SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Privatuniversitäten sollen, durch eine Novellierung des Bildungsdokumentationsgesetzes, an den Datenverbund der Universitäten und Pädagogischen Hochschulen angebunden werden. Jede Hochschule, die dem Datenverbundsystem angeschlossen ist, hat diesem studierenden-, studien- und studienbeitragsbezogene Daten zu übermitteln (vgl. § 7a des Bildungsdokumentationsgesetzes). Die Art der Verarbeitung wird nicht eingeschränkt (vgl. Anlage 3 zu § 7a Abs. 4 des Bildungsdokumentationsgesetzes).

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 3 Abs. 10 PUG iVm § 7a Abs. 4 iVm Anlage 3 zu § 7a Abs. 4 des Bildungsdokumentationsgesetzes umfassten Daten sind:

–      Einordnungsdaten: meldende Hochschule, Bezugssemester und Statistikmarken für die Personen- und Studienzählung (Z 1);

–      Personendaten: Vorname(n) und Familienname, Geburtsdatum, Geschlecht, Staatsangehörigkeit, akademische Grade, Anschrift am Heimatort und Zustelladresse (Z 2);

–      Studienbeitragsdaten: Studienbeitragsstatus, Beträge und Valutadatum der Beitragsvorschreibung, Beträge und Valutadatum der allfälligen Nachforderung, Auftrag für den Erlagscheindruck samt Datum, Bezahlungsstatus und Ist-Betrag, letztes Buchungsdatum und Studienbeitragskonto der Universität (Z 3);

–      Studiendaten: Kennzeichnung des Studiums, Antrags-, Zulassungs- oder Beginndatum des Studiums, Form, Datum und Ausstellungsstaat der allgemeinen Universitätsreife, Zulassungsstatus, Meldung der Fortsetzung des Studiums bzw. der Inskription und die Art der internationalen Mobilität und Gastland des Auslandsaufenthaltes (Z 4);

–      Studienerfolgsdaten: Kennzeichnung des Studiums, Semesterstunden abgelegter Prüfungen, Semesterstunden positiv beurteilter Prüfungen, erlangte ECTS-Credits und Art und Datum von erfolgreich ablegten Prüfungen, die ein Studium oder einen Studienabschnitt abschließen (Z 5) und

–      Daten zu Studienberechtigungsprüfungen: laufende Nummer des Studienberechtigungsfalles, Kennzeichnung des Studiums bzw. der Studienrichtungsgruppe, Datum des Antrages auf Zulassung zur Studienberechtigungsprüfung und Datum der erfolgreichen Ablegung der Studienberechtigungsprüfung (Z 6).

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung soll eine Einbindung von Privatuniversitäten in ein einheitliches Matrikelnummernsystem ermöglichen. Dies setzt eine Anbindung der Privatuniversitäten an den Datenverbund der Universitäten und Pädagogischen Hochschulen voraus, was mittels einer Novellierung des Bildungsdokumentationsgesetzes erfolgen soll.

Mit dem vorgeschlagenen § 3 Abs. 10 PUG soll die Administration von gemeinsam eingerichteten Studien ermöglicht werden. Es wird die Durchlässigkeit, die Administrierbarkeit und die Praktikabilität solcher Studien gefördert.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Schaffung eines einheitlichen Matrikelnummernsystems (§ 3 Abs. 10 PUG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Im Rahmen der Novellierung des Bildungsdokumentationsgesetzes soll es zu einer Anbindung der Privatuniversitäten an den Datenverbund der Universitäten und Pädagogischen Hochschulen kommen. Empfängerinnen und Empfänger der Daten wird daher der Datenverbund sein.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Der Datenverbund hat die Daten der letzten acht Semester zu beinhalten. Heimatort und Zustelladresse sind für zehn Jahre zu speichern. Bestimmte Merkmale der Studierenden sind, zur Gewährleistung einer ordnungsgemäßen Vergabe von Matrikelnummern, 99 Jahre zu speichern (§ 7a Abs. 9 des Bildungsdokumentationsgesetzes).

