SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 10 Abs. 1 Z 1 FOG dürfen Abwicklungsstellen Anträge, Verträge sowie sonstige Daten (§ 2 Z 4 FOG) verarbeiten.

Insbesondere umfasst ist davon die Übermittlung von Anträgen, Verträgen und sonstigen Daten an

– andere Abwicklungsstellen,

– öffentliche Stellen,

– Gutachterinnen und Gutachter sowie

– sonstige Auftragsverarbeiter.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Es werden sowohl Anträge, Verträge und sonstige Daten (§ 2 Z 4 FOG), die zu keiner Förderung geführt haben (§ 10 Abs. 1 Z 1 lit. a FOG) als auch Anträge, Verträge und sonstige Daten (§ 2 Z 4 FOG), die zu einer Förderung geführt haben (§ 10 Abs. 1 Z 1 lit. b FOG) verarbeitet.

Weitere Förderungsunterlagen gemäß § 10 Abs. 1 Z 1 FOG sind z.B.:

– Anbote für Beauftragungen,

– Daten aus dem Berichtswesen,

– Interims- und Endevaluierungen sowie

– Daten, die im Rahmen der Abwicklung mit diesen Daten verknüpft

   werden (z.B. Publikationen oder Gutachten).

Die Datenarten werden nicht eingeschränkt. Durch die Verarbeitungsvorgänge sind sowohl personenbezogene Daten als auch sonstige Informationen umfasst.

Welche Daten in Rahmen von Anträgen, Anboten und Verträgen insbesondere verarbeiten werden dürfen, wird in § 10 Abs. 2 FOG präzisiert. Demnach sind folgende Daten davon umfasst:

– Namenangaben (Z 1 leg. cit.),

– Personenmerkmale (Z 2 leg. cit.),

– Angaben zur Identifikation (Z 3 leg. cit.),

– Angaben zur Institution der antragsstellenden Person (Z 4 leg. cit.),

– Adress- und Kontaktdaten (Z 5 leg. cit.),

– Angaben gemäß Z 1, 2, 4 und 5 zu Kooperationspartnerinnen und

   -partnern (Z 6 leg. cit.),

– Angaben zur Ausbildung und wissenschaftlichen Karriere (Z 7 leg.

   cit.),

– Fotos aller am Projekt beteiligten natürlichen Personen (Z 8 leg. cit.)

   und

– sonstige Angaben (Z 9 leg. cit.).

Gemäß § 10 Abs. 3 FOG dürfen Anträge und Anbote aus Gründen

– der öffentlichen Sicherheit,

– der Strafrechtspflege,

– der umfassenden Landesverteidigung,

– der auswärtigen Beziehungen oder

– berechtigter privater Interesse

auch

– Gesundheitsdaten und

– personenbezogene Daten überstrafrechtliche Verurteilungen und

   Straftaten

beinhalten.

Die personenbezogenen Daten werden im Rahmen der Abwicklung von Förderungen (§ 2 Z 6 FOG) und Beauftragungen verarbeitet.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Mit der vorgeschlagenen Regelung, soll eine Rechtsgrundlage geschaffen werden, damit personenbezogene Daten im Rahmen der

– Förderung der Entwicklung und Erschließung der Künste,

– Förderung von Zwecken gemäß Art. 89 DSGVO und

– Geltendmachung, Ausübung und Verteidigung von

   Rechtsansprüchen

verarbeitet werden dürfen.

§ 10 Abs. 1 FOG geht über § 15 FOG hinaus, weil § 15 FOG nur die „Vergabe von Förderungen aus Bundesmitteln“ betrifft, während § 10 Abs. 1 FOG iVm § 2 Z 6 lit. b FOG auch die Förderung durch Private umfasst. Im Verhältnis zu § 16 FOG hat § 10 Abs. 1 Z 1 FOG einen weiteren Anwendungsbereich, denn § 16 FOG stellt auf „Vereinbarungen des Bundes mit vom Bund verschiedene Rechtsträgern“ ab, während § 10 Abs. 1 Z 1 FOG anwendbar ist, unabhängig davon, von wem der Auftrag vergeben wurde.

