische Personen, die Art‑89-Mittel seitens des Wissenschaftsfonds erhalten haben, für die vereinbarte Dauer, mindestens jedoch fünf Jahre ab Zuerkennung der Art‑89-Mittel (Z 5 lit. a), weil Voraussetzung einer Förderung durch den Wissenschaftsfonds ist, dass es sich um ein wissenschaftliches Forschungsvorhaben handelt (§ 2b Z 1 FTFG),

– natürliche Personen, Personengemeinschaften sowie juristische Personen, die Art‑89-Mittel im Rahmen europäischer Rahmenprogramme für Forschung und Entwicklung – wie etwa Horizon2020 – erhalten haben, für die vereinbarte Dauer, mindestens jedoch fünf Jahre ab Zuerkennung der Art‑89-Mittel (lit. b),

– die Österreichische Akademie der Wissenschaften (Z 6),

– die Österreichische Bibliothekenverbund und Service Gesellschaft mit beschränkter Haftung gemäß § 1 des Bundesgesetzes über die Österreichische Bibliothekenverbund und Service Gesellschaft mit beschränkter Haftung, BGBl. I Nr. 15/2002 (Z 7),

– als Partner von der Österreichischen Forschungsförderungsgesellschaft mbH (§ 1 Abs. 1 FFGG) für die Einlösung des Innovationsschecks ausgewiesene Einrichtungen (Z 8); siehe: https://www2.ffg.at/partnerdatenbank_innovationsscheck/index.php?file=list.php (14.03.2018),

– als Partner in der Forschungsinfrastrukturdatenbank des Bundesministeriums für Bildung, Wissenschaft und Forschung ausgewiesene Forschungseinrichtungen und Unternehmen, die ihre Forschungsinfrastruktur öffentlich anbieten (Z 9); eine aktuelle Liste ist unter https://forschungsinfrastruktur.bmwfw.gv.at (14.03.2018) zu finden,

– Privatuniversitäten nach dem Privatuniversitätengesetz (Z 10),

– gemäß § 4a Abs. 3 oder Abs. 4 lit. a oder b des Einkommensteuergesetzes 1988 (EStG 1988), BGBl. Nr. 400/1988, spendenbegünstigte Einrichtungen (Z 11); eine aktuelle Liste der spendenbegünstigten Einrichtungen – nicht nur für den Bereich Wissenschaft und Forschung – ist unter https://service.bmf.gv.at/service/allg/spenden/show_mast.asp (13.03.2018) zu finden und umfasst u.a.:

– Universitäten, Kunstuniversitäten und die Akademie der bildenden Künste, deren Fakultäten, Institute und besonderen Einrichtungen sowie diesen entsprechende ausländische Einrichtungen mit Sitz in einem Mitgliedstaat der Europäischen Union oder einem Staat, mit dem eine umfassende Amtshilfe besteht (§ 4a Abs. 3 Z 1 EStG 1988),

– durch Bundes- oder Landesgesetz errichtete Fonds, die mit Aufgaben der Forschungsförderung betraut sind, sowie diesen entsprechende ausländische Einrichtungen mit Sitz in einem Mitgliedstaat der Europäischen Union oder einem Staat, mit dem eine umfassende Amtshilfe besteht (§ 4a Abs. 3 Z 2 EStG 1988),

– nach dem Bundes-Stiftungs- und Fondsgesetz (BStFG), BGBl. Nr. 11/1975, in der Fassung des Verwaltungsgerichtsbarkeits-Anpassungsgesetzes-Inneres, BGBl. I Nr. 161/2013, dem Bundes-Stiftungs- und Fondsgesetz 2015 (BStFG 2015), BGBl. I Nr. 160/2015 oder nach diesen Bundesgesetzen entsprechenden, landesgesetzlichen Regelungen errichtete Stiftungen oder Fonds mit Sitz im Inland, die ausschließlich der Erfüllung von Aufgaben der Forschungsförderung dienen, wenn diese

a) nicht auf Gewinnerzielung ausgerichtet sind,

b) seit mindestens drei Jahren nachweislich im Bereich der Forschungsförderung tätig sind und

c) die Empfängerinnen und Empfänger der Art‑89-Mittel im Wesentlichen Begünstigte gemäß § 4a Abs. 3 Z 1, 2 und 3 bis 6 EStG 1988 sind.

Derartigen Stiftungen oder Fonds sind diesen entsprechende ausländische Einrichtungen mit Sitz in einem Mitgliedstaat der Europäischen Union oder einem Staat, mit dem eine umfassende Amtshilfe besteht, gleichzuhalten (§ 4a Abs. 3 Z 2a EStG 1988),

– die Österreichische Akademie der Wissenschaften sowie dieser entsprechende ausländische Einrichtungen mit Sitz in einem Mitgliedstaat der Europäischen Union oder einem Staat, mit dem eine umfassende Amtshilfe besteht (§ 4a Abs. 3 Z 3 EStG 1988),

– juristisch unselbständige Einrichtungen von Gebietskörperschaften, die im Wesentlichen mit Forschungs- oder Lehraufgaben der genannten Art für die österreichische Wissenschaft oder Wirtschaft und damit verbundenen wissenschaftlichen Publikationen oder Dokumentationen befasst sind sowie diesen entsprechende ausländische Einrichtungen mit Sitz in einem Mitgliedstaat der Europäischen Union oder einem Staat, mit dem eine umfassende Amtshilfe besteht (§ 4a Abs. 3 Z 4 EStG 1988),

– juristische Personen, an denen entweder eine oder mehrere Gebietskörperschaften oder eine oder mehrere Körperschaften im Sinne der Z 1 bis 3 zumindest mehrheitlich beteiligt sind, und die im Wesentlichen mit Forschungs- oder Lehraufgaben der genannten Art für die österreichische Wissenschaft oder Wirtschaft und damit verbundenen wissenschaftlichen Publikationen oder Dokumentationen befasst sind (§ 4a Abs. 3 Z 5 EStG 1988),

– juristische Personen, die ausschließlich mit Forschungs- oder Lehraufgaben der genannten Art für die österreichische Wissenschaft oder Wirtschaft und damit verbundenen wissenschaftlichen Publikationen oder Dokumentationen befasst und gemeinnützig im Sinne der §§ 34 ff BAO sind (§ 4a Abs. 3 Z 6 EStG 1988),

– die Österreichische Nationalbibliothek, das Österreichische Archäologische Institut, das Institut für Österreichische Geschichtsforschung und das Österreichische Filminstitut gemäß § 1 des Filmförderungsgesetzes (§ 4a Abs. 4 lit. a EStG 1988),

– Museen von Körperschaften öffentlichen Rechts (§ 4a Abs. 4 lit. b EStG 1988),

– Privatmuseen von überregionaler Bedeutung (§ 4a Abs. 4 lit. b EStG 1988),

– die Universität für Weiterbildung Krems gemäß § 1 UWKG (Z 12),

– Universitäten nach dem Universitätsgesetz 2002 (Z 13),

– wissenschaftliche Bibliotheken (Z 14), d.h. Bibliotheken, deren Schwerpunkt auf Literatur im Bereich des Art. 89 Abs. 1 DSGVO liegt sowie

– die Zentralanstalt für Meteorologie und Geodynamik (ZAMG) gemäß § 22 (Z 15).

Die Reihung der Ziffern erfolgt nach alphabetischer Reihenfolge.

Aufgrund des Gleichheitssatzes dürfen auch vergleichbare wissenschaftliche Einrichtungen (§ 2b Z 12) der Länder und Gemeinden in Landesgesetzen als wissenschaftliche Einrichtungen im Sinne dieser Bestimmung ausdrücklich bezeichnet werden. Das wird durch das Wort „jedenfalls“ im Einleitungssatz dieser Bestimmung klargestellt, womit eine ausdrückliche Definition als „wissenschaftliche Einrichtung gemäß § 2c Abs. 1 FOG“ nicht nur in Landesgesetzen, sondern auch in anderen Bundesgesetzen erfolgen darf. Die ausdrücklich als „wissenschaftliche Einrichtungen gemäß § 2c Abs. 1 FOG“ bezeichneten wissenschaftlichen Einrichtungen (§ 2b Z 12), dürfen dann auch

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 2 Z 2,

– die Bereitstellung von Daten gemäß § 2d Abs. 2 Z 3 („Registerforschung“),

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen zur Feststellung von Wirkungen gemäß § 2e Abs. 1 sowie

– die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen gemäß § 2k Abs. 3

verlangen. Voraussetzung für die Zulässigkeit dieser Anknüpfung ist allerdings die Einhaltung der verfassungsrechtlichen Vorgaben, wie etwa des Verbots dynamischer Verweisungen (vgl. dazu: VfSlg. 13.274/1992, 16.328/2001, 16.999/2003). Die Anknüpfung auf landesgesetzlicher Ebene sollte daher im Wege einer statischen Verweisung unter Angabe der verwiesenen Fassung erfolgen (vgl. VfSlg. 19.805/2013).

Natürliche Personen, Personengemeinschaften oder juristische Personen, die Tätigkeiten der Forschung und experimentellen Entwicklung (§ 2b Z 10) durchführen, aber nicht von Abs. 1 erfasst sind, können gemäß Abs. 2 bei der Bundesministerin oder dem Bundesminister für Verkehr, Innovation und Technologie einen Antrag stellen, dass auch sie Tätigkeiten der Forschung und experimentellen Entwicklung (§ 2b Z 10) durchführen und daher zum Einsatz von bereichsspezifischen Personenkennzeichen berechtigt sind. Die Bundesministerin oder der Bundesminister für Verkehr, Innovation und Technologie hat mit Bescheid festzustellen, ob die Voraussetzungen gemäß § 2b Z 10 von der Antragstellerin oder dem Antragsteller erfüllt werden und bejahendenfalls eine Bestätigung über die Zulässigkeit des Einsatzes von bereichsspezifischen Personenkennzeichen von maximal fünfjähriger Dauer mit Bescheid auszustellen. Die Bundesministerin oder der Bundesminister für Verkehr, Innovation und Technologie kann sich hinsichtlich der gutachterlichen Beurteilung, ob die Voraussetzungen gemäß § 2b Z 10 vorliegen, der Österreichischen Forschungsförderungsgesellschaft mit beschränkter Haftung bedienen. Aus der Bestätigung nach dem vorliegenden Absatz können keine weiteren Rechtsfolgen, wie etwa die Spendenbegünstigung oder die Bestätigung der Erfüllung datenschutzrechtlicher Voraussetzungen, abgeleitet werden. Daraus ergibt sich, dass die Bundesministerin oder der Bundesminister für Verkehr, Innovation und Technologie vor Bescheiderlassung das Vorliegen der Voraussetzungen gemäß § 2b Z 10, nicht jedoch die Einhaltung sonstiger datenschutzrechtlicher Verpflichtungen durch den Antragsteller zu prüfen hat. Die Befugnisse der Datenschutzbehörde, insbesondere gemäß Art. 58 Abs. 2 DSGVO, bleiben von der vorliegenden Bestimmung unberührt. Wissenschaftliche Einrichtungen, die nicht von Abs. 1 erfasst sind, bedürfen einer Bestätigung, wie etwa:

– Stiftungen und Fonds, die operativ im Anwendungsbereich des Art. 89 DSGVO tätig werden (siehe: http://www.bmi.gv.at/409/start.aspx [29.01.2018]) oder

– Forschungseinrichtungen, die von internationalen Abkommen über wissenschaftliche oder wissenschaftlich-technische Zusammenarbeit, einem Amtssitzabkommen oder einem internationalen Assoziierungsabkommen erfasst sind oder

– (nicht spendenbegünstigte) Unternehmen oder

– (nicht spendenbegünstigte) außeruniversitäre Forschungseinrichtungen.

Abs. 3 beschreibt den Mindestinhalt von Anträgen auf Bestätigung der Berechtigung bereichsspezifische Personenkennzeichen im Sinne dieses Abschnitts erhalten und einsetzen zu dürfen. Aufgrund der Anwendbarkeit des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991, ist bei mangelhaften Anträgen, insbesondere wenn keine Begründung gemäß Z 3 oder keine Erklärung gemäß Z 5 vorgelegt wird, gemäß § 13 Abs. 3 AVG vorzugehen. Bei Anträgen von

– natürlichen Personen, Personengemeinschaften sowie juristischen Personen, die Art‑89-Mittel seitens des Wissenschaftsfonds oder im Rahmen europäischer Rahmenprogramme für Forschung und Entwicklung – wie etwa Horizon2020 – erhalten haben (Abs. 2 Z 5) oder

– Einrichtungen, die als Partner der Österreichischen Forschungsförderungsgesellschaft mbH (§ 1 Abs. 1 FFGG) für die Einlösung des Innovationsschecks ausgewiesen sind (Abs. 2 Z 8) oder

– Forschungseinrichtungen oder Unternehmen, die als Partner in der Forschungsinfrastrukturdatenbank des Bundesministeriums für Bildung, Wissenschaft und Forschung ausgewiesen sind und ihre Forschungsinfrastruktur öffentlich anbieten (Abs. 2 Z 9)

haben die Antragstellerinnen und Antragsteller einen entsprechenden Nachweis zu erbringen (Z 6). Dieser kann beispielsweise durch Vorlage einer Bestätigung über den Erhalt der Art‑89-Mittel oder einen Auszug aus der betreffenden Datenbank – sofern diese nicht öffentlich zugänglich ist – erfolgen. Damit soll der Rechercheaufwand für die Datenschutzbehörde so gering als möglich gehalten werden.

Die Meldepflicht gemäß Abs. 4 sieht vor, dass wissenschaftliche Einrichtungen Umstände, die zur Entziehung der Bestätigung führen könnten, unverzüglich und möglichst binnen 72 Stunden, nachdem ihnen diese Umstände bekannt wurden, der Bundesministerin oder dem Bundesminister für Verkehr, Innovation und Technologie zu melden haben. Erfolgt die Meldung nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Diese Bestimmung ist angelehnt an Art. 33 DSGVO und soll der Qualitätssicherung dienen, damit die Inanspruchnahme der unter Abs. 1 erläuterten Rechte tatsächlich nur durch Berechtigte erfolgt.

Um Missbrauch zu verhindern, ist die Verlängerung der Bestätigung gemäß Abs. 5 mit Bescheid zu verweigern oder eine bestehende Bestätigung mit Bescheid zu entziehen, wenn die Voraussetzungen der Bestätigung nicht oder nicht mehr vorliegen oder die Bestätigung erschlichen wurde.

Außerdem kann die Bundesministerin oder der Bundesminister für Verkehr, Innovation und Technologie gemäß Abs. 6, die Bestätigung verweigern oder mit Bescheid entziehen, wenn es in den letzten drei Jahren datenschutzrechtliche Verstöße gab oder gegenwärtig gibt. Hintergrund für die Frist von drei Jahren ist die Verjährungsfrist für gerichtlich strafbare Datenschutzverletzungen gemäß § 63 DSG iVm § 57 Abs. 3 des Strafgesetzbuches, BGBl. Nr. 60/1974. Maßnahmen gemäß Art. 58 Abs. 2 DSGVO umfassen insbesondere:

– die Warnung von Verantwortlichen oder Auftragsverarbeitern, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

– die Verwarnung von Verantwortlichen oder Auftragsverarbeiter bei Verstößen gegen die Datenschutz-Grundverordnung,

– die Anweisung, den Anträgen der betroffenen Person auf Ausübung der ihr nach der Datenschutz-Grundverordnung zustehenden Rechte zu entsprechen,

– die Anweisung, die Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Datenschutz-Grundverordnung zu bringen,

– die Verhängung eines Verarbeitungsverbots,

– der Widerruf von Zertifizierungen gemäß den Art. 42 und 43 DSGVO,

– die Verhängung von Geldbußen gemäß Art. 83 DSGVO oder

– die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation.

Die Bundesministerin oder der Bundesminister für Verkehr, Innovation und Technologie hat – mindestens einmal jährlich – eine Liste der für wissenschaftliche Einrichtungen ausgestellten Bestätigungen über die Zulässigkeit des Einsatzes von bereichsspezifischen Personenkennzeichen im Internet zu veröffentlichen (Abs. 7).

Zu Art. 7 Z 7 (§ 2d – „Grundlegende Bestimmungen zum Schutz personenbezogener Daten“):

Der vorliegende Paragraf geht als speziellere Bestimmung den allgemeinen Bestimmungen des Datenschutzgesetzes, wie insbesondere § 7 DSG, vor, ist aber selber wieder lex generalis im Vergleich etwa zu den Bestimmungen des vorliegenden Abschnitts. Um dieses besondere Verhältnis bereits in der Paragrafenüberschrift zum Ausdruck zu bringen, soll nicht von Allgemeinen, sondern von Grundlegenden Bestimmungen zum Schutz personenbezogener Daten bei Verarbeitungen zu Zwecken gemäß Art. 89 Abs. 1 DSGVO gesprochen werden.

Wissenschaftliche Einrichtungen (§ 2b Z 12), die keine öffentlichen Stellen gemäß § 2b Z 8 sind, können bei Verletzung der Bestimmungen des 2. Abschnitts, die gleichzeitig auch Verstöße gegen die in Art. 83 Abs. 4 und 5 genannten Bestimmungen der Datenschutz-Grundverordnung darstellen, gemäß Art. 83 Abs. 4 und 5 DSGVO bestraft werden.

Die neuen Bestimmungen des 2. Abschnitts werden in Abs. 1 eingeleitet mit einem Katalog an angemessenen Maßnahmen iSd Datenschutz-Grundverordnung, insbesondere Art. 9 Abs. 2 Buchstabe j DSGVO. Diese angemessenen Maßnahmen orientieren sich an der vom Bundeskanzleramt-Verfassungsdienst in seinem Rundschreiben vom 14. Mai 2008 (Zl. BKA-810.016/0001-V/3/2007) vorgesehenen Liste an angemessenen Garantien und sind – sofern in der Folge nicht anderes bestimmt ist – auf alle Verarbeitungen aufgrund des 2. Abschnitts anzuwenden. Es gelten

– allgemein: das Veröffentlichungsverbot von bereichsspezifischen Personenkennzeichen (Z 6);

– für Verarbeitungen aufgrund des 2. Abschnitts: die Protokollierungspflicht (Z 1), das Datengeheimnis (Z 2), die Zweckbindung (Z 3), das Diskriminierungsverbot (Z 4), der institutionalisierte Diskussionsprozess mit dem Datenschutzrat (Z 7) sowie die Beschränkungen der Offenlegung (Z 8);

– für die privilegierten Verarbeitungen gemäß Abs. 2: erweiterte Informationspflichten sowie Auflagen bei Einsatz von bereichsspezifischen Personenkennzeichen (Z 5);

– für die Registerforschung: Klarstellungen zu Datenschutzbeauftragtem, zivilrechtlicher Verfügungsbefugnis über die zu öffnenden Register, persönliche Nennung im Antrag sowie Löschungspflicht bei Bereitstellung von Namen (Z 5 lit. c, k, l und m).

Z 1 sieht eine lückenlose Protokollierung für Verarbeitungen aufgrund dieses Abschnitts vor und entspricht damit Pkt. 7.6.a des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007.

Z 2 übernimmt – in Übereinstimmung mit Pkt. 7.6.b des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – im Wesentlichen das in § 15 DSG 2000 enthaltene Datengeheimnis und ist auf die in diesem Abschnitt vorgesehenen Datenverarbeitungen anzuwenden.

Z 3 sieht – in Übereinstimmung mit Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – eine Beschränkung auf Zwecke dieses Bundesgesetzes vor. Damit sind insbesondere die in § 1 und 3 genannten Ziele dieses Bundesgesetzes angesprochen.

Z 4 sieht – in Anlehnung an Pkt. 7.6.e des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – ein Diskriminierungsverbot vor, dass betroffene Personen nach diesem Abschnitt einen verbesserten Rechtsschutz erlauben soll. Diese Bestimmung orientiert sich an § 16 Abs. 3 GTelG 2012. Gemeint sind materielle Nachteile, d.h. Vermögensschäden, oder nachteilige Behandlung, wie etwa die Verweigerung von Leistungen der Gesundheitsversorgung, oder Diskriminierung. Es wird klargestellt, dass die Verarbeitung per se keinen Nachteil darstellt.

Z 5 sieht – in Anlehnung an Pkt. 7.6 des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – besondere Maßnahmen zum Schutz der betroffenen Personen bei den privilegierten Verarbeitungen gemäß Abs. 2 vor. Lit. a sieht – in Anlehnung an Pkt. 7.6.a des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – eine besondere Informationsverpflichtung für Verantwortliche, d.h. wissenschaftliche Einrichtungen gemäß § 2b Z 12 vor. Lit. b sieht – in Anlehnung an Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – eine ausdrückliche Beschränkung der Verarbeitung vor. Lit. c sieht eine Klarstellung dahingehend vor, dass vor Inanspruchnahme des Rechts auf Registerforschung jedenfalls ein Datenschutzbeauftragter zu bestellen ist, womit iSd Pkt. 7.6.e des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 auch der Rechtsschutz der betroffenen Personen gestärkt wird. Die lit. d bis j übernehmen im Wesentlichen die Datensicherheitsmaßnahmen gemäß § 14 Abs. 2 DSG 2000 und sind insbesondere auch im Kontext des Art. 32 DSGVO zu sehen. Lit. k übernimmt – ausdrücklich – die Anforderung des § 7 Abs. 4 DSG auch für den Bereich der Registerforschung. Damit soll insbesondere sichergestellt werden, dass ein Zugang zu Archiven nur dann erfolgt, wenn auch eine zivilrechtliche Verfügungsbefugnis vorliegt. Lit. l sieht – zur Stärkung der persönlichen Verantwortung – vor, dass nur die im Antrag gemäß Abs. 2 Z 3 namentlich genannten natürlichen Personen auf die gemäß Abs. 2 Z 3 bereitgestellten Daten zugreifen dürfen.

In Anlehnung an § 11 des E-Government-Gesetzes, BGBl. I Nr. 10/2004, sowie an Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007, sieht Z 6 das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen vor. Die Verarbeitungsbeschränkungen des E-Government-Gesetzes gelten auch für Verarbeitungen aufgrund des vorliegenden Abschnittes, soweit dieser nicht Abweichendes regelt. Dies ergibt sich insbesondere aus dem zweiten Satz von Abs. 2.

Z 7 sieht – in Anlehnung an Pkt. 7.6.d des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – eine Berichtspflicht der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung gegenüber dem Datenschutzrat vor.

Durch Z 8 wird – in Übereinstimmung mit Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007 – ausdrücklich festgehalten, dass die Verarbeitung nur auf indirekt personenbezogenen Daten basieren darf (Abs. 2 Z 1 lit. a und b) oder keine direkt personenbezogene Veröffentlichung erfolgen darf (Abs. 2 Z 1 lit. c) oder die Verarbeitung zu Zwecken der Anonymisierung oder Pseudonymisierung vorgenommen wird (Abs. 2 Z 1 lit. d). Eine Ausnahme von diesem Prinzip findet sich in § 2f Abs. 2, die erforderlich ist, um ein zweistufiges Zugangsverfahren zum Ausgleich von Datenschutzinteressen und dem öffentlichen Interesse an Open Access – gemäß § 2f Abs. 2 der vorliegenden Regierungsvorlage – etablieren zu können.

Das österreichische E-Government-Gesetz, BGBl. I Nr. 10/2004, sieht in seinem 3. Abschnitt die Verwendung der Bürgerkartenfunktion im privaten Bereich vor. Damit können bereichsspezifische Personenkennzeichen erzeugt werden, die einerseits die höchste Qualität der Identifikation in Österreich darstellen und andererseits den Datenschutz wahren, weil eine Verknüpfung zwischen verschiedenen Auftraggebern im privaten Bereich oder verschiedenen Bereichen für öffentliche Auftraggeber technisch ausgeschlossen ist. Aus diesem Grund soll durch Abs. 2 die Möglichkeit der bPK-Verwendung auch für wissenschaftliche Einrichtungen (§ 2b Z 12) und deren Auftragsverarbeiterinnen und Auftragsverarbeiter für Zwecke gemäß Art. 89 Abs. 1 DSGVO eröffnet werden. Aus Datenschutzgründen soll für die Verarbeitungen nach dieser Bestimmung ein eigener Tätigkeitsbereich „Forschung“ (BF-FO) für die Erzeugung bereichsspezifischer Personenkennzeichen herangezogen werden.

