SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 5 Abs. 3 FOG darf die Stammzahlenregisterbehörde, zur Wahrung der Opt-out-Möglichkeit, jene Daten verarbeiten, die eine Prüfung der eindeutigen Identität der Person und der Authentizität der Mitteilung ermöglichen. Der vorgeschlagene § 5 Abs. 3 FOG umfasst eine Widerspruchsmöglichkeit (Opt-out). Dieser kann schriftlich oder elektronisch gegenüber der Stammzahlenregisterbehörde erfolgen. Der Widerspruch wird mit den Angaben zu seinem Umfang in ein Widerspruchregister eingetragen und bis zu seinem Widerruf oder dem Ableben der betroffenen Person gespeichert.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 5 Abs. 3 FOG gedeckten Verarbeitungen umfassen Daten im Sinne des § 2 Z 4 FOG. § 5 Abs. 3 FOG ist nur dann anzuwenden, wenn die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (Zwecke gemäß Art. 89 DSGVO) nicht gesetzlich verboten oder vorgesehen ist.

Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Es werden Daten nur von jenen Personen verarbeitet, die sich im Widerspruchsregister eintragen lassen. Der Widerspruch enthält Daten, die

– eine eindeutige Identität der Person, die nicht an Projekten des

   zu Zwecken des Art. 89 DSGVO teilnehmen möchte und

– die Prüfung der Authentizität der Mitteilung

ermöglichen.

Der Widerspruch ist mit bereichsspezifischem Personenkennzeichen einzutragen.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext der Zwecke des Art. 89 DSGVO. Mit dem vorgeschlagenen § 5 Abs. 3 FOG soll ein österreichweites Widerspruchsregister eingeführt werden. Der Fortschritt in der wissenschaftlichen Forschung, insbesondere in der biomedizinischen Forschung, soll dadurch gewährleistet werden. Ähnliche Regelungen existieren bereits in § 44 letzter Satz Krankenanstalten- und Kuranstaltengesetz (KAKuG), BGBl. Nr. 1/1957, und die §§ 5 ff des Organtransplantationsgesetzes (OPTG), BGBl. I Nr. 108/2012. Die §§ 5 ff OPTG sehen vor, dass, um eine Organspende zu verhindern, dagegen widersprochen werden muss. Auch § 44 letzter Satz KAKuG geht in eine ähnliche Richtung: „die Heranziehung zu Unterrichtszwecken [hat] zu unterbleiben, sofern ein diesbezüglicher Widerspruch des Pfleglings vorliegt“. Als Vorbild kann auch die Robinsonliste gemäß § 151 Abs. 9 der Gewerbeordnung 1994, BGBl. Nr. 194/1994, die eine Möglichkeit für Konsumentinnen und Konsumenten vorsieht, kein persönlich adressiertes Werbematerial zu erhalten.

Die Regelung soll dazu führen, dass wissenschaftsfreundliche Menschen und Wissenschaftlerinnen und Wissenschaftler nicht durch bürokratischen Aufwand belastet werden. Dies schafft auch Rechtssicherheit bezüglich der Verarbeitung von Daten. Voraussetzung für die Zulässigkeit dieses Einsatzes, ist lediglich, dass keine direkt personenbezogenen Daten als Ergebnis offengelegt werden.

Der Widerspruch ist mit bereichsspezifischen Personenkennzeichen (bPK) sowie den Angaben zu seinem Umfang im Widerspruchsregister einzutragen. Dies garantiert die wissenschaftliche Qualität und den datenschutzrechtlichen Richtigkeitsgrundsatz.

Des Weiteren ist geregelt, dass die Bundesanstalt Statistik Österreich der Stammzahlenregisterbehörde mindestens einmal monatlich die Todesdaten samt bPK übermitteln muss. Dies erfolgt zur Sicherung der Datenqualität, denn dadurch werden die Daten bereinigt und aktualisiert. Im letzten Satz des § 5 Abs. 3 FOG findet sich eine Regelung, dass wissenschaftliche Einrichtungen, gegen Bereitstellung der bPK, einen Anspruch auf die Angaben zum jeweiligen Umfang der Widersprüche haben.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Führung eines Widerspruchsregisters (§ 5 Abs. 3 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Empfängerinnen und Empfänger der Angaben zum jeweiligen Umfang der Widersprüche sind wissenschaftliche Einrichtungen (§ 2 Z 14 FOG).

