SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach EG 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung:

^{(EG 90 DSGVO)}

Gemäß § 12 Abs. 4 und 5 FOG dürfen Verantwortliche im Rahmen von Open Science oder Citizen Science-Projekten sämtliche eigene personenbezogene Daten, wenn diese freiwillig zur Verfügung gestellt wurden (Abs. 4 leg. cit.) und personenbezogene Daten Dritter, die zur Verfügung gestellt wurden, unter besonderen Bedingungen verarbeiten (Abs. 5 leg. cit.). Die Verarbeitung ist dahingehend beschränkt, als die Verarbeitung in beiden Fällen nur „für die zu Beginn des Projekts ausdrücklich kommunizierte Dauer zulässig“ ist.

Mangels eindeutiger Anordnung zur Art der Verarbeitung darf diese sowohl in Papierform als auch in automationsunterstützter Form erfolgen. Besondere Formen, die aufgrund ihres Spannungsverhältnisses zu Bestimmungen der DSGVO, wie insbesondere Art. 5 DSGVO, einer gesetzlichen Regelung bedürften, wie etwa Big Data, sind nicht vorgesehen und damit nicht zulässig.

Umfang der Verarbeitung:

^{(EG 90 DSGVO)}

Die von § 12 Abs. 4 und 5 FOG gedeckten Verarbeitungen erstrecken sich auf Daten im Sinne des § 2 Z 4 FOG. Da die in Anspruch genommene Öffnungsklausel Art. 9 Abs. 2 Buchstabe j DSGVO ist, ist nicht nur die Verarbeitung personenbezogener Daten, sondern sogar die Verarbeitung sensibler Daten umfasst. Eine Einschränkung in Bezug auf die betroffenen Personen gibt es nicht.

Der Umfang der Verarbeitungen gemäß § 12 Abs. 4 FOG ist auf jene Fälle,

– in denen Bürgerinnen und Bürger,

– im Zuge von Open Science (§ 2 Z 12 FOG) und Citizen Science

   Projekten (§ 2 Z 3 FOG),

– personenbezogene Daten

– an insbesondere wissenschaftliche Einrichtungen (§ 2 Z 14 FOG)

– auf freiwilliger Basis übermitteln,

beschränkt.

Der Umfang der Verarbeitungen gemäß § 12 Abs. 5 FOG ist auf – personenbezogene Daten Dritter (Art. 4 Nr. 10 DSGVO),

– die im Rahmen von Open Science (§ 2 Z 12 FOG) und Citizen

   Science-Projekten (§ 2 Z 3 FOG) zur Verfügung gestellt werden und

– auf Beobachtungen oder Messungen im öffentlichen Raum beruhen

   (§ 12 Abs. 5 Z 1 FOG) oder

– im Sinne des Art. 4 Nr. 5 DSGVO pseudonymisiert werden (§ 12

   Abs. 5 Z 2 FOG)

beschränkt.

In § 12 Abs. 4 und Abs. 5 FOG werden die Öffnungsklausel der Einschränkung des Rechts auf Löschung gemäß Art. 17 Abs. 3 Buchstabe b DSGVO verwendet. Das Recht auf Löschung ist nur dann gegeben, wenn weder Projektziele noch Anforderungen an wissenschaftliche Arbeiten beeinträchtigt werden.

Kontext der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Die Verarbeitung erfolgt im Kontext von Wissenstransfers. Mit dem vorgeschlagenen § 12 Abs. 4 FOG soll eine Klarstellung geschaffen werden, wenn Bürgerinnen und Bürger im Rahmen von Open Science (§ 2 Z 12 FOG) und Citizen Science-Projekten (§ 2 Z 3 FOG) wissenschaftlichen Einrichtungen (§ 2 Z 14 FOG) Daten überlassen.

Voraussetzung für die Zulässigkeit dieses Einsatzes, ist lediglich, dass keine direkt personenbezogenen Daten als Ergebnis offengelegt werden. Mit dem vorgeschlagenen § 12 Abs. 5 FOG soll eine Rechtsgrundlage geschaffen werden, damit auch personenbezogene Daten Dritter (Art. 4 Nr. 10 DSGVO) an wissenschaftliche Einrichtungen im Rahmen von Open Science (§ 2 Z 12 FOG) und Citizen Science (§ 2 Z 3 FOG) übermittelt werden können. Voraussetzung für die Verarbeitung gemäß § 12 Abs. 5 ist, dass die Daten:

– auf Beobachtungen/Messungen im öffentlichen Raum beruhen oder

– pseudonymisiert (Art. 4 Nr. 5 DSGVO) werden.

