vorheriges Dokument
nächstes Dokument

§ 2d FOG

Aktuelle FassungIn Kraft seit 01.1.2022

Grundlegende Bestimmungen zum Schutz personenbezogener Daten

§ 2d.

(1) Für Verarbeitungen nach diesem Abschnitt sind insbesondere folgende angemessene Maßnahmen, wie sie insbesondere in Art. 9 Abs. 2 Buchstabe j sowie Art. 89 Abs. 1 DSGVO vorgesehen sind, einzuhalten:

  1. 1. über Zugriffe auf personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, ist Protokoll zu führen, damit tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können.
  2. 2. Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten auf Grundlage dieses Abschnitts verarbeiten und ihre Mitarbeiterinnen und Mitarbeiter – das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten, die ihnen ausschließlich auf Grundlage dieses Abschnitts anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).
  3. 3. Personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, dürfen ausschließlich für Zwecke dieses Bundesgesetzes verarbeitet werden.
  4. 4. Natürliche Personen, deren personenbezogene Daten auf Grundlage dieses Abschnitts verarbeitet werden, dürfen keine Nachteile aus der Verarbeitung erleiden, wobei die Verarbeitung in Übereinstimmung mit diesem Abschnitt keinen Nachteil darstellt.
  5. 5. Verantwortliche, die Verarbeitungen auf Grundlage des Abs. 2 durchführen, haben
  1. a) im Internet öffentlich einsehbar auf die Inanspruchnahme dieser Rechtsgrundlage hinzuweisen,
  2. b) bei Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen die Namensangaben sowie andere Personenkennzeichen gemäß Art. 87 DSGVO abgesehen von den bereichsspezifischen Personenkennzeichen „Forschung“ (bPK-BF-FO) und bereichsspezifischen Personenkennzeichen in verschlüsselter Form (vbPK) jedenfalls zu löschen,
  3. c) vor Heranziehung von Registern gemäß Abs. 2 Z 3 jedenfalls einen Datenschutzbeauftragten (Art. 37 DSGVO) zu bestellen,
  4. d) die Aufgabenverteilung bei der Verarbeitung der Daten (§ 2b Z 5) zwischen den Organisationseinheiten und zwischen den Mitarbeiterinnen und Mitarbeitern ausdrücklich festzulegen,
  5. e) die Verarbeitung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
  6. f) jede Mitarbeiterin und jeden Mitarbeiter über ihre oder seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
  7. g) die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Verarbeitung der Daten (§ 2b Z 5) tatsächlich erfolgt, zu regeln,
  8. h) die Zugriffsberechtigung auf Daten (§ 2b Z 5) und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
  9. i) die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
  10. j) eine Dokumentation über die nach den lit. d bis i getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern,
  11. k) in ihrem Antrag auf Zugang zu Daten gemäß § 2d Abs. 2 Z 3 anzugeben:
  1. aa) die Gründe, warum das Forschungsvorhaben nur mittels des in § 2d Abs. 2 Z 3 vorgesehenen Zugangs durchgeführt werden kann,
  2. bb) die natürlichen Personen, die Zugang zu Daten gemäß § 2d Abs. 2 Z 3 erhalten sollen,
  3. cc) die Datensätze, zu denen Zugang benötigt wird, und die Methoden ihrer Analyse sowie
  4. dd) die angestrebten Ergebnisse des Forschungsvorhabens,
  1. l) bei Verarbeitung von Daten, zu denen gemäß § 2d Abs. 2 Z 3 Zugang gewährt wurde, vorzusehen, dass nur die im Antrag genannten natürlichen Personen auf diese Daten zugreifen dürfen.
  2. m) bei Übermittlung von Namensangaben gemäß Abs. 2 Z 3 sind diese nach Erreichung der Zwecke gemäß Art. 89 Abs. 1 DSGVO zu löschen.
  1. 6. Die Veröffentlichung von Personenkennzeichen darf unter keinen Umständen erfolgen.
  2. 6a. Bei Gewährung des Zugangs zu Daten (§ 2b Z 5) gemäß Abs. 2 Z 3 haben Verantwortliche, die bundesgesetzlich vorgesehene Register führen
  1. a) die §§ 31a und 31b des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, einzuhalten und
  2. b) andere Personenkennzeichen gemäß Art. 87 DSGVO als bereichsspezifische Personenkennzeichen zu entfernen.
  1. 7. Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung hat nach Anhörung
  1. a) von Vertreterinnen oder Vertretern, die von den zuständigen Bundesministerinnen und Bundesminister ernannt wurden, wobei jede Bundesministerin oder jeder Bundesminister eine Vertreterin oder einen Vertreter zu ernennen hat, und
  2. b) der Mitglieder der Delegiertenversammlung gemäß § 5a Abs. 1 und 2 Z 1 und 2 FTFG
  1. dem Datenschutzrat (§ 14 DSG) in Abständen von fünf Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.
  1. 8. Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Abs. 2 Z 1 zu entsprechen.