Grundsätzlich wird angemerkt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten für Forschungszwecke (wie etwa Gesundheitsdaten) gemäß Art. 89 Abs. 1 DSGVO geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen unterliegt, insbesondere unter Berücksichtigung des Grundsatzes der Datenminimierung (etwa durch Pseudonymisierung). Das österreichische System des bereichsspezifischen Personenkennzeichens im Rahmen des E-Government-Gesetzes bietet derartige Garantien durch eine nicht rückführbare Errechnung der Stammzahl, die darüber hinaus je Bereich der öffentlichen Verwaltung unterschiedlich ist. Aufgrund der vorliegenden Regierungsvorlage soll Berechtigten das Recht eingeräumt werden, das System der bereichsspezifischen Kennzeichen zu nutzen und damit die Voraussetzung für eine dem Art. 89 Abs. 1 DSGVO entsprechende Verarbeitung zu schaffen.

Mit dem Einleitungssatz der Z 1 wird klargestellt, welche Verarbeitungsformen jedenfalls zulässig sind, wie etwa Big Data, personalisierte Medizin, biomedizinische Forschung, Biobanken oder die Übermittlung an andere wissenschaftliche Einrichtungen oder Auftragsverarbeiter. Durch den Verweis auf Big Data, wird u.a. klargestellt, dass eine Verknüpfung von Daten (nämlich auch von öffentlich zugänglichen Daten und Daten, die für andere Zwecke erhoben wurden) zulässig ist. Die Formulierung „sämtliche personenbezogene Daten“ umfasst auch besondere Kategorien personenbezogener Daten iSd Art. 9 DSGVO. Angesichts der Diskussion in Deutschland zur Frage, ob die Übermittlung von Daten an Auftragsverarbeiter einer eigenen Rechtsgrundlage bedarf (vgl. https://www.datenschutzbeauftragter-info.de/dsgvo-bleibt-es-bei-einer-privilegierung-der-auftragsverarbeitung/ bzw. http://docplayer.org/67513058-Bernd-schmidt-bernhard-freund-perspektiven-der-auftragsverarbeitung-wegfall-der-privilegierung-mit-der-ds-gvo.html [30.01.2018]), soll durch die Formulierung „Übermittlung an Auftragsverarbeiter“ klargestellt werden, dass auch die Übermittlung an Auftragsverarbeiter unter den Voraussetzungen dieser Bestimmung jedenfalls zulässig ist. Die in dieser Ziffer angeführten Fälle treten zur Grundregel des § 7 Abs. 1 Z 3 DSG hinzu.

Die in lit. a vorgesehene Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 DSGVO dar und erlaubt somit eine Verarbeitung insbesondere gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Die (datenschutzrechtliche) Qualität der bereichsspezifischen Personenkennzeichen ergibt sich aus ihrer Eindeutigkeit und Aufteilung in Bereiche, wodurch ein umfassendes Profiling (EG 30 DSGVO) verhindert wird. Der Einsatz anderer eindeutige Identifikatoren, wie etwa der Open Researcher and Contributor ID (ORCID) kann auch als angemessene Garantie angesehen werden, wenn diese Identifikatoren eindeutig im Sinne des § 2 Z 2 E-GovG sind. Diese müssen – gemäß EG 29 DSGVO (siehe näher dazu: unten zu lit. b) – nicht für die jeweilige Verantwortliche oder den jeweiligen Verantwortlichen verschlüsselt sein. Die lit. b stellt klar, dass jegliche Form der Pseudonymisierung gemäß Art. 4 Nr. 5 DSGVO auch zulässig ist und weder aufgrund von § 7 Abs. 1 Z 3 DSG noch Bestimmungen der vorliegenden Regierungsvorlage ausgeschlossen ist. § 7 Abs. 1 Z 3 DSG führt nämlich eine Beschränkung gegenüber Art. 4 Nr. 5 DSGVO ein, weil vorausgesetzt wird, dass „der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann“. Dies ist allerdings keine Voraussetzung nach der Datenschutz-Grundverordnung, deren Erwägungsgrund 29 im letzten Satz zur Pseudonymisierung vorsieht, dass die Verantwortlichen die Mitarbeiterinnen und Mitarbeiter, die zur Aufhebung der Pseudonymisierung befugt sind, angeben sollten. Somit stellt das in § 7 Abs. 1 Z 3 DSG vorgesehene Erfordernis, eben keine Voraussetzung nach der Datenschutz-Grundverordnung dar. Lit. b stellt dies im Sinne des Erwägungsgrundes 8 DSGVO klar. Lit. c nimmt die Öffnungsklausel des Art. 9 Abs. 2 Buchstabe j DSGVO in Anspruch und stellt eine „angemessene und spezielle Maßnahme zur Wahrung der Grundrechte und Interessen der betroffenen Person[en]“ im Sinne dieser Bestimmung dar. Damit ist auch eine direkt personenbezogene Verarbeitung sämtlicher personenbezogenen Daten zulässig, wenn sichergestellt ist, dass Offenlegungen nicht (sublit. aa) oder nur in pseudonymisierter Form (sublit. bb) oder mit geringer Gefahr der Identifikation (sublit. cc) erfolgen. Unter Adressen iSd sublit. cc sind jegliche Arten von Adressen zu verstehen, wie insbesondere Wohnadressen oder berufliche Adressen. Diese Bestimmung stellt somit auch eine ausdrückliche und generelle Rechtsgrundlage für Big Data im wissenschaftlichen Bereich dar, weil die Komplexität der Big-Data-Algorithmen einer Verarbeitung in pseudonymisierter Form – wie sie gemäß lit. b erforderlich ist – oft entgegensteht. Eine Veröffentlichung mit Namen ist von lit. c nicht erfasst. Sollte eine solche angedacht sein, müssten andere Rechtsgrundlagen gemäß Art. 9 Abs. 2 DSGVO, wie etwa die Einwilligung iSd Art. 9 Abs. 2 Buchstabe a DSGVO, herangezogen werden. Lit. d soll zur Rechtssicherheit beitragen, indem Unklarheiten beseitigt werden, ob Verarbeitungen (Art. 4 Nr. 2 DSGVO), die auf die Anonymisierung oder Pseudonymisierung gerichtet sind, durchgeführt werden dürfen oder nicht. Durch diese Bestimmung wird klargestellt, dass die für die Anonymisierung oder Pseudonymisierung erforderlichen Verarbeitungen jedenfalls – z.B. auch mittels Big Data (siehe: Eingangssatz zu Z 1) – durchgeführt werden dürfen. Durch die Festlegung, dass es nicht zu einer „Offenlegung direkt personenbezogener Daten“ kommen darf, schadet – im Umkehrschluss – die Offenlegung indirekt personenbezogener Daten nicht.

Der Tätigkeitsbereich „Bildung und Forschung“ gemäß Z 2 ist in Teil 1 der Anlage zu § 3 Abs. 1 der E‑Government-Bereichsabgrenzungsverordnung, BGBl. II Nr. 289/2004, vorgesehen und umfasst Angelegenheiten von Schulen, Universitäten, Berufsschulen, sonstigen Bildungs- und Forschungseinrichtungen, Stipendien, Nostrifikation, Bibliotheken und Archiven. Durch den Verweis auf Art. 12 Abs. 3 DSGVO wird klargestellt, dass die Ausstattung mit bereichsspezifischen Personen seitens der Datenschutzbehörde grundsätzlich unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erfolgen hat. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Zahl von Anträgen erforderlich ist. Da die Frist des Art. 12 Abs. 3 DSGVO auch von den wissenschaftlichen Einrichtungen für ihre Verarbeitungen einzuhalten ist und die Ausstattung mit bereichsspezifischen Personenkennzeichen eine Verarbeitung der Stammzahlenregisterbehörde darstellt, ist es vor dem Hintergrund des verfassungsrechtlichen Gleichheitssatzes geboten, behördliche und private Verarbeitungen gleich zu behandeln. Eine unterschiedliche Behandlung wäre auch unionsrechtswidrig, weil die Definition des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO neben Privaten auch Behörden umfasst. Anträge sind gemäß Art. 8 B‑VG in deutscher Sprache einzubringen. Wissenschaftlichen Einrichtungen kommt, wegen Verletzung des Rechts auf Registerforschung gemäß § 2k Abs. 5 der vorliegenden Regierungsvorlage, Rechtsschutz vor dem Bundesverwaltungsgericht zu.

Durch Z 3 soll die registerbasierte Forschung, die in Erwägungsgrund 157 von der Datenschutz-Grundverordnung ausdrücklich angeführt wird, auch innerstaatlich auf eine gesicherte Rechtsgrundlage gestellt werden. Auf Ebene des Unionsrechts stellt Art. 9 Abs. 2 Buchstabe j DSGVO die entsprechende Rechtsgrundlage dar. Durch die Verwendung von Registern können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil gestützt sind. Patientenregister erlauben die Feststellung seltener Ereignisse sowie die Darstellung von Langzeitverläufen und Subgruppen unter Alltagsbedingungen (Deutscher Gesundheitsforschungsrat des Bundesministeriums für Bildung und Forschung, Diskussionsforum zur Nutzenbewertung im Gesundheitswesen 40; www.gesundheitsforschung-bmbf.de/_media/DLR_Nutzenbewert_07-11-22_Druckversion.pdf [24.03.2017]). Auch die im Bundeskanzleramt eingerichtete Bioethikkommission hat bereits Anfang 2011 in ihrer Stellungnahme zur Kodifikation des medizinischen Forschungsrechts eine Empfehlung für eine derartige Vorgangsweise gegeben (Bundeskanzleramt-Bioethikkommission, Kodifikation des medizinischen Forschungsrechts 36). Insbesondere für die Entwicklung und die Qualitätskontrolle von Impfstoffen und anderen Arzneimitteln sind aufgrund der Registerforschung wesentliche Verbesserungen zu erwarten.

Mit der vorgeschlagenen Bestimmung sollen möglichst viele bundesgesetzlich vorgesehene Register zukünftig den wissenschaftlichen Einrichtungen für Tätigkeiten der Forschung und experimentellen Entwicklung (§ 2b Z 10) offenstehen.

Unter Registern sind nicht nur öffentlich einsehbare Register im Sinne des § 3 Z 18 des Bundesstatistikgesetzes 2000, sondern sämtliche Verzeichnisse, Datenbanken oder ähnliche Anwendungen oder Verarbeitungsplattformen (EG 92 DSGVO) zu verstehen, die bundesgesetzlich vorgesehen sind. Auch wenn bestimmte Registerregelungen, wie etwa § 14 Abs. 3 GTelG 2012, den Zugriff für Zwecke gemäß Art. 89 Abs. 1 DSGVO grundsätzlich ausschließen, geht die vorgeschlagene Bestimmung diesen Bestimmungen vor, weil sie einerseits spezieller – im Hinblick auf die Zwecke gemäß Art. 89 Abs. 1 bzw. Art. 9 Abs. 2 Buchstabe j DSGVO – und andererseits jünger ist. Damit ein Register bundesgesetzlich vorgesehen ist, genügt eine bundesgesetzliche Bestimmung, wonach ein solches Register bestehen soll. Register – wie etwa die Implantatregister gemäß § 73a des Medizinproduktegesetzes (MPG), BGBl. Nr. 657/1996 – sind auch dann, wenn sie durch Verordnung näher ausgestaltet werden, bundesgesetzlich vorgesehen, weil deren Existenz auf bundesgesetzlicher Ebene – im Falle der Implantatregister wäre dies § 73a MPG – vorgesehen ist.

Vom Anwendungsbereich der vorgeschlagenen Bestimmung ausgenommen sind jedoch die in den Bereichen der Gerichtsbarkeit, der Rechtsanwälte und Notare sowie deren Standesvertretungen, d.h. des Österreichischen Rechtsanwaltskammertags, der neun Rechtsanwaltskammern und der Österreichischen Notariatskammer, im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und das Strafregister. Grund dafür ist, dass die speziellen und gesetzlich besonders geschützten Zwecke der Datenverarbeitung im Zusammenhang mit der Tätigkeit der Gerichtsbarkeit sowie der rechtsberatenden Berufe spezifische Regelungen dazu erfordern, unter welchen Voraussetzungen die Herausgabe der verarbeiteten Daten auch an Dritte erfolgen darf.

Zu den Daten aus staatsanwaltschaftlichen und strafgerichtlichen Registern sei betont, dass diese von der vorgeschlagenen Regelung des Z 3 nicht erfasst sind, weil diese nicht im Anwendungsbereich der DSGVO, sondern in jenem der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (DS-RL) liegen. Wie im Bericht des Verfassungsausschusses (AB 1761 d BlgNR 25. GP S. 18) ausdrücklich klargestellt, gehen die einschlägigen materienspezifischen Regelungen zu Datenverarbeitungen als leges speciales den allgemeinen Regelungen des 3. Hauptstücks des DSG vor. Unter Berücksichtigung der Vorgaben des § 40 Abs. 1 und 2 DSG idF BGBl. I. Nr. 120/2017, der grundsätzliche Vorgaben zur Zulässigkeit der Übermittlung solcher Daten zu wissenschaftlichen Zwecken innerhalb des Anwendungsbereichs der DS-RL sowie außerhalb davon regelt, stellt daher auch weiterhin § 77 Abs. 2 StPO (in Form des dzt. in Begutachtung befindlichen Entwurfs eines Datenschutz-Anpassungsgesetz Justiz 2018 – DS-AGJ 2018) die Grundlage der Übermittlung strafrechtlicher Daten zu wissenschaftlichen Zwecken dar.

Dagegen sind personenbezogene Daten über strafrechtliche Verurteilungen Gegenstand des der DSGVO unterliegenden Strafregistergesetzes 1968 (StRegG), BGBl. Nr. 277/1968. Diese Daten stehen allerdings im engen Zusammenhang mit der Tätigkeit der Gerichtsbarkeit, weil im Strafregister Daten verarbeitet werden, die von Strafgerichten anhand von Strafkarten übermittelt werden. Im Strafregister werden daher rechtskräftige Verurteilungen der Strafgerichtsbarkeit in Evidenz gehalten. Jede Übermittlung von Daten über strafgerichtliche Verurteilungen hat durch die Landespolizeidirektion Wien als Verantwortliche gemäß Art. 4 Z 7 iVm Art. 24 DSGVO nur unter den durch § 13a StRegG aufgestellten Voraussetzungen zu erfolgen. Um diesen Umstand Rechnung zu tragen, wird vorgeschlagen, das Strafregister von der Ausnahme des Z 3 letzter Satzteil zu umfassen.

Rechtsschutz zur Durchsetzung des Rechts auf Registerforschung bietet § 2k Abs. 5. Für die Bereitstellung der Registerdaten in elektronischer Form ist Kostenersatz zu leisten. Das Recht auf Registerforschung besteht unabhängig davon, ob das betreffende Register personenbezogene Daten (Art. 4 Nr. 1 DSGVO) enthält oder nicht.

Der Einsatz bereichsspezifischer Personenkennzeichen aus dem Tätigkeitsbereich „Forschung“ (BF-FO) stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung insbesondere gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Durch die Formulierung, dass „Namensangaben durch bereichsspezifische Personenkennzeichen zu ersetzen sind“ soll eine praxisnahe Regelung getroffen werden, indem der Austausch von Namen durch bereichsspezifische Personenkennzeichen als angemessene Maßnahme iSd Art. 9 Abs. 2 Buchstabe j DSGVO ausdrücklich vorgesehen wird. Dies dient der Erhöhung der Rechtssicherheit, weil nicht gefragt werden muss, ob nun eine tatsächliche Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO eingetreten ist oder nicht, sondern bloß die Namen durch bereichsspezifische Personenkennzeichen ausgetauscht werden müssen, was oftmals einfacher zu bewerkstelligen ist, als die Feststellung, ob tatsächliche eine Pseudonymisierung vorliegt oder nicht. Diese Vorgangsweise ist durch das Unionsrecht gedeckt, weil Art. 89 Abs. 1 DSGVO die Pseudonymisierung als bloß eine unter mehreren möglichen geeigneten Garantien anführt. Außerdem sollten gemäß EG 26 DSGVO „[b]ei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Nach heutigem Stand der Technik ist davon auszugehen, dass der Austausch der Namen durch bereichsspezifische Personenkennzeichen in Bezug auf die Wirkung einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO gleichkommt. Dies umso mehr als, die „zusätzliche[n] Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (EG 29 DSGVO) nur der Stammzahlenregisterbehörde bekannt und somit dem Zugriff des oder der Verantwortlichen entzogen sind.

Ausnahmsweise darf auch die Übermittlung der Namensangaben verlangt werden, wenn dies „zur Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO erforderlich“ ist. Hier ist vor allem an die Sozialwissenschaften zu denken, die qualitative Methoden nur mit Namensnennung anwenden kann. Sobald die Namen nicht mehr erforderlich sind, sind zu löschen.

Die lit. a bis e sehen – über die in Abs. 1 enthaltenen – zusätzliche angemessene und spezifische Maßnahmen iSd Art. 9 Abs. 2 Buchstabe j DSGVO vor, um die Verhältnismäßigkeit des Rechts auf Registerforschung zu wahren:

Gemäß lit. a erfolgt eine ausdrückliche Beschränkung der Verarbeitung für Zwecke der Lebens- und Sozialwissenschaften iSd Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007.

Eine weitere Beschränkung iSd Pkt. 7.6.c des BKA-VD-Rundschreibens, BKA-810.016/0001-V/3/2007, erfolgt durch lit. b, indem die zu öffnenden Register in den Verordnungen gemäß § 38b ausdrücklich anzuführen sind. Nur Register, die in einer Verordnung gemäß § 38b angeführt sind, können Gegenstand des Rechts auf Registerforschung sein.

Durch lit. c erfolgt eine Beschränkung hinsichtlich der wissenschaftlichen Einrichtungen (§ 2b Z 12), die das Recht auf Registerforschung ausüben dürfen. Nur die in § 2c Abs. 1 genannten wissenschaftlichen Einrichtungen (§ 2b Z 12) sowie wissenschaftliche Einrichtungen, die über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügen, dürfen das Recht auf Registerforschung geltend machen.

Mit lit. d wird sichergestellt, dass der öffentlichen Hand die Kosten für die Registerforschung ersetzt werden.

Im Zuge der Registerforschung entweder ein Abgleich mit bestehenden Daten oder ein Vollauszug verlangt werden. Wenn ein Abgleich vorgenommen werden soll, sind beim Antrag auf Bereitstellung der Daten gemäß lit. e die entsprechenden Fremd-bPK zur Verfügung zu stellen.

Zur (organisatorischen Begleitung der Registerforschung sollte seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung ein sogenannter Durchführungsverantwortlicher eingerichtet werden, der als zentrale Informations- und Koordinationsstelle für einen reibungslosen Verlauf der Registerforschung sorgen soll. Die Datenschutz-Folgenabschätzung zu Abs. 2 findet sich in Anhang 4.

Aus Gründen der Rechtssicherheit soll in Abs. 3 eine auf Art. 9 Abs. 2 Buchstabe j DSGVO gestützte und der Definition in EG 33 DSGVO entsprechende Rechtsgrundlage für die Zulässigkeit des sogenannten „broad consent“ vorgesehen werden. Diese Rechtsgrundlage ist der Einwilligung (Art. 4 Nr. 11 DSGVO) nachempfunden, stellt aber selbst keine Einwilligung (Art. 9 Abs. 2 Buchstabe a DSGVO) dar, sondern basiert auf Art. 9 Abs. 2 Buchstabe j DSGVO. Diese Vorgangsweise hat die Art-29-Datenschutzgruppe beispielsweise in ihrem Arbeitspapier WP 131 als Möglichkeit zur unionsrechtskonformen Begründung eines Opt-Outs bei elektronischen Gesundheitsakten genannt (Art-20-Datenschutzgruppe, Working Document on the processing of personal data relating to health in electronic health records [EHR] 13 f).

Der Verweis auf eines oder mehrere Forschungsgebiete ist eine Klarstellung im Sinne des EG 33 DSGVO, wonach „betroffene[…] Personen […] ihre Einwilligung für bestimmte Bereiche [Anm: Plural] wissenschaftlicher Forschung“ geben dürfen. Als Klassifikation für die Forschungsgebiete bietet sich die von der Statistik Österreich publizierte Österreichische Version der „Fields of Science and Technology (FOS) Classification” an (http://www.statistik.at/kdb/downloads/pdf/OEFOS2012_DE_CTI_20171007_030441.pdf [25.01.2018]). Da die Unterschiede, etwa zwischen „Systematischer Anatomie (301 112)“ oder „Anatomie (301 102)“, für Laien nicht nachvollziehbar sind und in manchen Fällen auch unter Fachleuten umstritten sein werden, darf die Bezeichnung des Forschungsgebiets auch durch Elemente mit bloß einstelligem Code, wie etwa „Naturwissenschaften (1)“ oder „Humanmedizin, Gesundheitswissenschaften (3)“ erfolgen. Im Vergleich zur Einwilligung gemäß Art. 4 Nr. 11 sind die Anforderungen an die Vorherbestimmtheit der Willenserklärung herabgesetzt, sodass insbesondere eine Angabe der Empfängerinnen und Empfänger nicht zwingend erforderlich ist. Die Datenschutz-Folgenabschätzung findet sich in Anhang 5.

Nach Erwägungsgrund 8 der Datenschutz-Grundverordnung können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Von dieser Ermächtigung wird in Abs. 4 hinsichtlich des Art. 5 Abs. 1 Buchstaben b und e DSGVO Gebrauch gemacht. § 62 Abs. 1 Z 2 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 sieht nämlich eine Geldstrafe von bis zu 50 000 EUR für die vorsätzliche Weiterverarbeitung „für andere unzulässige Zwecke“ vor. Dies steht potentiell in Widerspruch zu Art. 5 Abs. 1 Buchstabe b DSGVO, wonach die „Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke […] gemäß Artikel 89 Absatz 1 [DSGVO] nicht als unvereinbar mit den ursprünglichen Zwecken [gilt]“. Die vorgeschlagene Bestimmung, die auf Art. 9 Abs. 2 Buchstabe j iVm Art. 5 Abs. 1 Buchstabe b DSGVO beruht, soll zumindest Rechtssicherheit schaffen, dass es sich bei der beschriebenen Weiterverarbeitung keinesfalls um eine Verarbeitung „für andere unzulässige Zwecke“ im Sinne des § 62 Abs. 1 Z 2 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018 handelt. In diesem Fall wird keine eigene Rechtsgrundlage für eine Verarbeitung geschaffen, sodass eine Datenschutz-Folgenabschätzung nicht erforderlich ist.

Durch den vorgeschlagenen Abs. 5 soll klargestellt werden, dass Daten gemäß § 2b Z 5 für Zwecke gemäß Art. 89 Abs. 1 DSGVO – d.h. jedenfalls für alle in diesem Abschnitt angeführten Verarbeitungen – grundsätzlich zeitlich unbeschränkt gespeichert werden dürfen. Einerseits gibt es viele Anwendungsfälle, in denen Daten, die vor längerer Zeit erhoben wurden, lebensrettend sein hätten können, wie beispielsweise im Kontext des Lawinenunglücks von Galtür oder im Hinblick auf Spätfolgen bei Schwangerschaftsereignissen. Andererseits zeigt die Datenschutz-Grundverordnung durch ihre Beschränkung auf lebende Personen (EG 27 DSGVO) sowie die Öffnungsklausel des Art. 5 Abs. 1 Buchstabe e DSGVO, dass eine zeitlich unbeschränkte, subsidiäre Speicherfrist in unionsrechtlich zulässiger Art vorgesehen werden kann. Ebenso wie Abs. 4 stellt auch diese Bestimmung keine selbständige Rechtsgrundlage für eine Verarbeitung dar, sondern bloß eine Zweifelsregelung hinsichtlich der zulässigen Speicherdauer, falls keine ausdrückliche Regelung getroffen sein sollte. Aus diesem Grund ist auch hier keine Datenschutz-Folgenabschätzung erforderlich.