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund der Anlage 3 zu § 7a Abs. 4 Z 1 des Bildungsdokumentationsgesetzes ist jede Form der Verarbeitung zulässig. Gemäß § 7a Abs. 1 des Bildungsdokumentationsgesetzes dient die Verarbeitung der Vollziehung universitäts- und hochschulübergreifend wahrzunehmender Vorschriften.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck ist in § 3 Abs. 10 PUG festgelegt. Er besteht in der Zuordnung einer Matrikelnummer an Studienwerberinnen oder Studienwerber anlässlich einer erstmaligen Zulassung.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 3 Abs. 10 PUG ist eindeutig: die Daten dürfen nur verarbeitet werden, soweit dies zur Erreichung des angegebenen Ziels erforderlich ist. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet die Grundlage für die Administration von gemeinsam eingerichteten Studien.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 3 Abs. 10 PUG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 3 Abs. 10 PUG vorgesehen ist.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Durch diese Regelung wird eine Durchführung von gemeinsam eingerichteten Studien ermöglicht (vgl. IA 2235/A 25. GP 116) und eine Rechtsgrundlage für die Durchführung gemeinsam eingerichtete Studien geschaffen. Die Norm führt zu einer Durchlässigkeit des Systems, was dazu führen soll, junge Menschen zu motivieren, ein Studium zu beginnen. Ein Ziel der EU-Bildungspolitik 2017 ist die Modernisierung der Schul- und Hochschulbildung (vgl. https://www.parlament.gv.at/PAKT/PR/JAHR_2017/PK0117/ [29.01.2018]). Die vorgeschlagene Änderung kann auch im Rahmen der Modernisierung der Hochschulbildung gesehen werden. Dass Bildung ein besonders wichtiges Interesse darstellt, spiegelt sich nicht nur im Index der menschlichen Entwicklung der UNO wider (http://hdr.undp.org/en/content/human-development-index-hdi [29.01.2018]). Demnach sind für die Entwicklung eines Landes drei Dimensionen entscheidend:

–      langes und gesundes Leben („long and healthy life“)

–      Wissen („Knowledge“) und

–      ein angemessener Lebensstandard („a decent standard of living“).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten darf, da es zu einer Einbindung an den Datenverband kommen soll, auf die Anlage 3 zu § 7a Abs. 4 des Bildungsdokumentationsgesetzes verwiesen werden. Die Datenarten werden hier abschließend angegeben. Die Verarbeitung dieser Daten ist angemessen, weil alle Daten zur Erreichung des Zieles notwendig sind. Ohne diese aufgezählten Daten kann es nicht zur Durchführung von gemeinsam eingerichteten Studien kommen. Des Weiteren ist, wie unter Punkt „Speicherdauer“ ausgeführt, die Speicherdauer zeitlich beschränkt. Die Empfängerinnen und Empfänger sind auf jene Hochschulen eingeschränkt, mit denen gemeinsame Studien geführt werden.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verbesserung des Hochschulwesens für den Wohlstand entscheidend ist. Der Standortfaktor Wissen gewinnt zunehmend an Bedeutung. Bildung ist auch entscheidend für die Chancen am Arbeitsmarkt. Durch die im Rahmen dieser Studien erworbenen Abschlüsse, haben junge Menschen bessere Jobaussichten. Im Bericht Bildung in Zahlen 2015/2016 von der Statistik Austria (http://www.statistik.at/web_de/services/ publikationen/5/index.html?includePage=detailedView&section Name=Bildung%2C+Kultur&pubId=462; [29.01.2018]) wird auf der Seite 95 ausgeführt, dass für 25- bis 34-Jährige ohne weiterführenden Schulabschluss eine ca. sechs Mal höhere Wahrscheinlichkeit, im Vergleich zu Gleichaltrigen mit Hochschul- oder Akademieabschluss, besteht, arbeitslos zu sein. Die Bildungsbeteiligung der 20- bis 29-Jährigen ist in Österreich unter dem EU-Schnitt (vgl. Bildung in Zahlen 2015/2016, Statistik Austria, 39). Auf Seite 385 der Studie wird ausgeführt, dass die Zahl der Abschlüsse an privaten Hochschulen im Studienjahr 2015/16 10.202 beträgt. Um das Angebot und die Attraktivität der Studien weiter zu erhöhen, um dadurch auch eine höhere Bildungsbeteiligung zu erreichen, wird eine Rechtsgrundlage für die Administration von gemeinsam eingerichteter Studien geschaffen.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die Speicherdauert beschränkt wird und die Daten, die verarbeitet werden dürfen, abschließend aufgezählt werden.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer wird im Rahmen des Bildungsdokumentationsgesetzes vorgesehen werden. Der Datenverbund hat die letzten acht Semester zu beinhalten. Heimatort und Zustelladresse sind für zehn Jahre zu speichern. Bestimmte Merkmale der Studierenden zur Gewährleistung einer ordnungsgemäßen Vergabe von Matrikelnummern sind 99 Jahre zu speichern (§ 7a Abs. 9 des Bildungsdokumentationsgesetzes).

