SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Die Privatuniversitäten haben gemäß § 3 Abs. 11 PUG iVm § 53 des Universitätsgesetzes 2002 [UG], BGBl. I Nr. 120/2002, privatuniversitätsspezifischen Daten aufzubewahren. Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die Aufbewahrung umfasst folgende Datenarten (§ 53 Z 1 bis 6 UG):

–      die Bezeichnung von Prüfungen oder das Thema der wissenschaftlichen oder künstlerischen Arbeiten,

–      die vergebenen ECTS-Anrechnungspunkte,

–      die Beurteilung,

–      die Namen der Prüferinnen und Prüfer oder der Beurteilerinnen und Beurteiler,

–      das Datum der Prüfung oder der Beurteilung sowie

–      den Namen und die Matrikelnummer der oder des Studierenden.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Erstellung von Evidenzen der Studierenden (§ 3 des Bildungsdokumentationsgesetzes). Anschließend übermittelt das Rektorat der Privatuniversität die Daten aus den Evidenzen der Studierenden an den zuständigen Bundesminister, damit dieser die Gesamtevidenzen der Studierenden erstellen kann. (§ 2d Abs. 1 Z 1 FOG iVm § 7 des Bildungsdokumentationsgesetzes).

Die Aufbewahrung der Daten erfolgt auch im Kontext der Durchführung von gemeinsam eingerichteten Studien – wie der Begründung zum Initiativantrag (IA 2235/A 25. GP 116) ausgeführt wird.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Das Rektorat von Privatuniversitäten führt Evidenzen von Studierenden, dafür erfolgt die Datenverarbeitung (vgl. § 3 Abs. 11 PUG iVm § 53 UG iVm § 3 des Bildungsdokumentationsgesetzes). Ein weiterer Zweck ist es, eine Datengrundlage für gemeinsame Studien zu schaffen.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die zuständige Bundesministerin oder der zuständige Bundesminister erhält die Daten, um eine Gesamtevidenz der Studierenden zu errichten (§§ 5 ff des Bildungsdokumentationsgesetzes). Die zuständige Bundesministerin oder der zuständige Bundesminister hat gemäß § 8 des Bildungsdokumentationsgesetzes die Möglichkeit, Schulbehörden des Bundes, eine Abfrageberechtigung zu erteilen. Der Bundesanstalt „Statistik Austria“ sind zur Erstellung einer Bundesstatistik zum Bildungswesen Daten zu übermitteln (vgl. § 9 Abs. 2 des Bildungsdokumentationsgesetzes).

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Speicherdauer beträgt mindestens 80 Jahre (§ 3 Abs. 11 PUG iVm § 53 UG).

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Gemäß § 53 UG sollen die privatuniversitätsspezifischen Daten aufbewahrt werden. Dies ermöglicht die Führung von Studierendenevidenzen und die Einrichtung gemeinsamer Studien. Die abschließend aufgezählten Prüfungsdaten werden mindestens 80 Jahre in geeigneter Form aufbewahrt.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck ist in § 3 Abs. 11 PUG iVm § 53 UG iVm § 3 Abs. 3 Z 9 des Bildungsdokumentationsgesetzes festgelegt. Er liegt in der Führung der Evidenzen der Studierenden.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 3 Abs. 11 PUG ist eindeutig: Die Daten dürfen nur gemäß § 3 Abs. 3 Z 9 des Bildungsdokumentationsgesetzes aufbewahrt werden. Dies erfolgt gemäß § 3 Abs. 1 des Bildungsdokumentationsgesetzes für Evidenzen der Studierenden, die eine Vollziehung aller schul- und hochschulrechtlichen Vorschriften ermöglichen.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 3 Abs. 11 PUG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

–      des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

–      des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches Interesse“) sowie

–      des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 3 Abs. 11 PUG vorgesehen ist.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Das Entstehen von Studiengängen, die gemeinsam von einer Privatuniversität mit einer öffentlichen Universität oder Pädagogischen Hochschule betrieben werden, kann nur dadurch gewährleistet werden, dass erforderliche Daten zur Verfügung stehen. Die Datenbasis ermöglicht „eine ordnungsgemäße Verwaltung der Studierendendaten“ – wie auf Seite 116 der Begründung zum Initiativantrag 2235/A (IA 2235/A 25. GP 116) ausgeführt wird.

