SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 40 Abs. 5 des Studienförderungsgesetzes 1992 (StudFG) darf die Studienbeihilfenbehörde im Verfahren zur Gewährung von Förderungen die hiefür notwendigen personenbezogenen Daten der betroffenen Person ermitteln und verarbeiten. Des Weiteren darf die Studienbeihilfenbehörde gemäß § 40 Abs. 5a StudFG das Zentrale Personenstandregister abfragen, um eine Kinder- bzw. Geschwistereigenschaft zu überprüfen. Die Daten gemäß § 40 Abs. 5 und Abs. 5a StudFG werden, sofern in ihrem Bereich verfügbar von

–      den Abgabenbehörden des Bundes,

–      den Trägern der Sozialversicherung,

–      dem Arbeitsmarktservice,

–      dem Sozialministeriumservice und seinen Landesstellen und

–      dem Bundesrechenzentrum

an die Studienbeihilfenbehörde übermittelt.

Des Weiteren empfängt die Studienbeihilfenbehörde von den Universitäten, den Universitäten der Künste, den Theologischen Lehranstalten, den Fachhochschul-Studiengängen, den öffentlichen Pädagogischen Hochschulen, den anerkannten privaten Pädagogischen Hochschulen, den mit dem Öffentlichkeitsrecht ausgestatteten Konservatorien, den medizinisch-technischen Akademien, den Hebammenakademien sowie den Privatuniversitäten studienrelevante Daten (§ 40 Abs. 7 StudFG).

Der vorgeschlagene § 40 Abs. 9 StudFG sieht eine Möglichkeit der Nachfrage zur Vermeidung von Doppelförderungen vor.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 40 StudFG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2b Z 5 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es nicht. Folgende Daten dürfen gemäß § 40 Abs. 5 StudFG erhoben und verarbeitet werden:

–      Name, Titel, Anschrift, Angaben zur elektronischen Erreichbarkeit,

–      Geburtsdatum und Versicherungsnummer,

–      Staatsbürgerschaft,

–      Familienstand und Geschlecht,

–      Beruf bzw. Tätigkeit,

–      Name und Anschrift des Dienstgebers,

–      Daten des Einkommens

–      Studiennachweise

–      Bank und Kontonummer des Beihilfenwerbers,

–      Gewährung von Familienbeihilfe und Kinderabsetzbetrag,

–      Bestehen einer Selbstversicherung und

–      Bestehen einer Angehörigeneigenschaft.

Zusätzlich darf die Studienbeihilfenbehörde gemäß § 40 Abs. 5a StudFG zur Überprüfung der Kindes- bzw. Geschwistereigenschaft eine Abfrage des Zentralen Personenstandregisters gemäß § 47 Abs. 2 des Personenstandsgesetzes, BGBl. I Nr. 16/2013, durchführen.

Die in § 40 Abs. 7 StudFG genannten Bildungseinrichtungen haben auf Anfrage die zur Überprüfung der Anspruchsvoraussetzungen notwendigen und in ihrem Bereich verfügbaren Daten über

–      Studiennachweise (§§ 20 bis 25a),

–      Fortsetzungsmeldungen bzw. Inskriptionen,

–      Studienabschlüsse und

–      die Entrichtung des Studienbeitrags,

wenn möglich im automationsunterstützten Datenverkehr, zu übermitteln.

Der vorgeschlagene § 40 Abs. 9 StudFG umfasst die Einholung und Mitteilung von Daten (§ 2b Z 5 FOG) über die Zuerkennung von Ausbildungsförderungen von anderen in- oder ausländischen Einrichtungen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext des Anspruches auf Studienbeihilfe. Damit die im Studienbeihilfenverfahren tätigen Behörden einen Anspruch auf Studienbeihilfe feststellen können, muss die zuständige Behörde über alle bedeutsamen Umstände informiert werden. Grundsätzlich sind die notwendigen Unterlagen durch die betroffene Person einzubringen (vgl. § 40 Abs. 1 StudFG). Ist dies der betroffenen Person nicht möglich, ist die zuständige Behörde, auf Antrag der betroffenen Person, verpflichtet die Daten beizuschaffen.