Zweck der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Ziele der Verarbeitungen sind „die rasche Verarbeitung sowie die Verwertung der Ergebnisse von Wissenschaft und Forschung“ (§ 1 Abs. 2 Z 3 FOG).

Empfängerinnen und Empfänger:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Grundsätzlich werden die Daten zuerst wissenschaftlichen Einrichtungen zur Verfügung gestellt. Anschließend werden die Daten im Rahmen von Open Science (§ 2 Z 12 FOG) an die Öffentlichkeit übermittelt. Hinsichtlich der Projekte von Citizen Science (§ 2 Z 3 FOG) sind Empfängerinnen und Empfänger jene Personen, die sich in den jeweiligen wissenschaftlichen Projekten einbinden.

Speicherdauer:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Gemäß § 12 Abs. 4 und 5 FOG muss die Speicherdauer zu Beginn des Projektes ausdrücklich kommuniziert werden.

Funktionelle Beschreibung der Verarbeitung:

^{(Art. 35 Abs. 7 Buchstabe a DSGVO)}

Daten dürfen aufgrund des § 12 Abs. 4 FOG auf jede Art und Weise verarbeitet werden. Dabei müssen die Voraussetzungen des § 5 Abs. 1 Z 1 FOG beachtet werden. Gemäß § 12 Abs. 5 FOG ist eine Verarbeitung nur dann möglich, wenn die Daten

– auf Beobachtungen oder Messungen im

   öffentlichen Raum beruhen oder

– pseudonymisiert werden (Art. 4 Nr. 5 DSGVO).

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur):

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommende Infrastruktur typischerweise nicht gesetzlich geregelt ist, ist an dieser Stelle ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 25 und 32 DSGVO als ausreichend anzusehen.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln:

^{(Art-29-Datenschutzgruppe, WP 248, 21)}

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach EGen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 der Artikel-29-Datenschutzgruppe (WP 248) auf Maßnahmen

– betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie

– zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der Zweck dieser Regelung ist eine Klarstellung für Wissenstransfers im Rahmen von Open Science und Citizen Science-Projekten. Dies ist dafür wichtig, dass viele Bürgerinnen und Bürger an wissenschaftlichen Projekten teilnehmen (Open Science) und dass Denkanstöße der nichtwissenschaftlichen Welt an die wissenschaftliche Welt gegeben werden (Citizen Science). Was unter Wissenstransfers zu verstehen ist, wird in § 2 Z 15 FOG geregelt: „Bereitstellung von Wissen durch wissenschaftliche Einrichtungen an andere Teile der Gesellschaft, wie insbesondere Unternehmen.“ Demnach dient die vorliegende Regelung insbesondere dem Austausch zwischen Wissenschaft und Gesellschaft. Deshalb kann auf das in § 1 Abs. 2 Z 3 FOG definierte Ziel verwiesen werden. Demnach ist das Ziel dieser Regelung: „die rasche Verbreitung sowie Verwertung der Ergebnisse von Wissenschaft und Forschung“.

Eindeutiger Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Die Angabe des Zwecks, die Förderung von Open Science und Citizen Science-Projekten, ist in § 12 Abs. 4 und 5 FOG eindeutig festgelegt: Die angeführten Daten dürfen nur in Zusammenhang mit Open Science- oder Citizen Science Projekten verarbeitet werden. Solche Projekte ermöglichen die Erreichung des in § 1 Abs. 2 Z 3 FOG definierten Zieles. Daher ist die Verarbeitung der Daten notwendig.

Legitimer Zweck:

^{(Art. 5 Abs. 1 Buchstabe b DSGVO)}

Der in § 12 Abs. 4 und 5 FOG angegebene Zweck ist legitim, weil er

– einerseits von den Öffnungsklauseln des Art. 6 Abs. 1 Buchstabe c

   („rechtliche Verpflichtung“) und Art. 9 Abs. 2 Buchstabe j

   („Wissenschaft und Forschung“) DSGVO umfasst ist und

– andererseits in § 12 Abs. 4 und 5 FOG vorgesehen ist.