Durch diese Regelung wird eine Durchführung von gemeinsam eingerichteten Studien ermöglicht (IA 2235/A 25. GP 116) und eine Rechtsgrundlage für die Durchführung gemeinsam eingerichteter Studien geschaffen. Die Norm führt zu einer Durchlässigkeit des Systems, was dazu führen soll, junge Menschen zu motivieren, ein Studium zu beginnen.

Ein Ziel der EU-Bildungspolitik 2017 ist die Modernisierung der Schul- und Hochschulbildung (vgl. https://www.parlament.gv.at/

PAKT/PR/JAHR_2017/PK0117/ [29.01.2018]). Die vorgeschlagene Änderung kann auch im Rahmen der Modernisierung der Hochschulbildung gesehen werden.

Dass Bildung ein besonders wichtiges Interesse darstellt, spiegelt sich nicht nur im Index der menschlichen Entwicklung der UNO wider (http://hdr.undp.org/en/content/human-development-index-hdi; [29.01.2018]). Demnach sind für die Entwicklung eines Landes drei Dimensionen entscheidend:

–      langes und gesundes Leben („long and healthy life“)

–      Wissen („Knowledge“) und

–      ein angemessener Lebensstandard („a decent standard of living“).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil § 52 UG eine zeitliche Beschränkung der Aufbewahrung (80 Jahre) vorsieht und weil die Aufbewahrung in „geeigneter Form“ stattzufinden hat. Da nicht definiert wird, was unter einer „geeigneter Form“ zu verstehen ist, ist auf Art. 25 DSGVO zu verweisen, wonach „der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ setzt, damit die Datenschutzgrundsätze gemäß Art. 5 DSGVO eingehalten werden. Beispielhaft wird in Art. 25 Abs. 1 DSGVO die Pseudonymisierung genannt. Werden solche Maßnahmen implementiert, ist die Aufbewahrung der Daten als angemessen zu erachten.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verbesserung des Hochschulwesens für den Wohlstand entscheidend ist. Der Standortfaktor Wissen gewinnt zunehmend an Bedeutung. Bildung ist auch entscheidend für die Chancen am Arbeitsmarkt. Durch die im Rahmen dieser Studien erworbenen Abschlüsse, haben junge Menschen bessere Jobaussichten. Im Bericht Bildung in Zahlen 2015/2016 von der Statistik Austria