Ein Beispiel für so eine ausdrückliche Regelung wäre § 53 des Universitätsgesetzes 2002, wonach Prüfungsdaten gemäß § 3 Abs. 3 Z 9 des Bildungsdokumentationsgesetzes mindestens 80 Jahre in geeigneter Form aufbewahrt werden müssen. § 53 UG würde als speziellere Bestimmung der vorliegenden Bestimmung vorgehen, allerdings widerspricht § 53 UG der vorliegenden Bestimmung nicht, sodass gar kein Fall der Normenkollision vorliegt. Dies gilt in allen Fällen, in denen in Spezialbestimmungen Mindestspeicherdauern vorgesehen sind (vgl. § 2f Abs. 3 Z 1, § 2g Abs. 1 Z 1). Anders sieht es hingegen mit Bestimmungen aus, die die zeitliche Dauer tatsächlich beschränken, wie etwa § 2f Abs. 3 Z 2. In diesen Fällen gehen die – einschränkenden – Spezialbestimmungen der vorliegenden Bestimmung vor.

Unionsrechtliche Grundlage für Abs. 6 ist das Kapitel III DSGVO, insbesondere dessen Art. 17 Abs. 3 Buchstabe b, wonach das Recht auf Löschung/Vergessenwerden nicht besteht, wenn „die Verarbeitung [….] zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde [… erforderlich ist]“. Mit den Ziffern 1, 2, 4 und 5 wird von den Öffnungsklauseln des Art. 89 Abs. 2 DSGVO Gebrauch gemacht. Die Z 3 stützt sich auf die Öffnungsklausel des Art. 17 Abs. 3 Buchstabe d DSGVO. Hinsichtlich der Z 4 und 6 wird auch die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, die auch als – sekundäre – Rechtsgrundlage für die anderen Ziffern herangezogen werden kann. Das allgemeine öffentliche Interesse des Mitgliedstaats Österreich im Sinne des Art. 23 Abs. 1 Buchstabe e DSGVO zeigt sich insbesondere an der Forschungsquote, die sich von 1,1 Prozent des Bruttoinlandsprodukts (BIP) im Jahr 1981 kontinuierlich auf 3,14 Prozent im Jahr 2017 erhöht hat (Quelle: http://www.statistik.at/web_de/statistiken/energie_umwelt_innovation_mobilitaet/forschung_und_innovation/globalschaetzung_forschungsquote_jaehrlich/023703.html [28.01.2018]). Im Detail setzt sich die Forschungsquote (in Millionen Euro) für das Jahr 2017 wie folgt zusammen:

Jahr	F&E-Ausgaben	Bund	Bundesländer	Unternehmen	Ausland	Sonstige	BIP (Mrd. €)	% des BIP
2017	11.325,42	3.439,62	514,54	5.458,10	1.740,37	172,79	361,18	3,14

Gemäß Art. 23 Abs. 2 DSGVO haben „Gesetzgebungsmaßnahme[n] im Sinne des Absatzes 1 […] insbesondere gegebenenfalls spezifische Vorschriften [zu] enthalten“. Durch das Wort „gegebenenfalls“ wird klargestellt, dass die in Art. 23 Abs. 2 DSGVO angeführten Angaben keine zwingenden Mindestangaben sind.

Die „Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO [wird] voraussichtlich unmöglich gemacht“, wenn durch die Ausübung dieser Rechte Forschungsergebnisse nachträglich verändert würden. Eine ernsthafte Beeinträchtigung liegt vor, wenn die Erfüllung der Verpflichtungen für die oder den Verantwortlichen mit einem unverhältnismäßigen Aufwand verbunden wäre.

Eine Beschränkung der Betroffenenrechte gemäß den §§ 44 f DSG ist nicht erforderlich, weil diese Betroffenenrechte nur im Anwendungsbereich des 3. Hauptstücks des Datenschutzgesetzes, d.h. der Sicherheitspolizei, des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs gelten. Die zugehörige Datenschutz-Folgenabschätzung ist in Anhang 6 zu finden.

Abs. 7 sieht vor, dass im Anwendungsbereich der vorliegenden Regierungsvorlage die Pflicht zur Einholung der Genehmigung durch die Datenschutzbehörde gemäß § 7 Abs. 3 DSG in der Fassung des Datenschutz-Anpassungsgesetzes 2018, nicht besteht. Hintergrund dieser Regelung, ist dass die Verarbeitung sogar von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 Buchstabe j DSGVO für wissenschaftliche und historische Forschungszwecke zulässig ist und eine dem Art. 8 Abs. 4 der Datenschutz-Richtlinie vergleichbare Bestimmung über die Genehmigung in der Datenschutz-Grundverordnung nicht mehr enthalten ist. Diese Bestimmung bedarf keiner Öffnungsklausel, weil bloß einer nationalen Bestimmung, der keine unionsrechtliche Verpflichtung zugrunde liegt, derogiert werden soll. Somit bedarf es auch keiner Datenschutz-Folgenabschätzung, weil durch die vorgeschlagene Bestimmung keine Rechtsgrundlage für eine Verarbeitung geschaffen, sondern ein wichtiger Schritt zur Entbürokratisierung (siehe: WFA) gesetzt werden soll.

Abs. 8 sieht vor, dass ein Abgleich von Bilddaten mit anderen personenbezogenen Daten unter bestimmten Umständen zulässig sein soll. Auffallend an der vorgeschlagenen Bestimmung ist, dass sie auch im Bereich der Universitätskliniken oder an sonstigen Krankenanstalten, in denen klinischer Unterricht erteilt wird, gelten soll. Dies wird durch den Verweis auf § 44 des Bundesgesetzes über Krankenanstalten und Kuranstalten (KAKuG), BGBl. Nr. 1/1957, erreicht. Dieser Verweis kann durch bundesgesetzliche Regelung erfolgen, weil § 44 KAKuG selbst keine Grundsatzbestimmung, sondern eine bundesgesetzliche Bestimmung darstellt.

Die Regelung ist erforderlich, da die Forschung mit Bilddaten zukünftig in einem Spannungsverhältnis zu den nationalen Bestimmungen zur Verarbeitung von Bildaufnahmen stehen könnte, weil ein Abgleich zwischen Bilddaten und anderen personenbezogenen Daten gemäß § 12 Abs. 4 Z 3 DSG unzulässig ist.

Dabei gibt es zahlreiche Projekte bei denen es unbedingt notwendig ist, Bilddaten automationsunterstützt mit anderen personenbezogenen Daten abzugleichen, wie z.B. Systeme zur Steigerung der Verkehrssicherheit. Um etwa Kapazitätsanalysen für Engstellen in Baustellenbereichen durchführen zu können oder allgemein Verkehrsströme zur Optimierung der Infrastruktur zu erheben, werden etwa Bilddaten (in diesem Fall von Kfz-Kennzeichen) mit Daten zu in Fahrzeugen verwendeten Bluetooth-Geräten abgeglichen.

Neben dem automatischen Abgleich von Bilddaten mit anderen personenbezogenen Daten kann es auch erforderlich sein, Bilddaten nach besonderen Kategorien personenbezogener Daten auszuwerten. Auch dies wäre nach § 12 Abs. 4 Z 4 DSG unzulässig. Diese Art der Bilddatenauswertung ist aber z.B. notwendig, um Schlafstörungen berührungslos unter Zuhilfenahme von Bildaufnahmegeräten zu erforschen.

Die zugehörige Datenschutz-Folgenabschätzung ist in Anhang 7 zu finden.

Um die Richtigkeit der für Zwecke gemäß Art. 89 Abs. 1 DSGVO verarbeiteten Daten zu gewährleisten sowie im Sinne guter, wissenschaftlicher Praxis und zur Nutzung des durch Automatisierung gegebenen Potentials, sollen gemäß Abs. 9 die Bestimmungen des E-Government-Gesetzes, BGBl. I Nr. 10/2004, die beispielsweise einem Aufdrucken von bereichsspezifischen Personenkennzeichen in Form von Barcodes aber auch RFID-Transpondern entgegenstehen, aufgrund der vorliegenden Regierungsvorlage keine Anwendung finden.

Die zugehörige Datenschutz-Folgenabschätzung ist in Anhang 8 zu finden.

Zu Art. 7 Z 7 (§ 2e – „Qualitätsmanagement“):

Durch die vorgeschlagene Bestimmung soll eine effektive Möglichkeit für das Qualitätsmanagement von

– wissenschaftlichen Einrichtungen (Abs. 2 und 3) sowie

– Art‑89-Förder- und Zuwendungsstellen (Abs. 4)

eingeführt werden und so auch die Grundlage für eine wissenschaftliche Begleitung der Aktivitäten im Anwendungsbereich des Art. 89 DSGVO geschaffen werden. Die unionsrechtliche Grundlage für diese Verarbeitung besteht in Art. 9 Abs. 2 Buchstabe j DSGVO.

Da keine ausdrückliche Speicherdauer angegeben ist, gelangt die Zweifelsregel des § 2d Abs. 5 über die grundsätzlich unbeschränkte Speicherdauer zur Anwendung.

Die zugehörige Datenschutz-Folgenabschätzung ist in Anhang 9 zu finden.

Art. 126b Abs. 5, Art. 127 Abs. 1 und Art. 127a Abs. 1 B‑VG sehen eine umfassende Prüfkompetenz des Rechnungshofes auf Bundes-, Landes- und Gemeindeebene hinsichtlich der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit vor. Es gibt somit auch ein – verfassungsrechtlich verbrieftes – erhebliches öffentliches Interesse im Sinne des Art. 9 Abs. 2 Buchstabe g DSGVO an der Feststellung der Wirkungen von Maßnahmen im Bereich Wissenschaft und Forschung. Abs. 1 Z 1 führt dieses öffentlichen Interesses ausdrücklich an. Hinsichtlich des wichtigen öffentlichen Interesses an einem optimalen Mitteleinsatz darf auf die Erläuterungen zu § 2d Abs. 6 verwiesen werden.

Aber nicht nur der optimale Einsatz öffentlicher Mittel liegt im wichtigen öffentlichen Interesse, sondern auch die Erweiterung, d.h. bestmögliche Entwicklung des Wissensstandes (Z 2). Dazu zählen nicht nur die Veröffentlichung von Publikationen, sondern auch die Ausübung von Immaterialgüterrechten durch Anwendung und Verwertung.

Der Rat der Europäischen Union hat in seiner Empfehlung vom 20. November 2017 zur Werdegang-Nachverfolgung (https://www.parlament.gv.at/PAKT/EU/XXVI/EU/00/25/EU_02511/imfname_10766077.pdf [15.12.2017]) festgehalten, dass die Beschäftigungsfähigkeit von Absolventinnen und Absolventen der allgemeinen und beruflichen Bildung in vielen Mitgliedstaaten Anlass zur Sorge gibt, vor allem weil die EU-Beschäftigungsquote von Jungakademikerinnen und -akademikern nach der Finanzkrise 2008 nicht mehr den alten Wert erreicht hat (Erwägungsgrund 1 der Empfehlung des Rates zur Werdegang-Nachverfolgung). Abs. 2 ermöglicht dementsprechend wissenschaftlichen Einrichtungen (§ 2b Z 12) die Verarbeitung personenbezogener Daten zum Zweck der Werdegang-Nachverfolgung. Der Vorschlag für eine Empfehlung des Rates zur Werdegang-Nachverfolgung (COM[2017] 249 final; http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52017DC0249 [15.12.2017]) vom 30.05.2017 sieht vor, dass „[d]urch die Bereitstellung besseren Datenmaterials zum Werdegang von Absolventinnen und Absolventen […] die vorgeschlagene Ratsempfehlung auch zur Verwirklichung von Artikel 14 zum Recht auf Bildung sowie auf Zugang zur beruflichen Ausbildung und Weiterbildung und von Artikel 15 zum Recht zu arbeiten beitragen [wird]“.

Absolventinnen und Absolventen können sowohl ehemalige wissenschaftliche Mitarbeiterinnen oder Mitarbeiter (Z 1) als auch ehemalige Studierende (Z 2) von wissenschaftlichen Einrichtungen sein.

Das öffentliche Interesse an der vorgeschlagenen Regelung ergibt sich aus

– der Verbesserung der Beschäftigungsfähigkeit von Absolventinnen und Absolventen;

– der Erhöhung der Qualität und Relevanz der Bildung und Evaluierung des Impacts der Forschung im internationalen Vergleich;

– dem Schutz personenbezogener Daten durch Schaffung einer ausdrücklichen, gesetzlichen Grundlage im Sinne von Punkt 4 des Rundschreibens des Bundeskanzleramtes-Verfassungsdienst vom 14.05.2008, BKA-810.016/0001-V/3/2007, 5;

– Steigerung der Attraktivität des Wissenschafts- und Forschungsstandorts Österreich im Bereich der Grundlagenforschung;

– Verbesserung der Wettbewerbsfähigkeit der Bildungseinrichtungen im internationalen Vergleich.

Ein Werdegang-Nachverfolgungssystem ermöglicht den wissenschaftlichen Einrichtungen durch strukturierte Datenerfassung des akademischen und beruflichen Werdegangs von Personen vor, während und nach ihrer Tätigkeit an der wissenschaftlichen Einrichtung sowie von Bewerberinnen und Bewerbern, die ein Angebot der wissenschaftlichen Einrichtung auf Aufnahme abgelehnt haben, eine Analyse von Einfluss- und die Identifikation von Erfolgsfaktoren.

Die Verfügbarkeit möglichst vieler qualitativer und quantitativer Daten zum Werdegang von Personen vor und nach ihrem Bildungs- und Ausbildungsabschluss sowie darüber, wie Studierende und Absolventinnen und Absolventen die an der Einrichtung erworbenen Kenntnisse, Fertigkeiten und Kompetenzen bewerten, ist essentiell, sowohl um die Gründe für mangelnde Beschäftigungsfähigkeit als auch die Faktoren für den Erfolg bestimmter Studienrichtungen und Berufsdisziplinen zu verstehen, um aktive und gezielte Maßnahmen zur Unterstützung und Förderung der Karrieren treffen zu können.

Diese Daten können dann auch für Lösungsansätze genutzt werden; insbesondere können sie Studienberatungsstellen, Lehrenden und dem Management von Einrichtungen die Analyse der Qualität und Relevanz der Bildung, die Absolventinnen und Absolventen erhalten haben, ermöglichen, als Input für die Erstellung von Studien- und Lehrgängen dienen sowie im Bereich der Grundlagenforschung eine Analyse der Exzellenzstrategie ermöglichen.

In Z 1 sind die Daten angeführt, die für wissenschaftliche Mitarbeiterinnen und Mitarbeiter verarbeitet werden dürfen.

Die in lit. b genannten soziobiografischen und sozioökonomischen Angaben betreffen u.a. die formale Bildung, Beruf und Einkommen, Wohnort, kulturelle Praxis, Liquidität oder den Besitz von Büchern. Lit. d beschreibt die quantitativen Daten, die im Zuge von Werdegang-Nachverfolgungssystemen verarbeitet werden dürfen. Bei der Art des Vertrags (sublit. cc) soll insbesondere angegeben werden, ob es sich um einen freien Dienstvertrag, ein Angestelltenverhältnis, einen Vertrag gemäß Vertragsbedienstetengesetz 1948, BGBl. Nr. 86/1948, oder ein öffentlich-rechtliches Dienstverhältnis handelt. Der Beschäftigungsstatus (sublit. dd) wird sich in der Regel auf die Frage nach Vollzeit- oder Teilzeit- oder geringfügiger Beschäftigung beschränken. Gemäß sublit. ff dürfen auch Angaben zu geografischen und sektoralen Mobilitäten (§ 2b Z 7) verarbeitet werden. Die Angaben zu akademischen Funktionen (sublit. gg) sollen auch ehrenamtliche Funktionen umfassen.

In Z 2 sind die für Studierende erforderlichen Daten angeführt. Lit. a übernimmt sämtliche Datenarten von Z 1. Lit. b führt die das absolvierte Studium betreffenden, quantitativen Daten an, wobei die Studienintensität (sublit. aa) in Prozent eines Vollzeitstudiums anzugeben ist. Aufgrund dieser Bestimmung können beispielsweise auch Studien über Personen angestellt werden, die keine Art‑89-Mittel iSd § 2g Abs. 1 Z 1 lit. a erhalten haben.

Zur Feststellung der Wirkungen ihrer Tätigkeit haben wissenschaftlichen Einrichtungen (§ 2b Z 12) gemäß Abs. 3 das Recht

– eine Ausstattung mit bereichsspezifischen Personenkennzeichen (Z 1) sowie

– die Zurverfügungstellung von pseudonymisierten Daten von natürlichen Personen sowie von Informationen von sonstigen Betroffenen im Sinne des § 6 Abs. 4 des E-Government-Gesetzes, BGBl. I Nr. 10/2004 (Z 2)

zu verlangen. So könnte etwa die Zusammenschau verschiedener Angaben, wie etwa der pseudonymisierten Angaben zur beruflichen Entwicklung der ehemals in Projekten geförderten natürlichen Personen, Rückschlüsse darauf geben, ob sich die Fördertätigkeit in konkreter Steigerung der Wertschöpfung auswirkt oder nicht. Die geringe Transformation von guter Bildungsarbeit in Wertschöpfung stellt nämlich nach dem Global Innovation Index 2015 eine der größten Schwächen des österreichischen Bildungssystems dar (Global Innovation Index 2015, 168).

Der Einsatz von bereichsspezifischen Personenkennzeichen ermöglicht Longitudinalstudien in bisher nicht erreichter Qualität. Einerseits ist sowohl die Eindeutigkeit der Identität gewährleistet (§ 2 Z 8 E-GovG), andererseits sind bereichsspezifische Personenkennzeichen nur indirekt personenbezogen (DSK 22.05.2013, K202.126/0012-DSK/2013), d.h. nach der Datenschutz-Grundverordnung grundsätzlich als pseudonymisiert zu betrachten. Es können somit die Öffnungsklauseln betreffend wissenschaftliche und statistische Zwecke gemäß Art. 9 Abs. 2 Buchstabe j und Art. 89 Abs. 1 DSGVO als unionsrechtliche Grundlage herangezogen werden.

Die Möglichkeit zur Werdegang-Nachverfolgung soll gemäß Abs. 4 auch für Art‑89-Förder- und Zuwendungsstellen bestehen.

Zu Art. 7 Z 7 (§ 2f – „Datengrundlagen für Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 DSGVO“):

Faktische Voraussetzung für die in Art. 89 Abs. 1 DSGVO angeführten Tätigkeiten, ist das Bestehen entsprechender Datengrundlagen. Ohne Daten kann es weder wissenschaftliche Forschung noch statistisches oder archivarisches Arbeiten geben. Der vorgeschlagene Abs. 1 stellt eine allgemeine und gegenüber spezielleren Archivierungspflichten nachrangige Rechtsgrundlage für die Verarbeitung zur Schaffung der Datengrundlagen für Zwecke des Art. 89 Abs. 1 DSGVO dar. Grundsätzlich wäre § 2g als lex specialis zu § 2d anzusehen, allerdings sieht § 2d Abs. 1 Z 8 ausdrücklich vor, dass alle Verarbeitungen nach diesem Abschnitt, d.h. auch die durch die vorliegende Bestimmung zu regelnden, den Anforderungen des § 2d Abs. 2 Z 1 zu entsprechen haben (siehe näher dazu: die Erläuterungen zu § 2d Abs. 1 Z 8).

Durch die rechtliche Absicherung von Repositories soll aber nicht nur dem Prinzip von Open Access gefolgt werden, sondern auch sichergestellt werden, dass wissenschaftliche Projekte auch nach Weggang von Forscherinnen und Forschern auch noch Jahrzehnte später fortgeführt werden können. Damit können nicht nur Kosten, sondern auch mehrfache Erhebungen von Daten und im schlimmsten Fall sogar großes menschliches Leid – etwa im Bereich der Pharmakovigilanz – vermieden werden. In Verbindung mit § 2j über die Internationalität von Verarbeitungen gemäß Art. 89 DSGVO erlaubt die vorliegende Bestimmung beispielsweise auch die Teilnahme an internationalen Forschungsprojekten, in denen die Pflicht zur Einrichtung sogenannter Repositories vorgesehen wird. Die in den Ziffern angeführten Datenarten sollen unter anderem auch eine solide Rechtsgrundlage für die bei der Österreichischen Akademie der Wissenschaften eingerichteten Archive, wie etwa das Phonogrammarchiv gewährleisten. Durch die vorliegende Bestimmung wird nicht ausgeschlossen, dass Sammlungen auf andere Rechtsgrundlagen gestützt werden, wie etwa auf Einwilligungen gemäß Art. 4 Nr. 11 DSGVO.

Dadurch dass vom „Zugang zu Daten (§ 2b Z 5)“ gesprochen wird, kann nicht nur Forschungsmaterial, d.h. körperliche Sachen im Sinne des ABGB, in einem Repository abgelegt, d.h. „gespeichert“ werden, sondern auch unkörperliche Sachen, wie etwa Publikationen in elektronischer Form.

Die Namensangaben (Z 1) und die in Z 2 genannten Personenmerkmale gemäß § 2g Abs. 2 Z 2 sind essentiell für die Identifikation in historischen Beständen. Zusätzlich werden in Z 2 noch die Zugehörigkeit zu einer sozialen, ethnischen oder kulturellen Gruppe (lit. a), die soziale Stellung (lit. b), der oder die Berufe (lit. c), Sprachkenntnisse und sonstige, besondere Kenntnisse, wie etwa technischer, handwerklicher, künstlerischer oder sportlicher Natur (lit. d). Auch Angaben zum beruflichen und akademischen Werdegang oder Verweise auf Publikationen können nach dieser Bestimmung verarbeitet werden. Diese Daten sind besonders aus sozialwissenschaftlicher Sicht von besonderer Bedeutung, weshalb sie auch für die Vorfahren erhoben werden dürfen (lit. e). Soweit die Ausstellung von bereichsspezifischen Personenkennzeichen (lit. f) aufgrund der vorliegenden Daten möglich ist, sollte sie erfolgen. Z 3 stellt mehr oder weniger das Pendant zu den Z 1 und 2 für alle nichtnatürlichen Personen dar. Das in lit. e genannte Gründungsdatum ist für die wirtschaftswissenschaftliche Untersuchung von Unternehmen und deren Entwicklung sehr interessant, da sich daraus nicht nur das Alter, sondern auch Unternehmenslebenszyklen, wie etwa die Gründungsphase, die Reifephase oder die Schrumpfung ablesen lassen. Darauf basierend können Vergleiche von Unternehmen, die sich in einem vergleichbaren Alter oder eben ganz anderem Alter befinden, angestellt werden. Z 4 bezieht sich auf Kontakt- und Adressdaten gemäß § 2g Abs. 2 Z 5, d.h. Adressdaten (§ 2g Abs. 2 Z 5 lit. a) und Angaben zur elektronischen Erreichbarkeit (§ 2g Abs. 2 Z 5 lit. b). Hinsichtlich der Formulierung Angaben zur elektronischen Erreichbarkeit darf auf die Erläuterungen zu § 2g Abs. 2 Z 5 verwiesen werden. Z 5 erlaubt die Verarbeitung von Daten, die für die Archivierung und Klassifikation erforderlich sind, wie insbesondere Beschreibungen zu den Forschungsmaterialien, thematische Zuordnung oder Angaben, die für die Versionierung erforderlich sind. Die beispielhaft angeführten Fundortdaten sind für manche Sammlungen unbedingt erforderlich, weil Fundstücke ohne diese Angaben oder mit zu allgemeinen Angaben oft wissenschaftlich wertlos sind. Je nach Datenqualität reicht diese Information von präzisen GPS-Koordinaten mit einer Genauigkeit von rund 1 Meter bei Neuzugängen bis zu Angaben wie „Fundort Stadt …“ bei historischen Objekten. Durch die Möglichkeit zum Abgleich mit Katasterplänen sind jedenfalls die präzisen GPS-Koordinaten als personenbezogene Daten zu sehen, weil der Eigentümer des bestimmten Grundstücks bestimmbar ist. Unter „Personen, die das Forschungsmaterial zur Verfügung gestellt haben“ sind insbesondere Schenkerinnen und Schenker sowie sonstige Spenderinnen und Spender zu verstehen. Die Möglichkeit zur Verarbeitung politischer, religiöser, rechtlicher, traditioneller, gesundheitlicher oder gruppenspezifischer Hintergrundinformationen gemäß Z 6 ist insbesondere aus sozialwissenschaftlicher Sicht erforderlich.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 10 zu entnehmen.