Die Förderung der Entwicklung und Erschließung der Künste beruht auf der Öffnungsklausel des Art. 85 Abs. 2 DSGVO, die wie folgt lautet:

„Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.“

Diese Regelung steht im Zusammenhang mit dem Erwägungsgrund 153 der DSGVO. Demnach sollten „[d]ie Mitgliedstaaten […] Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten [Anm.: auf Datenschutz und Freiheit der Meinungsäußerung bzw. Informationsfreiheit] notwendig sind“.

Gleichartige Verarbeitungen, die auf anderen Rechtsgrundlagen gestützt sind (z.B. Einwilligungen), werden durch die vorgeschlagene Bestimmung nicht ausgeschlossen. Einwilligungen im Sinne des Art. 9 Abs. 2 Buchstabe a DSGVO sind weiterhin möglich.

Um Rechtssicherheit zu schaffen, werden Übermittlungen an Auftragsverarbeiter ausdrücklich zugelassen.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Die Verarbeitung der Daten erfolgt zur Sicherstellung des Förderwesens.

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Empfängerinnen und Empfänger der Daten sind insbesondere andere Abwicklungsstellen, öffentliche Stellen, Gutachterinnen und Gutachter sowie Auftragsverarbeiter (§ 10 Abs. 1 Z 1 FOG).

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Nach der allgemeinen Regel des § 5 Abs. 6 FOG dürfen personenbezogene Daten für Zwecke des 2. Abschnitts des Forschungsorganisationsgesetzes zeitlich unbeschränkt gespeichert und gegebenenfalls verarbeitet werden. Doch ist diese Befristung nicht beachtlich, weil § 10 Abs. 1 Z 1 FOG eine speziellere Bestimmung zur Speicherdauer enthält. In § 10 Abs. 1 Z1 FOG wird eine differenzierte Bewertung der Speicherdauer vorgenommen. Das Unterscheidungskriterium ist, ob der Antrag bzw. das Anbot abgelehnt bzw. nicht weiterverfolgt oder angenommen wird. Im ersten Fall beträgt die Speicherdauer jedenfalls zehn Jahre nach dem letzten Kontakt mit der Person. Das Wort „jedenfalls“ drückt die Mindestdauer und die Möglichkeit der Verlängerung der Frist (durch vertragliche oder gesetzliche Aufbewahrungspflichten) aus. Im Falle der Annahme beträgt die Speicherdauer bis zu zehn Jahre ab dem Ende des Jahres der Auszahlung der gesamten Förderung bzw. des Entgelts.

Da die Abwicklungsstellen Verantwortliche (Art. 4 Nr. 7 DSGVO) sind, haben sie auch das Recht, die Daten früher zu löschen.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Aufgrund des § 10 Abs. 1 Z 1 FOG soll es Abwicklungsstellen ermöglich werden, personenbezogene Daten bei der Abwicklung von Förderungen (§ 2 Z 6 FOG) und Beauftragungen zu verarbeiten.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks erfolgt in § 10 Abs. 1 FOG: die angeführten Daten dürfen nur verarbeitet werden, soweit dies „zur Förderung der Entwicklung und Erschließung der Künste sowie von Zwecken, gemäß Art. 89 DSGVO sowie der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen“ erforderlich ist.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks in § 10 Abs. 1 FOG ist eindeutig: die angeführten Daten dürfen nur verarbeitet werden, soweit dies zur Förderung und Erschließung der Künste, der Erreichung der Zwecke gemäß Art. 89 DSGVO oder zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen notwendig ist. Dass eine Verarbeitung mehrere Zwecke verfolgen darf, ergibt sich bereits aus der Formulierung des Art. 5 Abs. 1 Buchstabe d DSGVO, wonach „personenbezogene Daten […] auf das für die Zwecke [Anm.: Plural!] der Verarbeitung notwendige Maß beschränkt sein“ müssen.