Folgende Stellen sind zur Datenbereitstellung verpflichtet:

–      der Antragssteller (§ 40 Abs. 1 StudFG),

–      die Sozialversicherungsträger (§ 40 Abs. 1 und Abs. 6 Z 2 StudFG),

–      die Arbeitgeber (§ 40 Abs. 2 StudFG),

–      die Abgabenbehörden des Bundes (§ 40 Abs. 3 und Abs. 6 Z 1 StudFG),

–      das Arbeitsmarktservice (§ 40 Abs. 3 Z 3 StudFG),

–      das Sozialministeriumservice und seinen Landesstellen (§ 40 Abs. 3 Z 4 StudFG),

–      das Bundesrechenzentrum (§ 40 Abs. 3 Z 5 StudFG) und

–      die in § 40 Abs. 7 StudFG genannten Bildungseinrichtungen.

Voraussetzung ist gemäß § 40 Abs. 5 StudFG, dass alle Offenlegungen, Meldungen und Nachweise vollständig und wahrheitsgetreu zu erfolgen haben. Damit wird dem Prinzip der Datenrichtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO entsprochen.

Mit dem vorgeschlagenen § 40 Abs. 9 StudFG soll eine Rechtsgrundlage zur Vermeidung von Doppelförderungen geschaffen werden. Dies wird in Art. 49 Abs. 1 Buchstabe d iVm Abs. 4 DSGVO dann zugelassen, wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist und eine nationale Rechtsgrundlage dafür besteht. § 40 Abs. 10 StudFG schafft eine Grundlage dafür, dass Daten auch für einen späteren Beihilfenanspruch noch vorhanden sind. Der neu vorgeschlagene § 40 Abs. 11 StudFG schafft eine Rechtsgrundlage dafür, welche Übermittlungen im Rahmen der Aufsichtstätigkeit des Bundesministeriums für Bildung, Wissenschaft und Forschung gestattet sind.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Ermittlung der bedeutsamen Umstände für den Anspruch auf Studienbeihilfe (§ 40 Abs. 1 StudFG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Mit Ausnahme des im vorliegenden Entwurfs vorgeschlagenen § 40 Abs. 11 StudFG ist eine Übermittlung an Dritte nicht vorgesehen. Einzig die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung kann Empfängerin oder Empfänger zum Zweck der Wahrnehmung von Aufsichtspflichten sein.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Speicherdauer wird im neu einzuführenden § 40 Abs. 10 StudFG mit 20 Jahren festgelegt.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 40 StudFG kann die Studienbeihilfenbehörde Daten erheben und verarbeiten, jedoch nur unter der Voraussetzung, dass § 40 Abs. 4 StudFG eingehalten wird, der besagt, dass Offenlegungen, Meldungen und Nachweise stets vollständig und wahrheitsgetreu zu erfolgen haben.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck der Datenverarbeitung liegt im Nachweis der gesetzlichen Voraussetzungen für die Zuerkennung von Studienbeihilfe (§ 40 Abs. 1 StudFG).

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 40 Abs. 1 StudFG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Ermittlung des Anspruches auf Studienbeihilfe erforderlich ist.

Eine nähere Bestimmung des Zweckes ergibt sich aus

–      der Tatsache der Mitteilungspflicht an Studienbeihilfenerwerberinnen und Studienbeihilfenwerbern, (vgl. § 4b der Verordnung des Bundesministers für Wissenschaft, Forschung und Kunst über die Durchführung des automationsunterstützten Datenverkehrs in Verfahren vor der Studienbeihilfenbehörde) und

–      der Angabe des Zweckes in § 40 Abs. 1 StudFG.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 40 Abs. 1 StudFG angegebene Zweck ist legitim, weil er von der Öffnungsklausel des Art. 9 Abs. 2 Buchstabe j (Zwecke gemäß Art. 89 DSGVO) sowie den Bestimmungen des Studienförderungsgesetzes 1992 gedeckt ist.