Die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung zeigt sich bereits auf allerhöchster, rechtlicher Ebene, nämlich im Primärrecht: Gemäß Art. 3 Abs. 3 EUV hat die Europäische Union den wissenschaftlichen und technischen Fortschritt zu fördern. Gemäß Art. 114 Abs. 3 AEUV hat die Kommission bei ihren Vorschlägen im Rahmen der Binnenmarktkompetenz auf wissenschaftliche Ergebnisse gestützte neue Entwicklungen zu berücksichtigen. Gemäß Art. 168 Abs. 1 AEUV ist die Erforschung weit verbreiteter, schwerer Krankheiten zu fördern. Mit Titel XIX ist schließlich ein gesamter Titel des AEUV der Forschung gewidmet.

Hinsichtlich der besonderen Berücksichtigung von Wissenschaft und Forschung wird auf Punkt I des Allgemeinen Teils der Erläuterungen zum vorliegenden Entwurf verwiesen.

Auch auf nationaler Ebene ist die Wichtigkeit des öffentlichen Interesses an Wissenschaft und Forschung in der Judikatur des Verfassungsgerichtshofes fest verankert (vgl. zuletzt: VfGH vom 14.03.2017, G 164/2016). Verstöße gegen faktenbasiertes Vorgehen können sogar zur Aufhebung genereller Bestimmungen vor dem VfGH führen (VfSlg. 17.161/2004; 11.972/1989; 11.918/1988; 11.757/1988; 11.756/1988).

Rechtmäßigkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)}

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 6 Abs. 1 Buchstabe c iVm Abs. 3 sowie Art. 9 Abs. 2 Buchstabe j DSGVO, wonach die Verarbeitung aufgrund einer rechtlichen Verpflichtung erfolgt. Siehe dazu näher: oben Bewertung / Legitimer Zweck.

Angemessenheit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

In Bezug auf die Datenarten gibt es keine Einschränkungen. Die Speicherdauer ist zu Beginn des Projektes ausdrücklich zu kommunizieren. Für die Verarbeitungen im Rahmen des § 12 Abs. 4 FOG sind die Voraussetzungen des § 5 Abs. 1 Z 1 FOG einzuhalten. Diese Voraussetzungen sind so hoch, dass die Angemessenheit der Verarbeitung jedenfalls gewährleistet ist.

Die Verarbeitungen im Rahmen des § 12 Abs. 5 FOG sind nur unter den zwei dort angegebenen Voraussetzungen möglich. In § 12 Abs. 5 FOG wird durch die Formulierung „Beobachtungen oder Messungen“ festgelegt, dass keine Videoaufnahmen unter diese Bestimmungen fallen. Als Beobachtungen gelten gemäß den Erläuterungen des vorliegenden Entwurfes „zielgerichtete (menschliche) Wahrnehmungen“. Als Messungen gelten die „Zuordnung von Zahlen zu Objekten und Ereignissen“. Verarbeitungen von Daten aus der Videoüberwachung können nicht zugelassen werden, weil der Beweis, dass das Verhalten gesetzt wurde, um öffentlich wahrgenommen zu werden, in Anbetracht der Konsequenzen gemäß Art. 83 DSGVO fast unmöglich zu erbringen. Deswegen wurde ein objektives Kriterium des öffentlichen Raumes eingeführt. Das Kriterium des öffentlichen Raumes ist am Maßstab der Rechtsprechung des VfGH (VfSlg. 19.676/2012) zu messen. Es dürfen Beobachtungen nur unter der Bedingung durchgeführt werden, dass es sich dabei um keine „systematische, insbesondere fortlaufende Feststellung von Ereignissen [...] durch technische Bildaufnahme- oder Bildübertragungsgeräte“ (Videoüberwachung gemäß § 50a Abs. 1 DSG 2000) handelt (vgl. Erläuterungen zum vorliegenden Entwurf, 34). Dadurch ist die Angemessenheit der Datenverarbeitung gegeben.