Durch Abs. 2 soll ein zweistufiges Verfahren zum sicheren Zugriff auf Repositories vorgesehen werden. Gemäß § 2d Abs. 1 Z 8 haben alle Verarbeitungen nach dem vorliegenden Abschnitt den Anforderungen des § 2d Abs. 2 Z 1 zu entsprechen, d.h. insbesondere, dass es keine Veröffentlichung direkt personenbezogener Daten geben darf. Um dennoch auch den Anforderungen von Open Access entsprechen zu können, wird ein zweistufiges Verfahren eingeführt, das in einem ersten Schritt die indirekt personenbezogene Veröffentlichung vorsieht und in einem zweiten Schritt – unter Einhaltung bestimmter Voraussetzungen, die in den Z 1 bis 3 definiert sind – den Zugriff auf die erforderlichen, direkt personenbezogenen Daten erlaubt. Die Voraussetzungen zur Erteilung des direkt personenbezogenen Zugriffsrechts auf Repositories sind:

1) Empfängerinnen können nur wissenschaftliche Einrichtungen sein. Die wissenschaftlichen Einrichtungen, die Zugriff auf direkt personenbezogene Daten wünschen, haben ihre Eigenschaft als wissenschaftliche Einrichtungen gegenüber den wissenschaftlichen Einrichtungen, die die Repositories betreiben, nachweislich zu belegen.

2) Die wissenschaftliche Einrichtung, die das Repository betreibt, hat die wissenschaftliche Einrichtung, die den Zugriff auf personenbezogene Daten erhalten soll, nachweislich über die Pflichten nach diesem Abschnitt, d.h. insbesondere die Anforderungen des § 2d, aufzuklären.

3) Die wissenschaftliche Einrichtung, die das Repository betreibt, hat Vorkehrungen dafür zu treffen, dass die wissenschaftliche Einrichtung, die den Zugriff auf personenbezogene Daten erhalten soll, ihre Pflichten nach diesem Abschnitt einhält. So unterliegt die wissenschaftliche Einrichtung, die den Zugriff auf personenbezogene Daten erhalten soll, ihrerseits wieder § 2d Abs. 2 Z 1 und darf keine personenbezogenen Daten veröffentlichen. Die wissenschaftliche Einrichtung, die das Repository betreibt, hat demnach stichprobenartig – etwa durch Internetrecherche – zu kontrollieren, dass die wissenschaftliche Einrichtung, die den Zugriff auf personenbezogene Daten erhalten soll, keine Veröffentlichungen vornimmt, die nicht den Anforderungen des § 2d Abs. 2 Z 1 entsprechen.

4) Die wissenschaftliche Einrichtung, die das Repository betreibt, darf beispielsweise natürlichen Personen, die für ihren achtlosen Umgang mit personenbezogenen Daten bekannt sind, keinen Zugriff auf personenbezogene Daten gewähren. Auch wenn sonstige Anzeichen bestehen, dass die wissenschaftliche Einrichtung, die den Zugriff auf personenbezogene Daten erhalten soll, ihre Pflichten nach der Datenschutz-Grundverordnung gröblich außer Acht lässt und beispielsweise keine Datenschutz-Folgenabschätzung vorlegen kann, obwohl sie eine solche durchführen müsste, darf die wissenschaftliche Einrichtung, die das Repository betreibt, keinen Zugriff auf personenbezogene Daten gewähren.

Wie durch die Formulierung „Ungeachtet des Abs. 1“ zu Beginn dieser Bestimmung klargestellt, tritt die Rechtsgrundlage gemäß Abs. 3 neben die Rechtsgrundlage der Repositories gemäß Abs. 1, die grundsätzlich dem Open Access-Zugang unterliegen. Mit der vorliegenden Bestimmung soll die Möglichkeit geschaffen werden, dass die einzelne Wissenschaftlerin oder der einzelne Wissenschaftler oder auch ein Institut – ungeachtet der allfälligen großen Infrastrukturen gemäß Abs. 1 – jedenfalls alle Daten speichern und gegebenenfalls sonst verarbeiten dürfen, wenn dies erforderlich ist, um sich – im weitesten Sinne – freibeweisen zu können bzw. den eigenen Ruf wahren zu können. Z 1 zielt insbesondere auf die – gesonderte – Speicherung von Rohdaten bei Publikationen ab. Die verlängerte Speicherdauer in Z 2 im Ausmaß von 30 Jahren ergibt sich aus der langen Verjährungsfrist gemäß § 1478 ABGB.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 11 zu entnehmen.

Durch Abs. 4 wird eine ausdrückliche nationale Rechtsgrundlage gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO geschaffen und insbesondere klargestellt, dass eine gesonderte Einwilligung im Sinne des Art. 9 Abs. 2 Buchstabe a DSGVO nicht erforderlich ist. Unter biologischen Proben- und Datensammlungen sind insbesondere Biobanken zu verstehen.

Die Klarstellung zur Zulässigkeit betrifft Verarbeitungen, die „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten“ bzw. für Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich sind. Derartige Verarbeitungen können sowohl auf die Öffnungsklausel gemäß Art. 9 Abs. 2 Buchstabe i als auch Buchstabe j DSGVO gestützt werden. Die vorgeschlagene Bestimmung ist nicht nur Rechtsgrundlage für zukünftige Biobanken, sondern auch für alle – im Zeitpunkt ihres Inkrafttretens – bestehenden biologischen Proben- und Datensammlungen.

Außerdem werden angemessene und spezifische Maßnahmen vorgesehen, wobei die Z 2 („Datensicherheitsmaßnahmen“) jedenfalls einzuhalten ist, die Z 1 („Pseudonymisierung“) nur, wenn dadurch die Zwecke der Verarbeitungen noch erfüllt werden können. In Bezug auf die Pseudonymisierung stellt sich die Verwendung von bereichsspezifischen Personenkennzeichen nach diesem Paragrafen als Mittel der Wahl dar.

Durch die vorgeschlagene Bestimmung ist insbesondere auch die Verwendung von Biobanken – nicht nur, aber auch – in Notfallsituationen auf eine sichere, rechtliche Grundlage gestellt.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 12 zu entnehmen.

Abs. 5 soll Rechtssicherheit für Studierende hinsichtlich ihrer wissenschaftlichen und schriftlichen Arbeiten schaffen. Die „Zwecke der Lehre“ umfassen insbesondere den gesamten forschungsgeleiteten Lehrbetrieb an Universitäten, somit auch die Verwendung u.a. von „Beurteilungsunterlagen (insbesondere Gutachten, Korrekturen schriftlicher Prüfungen und Prüfungsarbeiten)“ wie sie beispielsweise in § 44 des Hochschulgesetzes 2005 oder § 79 des Universitätsgesetzes 2002 vorgesehen sind. Ebenso dienen Angaben auf Prüfungsbögen Zwecken der Lehre und stellt auch der klinisch-praktische Unterricht (z.B.: Bedside-Teaching) Lehre im Sinne der vorliegenden Bestimmung dar.

Die unionsrechtliche Grundlage für diese Bestimmung besteht einerseits in Art. 9 Abs. 2 Buchstabe j DSGVO und andererseits in Art. 5 Abs. 1 Buchstabe b DSGVO über das Weiterverarbeitungsprivileg für Zwecke gemäß Art. 89 Abs. 1 DSGVO.

Unter „zulässigen Verarbeitungen“ sind beispielsweise die Veröffentlichungspflichten gemäß § 19 des Fachhochschul-Studiengesetzes, § 49 des Hochschulgesetzes 2005, § 3 des Privatuniversitätengesetzes oder § 86 des Universitätsgesetzes 2002 zu verstehen, aber auch Verarbeitungen, die für administrative Zwecke erforderlich sind. Die Zulässigkeit kann sich beispielsweise aber auch aufgrund der Art. 6 und 9 DSGVO oder anderer nationaler Bestimmungen, wie etwa § 7 DSG ergeben.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 13 zu entnehmen.

Durch Abs. 6 soll klargestellt werden, dass insbesondere ungeachtet des § 31 des Bundesstatistikgesetzes 2000, eine Übermittlung von Sterbedatum und Todesursache von der Statistik Österreich an wissenschaftliche Einrichtungen jedenfalls zu erfolgen hat. Damit § 30a UG auf allgemeiner Ebene für alle wissenschaftlichen Einrichtungen gemäß § 2b Z 12 übernommen. Diese Regelung fällt nicht mehr in den Anwendungsbereich der Datenschutz-Grundverordnung, weil diese nach ihrem Erwägungsgrund 27 „nicht für die personenbezogenen Daten Verstorbener [gilt]“. Die Durchführung einer Datenschutz-Folgenabschätzung ist somit nicht erforderlich, weil die die gesamte Datenschutz-Grundverordnung – und somit auch Art. 35 DSGVO – nicht auf die Daten Verstorbener anzuwenden ist (siehe: Erwägungsgründe 27, 158 und 160 DSGVO).

Zur Einhaltung der größtmöglichen Qualität bei der Verarbeitung von personenbezogenen Daten Verstorbener sieht Abs. 7 die Befassung der jeweiligen Ethikkommissionen vor, sofern solche eingerichtet sind. Besteht für eine wissenschaftliche Einrichtung keine gesetzliche oder unionsrechtliche Pflicht zur Einrichtung einer Ethikkommission, steht ihr Fehlen einer Übermittlung gemäß Abs. 6 nicht entgegen.

Zu Art. 7 Z 7 (§ 2g – „Verarbeitungen durch Art‑89-Förder- und Zuwendungsstellen“):

Durch Abs. 1 soll eine Klarstellung für die Verarbeitung personenbezogener Daten bei der Abwicklung von Art‑89-Mittel im Sinne des § 2b Z 2 getroffen werden.

Die Einbeziehung der „Entwicklung und Erschließung der Künste“ stützt sich auf die Öffnungsklausel des Art. 85 DSGVO, insbesondere dessen Abs. 2, der wie folgt lautet:

„(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) … vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.“

Nach Erwägungsgrund 153 DSGVO sollten „[d]ie Mitgliedstaaten […] Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten [Anm.: auf Datenschutz und Freiheit der Meinungsäußerung bzw. Informationsfreiheit] notwendig sind“.

Durch die in Abs. 1 vorgesehen Verarbeitungen, werden gleichartige Verarbeitungen, die auf andere Rechtsgrundlagen, wie etwa die Einwilligung gestützt werden können, nicht ausgeschlossen. Auch stellen diese Bestimmungen keinen Ausschluss von Einwilligungen im Sinne des Art. 9 Abs. 2 Buchstabe a DSGVO dar.

Die von § 2b Z 1 umfassten Art‑89-Förder- und Zuwendungsstellen, wie etwa der Wissenschaftsfonds, die OeAD-GmbH oder die Fulbright Commission (siehe näher dazu: oben die Erläuterungen zu Art. 7 Z 7 [§ 2b Z 1 – zum Begriff der Art‑89-Förder- und Zuwendungsstelle]), dürfen gemäß Z 1 Förderunterlagen speichern bzw. gegebenenfalls sonst verarbeiten. Zu den Förderunterlagen zählen auch Anbote für Beauftragungen. Unter „sonstigen Daten im Sinne des § 2b Z 5“ sind insbesondere Daten aus dem Berichtswesen, Interims- und Endevaluierungen sowie Daten, die im Rahmen der Abwicklung mit diesen Daten verknüpft werden, wie etwa Publikationen oder Gutachten, zu verstehen. Vor dem Hintergrund der oben zu § 2d Abs. 2 Z 1 ausgeführten Unsicherheiten in Bezug auf die Rechtsgrundlage für die Übermittlung an Auftragsverarbeiter, werden diese hier ausdrücklich angeführt. Abgelehnte bzw. nicht weiterverfolgte Anträge bzw. Anbote (lit. a) dürfen jedenfalls zehn Jahre nach dem letzten Kontakt mit der Person, die sich um die Art‑89-Mittel bemüht, gespeichert bzw. gegebenenfalls sonst verarbeitet werden. Jedenfalls bedeutet einerseits mindestens und andererseits, dass diese Frist erstreckt werden kann, etwa durch andere vertragliche oder gesetzliche Aufbewahrungspflichten. Im Falle einer positiven Entscheidung, wenn also der Förderantrag oder das Anbot zur Beauftragung angenommen wurden (lit. b), dürfen die Förderunterlagen bis zu zehn Jahre ab dem Ende des Jahres der Auszahlung der gesamten Art‑89-Mittel (vgl. § 24 Abs. 2 Z 4 ARR 2014) bzw. des gesamten Entgelts gespeichert bzw. gegebenenfalls sonst verarbeitet werden, etwa durch Vorlage vor Gericht. Die Art‑89-Förder- und Zuwendungsstellen – als Verantwortliche (Art. 4 Nr. 7 DSGVO) – dürfen diese Daten auch früher löschen; dazu verpflichtet sind sie allerdings nicht.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 14 zu entnehmen.

Z 2 sieht die notwendigen Rechtsgrundlagen vor, damit für Zwecke der Bewusstseinsbildung auch eine öffentlichkeits- und medienwirksame Darstellung der Fördertätigkeiten erfolgen kann. Weitere Angaben zum geförderten Projekt können beispielsweise die Zusammenfassung des Projektinhalts betreffen. Die Fördersumme wird angesichts der Urteile des EuGH vom 09.11.2010, Rs. C-92/09 (Schecke) bzw. C‑93/09 (Eifert) nicht unter „weitere Angaben“ subsumiert werden dürfen. Der Begriff der geschäftlichen Interessen ist in Anlehnung an die §§ 7 und 36 des Angestelltengesetzes, BGBl. Nr. 292/1921, § 11 Abs. 3 des Arbeitskräfteüberlassungsgesetzes, BGBl. Nr. 196/1988, § 2c Abs. 1 Z 3 des Arbeitsvertragsrechts-Anpassungsgesetzes, BGBl. Nr. 459/1993, eng auszulegen. Allerdings ist nach Ansicht des OGH unter Beeinträchtigung des geschäftlichen Interesses nicht nur die effektive Herbeiführung eines Schadens zu verstehen, sondern es fallen darunter auch Eingriffe in die geschäftliche Interessensphäre überhaupt (OGH 11.01.1989, 9 ObA 302/88).

Die an § 18 Abs. 1 des Informationsordnungsgesetzes, BGBl. I Nr. 102/2014, angelehnte Abwägungsklausel ist eng auszulegen und soll nur für den Fall der angeführten Bedrohungsszenarien einer Veröffentlichung entgegenstehen. Berechtigte private Interessen, die einer Veröffentlichung entgegenstehen, sind beispielsweise zu erwartende Bedrohungen oder glaubhaft gemachte Nachteile aufgrund der Veröffentlichung. So sind beispielsweise Forscherinnen und Forscher, die im Rahmen ihrer Forschung Tierversuche einsetzen, aufgrund des hitzigen, gesellschaftlichen Diskurses einer realen Bedrohung ausgesetzt. Auch Forscherinnen und Forscher, die sich mit den Auswirkungen von Glyphosat beschäftigten, hätten ein berechtigtes Interesse die Veröffentlichung zu untersagen.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 15 zu entnehmen.

Der Erfolg von Nachfolgeprogrammen könnte wesentlich verbessert werden, wären die Daten von Absolventinnen oder Absolventen noch verfügbar. Aus diesem Grund soll Z 3 eine Rechtsgrundlage für jene Verarbeitungen liefern, die notwendig sind, um bisherige Stipendienempfängerinnen und -empfänger in Evidenz zu halten und zu allfälligen Nachfolgeprogrammen einladen zu können. Gemäß § 24 Abs. 2 Z 4 ARR 2014 besteht für die meisten Empfängerinnen und Empfänger von Art‑89-Mitteln eine Aufbewahrungs- bzw. Auskunftspflicht für die Dauer von 10 Jahren ab dem Ende des Jahres der Auszahlung der gesamten Art‑89-Mittel, weshalb die Kontaktdaten und Angaben zur Vergabe der Art‑89-Mittel bzw. Mobilität jedenfalls bis zu diesem Datum aufbewahrt werden müssen. Unter Bildungseinrichtung gemäß lit. d sind Bildungseinrichtungen gemäß § 2 Abs. 1 Z 1 und 2 des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002, zu verstehen.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 16 zu entnehmen.

Abs. 2 bestimmt die für Anträge und Anbote (für Beauftragungen) jedenfalls zulässigen personenbezogenen Daten (Art. 4 Nr. 1 DSGVO). Auch wenn die DSGVO nicht für juristische Personen gilt, sind diese hier anzuführen, weil die Information, dass eine natürliche Person für eine bestimmte juristische Person tätig wird, ihrerseits wieder ein personenbezogenes Datum darstellt. Grundlage für diese Bestimmung war die unter der DAN-Nummer 0420387/005 registrierte Datenanwendung des Wissenschaftsfonds. Die in diesem Absatz angeführten Daten dürfen sich auf alle am Projekt beteiligten natürlichen Personen beziehen, somit nicht nur auf die Antragstellerinnen und Antragsteller, sondern auch auf sonstige am Projekt beteiligte natürliche Personen.

Auf die Definition der Namensangaben gemäß Z 1 wird u.a. in § 2e Abs. 1 Z 1 lit. a und § 2g Abs. 2 Z 1 verwiesen.

Auf die Definition der Personenmerkmale gemäß Z 2 wird u.a. in § 2e Abs. 1 Z 1 lit. a und § 2g Abs. 2 Z 2 verwiesen.

Z 3 erlaubt die Verarbeitung personenbezogener Daten, die zur Identifikation von betroffenen Personen erforderlich sind. Darunter können gemäß lit. b auch (verschlüsselte) Fremd-bPK aus anderen Tätigkeitsbereichen als „Bildung und Forschung“ wie etwa dem Tätigkeitsbereich der „Amtlichen Statistik“ fallen. Die Verarbeitung der Sozialversicherungsnummer ist aufgrund dieser Bestimmung allerdings nicht zulässig. Zulässig ist gemäß lit. c aber die Verarbeitung internationaler Personenkennungen, wie etwa der Open Researcher and Contributor ID (ORCID). Da internationale Personenkennungen typischerweise im professionellen Bereich verbreitet sind und der (geographische) Anwendungsbereich wesentlich größer ist, ist das Gefährdungspotential wesentlich geringer als bei nationalen Kennungen. Auch interne Personenkennungen sind aufgrund ihres Gebrauchs nur innerhalb einer Art‑89-Förder- und Zuwendungsstelle mit einem wesentlich geringeren Eingriff verbunden, als nationale Personenkennungen und deren Verarbeitung daher ebenfalls zulässig.

Für nichtnatürliche Personen enthält Z 4 die Informationen gemäß Z 1, 3 und 5 von natürlichen Personen.

Unter Angaben zur elektronischen Erreichbarkeit (Z 5) sind insbesondere E-Mail-Adressen, Telefonnummern, Internetadressen (von Webseiten), aber auch Angaben, die die Kontaktaufnahme in Messengerdiensten und Social Media erlauben, zu verstehen.

Die in Z 7 angeführten Angaben zur Ausbildung, umfassen beispielsweise auch die Zeitpunkte von Sponsion oder Promotion (arg: „Erfolg“ in lit. a) oder das Land der Bildungseinrichtung (arg: „besuchte Bildungseinrichtung“ in lit. b).

Mit Abs. 3 wird eine ausdrückliche Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) sowie personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten geschaffen. Die Verarbeitung von Gesundheitsdaten ist u.a. erforderlich, um gezielt auf die Bedürfnisse von Menschen mit Behinderungen eingehen zu können. Die Verarbeitung von personenbezogenen Daten mit strafrechtlicher Relevanz ist erforderlich, um den Sicherheitsanforderungen in (internationalen) Förderprogrammen entsprechen zu können.

In Abs. 1 Z 1 und Abs. 2 ist der jedenfalls zulässige Umfang von Anträgen zur Erlangung von Art‑89-Mitteln festgelegt. Damit sind aber noch nicht alle für das Förder- und Beauftragungsmanagement erforderlichen Daten festgelegt. Die für die Abwicklung, das Monitoring und die Revision aufseiten der Art‑89-Förder- und Zuwendungsstellen sowie für die Dokumentation und Beweissicherung aufseiten der Empfängerinnen und Empfänger von Art‑89-Mitteln über die in den vorangegangenen Absätzen hinaus erforderlichen Daten werden in Abs. 4 festgelegt.

Gemäß Z 1 dürfen noch Angaben zur näheren Beschreibung des Projekts verarbeitet werden. Unter Klassifikation ist u.a. die Zuordnung zu Systematiken wie der Österreichischen Systematik der Wissenschaftszweige (ÖFOS 2012) oder anderen Projekten zu verstehen.

Gemäß Z 2 dürfen noch arbeitsrechtlich- und abrechnungsrelevante Daten zu allen im Rahmen des Projekts beschäftigten Personen verarbeitet werden. Die in lit. b genannten näheren Angaben zum Arbeitsverhältnis umfassen u.a. auch Angaben zur Arbeitnehmergruppe, zum Beschäftigungsgrad bzw. ‑ausmaß, zum Aufgabengebiet, der Berufsbezeichnung, der Beschäftigungsdauer, dem Grad der Finanzierung dieser Arbeitsstelle.

Um den wirtschaftlichen Erfolg der Vergabe von Art‑89-Mitteln (§ 2b Z 2) messen zu können, werden in Z 3 Daten angeführt, die gegebenenfalls verarbeitet werden dürfen. Unter Unternehmensdaten (lit. a) sind insbesondere Bilanzen, unter Strukturdaten (lit. b), insbesondere Angaben zur Branche, Rechtsform, dem Gründungsdatum oder der Zahl der Mitarbeiterinnen und Mitarbeiter sowie und Leistungsdaten (lit. c), insbesondere Angaben zu Investitionen, Exporterlösen, Schuldenstand oder eventuellen Patenten zu verstehen.

Die Speicherung der Förderdaten erfolgt im öffentlichen Interesse (siehe oben: Erläuterungen zu § 2d Abs. 6). Es wird daher in Abs. 5 ein Ausschluss des Rechts auf Löschung gemäß Art. 17 Abs. 3 Buchstabe b DSGVO sowie des Widerspruchsrechts gemäß Art. 21 Abs. 6 DSGVO ab dem Zeitpunkt der Zuerkennung der Art‑89-Mittel vorgesehen.

Zur Sicherstellung der Transparenz und als angemessene und spezifische Maßnahme im Sinne des Art. 9 Abs. 2 Buchstabe j DSGVO wird in Abs. 6 ausdrücklich vorgesehen, dass die Art-89-Förder- und Zuwendungsstellen über die geplanten Verarbeitungen im Sinne des Abs. 1 öffentlich einsehbar im Internet zu informieren haben. Damit soll sichergestellt werden, dass potentielle Empfängerinnen und Empfänger von Art‑89-Mitteln über die mit ihrem Antrag verbundenen Verarbeitungen informiert sind.

Durch Abs. 7 erfolgt eine – gemäß Art. 4 Nr. 7 DSGVO zulässige – Klarstellung hinsichtlich der datenschutzrechtlichen Rollenverteilung, weil diese in der Praxis oft große Auslegungsschwierigkeiten verursacht. So könnte im konkreten Fall § 8 Abs. 1 der Allgemeinen Rahmenrichtlinien für die Gewährung von Förderungen aus Bundesmitteln (ARR 2014), BGBl. II Nr. 208/2014, nahelegen, dass hinsichtlich der Abwicklungsstellen, die überwiegend aus Bundesmitteln finanziert werden und gemäß § 2b Z 1 lit. a auch Art‑89-Förder- und Zuwendungsstellen darstellen, der Bund und nicht die Art‑89-Förder- und Zuwendungsstellen selbst als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO anzusehen sind. Dies würde jedoch keineswegs der gelebten Praxis entsprechen, wonach es – wie der Name schon sagt – Aufgabe der Abwicklungsstellen ist, die Förderung aus Bundesmitteln eben für den Bund vollständig abzuwickeln. Die hinter diesen Ausgliederungen stehende Motivation, nämlich die Bundesministerien von der praktischen Abwicklungstätigkeit zu entlasten bzw. die Abwicklung zu den spezialisierten Abwicklungsstellen auszugliedern, soll nicht durch eine Rückverschiebung der datenschutzrechtlichen Verantwortlichkeit auf die zuständigen Bundesministerinnen und Bundesminister konterkariert werden.