Die Wichtigkeit des öffentlichen Interesses an Bildung zeigt sich an der „Europa 2020“ Strategie. Dies soll intelligentes, nachhaltiges und integratives Wachstum in der EU ermöglichen. Maßnahmen im Bereich der Bildung spielen dabei eine wichtige Rolle. Ziel ist es, das Bildungsniveau zu verbessern. Die Bedeutung der Bildung zeigt sich auch an Artikel 14 der Europäischen Grundrechtecharta, wonach jede Person das Recht auf Bildung sowie auf Zugang zur beruflichen Ausbildung und Weiterbildung hat.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe e iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Speicherdauer wird im neu einzuführenden § 40 Abs. 10 StudFG mit 20 Jahren festgelegt.

Die Angemessenheit ergibt sich dadurch, dass

–      der Zweck der Verarbeitung im Interesse der betroffenen Person erfolgt, und die Datenübermittlung- und Verarbeitung nur für den Zweck der Ermittlung der sozialen Bedürftigkeit erfolgt,

–      jene Stellen, die Daten übermitteln müssen, festgelegt werden,

–      Datenarten, die verarbeitet werden dürfen, in § 40 Abs. 5 bis 9 ausdrücklich festgelegt werden,

–      Veröffentlichungen nur in anonymisierter oder pseudonymisierter Form erfolgen dürfen (§ 70 Abs. 2 StudFG iVm § 2d Abs. 2 FOG) und

–      die Studienbeihilfenwerberinnen oder -werber über die Tatsache der automationsunterstützen Datenermittlung informiert werden.

Mit § 40 StudFG wird den zuständigen Behörden des Studienbeihilfenverfahrens das Recht eingeräumt, Daten, die zur Ermittlung der sozialen Bedürftigkeit wesentlich sind, von anderen Behörden oder Stellen wie Arbeitgebern zu verlangen. Diese sind zur Übermittlung gesetzlich verpflichtet. Damit wird eine Basis geschaffen, damit die im Studienbeihilfenverfahren zuständige Behörde ermitteln kann, ob soziale Bedürftigkeit besteht. Dies ist notwendig, um feststellen zu können, ob eine Studienbeihilfe gewährt werden darf oder nicht. Gemäß § 40 Abs. 1 StudFG haben Personen, deren Einkommen als Grundlage für die soziale Bedürftigkeit herangezogen wird, entweder mit dem Beihilfenwerber oder mit den tätigen Behörden zu kooperieren.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Ermöglichung einer Hochschulbildung nicht nur für die betroffene Person, sondern auch für die Gesellschaft von entscheidender Bedeutung ist. Durch die Ermittlung der sozialen Bedürftigkeit, kann jenen, die sich sonst ein Studium nicht leisten könnten, der Zugang zum Hochschulsektor ermöglicht werden.

Das Bildungsniveau ist von großer Bedeutung für die Entwicklung der österreichischen Gesellschaft. Der Zugang zu einer Hochschule ermöglicht bessere Chancen auf dem Arbeitsmarkt. Die Gefahr von Arbeitslosigkeit ist unter Akademikerinnen und Akademikern am geringsten. Demnach ist das Arbeitslosigkeitsrisikos eines Absolventen einer Uni/FH die geringste unter allen abgeschlossenen Ausbildungen. Die Arbeitslosenquote liegt bei Akademikerinnen bei 2,7 Prozent, während sie z.B. bei Personen mit einer Lehre als höchstem Bildungsabschluss bei 6,5 Prozent liegt (vgl. http://www.ams.at/b_info/download/stunifhph.pdf, 39 ff [03.02.2018]).

