§ 2d FOG Grundlegende Bestimmungen zum Schutz personenbezogener Daten

FOG - Forschungsorganisationsgesetz

beobachten
merken
Berücksichtigter Stand der Gesetzgebung: 21.08.2019

(1) Für Verarbeitungen nach diesem Abschnitt sind insbesondere folgende angemessene Maßnahmen, wie sie insbesondere in Art. 9 Abs. 2 Buchstabe j sowie Art. 89 Abs. 1 DSGVO vorgesehen sind, einzuhalten:

1.

Zugriffe auf personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, sind lückenlos zu protokollieren.

2.

Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten auf Grundlage dieses Abschnitts verarbeiten und ihre Mitarbeiterinnen und Mitarbeiter – das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten, die ihnen ausschließlich auf Grundlage dieses Abschnitts anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).

3.

Personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, dürfen ausschließlich für Zwecke dieses Bundesgesetzes verarbeitet werden.

4.

Natürliche Personen, deren personenbezogene Daten auf Grundlage dieses Abschnitts verarbeitet werden, dürfen keine Nachteile aus der Verarbeitung erleiden, wobei die Verarbeitung in Übereinstimmung mit diesem Abschnitt keinen Nachteil darstellt.

5.

Verantwortliche, die Verarbeitungen auf Grundlage des Abs. 2 durchführen, haben

a)

im Internet öffentlich einsehbar auf die Inanspruchnahme dieser Rechtsgrundlage hinzuweisen,

b)

bei Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen die Namensangaben jedenfalls zu löschen,

c)

vor Heranziehung von Registern gemäß Abs. 2 Z 3 jedenfalls einen Datenschutzbeauftragten (Art. 37 DSGVO) zu bestellen,

d)

die Aufgabenverteilung bei der Verarbeitung der Daten (§ 2b Z 5) zwischen den Organisationseinheiten und zwischen den Mitarbeiterinnen und Mitarbeitern ausdrücklich festzulegen,

e)

die Verarbeitung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,

f)

jede Mitarbeiterin und jeden Mitarbeiter über ihre oder seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,

g)

die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Verarbeitung der Daten (§ 2b Z 5) tatsächlich erfolgt, zu regeln,

h)

die Zugriffsberechtigung auf Daten (§ 2b Z 5) und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,

i)

die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,

j)

eine Dokumentation über die nach den lit. d bis i getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern,

k)

ihrem Antrag auf Bereitstellung von Daten gemäß Abs. 2 Z 3 eine von der oder dem Verfügungsbefugten über die Datenbestände aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass sie oder er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt, wobei anstelle dieser Erklärung auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung, RGBl. Nr. 79/1896) vorgelegt werden kann,

l)

bei Verarbeitung von gemäß Abs. 2 Z 3 bereitgestellten Daten (§ 2b Z 5) vorzusehen, dass nur die im Antrag genannten natürlichen Personen auf die gemäß Abs. 2 Z 3 bereitgestellten Daten zugreifen dürfen sowie

m)

bei Übermittlung von Namensangaben gemäß Abs. 2 Z 3 sind diese nach Erreichung der Zwecke gemäß Art. 89 Abs. 1 DSGVO zu löschen.

6.

Die Veröffentlichung von bereichsspezifischen Personenkennzeichen darf unter keinen Umständen erfolgen.

7.

Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung hat nach Anhörung

a)

von Vertreterinnen oder Vertretern, die von den zuständigen Bundesministerinnen und Bundesminister ernannt wurden, wobei jede Bundesministerin oder jeder Bundesminister eine Vertreterin oder einen Vertreter zu ernennen hat, und

b)

der Mitglieder der Delegiertenversammlung gemäß § 5a Abs. 1 und 2 Z 1 und 2 FTFG

dem Datenschutzrat (§ 14 DSG) in Abständen von fünf Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.

8.

Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Abs. 2 Z 1 zu entsprechen.

