Grundlegende Bestimmungen zum Schutz personenbezogener Daten
§ 2d.Paragraph 2 d,
(1)Absatz einsFür Verarbeitungen nach diesem Abschnitt sind insbesondere folgende angemessene Maßnahmen, wie sie insbesondere in Art. 9 Abs. 2 Buchstabe j sowie Art. 89 Abs. 1 DSGVO vorgesehen sind, einzuhalten:Für Verarbeitungen nach diesem Abschnitt sind insbesondere folgende angemessene Maßnahmen, wie sie insbesondere in Artikel 9, Absatz 2, Buchstabe j sowie Artikel 89, Absatz eins, DSGVO vorgesehen sind, einzuhalten:
Zugriffe auf personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, sind lückenlos zu protokollieren.
Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten auf Grundlage dieses Abschnitts verarbeiten und ihre Mitarbeiterinnen und Mitarbeiter – das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten, die ihnen ausschließlich auf Grundlage dieses Abschnitts anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).
Personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, dürfen ausschließlich für Zwecke dieses Bundesgesetzes verarbeitet werden.
Natürliche Personen, deren personenbezogene Daten auf Grundlage dieses Abschnitts verarbeitet werden, dürfen keine Nachteile aus der Verarbeitung erleiden, wobei die Verarbeitung in Übereinstimmung mit diesem Abschnitt keinen Nachteil darstellt.
Verantwortliche, die Verarbeitungen auf Grundlage des Abs. 2 durchführen, habenVerantwortliche, die Verarbeitungen auf Grundlage des Absatz 2, durchführen, haben
im Internet öffentlich einsehbar auf die Inanspruchnahme dieser Rechtsgrundlage hinzuweisen,
bei Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen die Namensangaben jedenfalls zu löschen,
vor Heranziehung von Registern gemäß Abs. 2 Z 3 jedenfalls einen Datenschutzbeauftragten (Art. 37 DSGVO) zu bestellen,vor Heranziehung von Registern gemäß Absatz 2, Ziffer 3, jedenfalls einen Datenschutzbeauftragten (Artikel 37, DSGVO) zu bestellen,
die Aufgabenverteilung bei der Verarbeitung der Daten (§ 2b Z 5) zwischen den Organisationseinheiten und zwischen den Mitarbeiterinnen und Mitarbeitern ausdrücklich festzulegen,die Aufgabenverteilung bei der Verarbeitung der Daten (Paragraph 2 b, Ziffer 5,) zwischen den Organisationseinheiten und zwischen den Mitarbeiterinnen und Mitarbeitern ausdrücklich festzulegen,
die Verarbeitung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
jede Mitarbeiterin und jeden Mitarbeiter über ihre oder seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Verarbeitung der Daten (§ 2b Z 5) tatsächlich erfolgt, zu regeln,die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Verarbeitung der Daten (Paragraph 2 b, Ziffer 5,) tatsächlich erfolgt, zu regeln,
die Zugriffsberechtigung auf Daten (§ 2b Z 5) und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,die Zugriffsberechtigung auf Daten (Paragraph 2 b, Ziffer 5,) und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
eine Dokumentation über die nach den lit. d bis i getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern,eine Dokumentation über die nach den Litera d, bis i getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern,
ihrem Antrag auf Bereitstellung von Daten gemäß Abs. 2 Z 3 eine von der oder dem Verfügungsbefugten über die Datenbestände aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass sie oder er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt, wobei anstelle dieser Erklärung auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung, RGBl. Nr. 79/1896) vorgelegt werden kann,ihrem Antrag auf Bereitstellung von Daten gemäß Absatz 2, Ziffer 3, eine von der oder dem Verfügungsbefugten über die Datenbestände aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass sie oder er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt, wobei anstelle dieser Erklärung auch ein diese Erklärung ersetzender Exekutionstitel (Paragraph 367, Absatz eins, der Exekutionsordnung, RGBl. Nr. 79/1896) vorgelegt werden kann, bei Verarbeitung von gemäß Abs. 2 Z 3 bereitgestellten Daten (§ 2b Z 5) vorzusehen, dass nur die im Antrag genannten natürlichen Personen auf die gemäß Abs. 2 Z 3 bereitgestellten Daten zugreifen dürfen sowiebei Verarbeitung von gemäß Absatz 2, Ziffer 3, bereitgestellten Daten (Paragraph 2 b, Ziffer 5,) vorzusehen, dass nur die im Antrag genannten natürlichen Personen auf die gemäß Absatz 2, Ziffer 3, bereitgestellten Daten zugreifen dürfen sowie
bei Übermittlung von Namensangaben gemäß Abs. 2 Z 3 sind diese nach Erreichung der Zwecke gemäß Art. 89 Abs. 1 DSGVO zu löschen.bei Übermittlung von Namensangaben gemäß Absatz 2, Ziffer 3, sind diese nach Erreichung der Zwecke gemäß Artikel 89, Absatz eins, DSGVO zu löschen.