Anders als beispielsweise in dem der Entscheidung VfSlg. 11.499/1987 zugrundeliegenden Fall, in dem eine nicht näher determinierte hoheitliche Befugnis zur Geschwindigkeitsbeschränkung vorgesehen war, erfolgt eine nähere Determinierung durch die Bestimmungen des Forschungsorganisationsgesetzes, insofern als

– auf eine wissenschaftliche Methode nach anerkannten,

   internationalen Standards (sogenannte Frascati-Definition)

   abgestellt wird (siehe Erläuterungen zu § 2 Z 14 FOG),

– die Zwecke in § 10 Abs. 1 FOG definiert werden und

– die Speicherdauer beschränkt wird.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 10 Abs. 1 Z 1 FOG angegebene Zweck ist legitim, weil er

– einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c

   („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe j

   („Wissenschaft und Forschung“) DSGVO umfasst ist und

– andererseits in § 10 Abs. 1 Z 1 FOG vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016).

Die Verarbeitung zu Zwecken der „Förderung der Entwicklung und Erschließung der Künste“ basiert auf der Öffnungsklausel des Art. 85 Abs. 2 DSGVO.

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung aufgrund eines öffentlichen Interesses erfolgt. Hinsichtlich dieses wichtigen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden. Die Rechtsmäßigkeit der Verarbeitungen zu Zwecken der „Entwicklung und Erschließung der Künste“ ergibt sich aus Art. 85 Abs. 2 DSGVO.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Angemessenheit der Verarbeitung ergibt sich unter anderem dadurch, dass

– eine Verarbeitung nur für die festgelegten Zwecke erlaubt ist,

– die Empfänger der Daten angegeben und limitiert sind und

– keine Übermittlung personenbezogener Daten an Dritte.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Das Klarstellen für die Verarbeitung von personenbezogenen Daten im Rahmen der Förderung schafft Rechtssicherheit.

Die Bedeutung der Förderungen insbesondere im Rahmen der Forschung zeigt sich am Steigen der Bruttoinlandsausgaben für Forschung und Entwicklung (vgl. http://www.statistik.at/web_de/statistiken

/energie_umwelt_innovation_mobilitaet/forschung_und_innovation/

globalschaetzung_forschungsquote_jaehrlich/023703.html [29.01.2018]). Der Statistik zufolge gab es von 1981 bis 2017 ein Wachstum der Forschungsquote, das fast dem Faktor drei entspricht.

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung durch die Abwicklungsstellen (§ 2 Z 1 FOG) ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten begrenzt werden. Abwicklungsstellen dürfen Anträge, Anbote, Vertrage, Gutachten sowie sonstige Daten im Sinne des § 2 Z 4 FOG verarbeiten. Die Empfängerinnen und Empfänger der Daten werden beschränkt. Diese sind gemäß § 10 Abs. 1 Z 1 FOG andere Abwicklungsstellen, öffentliche Stellen, Gutachterinnen und Gutachter sowie Auftragsverarbeiter. Die Speicherdauer wird ebenfalls limitiert.

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Die Speicherdauer wird zeitlich begrenzt. In § 10 Abs. 1 Z1 FOG wird eine differenzierte Bewertung der Speicherdauer vorgenommen. Das Unterscheidungskriterium ist, ob der Antrag bzw. die Anbote abgelehnt bzw. nicht weiterverfolgt oder angenommen werden. Im ersten Fall beträgt die Speicherdauer jedenfalls zehn Jahre nach dem letzten Kontakt mit der Person. Das Wort „jedenfalls“ drückt die Mindestdauer und die Möglichkeit der Verlängerung der Frist (durch vertragliche oder gesetzliche Aufbewahrungspflichten) aus. Im Falle der Annahme beträgt die Speicherdauer bis zu zehn Jahre ab dem Ende des Jahres der Auszahlung der gesamten Förderung bzw. des Entgelts. Da Abwicklungsstellen Verantwortliche (Art. 4 Nr. 7 DSGVO) sind, haben sie das Recht, die Daten auch früher zu löschen.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die Abwicklungsstellen (§ 2 Z 1 FOG) ihre Prozesse so angepasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 10 Abs. 1 Z 1 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 10 Abs. 1 Z 1 FOG

   als Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten der oder des Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls die Absicht die personenbezogenen Daten an ein