(2) Zur Erleichterung der Identifikation im Tätigkeitsbereich „Forschung“ (BF-FO) gemäß § 9 Abs. 1 des E‑Government-Gesetzes (E-GovG), BGBl. I Nr. 10/2004, sind die §§ 14 und 15 E‑GovG im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E‑GovG, die für Verantwortliche des öffentlichen Bereichs gelten, wie insbesondere die §§ 8 bis 13 E‑GovG, anzuwenden. Für Zwecke dieses Bundesgesetzes dürfen wissenschaftliche Einrichtungen (§ 2b Z 12), insbesondere auf Grundlage des Art. 9 Abs. 2 Buchstabe g, i und j DSGVO, somit

  1. 1. sämtliche personenbezogene Daten jedenfalls verarbeiten, insbesondere im Rahmen von Big Data, personalisierter Medizin, biomedizinischer Forschung, Biobanken und der Übermittlung an andere wissenschaftliche Einrichtungen und Auftragsverarbeiter, wenn
  1. a) anstelle des Namens, bereichsspezifische Personenkennzeichen oder andere eindeutige Identifikatoren zur Zuordnung herangezogen werden oder
  2. b) die Verarbeitung in pseudonymisierter Form (Art. 4 Nr. 5 DSGVO) erfolgt oder
  3. c) Veröffentlichungen
  1. aa) nicht oder
  2. bb) nur in anonymisierter oder pseudonymisierter Form
  1. d) die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Offenlegung direkt personenbezogener Daten an Dritte (Art. 4 Nr. 10 DSGVO) damit verbunden ist,
  1. 2. die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) sowie von verschlüsselten bPK gemäß § 13 Abs. 2 E-GovG innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist von der Stammzahlenregisterbehörde verlangen, wenn
  1. a) die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,
  2. b) die Kosten für die Ausstattung mit bereichsspezifischen Personenkennzeichen ersetzt werden und
  3. c) die Antragstellerin oder der Antragsteller zumindest Vorname, Familienname und Geburtsdatum für jeden auszustattenden Datensatz bereitstellt
  1. 3. von Verantwortlichen, die bundesgesetzlich vorgesehene Register – mit Ausnahme der in den Bereichen der Gerichtsbarkeit sowie der Rechtsanwälte und Notare im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und des Strafregisters – führen, sowie im Falle von ELGA von der ELGA-Ombudsstelle, den Zugang zu Daten (§ 2b Z 5), bei denen keine Identifizierung von betroffenen Personen oder Unternehmen durch Namen, Anschrift oder anhand einer öffentlich zugänglichen Identifikationsnummer möglich ist, innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist aus diesen Registern in elektronischer Form verlangen, wenn
  1. a) die Verarbeitung
  1. aa) ausschließlich für Zwecke der Lebens- und Sozialwissenschaften erfolgt und
  2. bb) auch einem öffentlichen Interesse dient, insbesondere eine Zielsetzung gemäß Art. 23 Abs. 1 DSGVO erfüllt,
  1. b) das Register in einer Verordnung gemäß § 38b angeführt ist,
  2. c) die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,
  3. d) die Kosten für die Gewährung des Zugangs zu Daten (§ 2b Z 5) ersetzt werden und
  4. e) falls ein Abgleich mit vorhandenen Daten beantragt wird, beim Antrag auf Gewährung des Zugangs zu Daten (§ 2b Z 5) die entsprechenden bPK gemäß § 13 Abs. 2 E-GovG der betroffenen Personen zur Verfügung gestellt werden.

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 2 siehe Anlage 1)

(3) Im Anwendungsbereich dieses Bundesgesetzes ist die Verarbeitung von Daten (§ 2b Z 5) gemäß Art. 9 Abs. 2 Buchstabe j DSGVO zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zweckes durch die Angabe

  1. 1. eines Forschungsbereiches oder
  2. 2. mehrerer Forschungsbereiche oder
  3. 3. von Forschungsprojekten oder
  4. 4. von Teilen von Forschungsprojekten

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 3 siehe Anlage 2)

(4) Hinsichtlich der Weiterverarbeitung gemäß Art. 5 Abs. 1 Buchstabe b DSGVO zu Zwecken gemäß Art. 89 Abs. 1 DSGVO stellen diese keine unzulässigen Zwecke im Sinne des § 62 Abs. 1 Z 2 DSG dar.

(5) Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen personenbezogene Daten für Zwecke gemäß Art. 89 Abs. 1 DSGVO unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden, soweit gesetzlich keine zeitlichen Begrenzungen vorgesehen sind.

(6) Die folgenden Rechte finden insoweit keine Anwendung, als dadurch die Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird:

  1. 1. Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),
  2. 2. Recht auf Berichtigung (Art. 16 DSGVO),
  3. 3. Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO),
  4. 4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  5. 5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie
  6. 6. Widerspruchsrecht (Art. 21 DSGVO).

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 6 siehe Anlage 3)

(7) Auf Grundlage des Art. 9 Abs. 2 Buchstabe j DSGVO ist im Sinne des § 7 Abs. 2 Z 1 DSG die Einholung einer Genehmigung der Datenschutzbehörde gemäß § 7 Abs. 2 Z 3 DSG nicht erforderlich, wenn die Verarbeitung in Übereinstimmung mit diesem Abschnitt erfolgt.

(8) Abweichend von § 12 Abs. 4 Z 3 und 4 DSG ist im Anwendungsbereich dieses Bundesgesetzes und des § 44 KAKuG sowohl der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten als auch die Auswertung von mittels Bildaufnahmen gewonnen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium für Zwecke gemäß Art. 89 Abs. 1 DSGVO zulässig, vorausgesetzt

  1. 1. die Verarbeitung erfolgt durch wissenschaftliche Einrichtungen und
  2. 2. durch die Verarbeitung erfolgt keine Veröffentlichung personenbezogener Daten.

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 8 siehe Anlage 4)

(9) Bereichsspezifische Personenkennzeichen (§ 9 E-GovG) dürfen für Zwecke dieses Bundesgesetzes in maschinenlesbarer Form an Forschungsmaterial (§ 2b Z 6) angebracht werden.

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 9 siehe Anlage 5)

Zuletzt aktualisiert am

14.12.2021

Gesetzesnummer

10009514

Dokumentnummer

NOR40239601

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)