Die Angemessenheit des Ausschlusses des Löschungsrechtes ergibt sich dadurch, dass dies nur unter zwei Voraussetzungen möglich ist. Zu einem muss das Projektziel weiterhin erreicht werden können und zum anderen dürfen die Anforderungen an wissenschaftliches Arbeiten durch die Löschung nicht beeinträchtigt werden. Das heißt, dass ein Ausschluss des Löschungsrechtes, das auf der Öffnungsklausel des Art. 17 Abs. 3 DSGVO beruht, nur unter strengen Kriterien möglich ist. Dadurch ergibt sich auch die Angemessenheit der Einschränkung Löschungsrechtes.

Erheblichkeit der Verarbeitung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung der Daten ist erheblich, da die Verfügbarkeit hochwertiger Daten wesentliche Voraussetzung für Wissenschaft und Forschung ist. Dadurch kann nicht nur die Wirtschaft, sondern die gesamte Gesellschaft profitieren. „Die rasche Verbreitung sowie die Verwertung der Ergebnisse von Wissenschaft und Forschung“ wird ausdrücklich im § 1 Abs. 2 Z 2 FOG als Ziel genannt.

Die Klarstellungen in § 12 Abs. 4 und 5 FOG erlauben es, dass Wissen von den Universitäten an die Wirtschaft in einem bestmöglichen Weg übermittelt werden kann. Verbesserungen in diesem Bereich zu schaffen sind für das Land Österreich von größter Bedeutung. Dies zeigt sich z.B. daran, dass in Österreich zwar gute Bildungsarbeit geleistet wird, diese kann aber nur mangelhaft in Wertschöpfung umgewandelt werden. Dieses Faktum wurde im Rahmen des Global Innovation Index 2017 aufgezeigt (Global Innovation Index 2017, 168; https://www.globalinnovationindex.org/gii-2017-report# [26.01.2018]). Laut Global Innovation Index 2017 belegt Österreich eine Spitzenposition, was die Ausgaben im Bereich R&D („Gross expenditure on R&D, % GDP“) betrifft. Im Gegensatz dazu nimmt Österreich allerdings nur den 40. Platz – unter 127 Staaten – ein, hinsichtlich der Wirkungen des Wissens („FDI net inflows, % GDP“). Mit Blick auf die ausländischen Investitionen liegt Österreich gar nur an 117. Stelle. Unter anderem anhand der Platzierungen im internationalen Vergleich lässt sich erkennen, dass entsprechende Maßnahmen gesetzt werden müssen, um den Wissenschafts- und Wirtschaftsstandort zu stärken. Ein weiterer Indikator für das schlechte internationale Abschneiden Österreichs in Bezug auf die Umwandlung von Wissen in Wertschöpfung, ist der Forschungs- und Technologiebericht 2017. Dieser zeigt auf Seite 28 ebenfalls großes Verbesserungspotential bei der wirtschaftlichen Verwertung („business sophistication“) und der Nutzung des Wissens („knowledge & technology outputs“) auf. (https://www.bmvit.gv.at/innovation/publikationen

/technologieberichte/downloads/ftb_2017.pdf#page=29).

Beschränktheit der Verarbeitung auf das notwendige Maß:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)}

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die bereitgestellten Daten, Dritten (Art. 4 Nr. 10 DSGVO) keinesfalls direkt personenbezogen zur Kenntnis gebracht werden dürfen (§ 12 Abs. 4 und 5 FOG).

Speicherbegrenzung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)}

Die Speicherdauer wird auf die zu Beginn des Projektes kommunizierte Speicherdauer beschränkt.

Generelle Information der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)}

Nach Ansicht der Art-29-Datenschutzgruppe (WP 248, 21) hat eine Datenschutz-Folgenabschätzung auch die transparente Information gemäß Art. 12 DSGVO zu behandeln. Die Informationen gemäß Art. 13 und 14 DSGVO werden in den folgenden beiden Zeilen behandelt, sodass die Mittelungen gemäß Artikel 15 bis 22 und 34 DSGVO verbleiben. Diese sind:

– die Mitteilung gemäß Art. 15 Abs. 2 DSGVO über die geeigneten

   Garantien bei Übermittlung in Drittländer oder an internationale

   Organisationen;

– gegebenenfalls die Mitteilung an die betroffene Person, dass eine

   Einschränkung aufgehoben wird (Art. 18 Abs. 3 DSGVO);

– gegebenenfalls die Information von Empfängerinnen und

   Empfängern gemäß Art. 19 DSGVO, dass eine betroffene Person

   die Berechtigung oder Löschung von personenbezogenen Daten

   oder eine Einschränkung der Verarbeitung verlangt, es sei denn,

   dies erweist sich als unmöglich oder ist mit einem

   unverhältnismäßigen Aufwand verbunden;