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die allgemeine Regel des § 5 Abs. 6 FOG, wonach personenbezogene Daten für Zwecke des 2. Abschnitts zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden dürfen, soweit keine speziellen, abweichenden Bestimmungen getroffen werden, greift nicht. Die Angaben im Rahmen des Widerspruches bleiben im Widerspruchsregister bis zu seinem Widerruf oder bis zum Ableben der betroffenen Person gespeichert.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 5 Abs. 3 FOG ist die Speicherung zulässig, solange die Person keinen Widerruf eingelegt hat oder verstorben ist.

§ 5 Abs. 3 FOG ermächtigt die Stammzahlenregisterbehörde zur Feststellung des Zeitpunkts des Ablebens von betroffenen Personen zum Erhalt der Todesdaten samt bereichsspezifischer Personenkennzeichen.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 5 Abs. 3 FOG festgelegte Zweck ist die Führung eines Widerspruchregisters. Wissenschaftliche Einrichtungen haben das Recht, Angaben zum jeweiligen Umfang der Widersprüche zu verlangen.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 5 Abs. 3 FOG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Führung des Widerspruchregisters notwendig ist.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 5 Abs. 3 FOG angegebene Zweck ist legitim, weil er von den Öffnungsklauseln

– des Art. 6 Abs. 1 Buchstabe c („rechtliche Verpflichtung“),

– des Art. 9 Abs. 2 Buchstabe g („erhebliches öffentliches

   Interesse“) sowie

– des Art. 9 Abs. 2 Buchstabe j („Wissenschaft und Forschung“) DSGVO

gedeckt und in § 5 Abs. 3 FOG vorgesehen ist.

Gemäß § 59b KAKuG ist bereits zu Zwecken „der Verwaltung von Systemen und Diensten im Gesundheit- oder Sozialbereich“ (Art.9 Abs. 2 Buchstabe h DSGVO) eine Verarbeitung ohne Mitwirkung der betroffenen Person nach nationalem Recht und Unionsrecht erlaubt. Die Zwecke des Art. 89 DSGVO stehen auf gleicher Ebene wie die Zwecke des Art. 9 Abs. 2 Buchstabe h DSGVO, weil sich die Zwecke des Art. 89 DSGVO in Art. 9 Abs. 2 Buchstabe j DSGVO befinden und diese auf gleicher Ebene wie Art. 9 Abs. 2 Buchstabe h DSGVO liegen.

Ein Vergleich der deutschen und englischen Sprachfassung des Art. 8 Abs. 4 der Datenschutz-Richtlinie 95/46/EG sowie des Art. 9 Abs. 2 Buchstabe g DSGVO zeigt, dass in den englischen Sprachfassungen jeweils vom „substantial public interest“ und in den deutschen Sprachfassungen einmal vom „erheblichen öffentlichen Interesse“ (Art. 9 Abs. 2 Buchstabe g DSGVO) und einmal vom wichtigen öffentlichen Interesse (Art. 8 Abs. 4 DS-RL) gesprochen wird, die Begriffe „erhebliches öffentliches Interesse“ und „wichtiges öffentliches Interesse“ somit Synonyme sein müssen.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstaben g und j DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten und die Speicherdauer gibt es keine Einschränkungen. Doch ist eine Pseudonymisierung gemäß Art. 89 DSGVO so schnell wie möglich durchzuführen. Die Verarbeitung der Daten wird darauf beschränkt, dass sie notwendig sind, um ein Widerspruchsregister zu führen. Es wird nur der Umfang des Widerspruches und das bereichsspezifische Personenkennzeichen im Widerspruchsregister eingetragen. Nur wissenschaftliche Einrichtungen haben gegen Bereitstellung der betreffenden bereichsspezifischen Personenkennzeichen einen Anspruch auf die Angaben zum jeweiligen Umfang des Widerspruches. Dadurch wird die Angemessenheit der Verarbeitung sichergestellt.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verfügbarkeit hochwertiger Daten wesentliche Voraussetzung für Wissenschaft und Forschung ist.