Zu Art. 7 Z 7 (§ 2h – „Erhöhung der Transparenz bei Verarbeitungen gemäß Art. 89 DSGVO“):

In Anlehnung an § 23 DSG in der Fassung des Datenschutzanpassungsgesetzes 2018 sollen typische Offenlegungen, die im Bereich Wissenschaft und Forschung erforderlich sind, gesetzlich festgelegt werden und so Rechtssicherheit geschaffen werden.

Angesichts der abstrakten Formulierung von Eingriffsermächtigungen im DSG in der Fassung des Datenschutzanpassungsgesetzes 2018 selbst – etwa des § 23 DSG – ist von der verfassungsrechtlichen Zulässigkeit der Regelung auf abstraktem Niveau auszugehen.

Mit Abs. 1 wird eine Rechtsgrundlage für den öffentlichen Auftritt von wissenschaftlichen Einrichtungen (§ 2b Z 12) vorgesehen.

Z 1 erlaubt den wissenschaftlichen Einrichtungen ihre wissenschaftlichen Mitarbeiterinnen und Mitarbeiter mit Namen, Foto und Publikationsliste auf der Website bzw. in öffentlich zugänglichen Berichten anzuführen. Diese Klarstellung soll vor allem den Studierenden an wissenschaftlichen Einrichtungen zugutekommen, die sich durch diese Bestimmung im wahrsten Sinne des Wortes ein besseres Bild von ihrer wissenschaftlichen Einrichtung machen können. Es ist allerdings auf das Widerspruchsrecht für die auf Websites veröffentlichten Fotos hinzuweisen.

Wenn die wissenschaftlichen Mitarbeiterinnen und Mitarbeiter der wissenschaftlichen Einrichtung ausgeschieden sind, ist gemäß Z 2 zwar noch eine namentliche Nennung zulässig, jedoch bedürfen die Veröffentlichung von Fotos und Publikationsliste einer anderen Rechtsgrundlage, wie etwa einer Einwilligung iSd Art. 4 Nr. 11 DSGVO.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 17 zu entnehmen.

Abs. 2 trifft eine Klarstellung für die zulässigen Verarbeitungen zur Wahrnehmung von Aufsichtspflichten und stützt sich insbesondere auf Art. 9 Abs. 2 Buchstaben g und j DSGVO.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 18 zu entnehmen.

Zu Art. 7 Z 7 (§ 2i – „Wissens- und Technologietransfer“):

Dem Transfer von Technologie und Wissen von den Universitäten in die Gesellschaft, insbesondere die Wirtschaft, kommt entscheidende Bedeutung bei der Generierung von Nutzen für die Gesellschaft zu. Aus diesem Grund war die „rasche Verbreitung sowie die Verwertung der Ergebnisse von Wissenschaft und Forschung“ bereits in der bestehenden Fassung des § 1 Abs. 2 Z 3 als Ziel des Forschungsorganisationsgesetzes ausdrücklich angeführt.

Die geringe Transformation von guter Bildungsarbeit in Wertschöpfung stellt nach dem Global Innovation Index 2015 eine der größten Schwächen des österreichischen Bildungssystems dar (Global Innovation Index 2015, 168). Nach dem Global Innovation Index 2017 (https://www.globalinnovationindex.org/gii-2017-report# [08.01.2018]) liegt Österreich bei den Ausgaben („Gross expenditure on R&D, % GDP“) im Spitzenfeld und zwar an 5. Stelle. Bei den Wirkungen („Knowledge Impact“) liegt Österreich nur an 40. Stelle von 127 untersuchten Staaten und bei den ausländischen Investitionen („FDI net inflows, % GDP“) liegt Österreich gar nur an 117. Stelle von 127 untersuchten Staaten. Auch der aktuelle Forschungs- und Technologiebericht 2017 (https://www.bmvit.gv.at/innovation/publikationen/technologieberichte/downloads/ftb_2017.pdf#page=29 [18.12.2017]) sieht auf Seite 28 großen Aufholbedarf Österreichs bei der wirtschaftlichen Verwertung („market sophistication“) und der Nutzung des Wissens („knowledge & technology outputs“). Durch die Schaffung einer ausdrücklichen Rechtsgrundlage sollen die Rechtssicherheit und somit die Voraussetzungen für Wissens- und Technologietransfer verbessert werden. Die vorgeschlagene Bestimmung ist aufgrund der Öffnungsklausel des Art. 9 Abs. 2 Buchstaben g und j DSGVO zulässig.

Mit Abs. 1 wird eine ausdrückliche Rechtsgrundlage für Technologietransfer eingeführt. Damit soll Rechtssicherheit geschaffen werden, falls Technologien beispielsweise seitens der Wissenschaft entwickelt worden sind und durch die Wirtschaft zur Marktreife oder in den Markt gebracht werden sollen. Für den Fall, dass technologische Entwicklungen auf personenbezogenen Daten basieren, wie etwa bei Anwendungen der künstlichen Intelligenz, die mit personenbezogenen Daten trainiert wurden, darf aufgrund der vorgeschlagenen Bestimmung, dennoch ein Transfer erfolgen, auch wenn sonst keine Rechtsgrundlage, wie etwa eine Einwilligung, dafür vorliegt. Voraussetzung dafür ist, dass ohne die Verarbeitung der – potentiell – personenbezogenen Daten die Funktionalität der zu transferierenden Technologie nicht gewährleistet ist (Z 1) und durch Technikgestaltung sichergestellt wird, dass Dritte im Sinne des Art. 4 Nr. 10 DSGVO keine Kenntnis von den personenbezogenen Daten erlangen können (Z 2). Dies kann beispielsweise durch eine Bauweise, bei der es keine oder nur eingeschränkte Schnittstellen, die keinen Zugriff auf die – potentiell – personenbezogenen Daten erlauben, erfolgen. Die Technik ist ausreichend sicher gestaltet, wenn nur durch nichtordnungsgemäße Verwendung, wie etwa (teilweise) Zerstörung oder Hacking, die – potentiell – personenbezogenen Daten ausgelesen werden können. Die unionsrechtliche Grundlage für die Voraussetzungen gemäß Z 1 und 2 ist Art. 9 Abs. 2 Buchstabe g DSGVO, wonach eine nationale Bestimmung, die auf diese Öffnungsklausel gestützt wird, „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorsehen muss. Die Z 1 und 2 sind solche angemessenen und spezifischen Maßnahmen.

Die Zulässigkeit des Technologietransfers erstreckt sich

– nicht nur auf die erste Transferaktivität, sondern auch allfällige, nachfolgende Transferaktivitäten, beispielsweise, wenn die transferierte Technologie aktualisiert werden muss, sowie

– auf den Transfer zwischen sämtlichen Beteiligten und in sämtliche Richtungen.

Vorbild für die vorgeschlagene Bestimmung ist § 50a Abs. 4 Z 3 DSG 2000 in der Fassung der Kundmachung, BGBl. I Nr. 132/2015, wonach die „bloße[…] Echtzeitwiedergabe [im Rahmen von Videoüberwachung, bei der personenbezogene Daten] also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt“ keine schutzwürdigen Geheimhaltungsinteressen im Sinne des § 1 DSG 2000 verletzt.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 19 zu entnehmen.

Mit Abs. 2 wird die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, wonach die Rechte der betroffenen Personen durch nationales Recht eingeschränkt werden dürfen, wenn dies eine notwendige und verhältnismäßige Maßnahme im wichtigen wirtschaftlichen Interesse eines Mitgliedstaates darstellt. Die Maßnahme ist erforderlich, weil die Einhaltung der angeführten Pflichten

– einerseits aufgrund der einzuhaltenden Voraussetzungen gemäß Abs. 1 Z 2, dass die Daten Dritten nicht zur Kenntnis gelangen dürfen, sowie

– andererseits aufgrund der Beschaffenheit der Technologie, insbesondere bei Anwendung von neuronalen Netzen,

ausgeschlossen ist. Würde die Möglichkeit zur Beschränkung gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht wahrgenommen, käme dies einem rechtlichen Ausschluss von Technologietransfer gleich, weil auf rechtlicher Ebene etwas verlangt würde, nämlich die Löschung personenbezogener Daten, was unter Umständen auf faktischer Ebene nicht geleistet werden kann. Die vorgeschlagene Bestimmung wäre in diesem Fall sinnlos.

Die Beschränkung ist zudem verhältnismäßig in einer demokratischen Gesellschaft, weil Abs. 1 Z 2 vorsieht, dass die Daten Dritten nicht zur Kenntnis gelangen dürfen.

Durch Abs. 3 erfolgt eine grundsätzliche Klarstellung zum Wissenstransfer (§ 2b Z 13), dass dieser unter den Voraussetzungen des § 2d Abs. 2 Z 1 zulässig sind. Die Bestimmung des Abs. 3 stellt eine lex generalis im Verhältnis zu den beiden folgenden Abs. 4 und 5 dar. Die Durchführung einer eigenen Datenschutz-Folgenabschätzung ist nicht erforderlich, weil ausdrücklich auf die Einhaltung der Voraussetzungen gemäß § 2d Abs. 2 Z 1 verwiesen wird. Es darf daher auch hinsichtlich der Datenschutz-Folgenabschätzung auf die Datenschutz-Folgenabschätzung zu § 2d Abs. 2 Z 1 verwiesen werden.

Hinsichtlich des Begriffs „Wissenstransfer“ darf auf die Erläuterungen zu § 2b Z 13 verwiesen werden.

Die Regelung des Abs. 4 bezieht sich vor allem auf Fälle, wenn Bürgerinnen und Bürger im Rahmen von Open Science (§ 2b Z 9) und Citizen Science (§ 2b Z 4) wissenschaftlichen Einrichtungen Daten zur Verfügung stellen. Die Löschung darf nicht dazu führen, dass die Projektziele nicht erreicht werden können oder die wissenschaftliche Validität des Projektes beeinträchtigt wird. Die Öffnungsklausel für diese Einschränkung des Rechts auf Löschung ist Art. 17 Abs. 3 Buchstaben b und d DSGVO.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 20 zu entnehmen.

Anders als die Bestimmung des Abs. 4 bezieht sich Abs. 5 auf personenbezogene Daten Dritter. Durch die Formulierung „Beobachtungen oder Messungen“ in Z 1 wird klargestellt, dass Videoaufnahmen nicht umfasst sind. Unter Beobachtungen sollen zielgerichtete (menschliche) Wahrnehmungen verstanden werden, wohingegen Messungen als Zuordnung von Zahlen zu Objekten und Ereignissen zu verstehen sind. Eine ähnliche Bestimmung findet sich im aktuellen § 50a Abs. 3 Z 2 DSG 2000, wonach „[e]in Betroffener […] durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt [ist], wenn […] Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden“. Im Fall der Videoüberwachung muss das Verhalten also gesetzt werden, um öffentlich wahrgenommen zu werden. Ein derartiger Beweis, der aber vor dem Hintergrund der Strafdrohungen gemäß Art. 83 DSGVO realistischerweise verlangt werden kann, ist schwer bis gar nicht zu erbringen. Es soll daher eine grundrechtskonforme, praktikablere Bestimmung vorgesehen werden, die nicht auf eine – im Zeitpunkt der Beobachtung abstellende – subjektive Haltung der betroffenen Personen abstellt. Als Ausgleich für das nunmehr objektive Kriterium des öffentlichen Raums, dürfen Beobachtungen nur durchgeführt werden, wenn sie keine „systematische, insbesondere fortlaufende Feststellung von Ereignissen […] durch technische Bildaufnahme- oder Bildübertragungsgeräte“ (Videoüberwachung gemäß § 50a Abs. 1 DSG 2000) darstellen. Der Begriff des öffentlichen Raums orientiert sich am Begriffsverständnis des VfGH (VfSlg. 19.676/2012). Sollten Videoaufnahmen erforderlich sein, könnten diese nur unter der Voraussetzung der Z 2 für Zwecke von Open Science bzw. Citizen Science erfolgen.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 20 zu entnehmen.

Zu Art. 7 Z 7 (§ 2j – „Internationalität von Verarbeitungen gemäß Art. 89 DSGVO“):

Aufgrund der Internationalität von Wissenschaft und Forschung ist sicherzustellen, dass die internationale Zusammenarbeit, insbesondere mit Mitgliedstaaten iSd DSGVO auch in Zukunft möglich sein wird.

Die Erforderlichkeit der Z 1 lit. a bis c ergibt sich unmittelbar aus der Befassung mit Angelegenheiten gemäß Art. 89 DSGVO. Nach der Legaldefinition gemäß § 2b Z 12 können beispielsweise auch im Ausland ansässige Tochtergesellschaften oder sonstige Unternehmen als wissenschaftliche Einrichtungen (lit. a) angesehen werden. Nach lit. b darf auch eine Übermittlung an ausländische Art‑89-Förder- und Zuwendungsstellen erfolgen, womit allfällige Hürden für den Zugang zu ausländischen Mitteln abgebaut werden sollen. Die Einbeziehung von Gutachterinnen und Gutachtern gemäß lit. c aus dem (EU-)Ausland ist essentiell, um die Qualität im Anwendungsbereich des Art. 89 DSGVO hochhalten zu können. Somit sind auch Übermittlungen an Tochtergesellschaften im Ausland zulässig. Soweit österreichische öffentliche Stellen im Ausland (lit. d) auch – beispielsweise zwecks Nachbetreuung und Kontaktvermittlung – zur Erreichung der Zwecke gemäß Art. 89 Abs. 1 DSGVO beitragen, soll die Übermittlung an sie auch weiterhin zulässig sein. Die vorgeschlagene Bestimmung weist Parallelen zu § 12 Abs. 3 Z 9 DSG 2000 auf, der durch das Datenschutz-Anpassungsgesetz 2018 aufgehoben wird. Als Beispiele für österreichische öffentliche Stellen im Ausland wären die österreichischen Vertretungsbehörden, die AußenwirtschaftsCenter und -Büros der Wirtschaftskammer oder die OSTA-Büros zu nennen.

Mit Z 2 soll sichergestellt sein, dass auch der Wissens- und Technologietransfer mit Mitgliedstaaten der Europäischen Union unter den in diesem Abschnitt angeführten Voraussetzungen zulässig ist.

Zu Art. 7 Z 7 (§ 2k – „Organisatorische Aspekte und Rechtsschutz“):

Abs. 1 sieht eine Abweichung von § 5 Abs. 4 DSG idF des Datenschutz-Anpassungsgesetzes 2018 vor, weil durch § 5 Abs. 4 DSG idF des Datenschutz-Anpassungsgesetzes 2018 Externe als Datenschutzbeauftragte ausgeschlossen werden. In § 76 Abs. 4 des Studienförderungsgesetzes 1992 in der Fassung der vorliegenden Regierungsvorlage findet sich eine parallele Bestimmung.

Abs. 2 trifft Klarstellungen zur Verantwortlichkeit. Durch Z 1 wird die Anwendung der Strafdrohungen gemäß Art. 83 DSGVO, d.h. von Strafdrohungen bis 20 Millionen Euro bzw. 4 Prozent des weltweiten Vorjahresumsatzes, wieder auf das unionsrechtlich erforderliche Maß beschränkt und die Ausdehnung der Strafbarkeit auch auf Verletzungen des § 1 oder Artikel 2 1. Hauptstück des Datenschutzgesetzes im Anwendungsbereich der vorliegenden Regierungsvorlage zurückgenommen. Diese Maßnahme ist insbesondere erforderlich, weil § 1 DSG als grundrechtliche Bestimmung nicht den für eine Strafnorm erforderlichen Determinierungsgrad aufweist (vgl. VfSlg. 13.785/1994 zum sogenannten „differenzierten Legalitätsprinzip“).

Die in Z 2 vorgesehene Klarstellung ist erforderlich, weil § 30 Abs. 3 DSG idF des Datenschutz-Anpassungsgesetzes 2018, die Möglichkeit vorsieht, dass von der Bestrafung von Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991, abzusehen ist, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird. Verantwortliche gemäß § 9 VStG können nur natürliche Personen sein (§ 9 Abs. 7 VStG). In Verbindung mit § 30 Abs. 5 DSG idF des Datenschutz-Anpassungsgesetzes 2018, wonach gegen Behörden und öffentlichen Stellen keine Geldbußen verhängt werden können, kann somit die Ausnahmeregelung des § 30 Abs. 3 DSG idF des Datenschutz-Anpassungsgesetzes 2018 niemals zur Anwendung gelangen, weil gegen Behörden oder öffentlichen Stellen nach § 30 Abs. 5 DSG idF des Datenschutz-Anpassungsgesetzes 2018 keine Verwaltungsstrafen verhängt werden dürfen. Auch wenn davon auszugehen ist, dass der Gesetzgeber des § 30 Abs. 5 DSG idF des Datenschutz-Anpassungsgesetzes 2018 sämtliche Gehilfinnen und Gehilfen von Behörden und öffentlichen Stellen ausnehmen wollte, weil die Bestimmung sonst einen bloß sehr eingeschränkten Anwendungsbereich hätte, muss diese Unklarheit und das damit verbundene rechtliche Risiko für eine positive Entwicklung des Bereichs Wissenschaft und Forschung, beseitigt werden. Angemerkt sei an dieser Stelle, dass die Straffreiheit nur insoweit besteht, als die Gehilfinnen und Gehilfen im Rahmen des Auftrags der oder des Verantwortlichen gehandelt haben.

Die unionsrechtliche Grundlage dafür ist in Art. 4 Nr. 10 DSGVO zu sehen, wonach „Personen [Anm.: also anscheinend natürliche sowie juristische Personen], die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“, nicht als Dritte anzusehen sind. Wenn sie aber keine Dritten sind, müssen sie – um Lücken der datenschutzrechtlichen Verantwortung zu vermeiden entweder dem Verantwortlichen oder dem Auftragsverarbeiter zugeordnet werden. D.h. die DSGVO geht selbst davon aus, dass die unter der unmittelbaren Verantwortung tätigen (natürlichen und juristischen) Personen datenschutzrechtlich einem Verantwortlichen zuzuordnen sind. Das österreichische (Zivil-)Recht umschreibt Personen, die „unter der unmittelbaren Verantwortung“ eines anderen tätig werden, als Gehilfinnen und Gehilfen. Das Abstellen auf Gehilfinnen und Gehilfen – als Personen unter Verantwortung eines Verantwortlichen – ist somit bereits in der Datenschutz-Grundverordnung selbst vorgesehen. Personal ist jedenfalls als Gehilfinnen und Gehilfen anzusehen, ebenso wie externe Mitarbeiterinnen und Mitarbeiter oder sogar beauftragte Unternehmen, Datenschutzbeauftragte nur soweit als dies mit ihrer Unabhängigkeit gemäß Art. 38 Abs. 3 DSGVO vereinbar ist.

Die Straffreistellung für Behörden und öffentliche Stellen gilt unabhängig davon, ob diese privatwirtschaftlich oder hoheitlich tätig werden.

Durch Abs. 3 wird § 108 Abs. 5 UG in einer modernisierten Formulierung übernommen und als allgemeine Lösung für – sämtliche – wissenschaftliche Einrichtungen vorgeschlagen.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 21 zu entnehmen.

Durch den ausdrücklichen Hinweis in Abs. 4 soll klargestellt werden, dass die in den Anhängen 4 bis 21 bereits durchgeführten Datenschutz-Folgenabschätzungen gemäß Art. 35 Abs. 10 DSGVO von den Verantwortlichen nicht mehr durchgeführt werden müssen.

Mit Abs. 5 wird der Rechtsweg gegen Verantwortliche, die Register gemäß § 2d Abs. 2 Z 3 führen, sowie im Falle von ELGA gegen die ELGA-Ombudsstelle, in Angelegenheiten gemäß § 2d Abs. 2 Z 3, eröffnet. Vorbild dieser Bestimmung ist § 291 des Bundesvergabegesetzes 2006, BGBl. I Nr. 17/2006.

Zu Art. 7 Z 12, 17, 19, 20, 22, 24, 28, 34, 35, 50 und 51 (Anpassung der Ressortbezeichnungen):

Zu Art. 7 Z 27 und 29 (§§ 21 und 22 – Bereithaltung von Katastrophendaten durch die ZAMG):

Mit den vorgeschlagenen Änderungen soll der Zentralanstalt für Meteorologie und Geodynamik insbesondere die Bereithaltung meteorologischer und geophysikalischer Daten (§ 2b Z 5) für das staatliche Krisenmanagement und vergleichbare internationale Überwachungseinrichtungen hinsichtlich der Beherrschung von Natur oder von Menschen ausgelöster Katastrophen, insbesondere auch aller notwendigen katastrophenbezogenen Daten („Katastrophendaten“) für Präventionsmaßnahmen und eine Vorhaltung dieser Daten soweit dies ereignisrelevant und nicht bereits durch die vorangegangenen Bestimmungen, wie insbesondere die §§ 2d und 2f, abgedeckt ist, ermöglich werden (siehe dazu auch die Erläuterungen zu § 21 Abs. 2)

Zu Art. 7 Z 43 (§ 38 – „Inkraft- und Außerkrafttreten“):

Anders als für die anderen vorgeschlagenen Artikel sollen sowohl die legistischen Anpassungen als auch die datenschutzrechtlich relevanten Bestimmungen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten. Hintergrund ist die enge Verwobenheit der Bestimmungen.

Zu Art. 7 Z 49 (§ 38a – „Übergangsbestimmungen“):

Durch Abs. 1 wird klargestellt, dass der Bericht gemäß § 2d Abs. 1 Z 7 erstmals am 1. Juni 2013 dem Datenschutzrat vorzulegen ist.

Zur Schaffung der technischen Voraussetzungen sollen gemäß Abs. 2 die Rechte auf Ausstattung mit bereichsspezifischen Personenkennzeichen sowie auf Registerforschung nicht vor dem 1. Jänner 2019 ausgeübt werden dürfen.

Mit Abs. 3 werden Übergangsbestimmungen für bereits laufende Open-Science- und Citizen-Science-Projekte vorgesehen.

In Abs. 4 wird – zum Zweck der Kontinuität internationaler wissenschaftlicher Zusammenarbeit – befristet bis zur Publikation von Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 Buchstaben c und d DSGVO ausdrücklich gesetzlich vorgesehen, dass die Bestimmungen dieses Abschnitts auch für Übermittlungen an Drittländer als Rechtsgrundlage herangezogen werden können. In Bezug auf § 2f Abs. 1 bedeutet dieser Verweis beispielsweise eine Legitimierung der Übermittlung nicht nur von Daten, sondern auch von Proben, weil diese auch ausdrücklich in § 9 Abs. 1 genannt sind.

Die in der vorliegenden Regierungsvorlage vorgesehene Inanspruchnahme von Öffnungsklauseln ist somit nicht auf nationale oder EU-interne Verarbeitungen beschränkt, sondern im Sinne der Internationalität moderner Wissenschaft und Forschung – während der Übergangsphase, d.h. bis zur Publikation von Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 Buchstaben c und d DSGVO – auch für die Übermittlung an Drittländer anzuwenden. Davon ist – aufgrund des wichtigen öffentlichen Interesses an einem internationalen, akademischen Austausch – auch die Forschungsförderung nach dem 3. Abschnitt sowie aufgrund anderer Bestimmungen, wie etwa des Übereinkommens über das Central European Exchange Programme for University Studies („CEEPUS III“) umfasst. Unionsrechtliche Grundlage für diese Klarstellung sind Art. 9 Abs. 2 Buchstabe g und j sowie Art. 49 Abs. 1 Buchstabe d iVm Abs. 4 DSGVO. Dass ein wichtiges öffentliches Interesse an dieser Bestimmung zeigt Erwägungsgrund 112, der bereits die Beseitigung von Doping im Sport als wichtigen Grund eines öffentlichen Interesses bezeichnet.

Durch Abs. 5 erfolgt eine Klarstellung, dass die in § 9 geregelte Forschungsdatenbank jedenfalls im – gemäß § 17 DSG 2000 – gemeldeten Umfang auch weiterhin zulässig ist.

Aufgrund des bereits oben im Punkt III des Allgemeinen Teils ausgeführten Prozesses, ist zum heutigen Zeitpunkt nicht sicher, dass die Kundmachung der vorliegenden Regierungsvorlage im Bundesgesetzblatt zeitgerecht zum 25. Mai 2018 erfolgen kann. Es ist daher durch Abs. 6 Vorsorge zu treffen, dass allfällige, bereits begonnene Strafverfahren, für die nach der vorliegenden Regierungsvorlage kein Anlass bestünde, nicht fortgeführt werden.