– die Information der betroffenen Personen über die

   Empfängerinnen und Empfänger ihrer personenbezogenen Daten,

   auf Verlangen der betroffenen Personen (Art. 19 DSGVO);

– der Hinweis, dass ein Widerspruchsrecht gemäß Art. 21 DSGVO

   nur im Rahmen des § 5 Abs. 6 FOG besteht;

– gegebenenfalls die Benachrichtigung über Verletzungen des

   Schutzes personenbezogener Daten gemäß Art. 34 Abs. 1

   DSGVO.

Unter der Voraussetzung, dass die jeweiligen Einrichtungen ihre Prozesse so anpasst haben, dass die genannten Mitteilungen tatsächlich erfolgen, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen bei Erhebung:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)}

Die gemäß Art. 13 DSGVO erforderlichen Informationen werden wie folgt erbracht:

– die Zwecke, für die die personenbezogenen Daten verarbeitet

   werden sollen: durch Publikation des § 12 Abs. 4 und 5 FOG als

   Bundesgesetz im Bundesgesetzblatt;

– die Rechtsgrundlage für die Verarbeitung: durch Publikation des

   vorliegenden Entwurfes als Bundesgesetz im Bundesgesetzblatt;

– die Empfänger oder Kategorien von Empfängern: durch

   Publikation des vorliegenden Entwurfes als Bundesgesetz im

   Bundesgesetzblatt;

– die Dauer, für die die personenbezogenen Daten gespeichert

   werden: durch Publikation des § 12 Abs. 4 und 5 FOG als

   Bundesgesetz im Bundesgesetzblatt

und müssen daher gemäß Art. 13 Abs. 4 DSGVO nicht mehr gesondert bei Erhebung bei den betroffenen Personen zur Verfügung gestellt werden.

Unter der Voraussetzung, dass

– Name und Kontaktdaten der oder des Verantwortlichen,

– die Kontaktdaten ihres Datenschutzbeauftragten,

– gegebenenfalls die Absicht die personenbezogenen Daten an ein

   Drittland oder eine internationale Organisation zu übermitteln sowie

   das Vorhandensein oder das Fehlen eines Angemessenheits-

   beschlusses der Kommission,

– ein Hinweis auf das allfällige Bestehen anderer / restlicher Rechte

   der betroffenen Personen,

– ein Hinweis auf das Bestehen des Rechts auf Beschwerde (Art. 77

   DSGVO),

– gegebenenfalls Informationen über das Bestehen einer

   automatisierten Entscheidungsfindung einschließlich Profiling

   gemäß Art. 22 Abs. 1 und 4 DSGVO sowie

– gegebenenfalls die über eine allfällige Weiterverarbeitung

   erforderlichen Informationen gemäß Art. 13 Abs. 3 DSGVO

veröffentlicht werden, gilt die vorliegende Datenschutz-Folgenabschätzung hinsichtlich der Information gemäß Art. 13 DSGVO als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)}

Siehe oben: Bewertung / Generelle Informationen der betroffenen Personen.

Auskunftsrecht der betroffenen Personen:

^{(Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)}

Unter der Voraussetzung, dass die Verantwortlichen ihre Prozesse so anpassen, dass das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO tatsächlich wahrgenommen werden kann, gilt die vorliegende Datenschutz-Folgenabschätzung als erfüllt im Sinne des Art. 35 Abs. 10 DSGVO.

Recht auf Datenübertragbarkeit:

^{(Art. 20 DSGVO)}

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

– weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a

   oder Art. 9 Abs. 2 Buchstabe a DSGVO)

– noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b

   DSGVO)

erfolgt.

Auftragsverarbeiterinnen und Auftragsverarbeiter:

^{(Art. 28 DSGVO)}

Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt und die konkret zum Einsatz kommenden Auftragsverarbeiterinnen und -verarbeiter typischerweise nicht gesetzlich geregelt sind, ist ein Verweis auf die Einhaltung der Art. 28 f DSGVO als ausreichend anzusehen.