Die Veröffentlichung von bereichsspezifischen Personenkennzeichen darf unter keinen Umständen erfolgen.
Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung hat nach Anhörung
von Vertreterinnen oder Vertretern, die von den zuständigen Bundesministerinnen und Bundesminister ernannt wurden, wobei jede Bundesministerin oder jeder Bundesminister eine Vertreterin oder einen Vertreter zu ernennen hat, und
der Mitglieder der Delegiertenversammlung gemäß § 5a Abs. 1 und 2 Z 1 und 2 FTFGder Mitglieder der Delegiertenversammlung gemäß Paragraph 5 a, Absatz eins, und 2 Ziffer eins, und 2 FTFG
dem Datenschutzrat (§ 14 DSG) in Abständen von fünf Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.dem Datenschutzrat (Paragraph 14, DSG) in Abständen von fünf Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.
Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Abs. 2 Z 1 zu entsprechen.Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Absatz 2, Ziffer eins, zu entsprechen.
(2)Absatz 2Zur Erleichterung der Identifikation im Tätigkeitsbereich „Forschung“ (BF-FO) gemäß § 9 Abs. 1 des E-Government-Gesetzes (E-GovG), BGBl. I Nr. 10/2004, sind die §§ 14 und 15 E-GovG im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Verantwortliche des öffentlichen Bereichs gelten, wie insbesondere die §§ 8 bis 13 E-GovG, anzuwenden. Für Zwecke dieses Bundesgesetzes dürfen wissenschaftliche Einrichtungen (§ 2b Z 12), insbesondere auf Grundlage des Art. 9 Abs. 2 Buchstabe g, i und j DSGVO, somitZur Erleichterung der Identifikation im Tätigkeitsbereich „Forschung“ (BF-FO) gemäß Paragraph 9, Absatz eins, des E-Government-Gesetzes (E-GovG), Bundesgesetzblatt Teil eins, Nr. 10 aus 2004,, sind die Paragraphen 14, und 15 E-GovG im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Verantwortliche des öffentlichen Bereichs gelten, wie insbesondere die Paragraphen 8, bis 13 E-GovG, anzuwenden. Für Zwecke dieses Bundesgesetzes dürfen wissenschaftliche Einrichtungen (Paragraph 2 b, Ziffer 12,), insbesondere auf Grundlage des Artikel 9, Absatz 2, Buchstabe g, i und j DSGVO, somit sämtliche personenbezogene Daten jedenfalls verarbeiten, insbesondere im Rahmen von Big Data, personalisierter Medizin, biomedizinischer Forschung, Biobanken und der Übermittlung an andere wissenschaftliche Einrichtungen und Auftragsverarbeiter, wenn
anstelle des Namens, bereichsspezifische Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) oder andere eindeutige Identifikatoren zur Zuordnung herangezogen werden oder
die Verarbeitung in pseudonymisierter Form (Art. 4 Nr. 5 DSGVO) erfolgt oderdie Verarbeitung in pseudonymisierter Form (Artikel 4, Nr. 5 DSGVO) erfolgt oder
Veröffentlichungen
nur in anonymisierter oder pseudonymisierter Form oder
ohne Namen, Adressen oder Foto
erfolgen oder
die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Offenlegung direkt personenbezogener Daten an Dritte (Art. 4 Nr. 10 DSGVO) damit verbunden ist,die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Offenlegung direkt personenbezogener Daten an Dritte (Artikel 4, Nr. 10 DSGVO) damit verbunden ist,
die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) sowie von verschlüsselten bPK gemäß § 13 Abs. 2 E-GovG innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist von der Stammzahlenregisterbehörde verlangen, wenndie Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) sowie von verschlüsselten bPK gemäß Paragraph 13, Absatz 2, E-GovG innerhalb der in Artikel 12, Absatz 3, DSGVO genannten Frist von der Stammzahlenregisterbehörde verlangen, wenn
die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß Paragraph 2 c, Absatz eins, ist oder über eine gültige Bestätigung gemäß Paragraph 2 c, Absatz 2, verfügt,
die Kosten für die Ausstattung mit bereichsspezifischen Personenkennzeichen ersetzt werden und