(http://www.statistik.at/web_de/services/publikationen

/5/index.html?includePage=detailedView&section

Name=Bildung%2C+Kultur&pubId=462; [29.01.2018]) wird auf Seite 95 ausgeführt, dass für 25- bis 34-Jährige ohne weiterführenden Schulabschluss eine ca. sechs Mal höhere Wahrscheinlichkeit, im Vergleich zu Gleichaltrigen mit Hochschul- oder Akademieabschluss, besteht, arbeitslos zu sein. Die Bildungsbeteiligung der 20- bis 29-Jährigen ist in Österreich unter dem EU-Schnitt (vgl. Bildung in Zahlen 2015/2016, Statistik Austria, 39). Auf Seite 385 der Studie wird ausgeführt, dass die Zahl der Abschlüsse an privaten Hochschulen im Studienjahr 2015/16 10.202 beträgt. Um das Angebot und die Attraktivität der Studien weiter zu erhöhen, um dadurch auch eine höhere Bildungsbeteiligung zu erreichen, wird eine Rechtsgrundlage für die Administration von gemeinsam eingerichteten Studien geschaffen.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das notwendige Maß beschränkt, weil § 53 UG nur die Aufbewahrung erlaubt. Des Weiteren werden in § 53 UG jene Daten, die verarbeitet werden dürfen, abschließend aufgezählt.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung der Speicherdauer wird in § 53 UG vorgesehen, demnach sind die angegebenen Prüfungsdaten für mindestens 80 Jahre in geeigneter Form aufzubewahren.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nur im Rahmen des § 2d Abs. 6 Z 6 FOG besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Einrichtungen zur Durchführung von Studien ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 3 Abs. 11 PUG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 3 Abs. 11 PUG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten des oder der Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 1 Abs. 3 PUG iVm den § 38a (4) FOG grundsätzlich zulässig. Allerdings sind die Regelungen des § 38a FOG nur leges speciales gegenüber den allgemeinen Bestimmungen des DSG, sodass speziellere Bestimmungen, wie § 3 Abs. 11 PUG über die Aufbewahrung von privatuniversitätsspezifischen Daten, dem § 38a FOG vorgehen. Gemäß § 3 Abs. 11 PUG iVm § 53 UG ist eine Übermittlung in Drittländer zwar nicht ausgeschlossen, aber sehr restriktiv zu sehen und nur dann zulässig, wenn dies zur Führung von Evidenzen notwendig ist.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen der Aufbewahrung von privatuniversitätsspezifischen Daten vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“. Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten.

Des Weiteren hat der Betreiber des Datenverbundes gemäß § 7a Abs. 11 des Bildungsdokumentationsgesetzes dafür zu sorgen, dass entsprechende Datensicherheitsmaßnahmen gesetzt werden.

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt.

Es sind insbesondere die § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100). Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung im Rahmen der Aufbewahrung von privatuniversitätsspezifischen Daten ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Darüber hinaus wird durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG das Risiko der Diskriminierung erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgende Maßnahmen verhindert werden:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Weiters wird durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG das Risiko des Verlusts der Kontrolle über personenbezogene Daten wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Zudem wird durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG das Risiko der unbefugten Aufhebung der Pseudonymisierung wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgender Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnisse wird durch untenstehende Maßnahmen gewährleistet:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil dies durch die folgenden Bestimmungen verhindert werden soll:

–      Art. 25 DSGVO: es sind zum Schutz der betroffenen Person „geeignete technische und organisatorische Maßnahmen“ zu treffen,

–      Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“ sorgen,

–      § 7a Abs. 11 des Bildungsdokumentationsgesetzes: es sind entsprechende Datensicherheitsmaßnahmen zu setzen und

–      insbesondere folgende Bestimmungen des 22. Abschnittes im Strafgesetzbuch:

      – § 302 (Amtsmissbrauch) und

      – § 310 („Verletzung des Amtsgeheimnisses“).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dadurch vorgeschrieben, dass die Speicherung der Daten zeitlich begrenzt wird. Zusätzlich werden jene Daten, die verarbeitet werden, in § 53 UG abschließend aufgezählt. Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die schnellstmögliche Pseudonymisierung personenbezogener Daten wird durch Art. 89 DSGVO sichergestellt. Er besagt, dass „technische und organisatorische Maßnahmen [zu] bestehen [haben], mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören [.]“ Diese hat schnellstmöglich zu erfolgen.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 3 Abs. 11 PUG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei hochschulspezifischen Daten von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die Öffnungsklausel des Art. 23 Abs. 1 DSGVO wird in Anspruch genommen. Dies ist gerechtfertigt, weil es sich um ein wichtiges Ziel des allgemeines öffentlichen Interesse des Mitgliedstaates Österreich handelt. Die Beschränkung ist erforderlich, weil damit die Aufbewahrung privatuniversitätsspezifischer Daten gewährleistet werden kann.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch bei der Aufbewahrung privatuniversitätsspezifischen Daten vorzusehen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.