Schutzmaßnahmen bei der Übermittlung in Drittländer:

^{(Kapitel V DSGVO)}

Eine Übermittlung in Drittländer wäre nach § 13 FOG grundsätzlich zulässig, allerdings nur an die in § 13 FOG genannten Empfängerinnen und Empfänger, d.h.:

– wissenschaftliche Einrichtungen (§ 2 Z 14 FOG),

– Abwicklungsstellen (§ 2 Z 1 FOG),

– Gutachterinnen und Gutachter oder

– österreichische öffentliche Stellen (§ 2 Z 8 FOG).

Vorherige Konsultation:

^{(Art. 36 und EG 96 DSGVO)}

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil der vorliegende Entwurf gemäß Art. 36 Abs. 4 DSGVO durch Publikation auf der Website des Parlaments und Einbindung bzw. Konsultation (EG 96 DSGVO) der Datenschutzbehörde im Begutachtungsverfahren aktiv an der Gestaltung des vorliegenden Entwurfes mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der Datenschutz-Grundverordnung sicherzustellen.

RISIKEN

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden:

^{(EG 90 iVm 85 DSGVO)}

Diese Risiken sind bei der Verarbeitung im Rahmen von Open Science und Citizen Science-Projekten gemäß § 12 Abs. 4 und 5 minimal, insbesondere weil die Verantwortlichen „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) treffen müssen, um die gegebenen Risiken zu minimieren. Die Datensicherheitsmaßnahmen werden in Art. 32 DSGVO konkretisiert und sind von den Verantwortlichen einzuhalten. Die Nichteinhaltung ist mit 10 Millionen Euro sanktioniert (Art. 83 Abs. 4 Buchstabe a DSGVO). Außerdem treffen die Strafbestimmungen des 22. Abschnitts des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, über strafbare Verletzungen der Amtspflicht, Korruption und verwandte strafbare Handlungen, insbesondere dessen § 302 (Amtsmissbrauch) und § 310 („Verletzung des Amtsgeheimnisses“) wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung und somit das Entstehen von physischen, materiellen oder immateriellen Schäden (RIS-Justiz, RS0054100), falls es sich bei den Verantwortlichen um öffentlichen Stellen handeln sollte.

Verlust der Kontrolle über personenbezogene Daten:

^{(EG 90 iVm 85 DSGVO)}

Diesem Risiko wird durch die Einhaltung der (anwendbaren) Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

Rechnung getragen.

Außerdem sind die Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO von den Verantwortlichen einzuhalten. Damit wird die Wahrscheinlichkeit eines Verlustes der Kontrolle über personenbezogene Daten effektiv gemindert.

Diskriminierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko bei Verarbeitungen gemäß § 12 Abs. 4 und 5 FOG ist minimal, insbesondere weil die Verantwortlichen im Zuge der Verarbeitung dafür zu sorgen haben, dass „geeignete technische und organisatorische Maßnahmen“ (Art. 25 DSGVO) getroffen werden, um die gegebenen Risiken zu minimieren. Auch müssen die Verantwortlichen die in Art. 32 DSGVO konkretisierten Datensicherheitsmaßnahmen einhalten und dürfen natürliche Personen – gemäß Art. 7 B‑VG – nicht diskriminieren. Damit wird die Wahrscheinlichkeit der Diskriminierung aufgrund der unzulässigen Verarbeitung personenbezogener Daten effektiv gemindert.

Identitätsdiebstahl oder -betrug:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unions- und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Finanzielle Verluste:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird insbesondere durch die unions- und strafrechtliche Sanktionierung (siehe oben: Risiken / Physische, materielle oder immaterielle Schäden) effektiv gemindert.

Unbefugte Aufhebung der Pseudonymisierung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unions- und strafrechtliche Sanktionierung (siehe oben: Risiken /

   Physische, materielle oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen die unbefugte

   Aufhebung der Pseudonymisierung, bieten.

Rufschädigung:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unions- und strafrechtliche Sanktionierung (siehe oben: Risiken /

   Physische, materielle oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen die Rufschädigung,

   bieten.