die Antragstellerin oder der Antragsteller zumindest Vorname, Nachname und Geburtsdatum für jeden auszustattenden Datensatz bereitstellt
sowie
von Verantwortlichen, die bundesgesetzlich vorgesehene Register – mit Ausnahme der in den Bereichen der Gerichtsbarkeit sowie der Rechtsanwälte und Notare im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und des Strafregisters – führen, sowie im Falle von ELGA von der ELGA-Ombudsstelle, die Bereitstellung von Daten (§ 2b Z 5) innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist aus diesen Registern in elektronischer Form verlangen, wobei Namensangaben durch bereichsspezifische Personenkennzeichen „Forschung“ (bPK-BF-FO) zu ersetzen sind, es sei denn die Namensangaben sind zur Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO erforderlich, wennvon Verantwortlichen, die bundesgesetzlich vorgesehene Register – mit Ausnahme der in den Bereichen der Gerichtsbarkeit sowie der Rechtsanwälte und Notare im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und des Strafregisters – führen, sowie im Falle von ELGA von der ELGA-Ombudsstelle, die Bereitstellung von Daten (Paragraph 2 b, Ziffer 5,) innerhalb der in Artikel 12, Absatz 3, DSGVO genannten Frist aus diesen Registern in elektronischer Form verlangen, wobei Namensangaben durch bereichsspezifische Personenkennzeichen „Forschung“ (bPK-BF-FO) zu ersetzen sind, es sei denn die Namensangaben sind zur Erreichung von Zwecken gemäß Artikel 89, Absatz eins, DSGVO erforderlich, wenn
die Verarbeitung ausschließlich für Zwecke der Lebens- und Sozialwissenschaften erfolgt,
das Register in einer Verordnung gemäß § 38b angeführt ist,das Register in einer Verordnung gemäß Paragraph 38 b, angeführt ist,
die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß Paragraph 2 c, Absatz eins, ist oder über eine gültige Bestätigung gemäß Paragraph 2 c, Absatz 2, verfügt,
die Kosten für die Bereitstellung der Daten (§ 2b Z 5) ersetzt werden unddie Kosten für die Bereitstellung der Daten (Paragraph 2 b, Ziffer 5,) ersetzt werden und
falls ein Abgleich mit vorhandenen Daten beantragt wird, beim Antrag auf Bereitstellung der Daten die entsprechenden bPK gemäß § 13 Abs. 2 E-GovG der betroffenen Personen zur Verfügung gestellt werden.falls ein Abgleich mit vorhandenen Daten beantragt wird, beim Antrag auf Bereitstellung der Daten die entsprechenden bPK gemäß Paragraph 13, Absatz 2, E-GovG der betroffenen Personen zur Verfügung gestellt werden.
(Anm.: Datenschutz-Folgenabschätzung zu Abs. 2 siehe Anlage 1)Anmerkung, Datenschutz-Folgenabschätzung zu Absatz 2, siehe Anlage 1)
(3)Absatz 3Im Anwendungsbereich dieses Bundesgesetzes ist die Verarbeitung von Daten (§ 2b Z 5) gemäß Art. 9 Abs. 2 Buchstabe j DSGVO zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zweckes durch die AngabeIm Anwendungsbereich dieses Bundesgesetzes ist die Verarbeitung von Daten (Paragraph 2 b, Ziffer 5,) gemäß Artikel 9, Absatz 2, Buchstabe j DSGVO zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zweckes durch die Angabe
eines Forschungsbereiches oder
mehrerer Forschungsbereiche oder
von Forschungsprojekten oder
von Teilen von Forschungsprojekten
erfolgen darf („broad consent“).
(Anm.: Datenschutz-Folgenabschätzung zu Abs. 3 siehe Anlage 2)Anmerkung, Datenschutz-Folgenabschätzung zu Absatz 3, siehe Anlage 2)
(4)Absatz 4Hinsichtlich der Weiterverarbeitung gemäß Art. 5 Abs. 1 Buchstabe b DSGVO zu Zwecken gemäß Art. 89 Abs. 1 DSGVO stellen diese keine unzulässigen Zwecke im Sinne des § 62 Abs. 1 Z 2 DSG dar.Hinsichtlich der Weiterverarbeitung gemäß Artikel 5, Absatz eins, Buchstabe b DSGVO zu Zwecken gemäß Artikel 89, Absatz eins, DSGVO stellen diese keine unzulässigen Zwecke im Sinne des Paragraph 62, Absatz eins, Ziffer 2, DSG dar.