Zu Art. 7 Z 49 (§ 38b – „Verordnungsermächtigungen“):

Mit den im Verordnungsrang vorzusehenden Registerlisten soll sichergestellt werden, dass Register, aus denen die Bereitstellung von Daten (§ 2b Z 5) erfolgen soll, nicht den Zielsetzungen des Art. 23 Abs. 1 Buchstabe a bis j DSGVO zuwiderläuft.

Zu Artikel 8 (Änderung des FTE-Nationalstiftungsgesetzes):

Eine Anpassung des FTE-Nationalstiftungsgesetzes an die Terminologie der Datenschutz-Grundverordnung ist nicht erforderlich. In § 15 Abs. 6 wird zwar eine Veröffentlichung, nicht aber von personenbezogenen Daten vorgesehen, sodass auch in diesem Zusammenhang keine Anpassungen erforderlich sind.

Zu Art. 8 Z 1 bis 10, 12 und 15 (Titel, Inhaltsverzeichnis und Anpassung der Ressortbezeichnungen):

Der Titel wird – aus Gründen der besseren Zitierbarkeit – um einen Kurztitel samt Abkürzung ergänzt. Zur besseren Lesbarkeit wird in Entsprechung der Legistischen Richtlinie 119 ein Inhaltsverzeichnis eingefügt.

Zu Art. 8 Z 11 (§ 12 – „Haftung“):

Durch den angefügten Abs. 2 soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 DSG auch für Gehilfinnen und Gehilfen der FTE-Nationalstiftung, wie insbesondere deren Stiftungsrätinnen und ‑räte, gilt. Zur näheren Begründung darf auf die detaillierten Ausführungen zu Art. 7 Z 14 (§ 14 – Organisatorische Aspekte und Rechtsschutz) verwiesen werden.

Zu Art. 8 Z 13 (§ 18 – „Andere Rechtsvorschriften“):

Der bestehende § 18 wird um einen neuen Abs. 2 erweitert, der die einschlägigen, datenschutzrechtlichen Bestimmungen des Forschungsorganisationsgesetzes auch für die Nationalstiftung für Forschung, Technologie und Entwicklung (FTE-Nationalstiftung) anwendbar macht. Aufgrund dieses Verweises finden insbesondere § 2b Z 8 FOG, wonach die FTE-Nationalstiftung als öffentliche Stelle anzusehen ist, oder § 6 FOG, wonach die FTE-Nationalstiftung ihre Arbeit regelmäßig evaluieren bzw. die dafür erforderlichen Daten verarbeiten darf, Anwendung.

Zu Art. 8 Z 13 (§ 19 – „Sprachliche Gleichbehandlung“):

Durch die vorgeschlagene Änderung erhält § 19 – in Entsprechung der Legistischen Richtlinie 117 – eine eigene Überschrift.

Zu Art. 8 Z 14 (§ 20 – „In-Kraft-Treten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 4 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 9 (Änderung des Hochschülerinnen- und Hochschülerschaftsgesetzes 2014):

Die vorgeschlagenen Änderungen stellen einerseits notwendige Anpassungen an die Terminologie der Datenschutz-Grundverordnung und andererseits Anpassungen aufgrund der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, dar. Außerdem entfallen in § 43 die Bestimmungen zum Datenverbund.

Zu Art. 9 Z 1 (§ 1 – „Geltungsbereich“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 5a klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Hochschülerinnen- und Hochschülerschaftsgesetzes 2014 gelten.

Zu Art. 9 Z 2, 16 und 17 (Anpassung der Ressortbezeichnungen):

Zu Art. 9 Z 3 bis 12 (Anpassung der datenschutzrechtlichen Terminologie):

Der Begriff „Verwenden von Daten“ (§ 4 Z 8 DSG 2000) soll durch den Begriff des Verarbeitens gemäß Art. 4 Nr. 2 DSGVO ersetzt werden, um Auslegungsschwierigkeiten zu vermeiden und einen möglichst reibungslosen Übergang von den Bestimmungen des Datenschutzgesetzes 2000 zu den Bestimmungen der DSGVO zu ermöglichen.

Zu Art. 9 Z 5, 8 und 11 (§§ 6, 13 und 24 – Beibehaltung der bisherigen Verwaltungsstrafbestimmungen):

Die missbräuchliche Verarbeitung personenbezogener Daten ist nach den Bestimmungen der Datenschutz-Grundverordnung, insbesondere Art. 83 DSGVO, mit bis zu 20 Millionen EUR zu ahnden.

Im Hochschülerinnen- und Hochschülerschaftsgesetz 2014 bestehen Regelungen, dass die Weitergabe von Daten des Verzeichnisses der Angehörigen einer Hochschülerinnen- und Hochschülerschaft eine Verwaltungsübertretung darstellt. In Hinblick auf die besondere Situation von Studierenden sollen diese auch weiterhin beibehalten werden.

Zu Art. 9 Z 12 (§ 43 – „Durchführung der Wahlen in die Organe“):

In Abs. 4 erfolgt eine Klarstellung, dass die Wahlkommission der Österreichischen Hochschülerinnen- und Hochschülerschaft Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Damit sollen Auslegungsschwierigkeiten vermieden werden und die Praxis unterstützt werden.

Gemäß Abs. 6 sind der Wahlkommission die in Abs. 5 genannten Daten spätestens bis 31. Dezember jeden Jahres, das einer Hochschülerinnen- und Hochschülerschaftswahl vorangeht, in elektronischer Form zu übermitteln. Diese Übermittlungspflicht besteht nicht, wenn die Wahlkommission bereits ihrerseits die Daten abgefragt hat.

Zu Art. 9 Z 13 und 14 (§ 64 – „Kontrollkommission“):

In Entsprechung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird in Abs. 3 Z 1 die Zahl der von der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung zu entsendenden Vertreterinnen und Vertreter aufgrund der Zusammenlegung des Ressortteile „Bildung“ sowie „Wissenschaft und Forschung“ um eine Vertreterin oder einen Vertreter erhöht (Z 12).

Aus dem genannten Grund entfällt Z 2, die die Entsendung einer Vertreterin oder eines Vertreters seitens des Bundesministeriums für Bildung und Frauen vorgesehen hatte (Z 13).

Zu Art. 9 Z 15 (§ 68 – „Inkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 3 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 10 (Änderung des Hochschul-Qualitätssicherungsgesetzes):

Zu Art. 10 Z 1 bis 5 (Inhaltsverzeichnis):

Mit den vorgeschlagenen Änderungen soll das Inhaltsverzeichnis aktualisiert werden.

Zu Art. 10 Z 6 (§ 1 – „Regelungsgegenstand“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 4 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Hochschul-Qualitätssicherungsgesetzes gelten.

Zu Art. 10 Z 7, 8 und 13 bis 16, 18, 19 und 22 bis 24 (Anpassungen der Ressortbezeichnungen):

Zu Art. 10 Z 9 (§ 18 – „Qualitätssicherungsverfahren“):

Durch den neuen Abs. 4 wird eine allgemeine Ermächtigung zur Verarbeitung personenbezogener Daten eingefügt, um sicherzustellen, dass die Agentur für Qualitätssicherung und Akkreditierung Austria und ihre Auftragsverarbeiter, die für die Erfüllung der Aufgaben erforderlichen Daten verarbeiten können.

Zu Art. 10 Z 10 bis 12 und 17 (Überschriften und Grobgliederung):

Mit den vorgeschlagenen Änderungen sollen – den Legistischen Richtlinien 111 und 117 entsprechend – Paragrafenüberschriften und eine entsprechende Grobgliederung eingefügt werden.

Zu Art. 10 Z 17 und 18 (§ 31 – „Ombudsstelle für Studierende“):

In Abs. 1 werden nunmehr auch Studienwerberinnen und -werber explizit aufgenommen und sind somit vom Begriff der Studierenden mitumfasst.

In Abs. 2 wird ein Redaktionsversehen behoben und die Ombudsarbeit nun auch als Aufgabe der Ombudsstelle angeführt. Außerdem wird klargestellt, dass die Ombudsstelle Anliegen der in Abs. 1 genannten Personen und nicht bloß Themen und Fälle behandeln soll.

Die für Abs. 3 vorgeschlagenen Änderungen betreffen sprachliche Verbesserungen.

In Abs. 4 soll ausdrücklich auf die Erfüllung der Aufgaben der Ombudsstelle Bezug genommen. Außerdem erfolgt eine Anpassung des Zitats bezüglich personenbezogener Daten.

An dieser Stelle wird auf den Begriff „Informationen“ hingewiesen, der im Sinne des Erwägungsgrundes 26 DSGVO verwendet wird, wonach dieser sowohl personenbezogene als auch nichtpersonenbezogene Daten umfasst (siehe oben: Erläuterungen zu Art. 7 Z 7 [§ 2b FOG – „Begriffsbestimmungen“]).

Die Anpassung in Abs. 5 betrifft die Einrichtungen, die mit Studierendenthemen befasst sind. Damit soll eine praktikablere Gesetzesanwendung möglich sein.

Abs. 6 erhält nun eine detaillierte Liste der personenbezogenen Daten, die die Ombudsstelle verarbeiten darf. Diese Liste orientiert sich an der Standardanwendung SA029 Aktenverwaltung (Büroautomation) der Standard- und Muster-Verordnung 2004, BGBl. II Nr. 312/2004. Hinsichtlich der Formulierung Angaben zur elektronischen Erreichbarkeit in Z 4 darf auf die Erläuterungen zu Art. 7 Z 14 (§ 10 Abs. 2 Z 5 FOG) verwiesen werden. Z 5 führt die Angaben zum Schriftverkehr an, die zulässigerweise von der Ombudsstelle verarbeitet werden dürfen. Die in lit. e genannten Bezugszahlen umfassen beispielsweise auch Aktenzahlen von Vorakten.

Abs. 7 verpflichtet die Ombudsstelle zur Erstellung und Veröffentlichung eines Tätigkeitsberichts. Für Zwecke dieses Berichts dürfen Personen, die sich an die Ombudsstelle gewandt haben, nicht namentlich genannt werden. Andere Informationen zu den Anliegen von Personen gemäß Abs. 1 dürfen schon publiziert werden, auch wenn unter Umständen die Gefahr der Rückführbarkeit besteht.

Zu Art. 10 Z 20 (§ 35a – „Datenschutz-Folgenabschätzungen“):

Durch diesen ausdrücklichen Hinweis soll klargestellt werden, dass die in den Anhängen 23 und 24 bereits durchgeführten Datenschutz-Folgenabschätzungen gemäß Art. 35 Abs. 10 DSGVO von den Verantwortlichen nicht mehr durchgeführt werden müssen.

Zu Art. 10 Z 21 (§ 37 – „Inkrafttreten“):

Die legistischen Anpassungen – wie insbesondere das Einfügen der Überschrift zu § 31 durch Z 19 – sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 6 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 11 (Änderung des Innovationsstiftung-Bildung-Gesetzes):

Die vorgeschlagenen Änderungen betreffen vor allem terminologische Anpassungen.

Keiner Änderung im Gesetzestext, aber – aus Gründen der Rechtssicherheit – einer Klarstellung hier in den Erläuterungen bedarf es hinsichtlich des Begriffes „Informationen“ in § 4 Abs. 6 Z 7 ISBG. Der Begriff „Informationen“ ist nämlich nach Erwägungsgrund 26 DSGVO so zu verstehen, dass er sowohl personenbezogene als auch nichtpersonenbezogene Daten umfasst (siehe oben: Erläuterungen zu Art. 7 Z 7 [§ 2b FOG – „Begriffsbestimmungen“]).

Eine Anmerkung erscheint auch zu § 6 ISBG – über die Verschwiegenheit – erforderlich: diese Bestimmung darf aufgrund des Art. 6 Abs. 2 DSGVO beibehalten werden, auch wenn die Datenschutz-Grundverordnung grundsätzlich keine allgemeine Verschwiegenheitsverpflichtung vorsieht. Art. 6 Abs. 2 DSGVO lautet wie folgt:

„(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.“

Demnach dürfen spezifischere Bestimmungen beibehalten werden, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder im öffentlichen Interesse erforderlich ist. Beides ist hier der Fall, sodass die Beibehaltung der Verschwiegenheitspflicht gemäß § 6 ISBG von der Datenschutz-Grundverordnung gedeckt ist.

Zu Art. 11 Z 1, 3, 4, 6 bis 13 und 17 bis 19 (Anpassung der Ressortbezeichnungen):

Zu Art. 11 Z 2 (§ 1 – „Gegenstand“):

Der bestehende § 1 wird um einen neuen Abs. 4 ergänzt, der die einschlägigen, datenschutzrechtlichen Bestimmungen des Forschungsorganisationsgesetzes auch für die Innovationsstiftung für Bildung anwendbar macht. Aufgrund dieses Verweises finden insbesondere § 2b Z 8 FOG, wonach die Innovationsstiftung als öffentliche Stelle anzusehen ist, oder § 6 FOG, wonach die Innovationsstiftung ihre Arbeit regelmäßig evaluieren bzw. die dafür erforderlichen Daten verarbeiten darf, Anwendung.

Zu Art. 11 Z 5 (§ 9 – „Stiftungsvorstand“):

Mit der vorgeschlagenen Änderung wird das Zitat aktualisiert.

Zu Art. 11 Z 14 und 15 (§ 14 – „Plattform ‚Bildungsförderung‘“):

Durch die vorgeschlagene Änderung zu Abs. 1a wird die Verantwortlicheneigenschaft gemäß Art. 4 Nr. 7 DSGVO ausdrücklich der Innovationsstiftung übertragen. Damit soll die Rechtssicherheit in der Praxis erhöht werden. Eine derartige ausdrückliche Zuweisung der Verantwortlicheneigenschaft ist gemäß Art. 4 Nr. 7 DSGVO zulässig.

In Abs. 2 ist nun – aus terminologischen Gründen – in Z 2 von der „Offenlegung“ und nicht mehr von der „Weitergabe“ die Rede.

Zu Art. 11 Z 16 (§ 21 – „Inkraft- und Außerkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 3 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 12 (Änderung des OeAD-Gesetzes):

Neben den obligatorischen, terminologischen Anpassungen finden sich in den vorgeschlagenen Änderungen zum OeAD-Gesetz vor allem der Vorschlag für eine zentrale Mobilitäts- und Kooperationsdatenbank, die von der OeAD-GmbH als Auftragsverarbeiterin für die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung zu betreiben ist.

Zu Art. 12 Z 1, 3, 6 bis 16 und 19 (Anpassung der Ressortbezeichnungen):

Da die beiden ehemaligen Ressorts Unterricht, Kunst und Kultur sowie Wissenschaft und Forschung nun im neuen Bundesministerium für Bildung, Wissenschaft und Forschung zusammengelegt sind,

– kann der Klammerausdruck in § 3 Abs. 2 Z 1 (Z 3) entfallen, weil keine getrennte Aufzählung der Zuständigkeiten mehr erforderlich ist;

– kann das Vorschlagsrecht in § 6 Abs. 2 Z 3 für ein Aufsichtsratsmitglied durch das Bundesministerium für Unterricht, Kunst und Kultur entfallen und durch die Änderung zu § 6 Abs. 3 dem Bundesministerium für Bildung, Wissenschaft und Forschung zugeschlagen werden (Z 6);

– muss die Regelung der Stellvertretung für den Aufsichtsratsvorsitz in § 6 Abs. 4 neu getroffen werden (Z 6);

– ist die Entsendung in das Kuratorium gemäß § 8 Abs. 2 neu zu regeln (Z 8);

– muss die Entsendung durch das ehemalige Ressort für Unterreicht, Kunst und Kultur in § 8 Abs. 2 Z 8 neu geregelt werden (Z 9);

– kann § 9 Abs. 3 (Z 11) stark vereinfacht werden, nämlich bloß eine Genehmigung durch die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung vorsehen;

– können § 9 Abs. 4 (Z 12) und § 10 Abs. 3 (Z 14) entfallen, die jeweils getrennte Zuständigkeiten vorgesehen hatten.

Zu Art. 12 Z 2 (§ 1 – „Errichtung der ‚OeAD-Gesellschaft mit beschränkter Haftung‘“):

Der bestehende § 1 wird um einen neuen Abs. 8 ergänzt, der die einschlägigen, datenschutzrechtlichen Bestimmungen des Forschungsorganisationsgesetzes auch für die OeAD-GmbH anwendbar macht. Aufgrund dieses Verweises finden insbesondere § 2b Z 8 FOG, wonach die OeAD-GmbH als öffentliche Stelle anzusehen ist, oder § 6 FOG, wonach die OeAD-GmbH ihre Arbeit regelmäßig evaluieren bzw. die dafür erforderlichen Daten verarbeiten darf, oder § 10 FOG über die zulässigen Verarbeitungen im Förderwesen, Anwendung.

Zu Art. 12 Z 4 und 5 (§ 3 – „Unternehmensgegenstand und Aufgaben“):

Durch die vorgeschlagene Änderung wird die Liste der Aufgaben der OeAD-GmbH in Abs. 2 um die neue Z 13 erweitert, wonach der OeAD-GmbH auch die Einrichtung und der Betrieb der zentralen Mobilitäts- und Kooperationsdatenbank obliegt. Die Mobilitäts- und Kooperationsdatenbank wird aufgrund der vorliegenden Regierungsvorlage durch den neuen § 10a vorgesehen (siehe dazu unten: Erläuterungen zu Z 17 [§ 10a – „Mobilitäts- und Kooperationsdatenbank“]).

Die neu angefügten Abs. 4 und 5 sollen die – bereits bisher erbrachten – Serviceleistungen der OeAD-GmbH auf eine sichere Rechtsgrundlage stellen.

Zu Art. 12 Z 15 (§ 10a – „Mobilitäts- und Kooperationsdatenbank“):

Zur Erfüllung der Planungs-, Strategie- und Controllingaufgaben der Bundesministerin bzw. des Bundesministers für Bildung, Wissenschaft und Forschung aufgrund nationaler sowie internationaler Bestimmungen, wie etwa

– des § 26 des ERP-Fonds-Gesetzes, BGBl. Nr. 207/1962,

– des Abkommens zwischen Österreich und Amerika betreffend die Finanzierung gewisser Erziehungs- und Kulturaustauschprogramme, BGBl. Nr. 213/1963,

– den Bestimmungen des Bundesministeriengesetzes 1986, BGBl. Nr. 76/1986 wie insbesondere dessen Abschnitt F Teil 2 der Anlage zu § 2 („Bundesministerium für Digitalisierung und Wirtschaftsstandort“) und hier insbesondere der Ziffern 24 („Angelegenheiten des ERP-Fonds sowie des Verkehrs mit den für wirtschaftliche Hilfsmaßnahmen zuständigen Stellen der Vereinigten Staaten von Amerika in diesen Angelegenheiten“) sowie Abschnitt E Teil 2 der Anlage zu § 2 („Bundesministerium für Bildung, Wissenschaft und Forschung“) Z 4 („Angelegenheiten der wissenschaftlichen Forschung und der internationalen Mobilitätsprogramme, des Europäischen Forschungsraums sowie der europäischen Rahmenprogramme“),

– des § 3a des Forschungs- und Technologieförderungsgesetzes (FTFG), BGBl. Nr. 434/1982,

– des § 10 des OeAD-Gesetzes (OeADG), BGBl. I Nr. 99/2008,

– der Bestimmungen des Universitätsgesetzes 2002 (UG), BGBl. I Nr. 120/2002, wie insbesondere des § 2 Z 7 UG iVm § 13 Abs. 2 Z 1 lit. h UG sowie

– der Bestimmungen des Fachhochschul-Studiengesetzes, BGBl. Nr. 340/1993 in der geltenden Fassung, wie insbesondere des § 25 des Fachhochschul-Studiengesetzes iVm den Bestimmungen des Bundesministeriengesetzes 1986

bedarf es einer einheitlichen Datenbasis über Mobilitäten gemäß § 2b Z 7 FOG. Da die OeAD-GmbH gemäß § 1 Abs. 1 des OeAD-Gesetzes „[z]ur Durchführung von Maßnahmen der europäischen und internationalen Kooperation im Bereich der Wissenschaft und Forschung sowie der Erschließung der Künste, der Hochschulbildung, der Bildung und der Ausbildung“ eingerichtet wurde, verfügt die OeAD-GmbH bereits über des entsprechende Hintergrundwissen und soll daher als Auftragsverarbeiterin für die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung tätig werden.

Abs. 2 beschreibt den Zweck der mit der zentralen Mobilitäts- und Kooperationsdatenbank verfolgt wird. Dieser besteht vorrangig in einem effizienteren Einsatz öffentlicher Mittel. Das daran bestehende öffentliche Interesse wurde bereits oben in den Erläuterungen zu Art. 7 Z 9 (§ 6 FOG) beschrieben und zeigt sich an zahlreichen anderen, ähnlich gelagerten Bestimmungen, wie etwa den Informations- und Auskunftsrechten der Agentur für Qualitätssicherung und Akkreditierung Austria gemäß §§ 16 Abs. 2 und 30 Abs. 2 des Hochschul-Qualitätssicherungsgesetzes, dem § 10 Abs. 2 des OeAD-Gesetzes, dem § 9 Abs. 2 des Forschungsförderungsgesellschaftsgesetzes über die Planungs-, Strategie- und Controllingaufgaben der FFG sowie des § 3a Abs. 1 des Forschungs- und Technologieförderungsgesetz über die Planungs-, Strategie- und Controllingaufgaben des Wissenschaftsfonds.

Mit Abs. 3 wird festgelegt, dass die OeAD-GmbH als Auftragsverarbeiterin (Art. 4 Nr. 8 DSGVO) für die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung als Verantwortlicher oder Verantwortlichem (Art. 4 Nr. 7 DSGVO) tätig wird. Die Wahrnehmung der Rechte der betroffenen Personen hat – auf der Grundlage des Art. 23 DSGVO – faktisch ausschließlich bei der OeAD-GmbH, aber unter der rechtlichen Verantwortung der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung zu erfolgen. Das Recht auf Löschung ist gemäß Art. 17 Abs. 3 Buchstabe b DSGVO ausgeschlossen, weil die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung der rechtlichen Verpflichtung zur Führung der zentralen Mobilitäts- und Kooperationsdatenbank unterliegt. Das Widerspruchsrecht ist gemäß Art. 21 Abs. 6 DSGVO ausgeschlossen, weil die Verarbeitung zwar zu Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgt, allerdings die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe – nämlich der Führung der zentralen Mobilitäts- und Kooperationsdatenbank – erforderlich ist.

Abs. 4 beschreibt die zu verarbeitenden Kategorien personenbezogener Daten: Unter der Personenkennung gemäß Z 2 lit. e ist beispielsweise eine Personenkennung („ID“) von einer Einrichtung gemäß Abs. 2, wie etwa eine Geschäftszahl o.ä. zu verstehen. Die sonstigen Angaben zu den Förderungswerberinnen und -werbern gemäß Z 3 umfassen insbesondere:

– Migrationshintergrund (ja/nein),

– Mutter- und Kommunikationssprache,

– Benutzerkennung Datenbank (= Benutzername + Passwort) für Online-Bewerbung und persönliche Datenabfrage und -aktualisierung – auch bei juristischen Personen,

– Bezug anderer zu berücksichtigender Förderungen (z.B. Studienbeihilfe),

– Empfehlungsschreiben,

– Angaben zu Ein- und Auszahlungen (Zahlungsweise, Datum, Höhe) und Rückforderungen – auch bei juristischen Personen,

– Angaben zur internen Verrechnung der Auszahlungen (interne Zuordnung zu Budgetansätzen) – auch bei juristischen Personen,

– Krankenversicherung (ob vorhanden / Name der Versicherung / Abschluss durch OeAD-GmbH durchgeführt / Prämienhöhe, sofern für die Höhe der Förderung relevant / Versicherungsdauer),

– Einreise- bzw. Aufenthaltstitel (nur ausländische Förderungsempfänger), ggf. Asylstatus,

– Studienort,

– Angaben zu einer Studienzulassung (Studienrichtung, Matrikelnummer, Studienstatus),

– Bericht über gefördertes Vorhaben – auch bei juristischen Personen,

– Teilnahme am Nachbetreuungsprogramm,

– individuelle Förderungsbedingungen inkl. deren Erfüllung – auch bei juristischen Personen,

– Höhe der Stipendien / Förderungen und deren Auszahlungen sowie

– Kopie Ausweisdokument (zur Identitätsüberprüfung bei Auszahlungen).