Gemäß dem Bericht „Bildung in Zahlen 2015/2016“ der Statistik Austria (https://uniko.ac.at/modules/download.php?key=13584_ DE_O&cs=4BAE [24.01.2018]) haben 16,2 Prozent der 25- bis 64-jährigen einen Hochschul- oder Akademieabschluss. Die Menschen mit Know-how auszustatten ist entscheidend für die Entwicklung des Wirtschaftsstandortes Österreich. Es ist aber auch wesentlich dafür, den Lebensstandard der Personen in Österreich zu sichern. Personen mit einem Hochschul- oder Akademieabschluss haben ein, im Vergleich zum allgemeinen Medianeinkommen, um 34,5 Prozent höheres Einkommen (vgl. Bildung in Zahlen 2015/2016, 104 ff). Eine weitere Folge einer höheren Bildung ist, dass die Armutsgefährdung sinkt. Das Niveau an Bildung steigt langfristig. Während im Jahr 1981 nur 4,5 Prozent der Bevölkerung einen Hochschul- oder Akademieabschluss hatten, waren es im Jahr 2014 insgesamt 16,2 Prozent. Im internationalen Vergleich liegt Österreich im Bereich der Bevölkerung mit Tertiärabschlusses unter dem EU-Durchschnitt. Deshalb ist es besonders wichtig Maßnahmen, wie die Studienförderungen, zu setzen, die den (formalen) Bildungsgrad der Bevölkerung erhöhen sollen.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen. Eine Übermittlung der Daten erfolgt gemäß § 40 Abs. 11 StudFG nur an die Bundesministerin oder den Bundesminister für Bildung, Wissenschaft und Forschung im Rahmen der Aufsichtspflicht.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Eine zeitliche Beschränkung ist im vorgeschlagenen § 40 Abs. 10 StudFG vorgesehen. Demnach dürfen die Daten für einen Zeitraum von 20 Jahren gespeichert werden, da Daten, die im Zuge von bereits gewährten Studienbeihilfe, für eine erneute Gewährung von Bedeutung sein können.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

–      die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten Garantien bei Übermittlung in Drittländer oder an internationale Organisationen;

–      gegebenenfalls die Mitteilung an die betroffene Person, dass eine Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

–      gegebenenfalls die Information von Empfängerinnen und Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person die Berechtigung oder Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung verlangt, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;

–      die Information der betroffenen Personen über die Empfängerinnen und Empfänger ihrer personenbezogenen Daten, auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

–      der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO nicht besteht;

–      gegebenenfalls die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die im Studienbeihilfenverfahren tätigen Behörden ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

–      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: durch Publikation des § 40 StudFG als Bundesgesetz im Bundesgesetzblatt;

–      die Rechtsgrundlage für die Verarbeitung: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Empfänger oder Kategorien von Empfängern: durch Publikation des vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

–      die Dauer, für die die personenbezogenen Daten gespeichert werden: durch Publikation des § 40 Abs. 10 StudFG als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

–      Name und Kontaktdaten des oder der Verantwortlichen,

–      die Kontaktdaten ihres Datenschutzbeauftragten,

–      gegebenenfalls ihre Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission,

–      einen Hinweis auf das Bestehen eines Rechts auf

      – Auskunft (Art. 15 DSGVO),

      – Berichtigung (Art. 16 DSGVO),

      – Löschung (Art. 17 DSGVO),

      – Einschränkung (Art. 18 DSGVO) und

      – Beschwerde (Art. 77 DSGVO),

–      einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

–      gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

–      gegebenenfalls die über eine allfällige Weiterverarbeitung erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Zusätzlich zu den gemäß Art. 13 DSGVO erforderlichen Informationen verlangt Art. 14 DSGVO die folgenden Informationen, die wie folgt erbracht werden:

–      die Aufzählung der Kategorien personenbezogener Daten, die verarbeitet werden: durch Publikation der Aufzählung gemäß § 40 StudFG als Bundesgesetz im Bundesgesetzblatt sowie

–      der Datenquellen: durch Publikation des vorliegenden Entwurfes, insbesondere des § 40 StudFG als Bundesgesetz im Bundesgesetzblatt.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die im Studienbeihilfenverfahren tätigen Behörden ihre Prozesse gegebenenfalls so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

–      weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)

–      noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Übermittlungen von Daten (§ 2b Z 5 FOG) in Drittländer sind nach § 40 Abs. 9 StudFG zulässig, wobei die Garantie des Art. 25 DSGVO einzuhalten ist, wonach „[…] geeignete technische und organisatorische Maßnahmen […]“ zu treffen sind, um „[…] die Rechte der betroffenen Personen zu schützen“.

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für die Tätigkeit der im Studienbeihilfenverfahren tätigen Behörden nahezu ausgeschlossen, weil mit den Strafbestimmungen des 22. Abschnitts über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen, insbesondere dessen §§ 302 (Amtsmissbrauch) und 310 („Verletzung des Amtsgeheimnisses“) des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen (RIS-Justiz, RS0054100).