Die Einführung eines Widerspruchsregisters schafft die Voraussetzung, damit auch die personenbezogene wissenschaftliche Forschung ermöglicht wird. Dies ist von großer Bedeutung für die weitere Entwicklung des Wissenschafts- und Forschungsstandortes: nach einem Bericht des Weltwirtschaftsforums wird bis zum Jahr 2030 alleine der Bereich der künstlichen Intelligenz die globale Wirtschaftsleistung um 14 Prozent steigern (Weltwirtschaftsforum, https://www.weforum.org/agenda/2017/06/the-global-economy-will-be-14-bigger-in-2030-because-of-ai [08.01.2018]) Umgelegt auf Österreich, das im Jahr 2016 ein Bruttoinlandsprodukt von 40.420,00 Euro pro Kopf hatte (Statistik Österreich, Das System der Volkswirtschaftlichen Gesamtrechnungen [VGR], http://www.statistik.at/web_de/statistiken/wirtschaft/ volkswirtschaftliche_gesamtrechnungen/index.html [14.01.2018]) würde ein Beibehalten der aktuellen Rechtslage jeden Menschen in Österreich bis 2030 mehr als 5.600,00 Euro kosten.

Ein Vergleich von Österreich mit Deutschland zu postmortalen Transplantationen zeigt, dass die deutsche Quote bei nur 42,6 Prozent der österreichischen Quote liegt. In Österreich gibt es eine Widerspruchsregelung, während es in Deutschland eine Zustimmungsregelung gibt (vgl. Transplant-Jahresbericht 2016, 11; https://transplant.goeg.at/sites/transplant.goeg.at/files/2017-06/TX-Jahresbericht%202016_0.pdf; [29.01.2018]). Der Vergleich der Transplantationszahlen zeigt, dass es in Österreich im Jahr 2015 in Relation fast doppelt so viele Transplantationen wie in Deutschland gab. Dies zeigt die Wirkung des Widerspruchsregisters. Kann diese Wirkung nun auf die Verfügbarkeit von Daten umgelegt werden, ist davon auszugehen, dass sich die Verfügbarkeit von Daten um den Faktor 2,5 bis 3 erhöhen wird.

Das Opt-out führt zu einer Stärkung der Forschung. Dies kann auch dafür notwendig sein, um beispielsweise der Gefahr von multiresistenten Keimen entgegenwirken zu können. Der immer stärker zunehmende Einsatz von Antibiotika in der Landwirtschaft führt zu immer größeren Gefahren für die Menschen. Dabei können auch multiresistente Keime entstehen, die besonders gefährlich für immunschwache Menschen sind. Solche Keime können ihrerseits wiederum dazu führen, dass Antibiotika unwirksam werden (vgl. http://journals.plos.org/plosone/article?id=10.1371/

journal.pone.0165820 [22.01.2018]).

Aufgrund des – durch das vorgeschlagene Opt-Out – leichteren Zugangs zu forschungsrelevanten Daten können mehr und bessere wissenschaftliche Erkenntnisse getroffen sowie Maßnahmen erarbeitet werden, die Auswirkungen auf viele Menschen in Österreich haben können.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Es erfolgt eine zeitliche Beschränkung der Speicherdauer mit Widerruf oder Ableben der betroffenen Person. Damit erfolgt eine Speicherung nur für die benötigte Dauer. Des Weiteren sind die Daten gemäß Art. 89 DSGVO schnellstmöglich zu pseudonymisieren.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1 DSGVO.

Unter der Voraussetzung, dass die Stammzahlenregisterbehörde ihre Prozesse so angepasst hat, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 5 Abs. 3 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 5 Abs. 3 iVm § 5 Abs. 5 FOG als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten des oder der Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls ihre Absicht die personenbezogenen Daten

   an ein Drittland oder eine internationale Organisation zu

   übermitteln sowie das Vorhandensein oder das Fehlen eines

   Angemessenheitsbeschlusses der Kommission,

– einen Hinweis auf das Bestehen eines Rechts auf

   – Auskunft (Art. 15 DSGVO),

   – Berichtigung (Art. 16 DSGVO),

   – Löschung (Art. 17 DSGVO),

   – Einschränkung (Art. 18 DSGVO) und

   – Beschwerde (Art. 77 DSGVO),

– einen Hinweis auf die gesetzlichen Grundlagen der Verarbeitung,

– gegebenenfalls das Bestehen einer automatisierten

   Entscheidungsfindung einschließlich Profiling gemäß Art. 22

   Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Die gemäß Art. 14 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt und außerdem die Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen wird, die einen Ausschluss des Rechts auf Datenübertragbarkeit erlaubt. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Übermittlungen an Drittländer sind nach § 13 FOG zulässig. Die Übermittlungen sind nur soweit zulässig, als sie der Erreichung des Verarbeitungszweckes dienen. Kommt es zu einer Übermittlung, müssen gemäß Art. 25 DSGVO „geeignete technische und organisatorische“ getroffen werden, um „die Rechte der betroffenen Personen zu schützen.“

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des Widerspruchregisters vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Die Konsequenzen, die bei einem Verstoß drohen, dämmen die Risiken von physischen, materiellen oder immateriellen Schäden ebenfalls ein. Diese sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen genormt.