In Z 4 werden die für das Mobilitätscontrolling erforderlichen Adress- und Kontaktdaten angeführt, die insbesondere eine längerfristige Begleitung erlauben sollen. Hinsichtlich der Formulierung Angaben zur elektronischen Erreichbarkeit in lit. b darf auf die Erläuterungen zu Art. 7 Z 14 (§ 10 Abs. 2 Z 5 FOG) verwiesen werden.

Die Angaben gemäß Z 5 zu Betreuerinnen und Betreuern sowie Ansprechpersonen bei Projektpartnern umfassen insbesondere:

– Name bzw. Bezeichnung der juristischen Person,

– Titel, Ansprache

– Geschlecht,

– Dienstadresse,

– Staatsangehörigkeit, Sitz,

– Kontaktdaten (Telefon, Fax, E-Mail, Homepage),

– Mutter- und Kommunikationssprache

– Fachbereich,

– (akademischen) Lebenslauf,

– FörderungsID (Geschäftszahl) – auch bei juristischen Personen,

– PersonenID,

– Förderungsprogramm – auch bei juristischen Personen oder

– geplante Stipendien- / Förderungslaufzeit – auch bei juristischen Personen.

Die Angaben gemäß Z 6 zu Gutachterinnen und Gutachtern sowie Projektmitarbeiterinnen und ‑mitarbeitern umfassen insbesondere:

– Name,

– Titel, Ansprache,

– Geschlecht,

– Geburtsdatum,

– Dienstgeber,

– Dienstadresse,

– Kontaktdaten (Telefon, Fax, E-Mail, Homepage),

– Fachbereich,

– Lebenslauf,

– zugeordnete (zu begutachtende) Anträge,

– FörderungsID (Geschäftszahl),

– Förderungsprogramm,

– geplante Stipendien- / Förderungslaufzeit,

– Stundenaufwand im Projekt,

– Bankverbindung oder

– für das Projekt angefallene Gehaltskosten oder Werkvertragshonorare.

Unter den Mobilitätsdaten gemäß Z 8 sind insbesondere zu verstehen:

– FörderungsID (Geschäftszahl o.ä.) – auch bei juristischen Personen,

– Name des Förderprogramms,

– geplante Stipendien- / Förderungslaufzeit,

– Art des beantragten Vorhabens (Studium, Forschungsprojekt, ...),

– Art des tatsächlich geförderten Vorhabens (Studium, Forschungsprojekt, ...),

– Zuordnung der Förderung zu Fachbereichen,

– Zuordnung der Förderung zu Wissenschaftsdisziplinen,

– Zuordnung der Förderung zu Studienrichtungen,

– Bericht über gefördertes Vorhaben

– Beschreibung des geförderten Vorhabens,

– Kurzbezeichnung des geförderten Vorhabens bzw. Projekttitel,

– Bezeichnung des geförderten Vorhabens,

– Laufzeit des geförderten Vorhabens,

– Dauer des geförderten Vorhabens (Tage, Monate),

– Angaben zu Förderhöhen (Betrag bewilligt, Betrag ausbezahlt, Projektvolumen),

– Heimatinstitution, Arbeitgeber im Heimatland (soweit für Bewerbung und Auswahl erforderlich): Land, Bundesland, Stadt, Institutionsart,

– Gastinstitution: Land, Bundesland, Stadt, Institutionsart,

– Unternehmensgröße (Erasmus+),

– Unternehmenssektor (Erasmus+),

– Betreuer/in in Österreich

– Teilnehmer/in mit Benachteiligung (Gemäß der Definition des Erasmus+ Programmführers)

– Benachteiligungsart (Erasmus+: Ein Marker der indiziert, dass die/der Teilnehmer/in (Student) aus einem benachteiligten Hintergrund kommt. Nur ja/nein-Angabe,

– Studienrichtung,

– Fachbereich,

– Wissenschaftsdisziplin

– Förderstatus,

– Mobilitätsart (incoming/outgoing),

– Kooperationskategorie,

– Antragsart (Erstantrag, Verlängerung),

– Lernmobilität nach Europäischen Kriterien (ja, nein),

– Mobilitätskategorie,

– Arbeitsbereich,

– Bildungsbereich,

– Fortbildungstyp,

– Bildungsebene,

– Null-Förderung („Zero Grant“) (Erasmus+, ja/nein)

– Studienaufenthalt mit Praktikum (“Studies combined with Traineeship“) (Erasmus+, ja/nein),

– eingeladener Firmenangehöriger („Invited Staff from Enterprise“) (Erasmus+, ja/nein.),

– Herkunft Fördergelder,

– Studienort,

– Kalenderjahr(e) des Vorhabens/der Förderung,

– Studienjahr(e) des Vorhabens /der Förderung

– Semesterzuordnung des Vorhabens/der Förderung (Sommer-/Wintersemester),

– Geschäftsjahr(e) des Vorhabens /der Förderung sowie

– Budgetjahr(e) des Vorhabens /der Förderung.

Die oben zu Mobilitäten (Z 8) beschriebenen Angaben sollen auch für Kooperationen (Z 9) verarbeitet werden dürfen. Unter einer Kooperation ist das Zusammenwirken von Institutionen, die in § 2b Z 7 FOG genannten sind, insbesondere Universitäten zu verstehen. Die zentrale Mobilitäts- und Kooperationsdatenbank enthält sowohl Daten (§ 2b Z 5 FOG) zu Kooperationen, die von den Universitäten gemäß Abs. 5 bereitgestellt werden, die keinerlei Personenbezug haben, als auch Daten (§ 2b Z 5 FOG) zu Kooperationen, die Personenbezug haben.

Abs. 5 beschreibt, welche Stellen die Daten gemäß Abs. 4 bereitzustellen haben. So sind nach dieser Bestimmung zur Bereitstellung von Daten gemäß Abs. 4 verpflichtet:

1) die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung (Z 1),

2) die Art‑89-Förder- und Zuwendungsstellen gemäß § 2b Z 1 FOG (Z 2), d.h. u.a. die Austria Wirtschaftsservice Gesellschaft mit beschränkter Haftung, die Christian-Doppler-Gesellschaft, der Fonds zur Förderung der wissenschaftlichen Forschung, die Ludwig-Boltzmann-Gesellschaft, die OeAD-GmbH, die Österreichische Akademie der Wissenschaften, die Österreichische Forschungsförderungsgesellschaft mbH, Privatstiftungen gemäß § 1 Abs. 1 des Privatstiftungsgesetzes, BGBl. Nr. 694/1993, Substiftungen gemäß § 4 Abs. 5 ISBG oder leistende Stellen gemäß § 16 TDBG 2012 sowie

3) Institutionen, zu denen die in § 2b Z 7 FOG genannten Personen in einem Ausbildungs- oder Arbeitsverhältnis stehen, wie:

– Universitäten gemäß Universitätsgesetz 2002,

– Pädagogische Hochschulen (öffentliche Pädagogische Hochschulen und anerkannte private

Pädagogische Hochschulen) gemäß Hochschulgesetz 2005,

– der Universität für Weiterbildung Krems gemäß DUK-Gesetz 2004,

– Privatuniversitäten gemäß Privatuniversitätengesetz,

– theologische Lehranstalten gemäß Artikel V § 1 Abs. 1 des Konkordates zwischen dem Heiligen

Stuhle und der Republik Österreich,

– Fachhochschul-Studiengänge und Fachhochschulen gemäß Fachhochschul-Studiengesetz,

– außeruniversitäre Bildungseinrichtungen, die Lehrgänge universitären Charakters gemäß § 27

Universitäts-Studiengesetz anbieten,

– Schulen gemäß Schulunterrichtsgesetz, BGBl. Nr. 472/1986,

– Bundessportakademien gemäß Bundessportakademiengesetz, BGBl. Nr. 140/1974,

– Schulen gemäß Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge,

BGBl. I Nr. 33/1997,

– Akademien für Sozialarbeit,

– Schulen gemäß Bundesgesetz betreffend die Grundsätze für land- und forstwirtschaftliche

Berufsschulen, BGBl. Nr. 319/1975,

– Schulen gemäß Bundesgesetz betreffend die Grundsätze für land- und forstwirtschaftliche

Fachschulen, BGBl. Nr. 320/1975,

– Schulen gemäß Privatschulgesetz, BGBl. Nr. 244/1962,

– Schulen gemäß Land- und forstwirtschaftlichem Privatschulgesetz, BGBl. Nr. 318/1975,

– Schulen, Lehrgänge, Sonderausbildungen und Weiterbildungen gemäß Gesundheits- und

Krankenpflegegesetz, BGBl. I Nr. 108/1997,

– medizinisch-technische Akademien und Sonderausbildungskurse gemäß MTD-Gesetz, BGBl.

Nr. 460/1992,

– Hebammenakademien und Sonderausbildungskurse gemäß Hebammengesetz, BGBl.

Nr. 310/1994,

– Lehrgängen und Schulen für medizinische Assistenzberufe gemäß Medizinische

Assistenzberufe-Gesetz, BGBl. I Nr. 89/2012,

– Ausbildungsmodulen gemäß Sanitätergesetz, BGBl. I Nr. 30/2002,

– Ausbildungen, Aufschulungsmodule, Spezialqualifikationsausbildungen und Ausbildungen für

Lehraufgaben gemäß Medizinischer Masseur- und Heilmasseurgesetz, BGBl. I Nr. 169/2002,

– Lehrgängen für Zahnärztliche Assistenz und Weiterbildungen in der Prophylaxeassistenz gemäß

Zahnärztegesetz, BGBl. I Nr. 126/2005,

– Betrieben, die Lehrlinge ausbilden,

– dem Institute of Science and Technology – Austria,

– der Österreichischen Akademie für Wissenschaften oder

– einer sonstigen außeruniversitären Forschungseinrichtung.

In Abs. 6 sind die Stellen festgelegt, die personenbezogene Berichte über Mobilitäten abfragen dürfen. Es sind dies

– die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung sowie

– die Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß Abs. 8 verfügen, allerdings nur hinsichtlich der Personen, die diesen Institutionen angehören und an einem Mobilitätsprogramm teilnehmen.

Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung benötigt die personenbezogene Abfrage für die Erfüllung ihrer oder seiner Planungs-, Strategie- und Controllingaufgaben (Z 1). Die Institutionen gemäß Z 2 dürfen – insbesondere zur Verbesserung ihrer Serviceleistungen – hinsichtlich ihrer Angehörigen personenbezogen abfragen.

Abs. 7 regelt die Abfrage von nichtpersonenbezogenen Berichten über Kooperationen. Der Kreis der Abfrageberechtigen entspricht im Wesentlichen jenem gemäß Abs. 6, allerdings mit einer Ausnahme: die Beschränkung der Abfrageberechtigung der Institutionen auf ihre Angehörigen entfällt im Vergleich zur Regelung gemäß Abs. 6. Dies liegt in der wesentlich geringeren Eingriffsintensität der Abfrage gemäß Abs. 7 begründet.

Gemäß Abs. 8 ist zwischen den Institutionen, zu denen die in § 2b Z 7 FOG genannten Personen in einem Ausbildungs- oder Arbeitsverhältnis stehen sowie Institutionen, die Kooperationsabkommen geschlossen haben und die an der Mobilitäts- und Kooperationsdatenbank teilnehmen wollen einerseits und der OeAD-GmbH eine sogenannte Teilnahmevereinbarung zu schließen. Dabei handelt es sich um einen zivilrechtlichen Vertrag. Der letzte Satz des Abs. 8 dient der Klarstellung, dass es sich bei dem Beitritt zur Teilnahmevereinbarung nicht um eine Einwilligung iSd Art. 4 Nr. 11 DSGVO handelt und somit die Kündigung auch keinen Widerruf gemäß Art. 7 Abs. 3 DSGVO darstellt und eine Löschung daher nicht zu erfolgen hat (siehe dazu oben: Erläuterungen zu Abs. 3).

Zur Klarstellung und Vermeidung von Auslegungsfragen in der Praxis wird in Abs. 9 ausdrücklich die Rolle der OeAD-GmbH als Verantwortliche gemäß Art. 4 Nr. 7 DSGVO festgelegt.

Durch den ausdrücklichen Hinweis in Abs. 10 soll klargestellt werden, dass die im Anhang 23 bereits durchgeführte Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 DSGVO von der oder dem Verantwortlichen nicht mehr durchgeführt werden muss. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 DSGVO erforderlich, weil es potentiell auch zu einer umfangreichen Verarbeitung von sensiblen Daten im Sinne der Stellungnahme WP 248 der Artikel-29-Datenschutzgruppe kommen kann, weil die Artikel-29-Datenschutzgruppe auch finanzielle Daten, wie die Angaben zu Ein- und Auszahlungen gemäß Abs. 4 Z 3, als sensible Daten iSd Art. 35 DSGVO einstuft. Der Begriff der sensiblen Daten gemäß der Stellungnahme WP 248 ist weiter als der Begriff der Daten gemäß Art. 9 Abs. 1 DSGVO, sodass trotz der Beschränkung auf Art. 6 DSGVO in Art. 35 Abs. 10 DSGVO hier eine Datenschutz-Folgenabschätzung zulässig ist. Außerdem kann es gemäß Abs. 5 und 6 zu einer Zusammenführung von Datensätzen der Art‑89-Förder- und Zuwendungsstellen (§ 2b Z 1 FOG) sowie der Institutionen, die über eine aufrechte Teilnahmevereinbarung gemäß Abs. 8 verfügen, kommen.

Zu Art. 12 Z 16 (§ 13 – „Inkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 2 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 13 (Änderung des Österreichische Forschungsförderungsgesellschaft mbH-Errichtungsgesetzes):

Zu Art. 13 Z 1 (Titel):

Im Sinne der leichteren Les- und Handhabbarkeit sollen Kurztitel und Abkürzung des Österreichische Forschungsförderungsgesellschaft mbH-Errichtungsgesetzes vereinfacht werden.

Zu Art. 13 Z 2, 3, 5, 7 bis 17, 19 bis 26 und 30 (Anpassung der Ressortbezeichnungen):

Zu Art. 13 Z 4 (§ 1 – „Errichtung der Österreichischen Forschungsförderungsgesellschaft mbH“):

Der bestehende § 1 wird um einen neuen Abs. 7 ergänzt, der die einschlägigen, datenschutzrechtlichen Bestimmungen des Forschungsorganisationsgesetzes auch für die Forschungsförderungsgesellschaft mbH anwendbar macht. Aufgrund dieses Verweises finden insbesondere § 2b Z 8 FOG, wonach die Forschungsförderungsgesellschaft mbH als öffentliche Stelle anzusehen ist, oder § 6 FOG, wonach die Forschungsförderungsgesellschaft mbH ihre Arbeit regelmäßig evaluieren bzw. die dafür erforderlichen Daten verarbeiten darf, oder § 10 FOG über die zulässigen Verarbeitungen im Förderwesen, Anwendung.

Zu Art. 13 Z 6, 27, 29 und 30 (Paragrafenüberschriften):

Im Sinne der leichteren Les- und Handhabbarkeit sollen die Paragrafen, die bisher keine Überschrift hatten, im Zuge der vorgeschlagenen Regierungsvorlage Überschriften erhalten.

Zu Art. 13 Z 18 (§ 9 – „Planungs- und Berichterstattungssystem und Datenschutz“):

Art. 6 DSGVO sieht neben der Einwilligung der betroffenen Person (Art. 6 Abs. 1 Buchstabe a DSGVO) und dem Recht eines Mitgliedstaates als Rechtsgrundlage für die Verarbeitung personenbezogener Daten auch (Art. 6 Abs. 1 Buchstaben c und e DSGVO) noch folgende weitere Rechtsgrundlagen vor:

1) Erforderlichkeit aufgrund (vor-)vertraglicher Umstände (Art. 6 Abs. 1 Buchstabe b DSGVO),

2) Erforderlichkeit aufgrund lebenswichtiger Interessen (Art. 6 Abs. 1 Buchstabe d DSGVO) sowie

3) Erforderlichkeit aufgrund berechtigter Interessen (Art. 6 Abs. 1 Buchstabe f DSGVO).

Zu Art. 13 Z 28 (§ 17 – „Inkraft- und Außerkrafttreten“):

Zu Artikel 14 (Änderung des Privatuniversitätengesetzes):

Zu Art. 14 Z 1 (§ 1 – Anwendungsbereich):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 3 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Privatuniversitätengesetzes gelten.

Zu Art. 14 Z 2 (§ 3 – „Studien“):

Universitäten und Pädagogische Hochschulen verwenden das gleiche Matrikelnummernsystem. Ausgelöst durch die gemeinsam eingerichteten Lehramtsstudien mussten die Matrikelnummern gegenseitig übernommen werden. Voraussetzung dafür war eine eindeutige „Personen-ID“ und damit auch die Anbindung der Pädagogischen Hochschulen an den Datenverbund der Universitäten. Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten verwenden derzeit andere Personen-ID-Systeme. Durch den neuen Abs. 10 sollen nunmehr auch die Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten in ein einheitliches Matrikelnummernsystem einbezogen werden. Dies bedingt auch die Anbindung an den Datenverbund der Universitäten und Pädagogischen Hochschulen, was durch eine Novellierung des Bildungsdokumentationsgesetzes erfolgen soll. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet die Grundlage für die Administration von gemeinsam eingerichteten Studien und fördert die Durchlässigkeit, Administrierbarkeit und Praktikabilität.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 24 zu entnehmen.

Im neu eingefügten Abs. 11 wird vorgesehen, dass für die Aufbewahrung von privatuniversitätsspezifischen Daten § 53 UG anzuwenden ist. In dem Antrag der Abgeordneten Mag. Elisabeth Grossmann, Dr. Karlheinz Töchterle, Kolleginnen und Kollegen betreffend ein Bundesgesetz, mit dem das Hochschulgesetz 2005, das Schulorganisationsgesetz und das Land- und forstwirtschaftliche Bundesschulgesetz geändert werden sowie das Hochschul-Studienberechtigungsgesetz aufgehoben wird und das Universitätsgesetz 2002, das Fachhochschul-Studiengesetz, das Privatuniversitätengesetz und das Hochschul-Qualitätssicherungsgesetz geändert werden (2235/A) zu finden unter https://www.parlament.gv.at/PAKT/VHG/XXV/A/A_02235/index.shtml (01.01.2018) wird dazu ausgeführt:

Hingewiesen wird außerdem auf die parallele Novellierung durch Art. 5 Z 3 der vorliegenden Regierungsvorlage, mit der § 13 des Fachhochschul-Studiengesetzes über Allgemeine Prüfungsmodalitäten angepasst wird.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 25 zu entnehmen.

Zu Art. 14 Z 3 (§ 6 – „Berichtswesen“):

Durch den neu angefügten letzten Satz des Abs. 3 wird eine allgemeine Ermächtigung zur Verarbeitung personenbezogener Daten eingefügt, um sicherzustellen, dass die Agentur für Qualitätssicherung und Akkreditierung Austria und ihre Auftragsverarbeiter, die für die Erfüllung ihrer Aufgaben erforderlichen Daten verarbeiten können. Hingewiesen wird außerdem auf die parallele Novellierung durch Art. 10 Z 9 der vorliegenden Regierungsvorlage, mit der § 18 des Hochschul-Qualitätssicherungsgesetzes über ein Qualitätssicherungsverfahren angepasst wird.

Die zugehörige Datenschutz-Folgenabschätzung ist dem Anhang 26 zu entnehmen.

Zu Art. 14 Z 4 (§ 7a – „Datenschutz-Folgenabschätzungen“):

Durch den ausdrücklichen Hinweis soll klargestellt werden, dass die im Anhang 24 bis 26 bereits durchgeführte Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 DSGVO weder von den Privatuniversitäten noch von der Agentur für Qualitätssicherung und Akkreditierung Austria durchgeführt werden müssen.

Zu Art. 14 Z 5 bis 7 (§ 8 – Inkrafttreten, Außerkrafttreten, Übergangsbestimmungen und Vollziehung):

Die zu Abs. 9 vorgeschlagene Änderung stellt eine terminologische Anpassung aufgrund der Datenschutz-Grundverordnung dar.

Zu Artikel 15 (Änderung des Studienförderungsgesetzes 1992):

Die vorliegende Novelle soll nicht nur zur Anpassung des Studienförderungsgesetzes 1992, insbesondere in terminologischer Hinsicht, an die Datenschutz-Grundverordnung genutzt werden, sondern auch zur Bereinigung von Redaktionsversehen sowie der Fortführung der geschlechtsneutralen Formulierung gemäß der Legistischen Richtlinie 10.

Zu Art. 15 Z 1 und 2 (Inhaltsverzeichnis):

Mit dem Bundesgesetz, BGBl. I Nr. 47/2008, erfolgte zwar eine Aufhebung der §§ 21 bis 22a des Studienförderungsgesetzes 1992, allerdings keine Berichtigung des Inhaltsverzeichnisses. Dies soll durch die vorgeschlagene Z 1 nachgeholt werden.

Die in Z 2 vorgeschlagene Änderung betrifft § 70, der durch Z 46 neugefasst wird und gemäß Z 51 am 25. Mai 2018 in Kraft treten soll. Dadurch, dass nun nicht mehr bloß auf Verfahrensbestimmungen, sondern generell andere Vorschriften verwiesen wird, ist auch die Überschrift entsprechend anzupassen.

Zu Art. 15 Z 3 bis 8, 22, 24 bis 26, 28 bis 34, 36 bis 38, 40 bis 42, 45 und 49 (Anpassung der Ressortbezeichnungen):

Zu Art. 15 Z 9 und 27 (Behebung von Redaktionsversehen):

In den Paragrafenüberschriften zu den §§ 28 und 52 werden Redaktionsversehen behoben.

Zu Art. 15 Z 19 bis 23 (§ 40 – „Nachweispflichten“):

In Abs. 5 soll anstelle des alten Begriffs „ermitteln“, nun der neue DSGVO-konforme Begriff „erheben“ verwendet werden (Z 18), um die Normadressaten nicht vor vermeidbare Auslegungsschwierigkeiten zu stellen. Außerdem sollen zukünftig auch E-Mail-Adressen der Studierenden erhoben und verarbeitet werden, sodass diese in der Aufzählung der Daten, zu deren Erhebung und Verarbeitung die Studienbeihilfenbehörde berechtigt ist, zu ergänzen sind (Z 19). Die Formulierung „Angaben zur elektronischen Erreichbarkeit“ in Z 1 ist technologieneutral und würde neben Telefonnummern, Webseiten und E-Mail-Adressen auch andere Angaben, wie etwa Messenger- oder Social-Media-Angaben, umfassen (vgl. oben Erläuterungen zu Art. 7 Z 14 [§ 10 Abs. 2 Z 5 FOG]).

In Abs. 5a soll anstelle des alten DSG 2000-Begriffs „ermitteln“, der DSGVO-konforme Begriff „erheben“ verwendet werden. Außerdem wird ein Redaktionsversehen bei der Zitierung des Personenstandsgesetzes 2013, BGBl. I Nr. 16/2013, behoben.

In Abs. 8 wird eine Anpassung an die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, vorgenommen.

Zur effektiven Vermeidung von Doppelförderungen muss die Studienbeihilfenbehörde die Möglichkeit haben, Informationen über den Bezug einer Ausbildungsförderung, die von anderen in- oder ausländischen Einrichtungen gewährt werden, durch Nachfrage bei diesen Einrichtungen einzuholen (Vgl. dazu § 30 Abs. 2 Z 6). Die dafür erforderliche Rechtsgrundlage soll durch den neuen Abs. 9 geschaffen werden. Die unionsrechtliche Grundlage für diese Bestimmung besteht in Art. 49 Abs. 1 Buchstabe d iVm Abs. 4 DSGVO, wonach Datenübermittlung in Drittstaaten jedenfalls stattfinden dürfen, wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist und im nationalen Recht verankert ist. Beides ist der Fall. Außerdem soll die Studienbeihilfenbehörde ermächtigt werden, auf Anfrage anderen Einrichtungen innerhalb der Europäischen Union oder auch in Drittstaaten, die Ausbildungsförderungen vergeben, die Tatsache der Gewährung einer Studienbeihilfe bekanntzugeben.