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko physischer, materieller oder immaterieller Schäden wesentlich gesenkt.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den im Studienbeihilfenverfahren tätigen Behörden einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten zudem wesentlich gesenkt.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird dadurch beschränkt, dass gemäß Art. 7 B‑VG unsachliche Ungleichbehandlungen von Studienbeihilfenwerberinnen und -werbern verfassungswidrig und somit bekämpfbar sind. In groben Fällen wären auch strafrechtliche Konsequenzen nach dem Strafgesetzbuch denkbar.

Insbesondere durch das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und das ausdrückliche Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko der Diskriminierung darüber hinaus erheblich gesenkt.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen Profiling und Identitätsdiebstahl, bieten.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere die lückenlose Protokollierung gemäß § 2d Abs. 1 Z 1 FOG, das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG und die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG wird das Risiko des Identitätsdiebstahls oder -betruges darüber hinaus wesentlich gesenkt.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen finanzielle Verluste, bieten.

Unabhängig davon wird das Risiko finanzieller Verluste durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG zusätzlich wesentlich gesenkt.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die Pseudonymisierung würde der Aufgabenerfüllung der im Studienbeihilfenverfahren tätigen Behörden entgegenstehen, weil die Identifikation dann nur mehr auf elektronischem Wege, etwa durch einen elektronischen Identitätsnachweis gemäß § 2 Z 10 E-GovG, möglich wäre. Damit wären die wichtigsten Kommunikationswege zur Ombudsstelle abgeschnitten und Personen, die nicht über einen elektronischen Identitätsnachweis verfügen, benachteiligt. Dieses Risiko kann sich – mangels durchführbarer Pseudonymisierung – nicht verwirklichen.

Insbesondere durch das Recht zum Einsatz von bereichsspezifischen Personenkennzeichen (§ 2d Abs. 2 FOG), die besonderen angemessenen Maßnahmen iZm Einsatz von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 5 FOG sowie das Verbot der Veröffentlichung von bereichsspezifischen Personenkennzeichen gemäß § 2d Abs. 1 Z 6 FOG wird das Risiko der unbefugten Aufhebung der Pseudonymisierung darüber hinaus wesentlich reduziert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Rufschädigung, bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor Verlust der Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

–      strafrechtliche Sanktionierung (siehe oben: Physische, materielle oder immaterielle Schäden);

–      Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG), die – anders als die Sozialversicherungsnummer – nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere vor erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen, bieten.

Durch die in § 2d Abs. 1 FOG vorgeschlagenen angemessenen Maßnahmen, insbesondere das Datengeheimnis gemäß § 2d Abs. 1 Z 2 FOG, die strenge Zweckbindung gemäß § 2d Abs. 1 Z 3 FOG und vor allem das Diskriminierungsverbot gemäß § 2d Abs. 1 Z 4 FOG wird das Risiko erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile zudem wesentlich gesenkt.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dahingehend vorgesehen, als in § 40 StudFG die Datenarten genau definiert werden. Zusätzlich ist die Speicherdauer nach dem im vorliegenden Entwurf vorgeschlagenen § 40 Abs. 10 StudFG auf 20 Jahre beschränkt.

Mit der angemessenen Maßnahme gemäß § 2d Abs. 1 Z 3 FOG erfolgt schließlich eine Beschränkung der zulässigen Verarbeitung ausschließlich auf Zwecke des Forschungsorganisationsgesetzes.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Eine Pseudonymisierung wird nicht durchgeführt, da sonst eine Zuordnung der verarbeiteten Daten zur betroffenen Person nicht durchführbar ist und somit persönlicher Kontakt aber auch eine Ermittlung der Bedürftigkeit erschwert oder unmöglich gemacht wird. Es werden jedoch entsprechende Maßnahmen gesetzt, damit höchstmögliche Datensicherheit gewährleistet werden kann.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 40 StudFG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei der Feststellung der Bedürftigkeit von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

–      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),

–      Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

–      Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

–      Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

–      Recht auf Berichtigung (Art. 16 DSGVO),

–      Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

–      Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie

–      Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die im Studienbeihilfenverfahren tätigen Behörden zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO sind auch von den im Studienbeihilfenverfahren tätigen Behörden zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens ergangen.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

Es ist keine Stellungnahme betroffener Personen im Rahmen des Begutachtungsverfahrens ergangen.