Es sind insbesondere die § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“), die Schäden vorbeugen (RIS-Justiz, RS0054100).

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Die Diskriminierung bei Verarbeitungen im Rahmen des Widerspruchregisters ist aufgrund folgender Maßnahmen nahezu ausgeschlossen:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Der Identitätsdiebstahl oder -betrug kann durch folgende Maßnahmen verhindert werden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Finanzielle Verluste werden durch folgende Regelungen verhindert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Die unbefugte Aufhebung der Pseudonymisierung wird durch:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“)

verhindert.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Rufschädigungen werden durch folgende Maßnahmen verhindert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgender Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Die Vertraulichkeit bei Berufsgeheimnissen wird durch untenstehende Maßnahmen gewährleistet:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind nicht zu erwarten, weil durch folgende Bestimmungen dem entgegnet wird:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu

   treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes

   Schutzniveau“ sorgen,

– insbesondere folgende Bestimmungen des 22. Abschnittes im

   Strafgesetzbuch:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird dahingehend vorgeschrieben, dass nur jene Daten gespeichert werden, die die eindeutige Identität der Person und die Authentizität der Mitteilung festlegen. Die Stammzahlenregisterbehörde gibt nur an wissenschaftliche Einrichtungen (§ 2 Z 14 FOG) Daten zum Umfang der Widersprüche weiter.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung ist gemäß Art. 89 DSGVO schnellstmöglich durchzuführen.

Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstaben i und j DSGVO. Durch die Formulierung etwa in § 5 Abs. 3 FOG, dass „der Widerspruch ist […] mit bereichspezifischem Personenkennzeichen […]“ eingetragen wird, soll eine praxisnahe Regelung getroffen werden, indem die gesetzliche Vermutung aufgestellt wird, dass dieser Austausch von Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Die Normadressatinnen und -adressaten brauchen sich aufgrund dieser Formulierung keine Gedanken machen, ob nun eine tatsächliche Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO eingetreten ist oder nicht, sondern bloß die Namen durch bereichsspezifische Personenkennzeichen austauschen, womit die Rechtssicherheit wesentlich erhöht wird. Diese Vorgangsweise ist auch durch das Unionsrecht gedeckt, weil Art. 89 Abs. 1 DSGVO die Pseudonymisierung als bloß eine unter mehreren möglichen geeigneten Garantien anführt. Außerdem sollten gemäß EG 26 DSGVO „[b]ei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Nach heutigem Stand der Technik ist davon auszugehen, dass der Austausch der Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung iSd Art. 4 Nr. 5 DSGVO entspricht. Dies umso mehr als, die „zusätzliche[n] Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (EG 29 DSGVO) nur der Stammzahlenregisterbehörde bekannt und somit dem Zugriff des oder der Verantwortlichen entzogen sind.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 5 Abs. 3 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten beim Widerspruchsregister von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Mit § 5 Abs. 3 FOG wird die Öffnungsklausel des Art. 23 Abs. 1 Buchstabe e DSGVO in Anspruch genommen, wonach die Rechte der betroffenen Personen durch nationales Recht eingeschränkt werden dürfen, wenn dies eine notwendige und verhältnismäßige Maßnahme im wichtigen wirtschaftlichen Interesse eines Mitgliedstaates darstellt. Die Maßnahme ist erforderlich, um ein Widerspruchsregister führen zu können.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Dem Art. 32 DSGVO entsprechende Datensicherheitsmaßnahmen sind auch bei Betrieb des Widerspruchsregisters zu treffen. Da es sich um eine zentrale Infrastruktur handelt, sind hier sogar noch höhere Anforderungen als sonst einzuhalten. Art. 35 Abs. 10 DSGVO lässt Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren, weshalb ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen ist.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.