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mitteilungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Einrichtungen zur Durchführung von Studien ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 3 Abs. 10 PUG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation der Anpassung des Bildungsdokumentationsgesetzes als Bundesgesetz im Bundesgesetzblatt und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten des oder der Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Hochschulen ihre Prozesse gegebenenfalls so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Gemäß § 7a Abs. 2 des Bildungsdokumentationsgesetzes ist die Bundesrechenzentrum GmbH Auftragsverarbeiterin und bietet hinreichend Garantien dafür, dass die Rechte der betroffenen Personen geschützt werden.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 3 PUG iVm §38 a Abs. 4 FOG grundsätzlich zulässig. Allerdings sind die Regelungen des § 2j FOG nur leges speciales gegenüber den allgemeinen Bestimmungen des DSG, sodass speziellere Bestimmungen, wie § 3 Abs. 10 PUG über die Vergabe von Matrikelnummern, dem § 2j FOG vorgehen.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen der Vergabe von Matrikelnummern vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten.

Des Weiteren hat der Betreiber des Datenverbunden gemäß § 7a Abs. 11 des Bildungsdokumentationsgesetzes dafür zu sorgen, dass entsprechende Datensicherheitsmaßnahmen gesetzt werden.

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt.

Es sind insbesondere § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100). Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Verarbeitung für die Vergabe von Matrikelnummern an Privatuniversitäten ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Darüber hinaus wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgende Maßnahmen verhindert werden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und –verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Zudem wird durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgender Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnisse wird durch untenstehende Maßnahmen gewährleistet:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dadurch vorgeschrieben, dass die Speicherung der Daten zeitlich begrenzt wird. Zusätzlich werden jene Daten, die verarbeitet werden, in der Anlage 3 zu § 7a Abs. 4 des Bildungsdokumentationsgesetzes abschließend aufgezählt. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt. Er besagt, dass „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören“. Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 3 Abs. 10 PUG und der zu erlassenen Regelungen im Bildungsdokumentationsgesetz als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei der Vergabe von Matrikelnummern an Privatuniversitäten von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die Öffnungsklausel des Art. 23 Abs. 1 DSGVO wird in Anspruch genommen. Dies ist gerechtfertigt, weil es sich um ein wichtiges Ziel des allgemeinen öffentlichen Interesses des Mitgliedstaates Österreich handelt. Die Beschränkung ist erforderlich, weil damit eine Vergabe von Matrikelnummern an Privatuniversitäten gewährleistet werden kann.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Gemäß Art. 32 DSGVO sind Datensicherheitsmaßnahmen auch bei der Vergabe von Matrikelnummern zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.