   Drittland oder eine internationale Organisation zu übermitteln sowie

   das Vorhandensein oder das Fehlen eines Angemessenheits-

   beschlusses der Kommission,

– ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte

   der betroffenen Personen,

– ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77

   DSGVO),

– gegebenenfalls Informationen über das Bestehen einer

   automatisierten Entscheidungsfindung einschließlich Profiling

   gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Die gemäß Art. 15 DSGVO vorgesehenen Informationen müssen aufgrund der Inanspruchnahme der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchstabe e DSGVO nicht angegeben werden. Zur näheren Begründung siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 13 FOG grundsätzlich zulässig, allerdings nur an die in § 13 FOG genannten Empfängerinnen und Empfänger, d.h.:

– wissenschaftliche Einrichtungen (§ 2 Z 14 FOG),

– Abwicklungsstellen (§ 2 Z 1 FOG),

– Gutachterinnen und Gutachter oder

– österreichische öffentliche Stellen (§ 2 Z 8 FOG).

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind für Verarbeitungen im Rahmen des § 6 FOG vorhanden, aber eingeschränkt, weil Art. 25 DSGVO verordnet, dass „auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, um „die Rechte der betroffenen Personen zu schützen“ Zusätzlich ist Art. 32 DSGVO anwendbar, dem zu Folge müssen „der Verantwortliche und der Auftragsverarbeiter […] ein dem Risiko angemessenes Schutzniveau“ gewährleisten. Die Nichteinhaltung ist – für Abwicklungsstellen, die keine öffentlichen Stellen sind – mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO).

Für Abwicklungsstellen, die öffentlichen Stellen sind im 22. Abschnitt des Strafgesetzbuches, BGBl. Nr. 60/1974, Bestimmungen über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen vorgesehen, die wie § 302 (Amtsmissbrauch) oder § 310 („Verletzung des Amtsgeheimnisses“) Schäden vorbeugen (RIS-Justiz, RS0054100) und so für eine effektive Risikominimierung sorgen.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Der Verlust der Kontrolle über personenbezogene Daten wird durch folgende Maßnahmen vermieden:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Diskriminierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Identitätsdiebstahls und -betrugs wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko finanzieller Verluste wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der unbefugten Aufhebung der Pseudonymisierung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko der Rufschädigung wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko des Verlusts der Vertraulichkeit bei Berufsgeheimnissen wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Das Risiko erheblicher wirtschaftlicher und gesellschaftlicher Nachteile wird insbesondere durch folgende Maßnahmen minimiert:

– Art. 25 DSGVO: es sind zum Schutz der betroffenen Person

   „geeignete technische und organisatorische Maßnahmen“ zu treffen,

– Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiterinnen und

   -verarbeiter müssen für „ein dem Risiko angemessenes Schutzniveau“

   sorgen;

– für Abwicklungsstellen, die keine öffentlichen Stellen sind:

   Sanktionierung eines Verstoßes gegen Art. 32 DSGVO mit

   Geldbußen bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4

   Buchstabe a DSGVO und

– für Abwicklungsstellen, die öffentlichen Stellen sind: insbesondere

   durch folgende Bestimmungen des 22. Abschnittes des

   Strafgesetzbuchs:

   – § 302 (Amtsmissbrauch) und

   – § 310 („Verletzung des Amtsgeheimnisses“).

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Der Minimierung der Verarbeitung personenbezogener Daten wird dadurch entsprochen, dass nur Anträge, Anbote, Verträge, Gutachten sowie sonstige Daten im Sinne des § 2 Z 4 FOG („Förderunterlagen“) verarbeitet werden dürfen.

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Verwendung bereichsspezifischer Personenkennzeichen stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 10 Abs. 1 Z 1 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Veröffentlichung von Förderungsnehmerinnen und -nehmern durch Abwicklungsstellen von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten im Rahmen des § 10 Abs. 1 Z 1 FOG zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO gegenüber Abwicklungsstellen, die keine öffentlichen Stellen sind, mit Geldbußen bis zu 10 Millionen Euro sanktioniert. Entsprechende Datensicherheitsmaßnahmen sind daher auch im Anwendungsbereich des § 10 Abs. 1 Z 1 FOG zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.