Verlust der Vertraulichkeit bei Berufsgeheimnissen:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unions- und strafrechtliche Sanktionierung (siehe oben: Risiken /

   Physische, materielle oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen den Verlust der

   Vertraulichkeit bei Berufsgeheimnissen, bieten.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile:

^{(EG 90 iVm 85 DSGVO)}

Dieses Risiko wird wie folgt minimiert:

– unions- und strafrechtliche Sanktionierung (siehe oben: Risiken /

   Physische, materielle oder immaterielle Schäden);

– Einsatz bereichsspezifischer Personenkennzeichen (§ 9 E-GovG),

   die – anders als die Sozialversicherungsnummer – nur in

   Teilbereichen des täglichen Lebens gelten und somit einen

   wesentlich höheren Schutz, insbesondere gegen das Erleiden von

   erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen.

ABHILFEMASSNAHMEN

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Eine Minimierung der Verarbeitung personenbezogener Daten wird vorgenommen, indem nur freiwillig zu Verfügung gestellt Daten verarbeitet werden (gemäß § 12 Abs. 4 FOG) oder Daten nur unter strengen Voraussetzungen verarbeitet werden dürfen (gemäß § 12 Abs. 5 FOG).

Schnellstmögliche Pseudonymisierung personenbezogener Daten:

^{(EG 28 und 78 DSGVO)}

Die Pseudonymisierung erfolgt nicht nur schnellstmöglich, sondern ist Voraussetzung für die Zulässigkeit der Verarbeitungen gemäß § 12 Abs. 5 FOG. Gemäß § 5 Abs. 2 FOG sind die Voraussetzungen des § 5 Abs. 1 Z 1 FOG einzuhalten, wozu u.a. gemäß § 5 Abs. 1 Z 1 lit. a bereichsspezifische Personenkennzeichen verwendet werden können. Dies stellt eine angemessene Garantie iSd Art. 89 Abs. 1 DSGVO dar und erlaubt somit eine Verarbeitung gemäß Art. 9 Abs. 2 Buchstabe j DSGVO.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten:

^{(EG 78 DSGVO)}

Durch die Publikation des § 12 Abs. 4 und 5 FOG als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten bei Wissenstransfers von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen:

^{(EG 78 DSGVO)}

Die betroffenen Personen haben durch Ausübung ihrer Rechte gemäß Kapitel III der Datenschutz-Grundverordnung, das sind:

– Transparente Information, Kommunikation und Modalitäten für

   die Ausübung der Rechte der betroffenen Person (Art. 12

   DSGVO),

– Informationspflicht bei Erhebung von personenbezogenen Daten

   bei der betroffenen Person (Art. 13 DSGVO),

– Informationspflicht, wenn die personenbezogenen Daten nicht bei

   der betroffenen Person erhoben wurden (Art. 14 DSGVO),

– Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

– Recht auf Berichtigung (Art. 16 DSGVO),

– Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17

   DSGVO),

– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

   sowie

– Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

   Löschung personenbezogener Daten oder der Einschränkung der

   Verarbeitung (Art. 19 DSGVO)

die Möglichkeit, die Verarbeitung ihrer Daten durch die Verantwortlichen der Open Science- und Citizen Science-Projekte zu überwachen.

Datensicherheitsmaßnahmen:

^{(EG 78 und 83 DSGVO)}

Die Nichteinhaltung der Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO ist gemäß Art. 83 Abs. 4 Buchstabe a DSGVO mit Geldbußen bis zu 10 Millionen Euro sanktioniert ist. Entsprechende Datensicherheitsmaßnahmen sind daher zu treffen. Da Art. 35 Abs. 10 DSGVO Datenschutzfolgenabschätzungen auch im Zuge von Gesetzgebungsverfahren zulässt, ist ein Verweis auf die Einhaltung der Maßnahmen gemäß Art. 32 DSGVO als ausreichend anzusehen.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde:

^{(Art. 36 Abs. 4 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme der Datenschutzbehörde zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle:

^{(Art. 35 Abs. 2 DSGVO)}

In den Erläuterungen zur Regierungsvorlage wird an dieser Stelle die Stellungnahme des Datenschutzbeauftragten des Bundesministeriums für Bildung, Wissenschaft und Forschung zu dieser Datenschutz-Folgenabschätzung im Begutachtungsverfahren abgedruckt werden.

Stellungnahme betroffener Personen:

^{(Art. 35 Abs. 9 DSGVO)}

In den Erläuterungen zur Regierungsvorlage werden an dieser Stelle die Stellungnahmen aller betroffenen Personen im Begutachtungsverfahren zu dieser Datenschutz-Folgenabschätzung ergangenen Stellungnahmen abgedruckt.