Da die Tatsache, dass einmal Studienbeihilfe bezogen wurde, für einen späteren Beihilfenanspruch relevant und daher überprüfbar sein muss, sind die von der Studienbeihilfenbehörde erhobenen Daten gemäß Abs. 10 für einen Zeitraum von 20 Jahren zu speichern.

Im Rahmen der Aufsichtstätigkeit des Bundesministeriums für Bildung, Wissenschaft und Forschung gegenüber der Studienbeihilfenbehörde ist regelmäßig auch die Bekanntgabe der in Abs. 5 bis 9 genannten personenbezogenen Daten erforderlich. Mit dem vorgeschlagenen Abs. 11 soll die Rechtsgrundlage für diese Datenübermittlung explizit geregelt werden.

Durch den ausdrücklichen Hinweis in Abs. 12 soll klargestellt werden, dass die im Anhang 27 bereits durchgeführte Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 DSGVO von der oder dem Verantwortlichen nicht mehr durchgeführt werden muss. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 DSGVO erforderlich, weil es potentiell auch zu einer umfangreichen Verarbeitung von sensiblen Daten im Sinne der Stellungnahme WP 248 der Artikel-29-Datenschutzgruppe kommen kann, weil die Artikel-29-Datenschutzgruppe auch finanzielle Daten, wie die Angaben zu Bank und Kontonummer des Beihilfenwerbers gemäß § 40 Abs. 5 Z 9 StudFG, als sensible Daten einstuft. Hinzuweisen ist im gegebenen Zusammenhang allerdings, dass dieser Begriff weiter ist als der Begriff der Daten gemäß Art. 9 Abs. 1 DSGVO, sodass es eine Datenschutz-Folgenabschätzung aufgrund des Art. 35 Abs. 10 DSGVO nicht gegen Unionsrecht verstößt. Außerdem kann es gemäß § 40 Abs. 6 StudFG zu einer Zusammenführung von Datensätzen der Abgabenbehörden des Bundes, der Träger der Sozialversicherung, des Arbeitsmarktservices, des Sozialministeriumsservices und seiner Landesstellen sowie des Bundesrechenzentrums kommen.

Zu Art. 15 Z 35 (§ 58 – „Zuweisung der Förderungsmittel“):

Aufgrund der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, ist die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung sowohl für den Budgetbereich „Wissenschaft und Forschung“ (Untergliederung 31) als auch für den Budgetbereich „Bildung“ (Untergliederung 30) zuständig. Es ist daher klarzustellen, dass sich die Höhe der für Leistungs- und Förderungsstipendien zur Verfügung stellenden Mittel ausschließlich auf die im Budgetbereich „Wissenschaft und Forschung“ (Untergliederung 31) bisher aufgewendeten Mittel bezieht.

Zu Art. 15 Z 39 (§ 62 – „Leistungsstipendien an Pädagogischen Hochschulen“):

Aus den zu Z 35 erläuterten Gründen ist auch die Berechnungsbasis für die Leistungsstipendien an Pädagogischen Hochschulen klarzustellen.

Zu Art. 15 Z 43 (Legistische Anpassungen):

Im III. Hauptstück erhält der 7. Abschnitt eine Überschrift.

Zu Art. 15 Z 45 (§ 68a – „Psychologische Beratungsstellen für Studierende“):

Den Hochschultypus Kunsthochschulen gibt es nicht mehr, er ist daher hier zu streichen. Hingegen steht die Psychologische Studierendenberatung auch den Studierenden an Privatuniversitäten offen.

Der bisherige Abs. 2 stellt nicht mehr anwendbares Recht dar und kann daher in der bisherigen Fassung entfallen. Durch die vorgeschlagene Neufassung von Abs. 2 wird eine Rechtsgrundlage für ein elektronisches Aktenverwaltungssystem bei Psychologischen Beratungsstellen für Studierende geschaffen. Durch den Verweis auf § 31 Abs. 6 HS-QSG dürfen die Psychologischen Beratungsstellen für Studierende die dort genannten Daten verarbeiten. Dies schließt nach § 31 Abs. 6 letzter Satz HS-QSG auch die Verarbeitung sensibler Daten ein. Diese werden im Arbeitsbereich der Psychologischen Beratungsstellen für Studierende vor allem in ICD-10-codierten Diagnosen bestehen. Damit sollen auch allfällige psychologische, psychiatrische oder psychotherapeutische Vorbehandlungen vermerkt werden.

Durch Abs. 3 wird der Tätigkeitsbericht der Psychologischen Beratungsstellen für Studierende auf eine gesicherte Rechtsgrundlage gestellt. Diese Regelung orientiert sich an § 31 Abs. 7 HS-QSG. Im Unterschied zu dieser Bestimmung, wird auf die Anonymisierung (EG 26 DSGVO) abgestellt. Der Entfall der namentlichen Nennung reicht für diesen Bericht nicht. Um dem Erfordernis der Anonymisierung zu entsprechen, wird nach der österreichischen Judikatur somit eine Aggregatgröße von mindestens 5 erforderlich sein. In diesem Zusammenhang sei auf die Opinion 05/2014 on Anonymisation Techniques der Artikel-29-Datenschutzgruppe hingewiesen. Im Vergleich zu § 31 Abs. 7 HS-QSG besteht auch keine Vorlagepflicht an den Nationalrat. Wenn die Daten anonymisiert sind, dürfen diese auch für interne Statistiken oder – wie bereits ausgeführt – den Tätigkeitsbericht verarbeitet werden. Im Rahmen der Vermerke und Notizen nach dieser Bestimmung iVm § 31 Abs. 6 Z 6 lit. c HS-QSG, sind die Psychologinnen und Psychologen berechtigt, zu vermerken, welche Diagnosen erstellt wurden, welche Empfehlungen getätigt wurden oder wie der persönliche Kontakt – stichworthaltig zusammengefasst – verlaufen ist. Auch ausgefüllte Testbogen dürfen zum Akt genommen werden, v.a. wenn sie anonymisiert sind.

Durch den ausdrücklichen Hinweis in Abs. 4 soll – wie oben zu § 40 Abs. 12 – klargestellt werden, dass die im Anhang 21 bereits durchgeführte Datenschutz-Folgenabschätzung zur parallelen Bestimmung des § 31 HS-SQG gemäß Art. 35 Abs. 10 DSGVO von der oder dem Verantwortlichen nicht mehr durchgeführt werden muss.

Zu Art. 15 Z 46 (§ 70 – „Andere Rechtsvorschriften“):

Der bestehende § 70 wird um einen neuen Abs. 2 ergänzt, der die einschlägigen, datenschutzrechtlichen Bestimmungen des Forschungsorganisationsgesetzes auch im Anwendungsbereich des Studienförderungsgesetzes 1992 anwendbar macht. Aufgrund dieses Verweises finden u.a. § 2b Z 8 FOG, wonach beispielsweise die Stipendienstellen (§ 34) oder die Psychologische Studierendenberatung (§ 68a) als öffentliche Stellen anzusehen sind, oder § 6 FOG, wonach die Studienbeihilfenbehörde (7. Abschnitt) ihre Arbeit regelmäßig evaluieren bzw. die dafür erforderlichen Daten verarbeiten darf, oder § 10 FOG über die zulässigen Verarbeitungen im Förderwesen, Anwendung.

Auch § 14 FOG gilt aufgrund dieses Verweises im Anwendungsbereich des Studienförderungsgesetzes 1992 unmittelbar. Demnach müssen – in Abweichung von § 5 Abs. 4 DSG – Datenschutzbeauftragte im Ressortbereich des Bundesministeriums für Bildung, Wissenschaft und Forschung weder dem Bundesministerium noch der jeweiligen nachgeordneten Dienststelle noch einer sonstigen öffentlichen Stelle oder Behörde angehören. In Verbindung mit Art. 37 Abs. 3 DSGVO dürfte daher beispielsweise die öffentliche Stelle „Psychologische Studierendenberatung“ – ungeachtet ihrer Dislozierung – einen Datenschutzbeauftragten für alle Standorte vorsehen.

Zu Art. 15 Z 47 bis 50 (§ 76 – „Vollziehung“):

Mit der vorgeschlagenen Änderung des Abs. 1 durch Z 47 und 48 sollen neben der Anpassung der Ressortbezeichnungen auch die nicht mehr existierenden Hochschultypen gestrichen werden.

In Abs. 2 wird durch Z 49 eine Anpassung der Ressortbezeichnung an die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, vorgenommen.

Mit Z 50 werden die neuen Abs. 3 und 4 angefügt. Durch den neuen Abs. 3 soll klargestellt werden, dass die Straffreiheit gemäß § 30 Abs. 5 DSG auch für das Personal der Studienbeihilfenbehörde und der Psychologischen Beratungsstellen für Studierende gilt, wobei der Begriff Personal weit zu verstehen ist und beispielsweise auch externe Mitarbeiterinnen und Mitarbeiter sowie Unternehmen umfasst. Es darf in diesem Zusammenhang auf die Erläuterungen zu Art. 7 Z 14 (§ 14 Abs. 2 Z 2 FOG) verwiesen werden.

Da es im Vollziehungsbereich des Studienförderungsgesetzes, insbesondere im Bereich der Psychologischen Beratungsstellen für Studierende sehr kleine Dienststellen gibt, scheint es sinnvoll und im Sinne der Effizienz geboten, auch die Bestellung von Datenschutzbeauftragten zu ermöglichen, die nicht der jeweiligen Dienststelle angehören (Abs. 4).

Zu Art. 15 Z 51 (§ 78 – „Inkrafttreten“):

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 38 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Zu Artikel 16 (Änderung des Tierversuchsgesetzes 2012):

Datenschutz ist im Anwendungsbereich des Tierversuchsgesetzes 2012 (TVG 2012), BGBl. I Nr. 114/2012, von großer Bedeutung, insbesondere im Zusammenhang mit der Veröffentlichung der sogenannten nichttechnischen Projektzusammenfassungen gemäß § 31 Abs. 1 TVG 2012.

Hinsichtlich der Gutachterinnen und Gutachter sowie der behördlichen Kommissionen ist festzuhalten, dass Verstöße gegen die Verschwiegenheitsverpflichtung des § 36 Abs. 2 TVG 2012, wenn die Verarbeitung zumindest teilweise automatisiert erfolgt, wohl auch als Verstöße gegen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO anzusehen sind und somit grundsätzlich der erhöhten Strafdrohung bis 20 Millionen EUR bzw. 4 Prozent des weltweiten Vorjahresumsatzes gemäß Art. 83 Abs. 5 DSGVO unterliegen.

Zu Art. 16 Z 1 (§ 1 – „Gegenstand“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 3 Z 1 des Forschungsorganisationsgesetzes in der Fassung der vorliegenden Regierungsvorlage, wonach „Rahmenbedingungen für Verarbeitungen […] zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den angefügten Abs. 4 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch im Anwendungsbereich des Tierversuchsgesetzes 2012, BGBl. I Nr. 114/2012, gelten.

Zu Art. 16 Z 2 bis 4, 6, 9 bis 13, 15 bis 18, 20 und 21 (Anpassung der Ressortbezeichnungen):

Zu Art. 16 Z 5 bis 7 (§ 31 – Information der Öffentlichkeit und Dokumentation):

Mit dieser Änderung wird das Zitat der Legaldefinition von personenbezogenen Daten in Abs. 1 an die Datenschutz-Grundverordnung angepasst. An der bestehenden Rechtslage, dass nichttechnische Projektzusammenfassungen nur anonymisiert (EG 26 DSGVO) sein dürfen (ErläutRV 2016 d BlgNR 24. GP 27) ändert sich nichts. Da auch nach dem 24. Mai 2018 der Datenschutz für juristische Personen in Österreich bestehen bleibt (siehe oben: Allgemeiner Teil, Punkt V. Datenschutz für juristische Personen), ist grundsätzlich auch von einem Schutz für juristische Personen auszugehen, allerdings nur soweit Geschäfts- und Betriebsgeheimnisse betroffen sind.

Dem Schutz der Daten natürlicher Personen kommt in diesem Zusammenhang eine besondere Bedeutung zu, weil Tierversuche – in der Gesellschaft – zum Teil auf heftige Kritik stoßen. Außerdem sieht Art. 43 Abs. 1 letzter Satz der Richtlinie 2010/63/EU zum Schutz der für wissenschaftliche Zwecke verwendeten Tiere (Tierversuchs-Richtlinie), ABl. Nr. L 276 vom 20.10.2010 S. 33, vor, dass nichttechnische Projektzusammenfassungen „anonym sein [müssen] und […] keine Namen und Adressen des Verwenders und seines Personals beinhalten [dürfen]“. Vor diesem Hintergrund hat die Behörde im Zweifel gegen eine Veröffentlichung der nichttechnischen Projektzusammenfassungen zu entscheiden, sollte anders dem Verbot der Veröffentlichung personenbezogener Daten von natürlichen Personen nicht Rechnung getragen werden können.

Durch den ausdrücklichen Hinweis in Abs. 5 soll klargestellt werden, dass die im Anhang 28 bereits durchgeführte Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 DSGVO von der oder dem Verantwortlichen nicht mehr durchgeführt werden muss. Da Datenschutz-Folgenabschätzungen bei jeder Form der Verarbeitung durchzuführen sind (Art. 35 Abs. 1 DSGVO) und die Veröffentlichung nur eine Form der Verarbeitung darstellt, kann es trotz gesetzlicher Pflicht zur nichtpersonenbezogenen Veröffentlichung (Abs. 1) erforderlich sein, dass eine Datenschutz-Folgenabschätzung durchzuführen ist und zwar, wenn noch andere Verarbeitungsschritte vor der Veröffentlichung – wie in diesem Fall durch die behördeninterne Verarbeitung – vorgesehen sind. Auch wenn eine solche behördeninterne Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutz-Folgenabschätzung durchzuführen. Nach den von der Art-29-Datenschutzgruppe ausgearbeiteten Kriterien sprechen u.a. der geographische Umfang und die besondere Verletzlichkeit der betroffenen Personen (siehe oben: Erläuterungen zu Abs. 1) für die Durchführung einer Datenschutz-Folgenabschätzung, zumal das Risiko besteht, dass auch bei Entfall des Namens auf die hinter dem Projekt stehenden natürlichen Personen geschlossen werden kann.

Zu Art. 16 Z 8 (§ 32 – Kontrolle durch die zuständigen Behörden):

Mit der vorliegenden Änderung zu Abs. 5 soll klargestellt werden, dass die für die Kontrolle der Einhaltung des Tierversuchsgesetzes 2012 erforderlichen Daten auch in personenbezogener Form verarbeitet werden dürfen.

Zu Art. 16 Z 14 (§ 35 – Tierversuchskommission des Bundes):

Mit der vorliegenden Änderung zu Abs. 4 soll die Rechtssicherheit für die Mitglieder der Tierversuchskommission des Bundes erhöht werden. Es wird ausdrücklich festgehalten, dass die Beratungen der Tierversuchskommission des Bundes grundsätzlich vertraulich sind, weil die oft sehr konträren Positionen der einzelnen Mitglieder besser in Einklang gebracht werden können, wenn das gegenseitige Vertrauen auf Vertraulichkeit der Beratungen geschützt ist (Z 1). Um Klarheit und Nachvollziehbarkeit zu haben, welche Informationen der Verschwiegenheit unterliegen, sieht Z 2 vor, dass es am Ende einer Sitzung einen ausdrücklichen Beschluss über den Umfang der Verschwiegenheitspflicht für die jeweilige Sitzung geben kann. Diese Klarheit ist erforderlich, damit die Mitglieder der Tierversuchskommission des Bundes den Umfang der Verschwiegenheitspflicht genau kennen. Verstöße gegen diese Verschwiegenheitspflicht sind nämlich – wenn die Verarbeitung zumindest teilweise automatisiert erfolgt – als Verstöße gegen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO anzusehen und unterliegen somit grundsätzlich der erhöhten Strafdrohung bis 20 Millionen EUR bzw. 4 Prozent des weltweiten Vorjahresumsatzes gemäß Art. 83 Abs. 5 DSGVO.

Im Zweifel ist somit aufgrund der Z 1 vom Bestehen einer Verschwiegenheitspflicht auszugehen, die – bei Vorliegen eines Beschlusses – im Umfang des Beschlusses gemäß Z 2 durchbrochen sein kann. Bei solchen Beschlüssen ist allerdings zu beachten, dass sie nicht gesetzwidrig sein dürfen. Beschlüsse, die etwa den (internationalen) Informationsaustausch verbieten würden, würden gegen § 35 Abs. 1 Z 2 und 3 verstoßen und wären daher gesetzwidrig bzw. unzulässig.

Für die Kommissionen gemäß § 36 konnte eine vergleichbare Regelung unterbleiben, weil diese

– gemäß § 36 Abs. 2 der Amtsverschwiegenheit unterliegen und

– gemäß § 36 Abs. 3 unbefangen sein müssen.

Zu Art. 16 Z 19 (§ 44 – „Inkrafttreten“):

Zu Artikel 17 (Änderung des Universitätsgesetzes 2002):

Zu Art. 17 Z 1 (Inhaltsverzeichnis):

Aufgrund der vorgeschlagenen Änderungen kommt es auch zu Anpassungen im Inhaltsverzeichnis.

Zu Art. 17 Z 2 (§ 1 – „Ziele“):

Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich aus dem 1. und 2. Abschnitt des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, in der Fassung der vorliegenden Regierungsvorlage. Durch den vorgeschlagenen neuen Abs. 2 soll – aus Gründen der Rechtssicherheit – ausdrücklich auf diese Spezialbestimmung verwiesen werden und diese jedenfalls auch im Anwendungsbereich des Universitätsgesetzes 2002 gelten.

Zu Art. 17 Z 3, 4, 10, 14, 17, 18 bis 22, 26 und 29 (Anpassung der Ressortbezeichnungen):

Zu Art. 17 Z 5 (§ 13a – „Schlichtungskommission“):

Durch die vorgeschlagene Änderung soll sichergestellt werden, dass der Schlichtungskommission auch in Zukunft – soweit erforderlich – personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO zugänglich zu machen sind.

Zu Art. 17 Z 6 und 7 (§§ 14 und 16 – Terminologische Anpassungen):

In Bezug auf die in § 14 Abs. 6 und § 16 Abs. 6 verwendeten Begriffe „Informationen“, „Daten“ und „standardisiert“ wird auf das Begriffsverständnis des Erwägungsgrundes 26 DSGVO hingewiesen, wonach sowohl personenbezogene als auch nichtpersonenbezogene Daten umfasst sind (siehe oben: Erläuterungen zu Art. 7 Z 7 [§ 2b FOG – „Begriffsbestimmungen“]).

Zu Art. 17 Z 8 (§ 17 – „Inanspruchnahme von Dienstleistungen“):

In Abs. 2 erfolgt eine terminologische Klarstellung, dass es sich hierbei um eine Auftragsverarbeitung im Sinne des Art. 4 Z 8 sowie Art. 28 DSGVO handelt.

Zu Art. 17 Z 9 (§ 21 – „Universitätsrat“):

Durch die vorgeschlagene Änderung soll sichergestellt werden, dass dem Universitätsrat auch in Zukunft – soweit erforderlich – personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO zugänglich zu machen sind.

Zu Art. 17 Z 11 (§ 29 – „Organisation“):

In Bezug auf die in Abs. 4 Z 2 verwendeten Begriffe „Informationen“, „Daten“ und „notwendig“ wird auf das Begriffsverständnis des Erwägungsgrundes 26 DSGVO hingewiesen, wonach sowohl personenbezogene als auch nichtpersonenbezogene Daten umfasst sind (siehe oben: Erläuterungen zu Art. 7 Z 7 [§ 2b FOG – „Begriffsbestimmungen“]).

Zu Art. 17 Z 12 (§ 30a – „Weitergabe und Verwendung von Sterbedaten für wissenschaftliche Zwecke“):

Diese Bestimmung soll in allgemeiner Form – für den gesamten Bereich Wissenschaft und Forschung und somit nicht nur die Universitäten – in das Forschungsorganisationsgesetz als neuer § 9 Abs. 5 und 6 FOG verschoben werden. Durch die vorgeschlagene Änderung zu § 9 FOG kann der bestehende § 30a UG entfallen.

Zu Art. 17 Z 13 (§ 42 – „Arbeitskreis für Gleichbehandlungsfragen“):

In Abs. 4 wird eine terminologische Anpassung an die Datenschutz-Grundverordnung für die Begriffe „aufgezeichneten“, „Genehmigung“ und „Betroffene“ vorgenommen und diese in „verarbeiteten“, „Einwilligung“ und „betroffene Personen“ geändert.

Zu Art. 17 Z 15 und 16 (§§ 43 und 45 – „Schiedskommission“ bzw. „Aufsicht“):

Durch die vorgeschlagenen Änderungen soll sichergestellt werden, dass der Schiedskommission und der Bundesministerin oder dem Bundesminister auch in Zukunft – soweit erforderlich – auch personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO zugänglich zu machen sind.

Zu Art. 17 Z 18 (§ 60 – „Zulassung zum Studium“):

Universitäten und Pädagogische Hochschulen verwenden das gleiche Matrikelnummernsystem. Ausgelöst durch die gemeinsam eingerichteten Lehramtsstudien mussten die Matrikelnummern gegenseitig übernommen werden. Voraussetzung dafür war eine eindeutige „Personen-ID“ und damit auch die Anbindung der Pädagogischen Hochschulen an den Datenverbund der Universitäten. Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten verwenden derzeit andere Personen-ID-Systeme. Durch die vorgeschlagene Änderung zu Abs. 5 sollen nunmehr auch die Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten in ein einheitliches Matrikelnummernsystem einbezogen werden. Dies bedingt auch die Anbindung an den Datenverbund der Universitäten und Pädagogischen Hochschulen, was durch eine Novellierung des Bildungsdokumentationsgesetzes erfolgen soll. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet die Grundlage für die Administration von gemeinsam eingerichteten Studien und fördert die Durchlässigkeit, Administrierbarkeit und Praktikabilität.

Zu Art. 17 Z 23 (§ 108 – „Rechtsgrundlagen der Arbeitsverhältnisse“):

Angesichts der allgemeinen Bestimmung in § 14 Abs. 3 FOG über die Ausstattung von Datenverarbeitungen mit bereichsspezifischen Personenkennzeichen, etwa „Arbeit“ (AR) oder „Bildung und Forschung“ (BF), kann die mittlerweile überholte Formulierung des Abs. 5 entfallen.

Zu Art. 17 Z 24 und 25 (§ 119 – „Wissenschaftsrat“):

Im Sinne des Art. 6 Abs. 1 Buchstabe c iVm Abs. 2 und 3 DSGVO werden die Bedingungen für die Rechtmäßigkeit der Veröffentlichung in Abs. 3 in der Fassung der vorliegenden Regierungsvorlage näher ausgeführt. Die in Z 1 angeführte Einwilligung stellt bereits für sich alleine eine Rechtsgrundlage gemäß Art. 6 Abs. 1 Buchstabe a DSGVO dar. Die in Z 2 genannte „öffentliche Funktion“ knüpft an den bestehenden § 8 Abs. 3 Z 6 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, an und umfasst – im gegebenen Zusammenhang – jedenfalls Mitglieder von Organen der Universitäten.

In Abs. 4 wird ein Redaktionsversehen behoben.

Zu Art. 17 Z 27 und 28 (§ 143 – „In-Kraft-Treten und Außer-Kraft-Treten von Rechtsvorschriften“):

In Abs. 42 wird eine terminologische Anpassung an die Datenschutz-Grundverordnung für den Begriff „verwenden“ vorgenommen und dieser in „verarbeiten“ geändert.

Am 24. Mai 2016 ist die DSGVO in Kraft getreten. Ab 25. Mai 2018, d.h. zwei Jahre später, ist sie im Gebiet der Europäischen Union unmittelbar anwendbar und tritt ab diesem Zeitpunkt an die Stelle der bisherigen Datenschutzrichtlinie 95/46/EG.

Die legistischen Anpassungen sollen gemäß Art. 49 Abs. 1 B‑VG mit Ablauf des Tages ihrer Kundmachung in Kraft treten und sind deshalb nicht ausdrücklich im neuen Abs. 53 angeführt. Die datenschutzrechtlich relevanten Bestimmungen sollen zeitgleich mit der Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.

Auch bei den in Abs. 54 angeführten Bestimmungen handelt es sich um datenschutzrechtlich relevante Bestimmungen. Sie sollen daher mit Ablauf des 24. Mai 2018 außer Kraft treten.