(5)Absatz 5Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen personenbezogene Daten für Zwecke gemäß Art. 89 Abs. 1 DSGVO unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden, soweit gesetzlich keine zeitlichen Begrenzungen vorgesehen sind.Gemäß Artikel 5, Absatz eins, Buchstabe e DSGVO dürfen personenbezogene Daten für Zwecke gemäß Artikel 89, Absatz eins, DSGVO unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden, soweit gesetzlich keine zeitlichen Begrenzungen vorgesehen sind.
(6)Absatz 6Die folgenden Rechte finden insoweit keine Anwendung, als dadurch die Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird:Die folgenden Rechte finden insoweit keine Anwendung, als dadurch die Erreichung von Zwecken gemäß Artikel 89, Absatz eins, DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird:
Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),Auskunftsrecht der betroffenen Person (Artikel 15, DSGVO),
Recht auf Berichtigung (Art. 16 DSGVO),Recht auf Berichtigung (Artikel 16, DSGVO),
Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO),Recht auf Löschung bzw. Recht auf Vergessenwerden (Artikel 17, DSGVO),
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),Recht auf Einschränkung der Verarbeitung (Artikel 18, DSGVO),
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowieRecht auf Datenübertragbarkeit (Artikel 20, DSGVO) sowie
Widerspruchsrecht (Art. 21 DSGVO).Widerspruchsrecht (Artikel 21, DSGVO).
(Anm.: Datenschutz-Folgenabschätzung zu Abs. 6 siehe Anlage 3)Anmerkung, Datenschutz-Folgenabschätzung zu Absatz 6, siehe Anlage 3)
(7)Absatz 7Auf Grundlage des Art. 9 Abs. 2 Buchstabe j DSGVO ist im Sinne des § 7 Abs. 2 Z 1 DSG die Einholung einer Genehmigung der Datenschutzbehörde gemäß § 7 Abs. 2 Z 3 DSG nicht erforderlich, wenn die Verarbeitung in Übereinstimmung mit diesem Abschnitt erfolgt.Auf Grundlage des Artikel 9, Absatz 2, Buchstabe j DSGVO ist im Sinne des Paragraph 7, Absatz 2, Ziffer eins, DSG die Einholung einer Genehmigung der Datenschutzbehörde gemäß Paragraph 7, Absatz 2, Ziffer 3, DSG nicht erforderlich, wenn die Verarbeitung in Übereinstimmung mit diesem Abschnitt erfolgt.
(8)Absatz 8Abweichend von § 12 Abs. 4 Z 3 und 4 DSG ist im Anwendungsbereich dieses Bundesgesetzes und des § 44 KAKuG sowohl der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten als auch die Auswertung von mittels Bildaufnahmen gewonnen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium für Zwecke gemäß Art. 89 Abs. 1 DSGVO zulässig, vorausgesetztAbweichend von Paragraph 12, Absatz 4, Ziffer 3, und 4 DSG ist im Anwendungsbereich dieses Bundesgesetzes und des Paragraph 44, KAKuG sowohl der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten als auch die Auswertung von mittels Bildaufnahmen gewonnen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Artikel 9, DSGVO) als Auswahlkriterium für Zwecke gemäß Artikel 89, Absatz eins, DSGVO zulässig, vorausgesetzt
die Verarbeitung erfolgt durch wissenschaftliche Einrichtungen und
durch die Verarbeitung erfolgt keine Veröffentlichung personenbezogener Daten.
(Anm.: Datenschutz-Folgenabschätzung zu Abs. 8 siehe Anlage 4)Anmerkung, Datenschutz-Folgenabschätzung zu Absatz 8, siehe Anlage 4)
(9)Absatz 9Bereichsspezifische Personenkennzeichen (§ 9 E-GovG) dürfen für Zwecke dieses Bundesgesetzes in maschinenlesbarer Form an Forschungsmaterial (§ 2b Z 6) angebracht werden.Bereichsspezifische Personenkennzeichen (Paragraph 9, E-GovG) dürfen für Zwecke dieses Bundesgesetzes in maschinenlesbarer Form an Forschungsmaterial (Paragraph 2 b, Ziffer 6,) angebracht werden.
(Anm.: Datenschutz-Folgenabschätzung zu Abs. 9 siehe Anlage 5)Anmerkung, Datenschutz-Folgenabschätzung zu Absatz 9, siehe Anlage 5)