(2) Zur Erleichterung der Identifikation im Tätigkeitsbereich „Forschung“ (BF-FO) gemäß § 9 Abs. 1 des E-Government-Gesetzes (E-GovG), BGBl. I Nr. 10/2004, sind die §§ 14 und 15 E-GovG im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Verantwortliche des öffentlichen Bereichs gelten, wie insbesondere die §§ 8 bis 13 E-GovG, anzuwenden. Für Zwecke dieses Bundesgesetzes dürfen wissenschaftliche Einrichtungen (§ 2b Z 12), insbesondere auf Grundlage des Art. 9 Abs. 2 Buchstabe g, i und j DSGVO, somit

1.

sämtliche personenbezogene Daten jedenfalls verarbeiten, insbesondere im Rahmen von Big Data, personalisierter Medizin, biomedizinischer Forschung, Biobanken und der Übermittlung an andere wissenschaftliche Einrichtungen und Auftragsverarbeiter, wenn

a)

anstelle des Namens, bereichsspezifische Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) oder andere eindeutige Identifikatoren zur Zuordnung herangezogen werden oder

b)

die Verarbeitung in pseudonymisierter Form (Art. 4 Nr. 5 DSGVO) erfolgt oder

c)

Veröffentlichungen

aa)

nicht oder

bb)

nur in anonymisierter oder pseudonymisierter Form oder

cc)

ohne Namen, Adressen oder Foto

erfolgen oder

d)

die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Offenlegung direkt personenbezogener Daten an Dritte (Art. 4 Nr. 10 DSGVO) damit verbunden ist,

2.

die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) sowie von verschlüsselten bPK gemäß § 13 Abs. 2 E-GovG innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist von der Stammzahlenregisterbehörde verlangen, wenn

a)

die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,

b)

die Kosten für die Ausstattung mit bereichsspezifischen Personenkennzeichen ersetzt werden und

c)

die Antragstellerin oder der Antragsteller zumindest Vorname, Nachname und Geburtsdatum für jeden auszustattenden Datensatz bereitstellt

sowie

3.

von Verantwortlichen, die bundesgesetzlich vorgesehene Register – mit Ausnahme der in den Bereichen der Gerichtsbarkeit sowie der Rechtsanwälte und Notare im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und des Strafregisters – führen, sowie im Falle von ELGA von der ELGA-Ombudsstelle, die Bereitstellung von Daten (§ 2b Z 5) innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist aus diesen Registern in elektronischer Form verlangen, wobei Namensangaben durch bereichsspezifische Personenkennzeichen „Forschung“ (bPK-BF-FO) zu ersetzen sind, es sei denn die Namensangaben sind zur Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO erforderlich, wenn

a)

die Verarbeitung ausschließlich für Zwecke der Lebens- und Sozialwissenschaften erfolgt,

b)

das Register in einer Verordnung gemäß § 38b angeführt ist,

c)

die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,

d)

die Kosten für die Bereitstellung der Daten (§ 2b Z 5) ersetzt werden und

e)

falls ein Abgleich mit vorhandenen Daten beantragt wird, beim Antrag auf Bereitstellung der Daten die entsprechenden bPK gemäß § 13 Abs. 2 E-GovG der betroffenen Personen zur Verfügung gestellt werden.

(3) Im Anwendungsbereich dieses Bundesgesetzes ist die Verarbeitung von Daten (§ 2b Z 5) gemäß Art. 9 Abs. 2 Buchstabe j DSGVO zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zweckes durch die Angabe

1.

eines Forschungsbereiches oder

2.

mehrerer Forschungsbereiche oder

3.

von Forschungsprojekten oder

4.

von Teilen von Forschungsprojekten

erfolgen darf („broad consent“).

(4) Hinsichtlich der Weiterverarbeitung gemäß Art. 5 Abs. 1 Buchstabe b DSGVO zu Zwecken gemäß Art. 89 Abs. 1 DSGVO stellen diese keine unzulässigen Zwecke im Sinne des § 62 Abs. 1 Z 2 DSG dar.

(5) Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen personenbezogene Daten für Zwecke gemäß Art. 89 Abs. 1 DSGVO unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden, soweit gesetzlich keine zeitlichen Begrenzungen vorgesehen sind.

(6) Die folgenden Rechte finden insoweit keine Anwendung, als dadurch die Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird:

1.

Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),

2.

Recht auf Berichtigung (Art. 16 DSGVO),

3.

Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO),

4.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),

5.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie

6.

Widerspruchsrecht (Art. 21 DSGVO).

(7) Auf Grundlage des Art. 9 Abs. 2 Buchstabe j DSGVO ist im Sinne des § 7 Abs. 2 Z 1 DSG die Einholung einer Genehmigung der Datenschutzbehörde gemäß § 7 Abs. 2 Z 3 DSG nicht erforderlich, wenn die Verarbeitung in Übereinstimmung mit diesem Abschnitt erfolgt.

(8) Abweichend von § 12 Abs. 4 Z 3 und 4 DSG ist im Anwendungsbereich dieses Bundesgesetzes und des § 44 KAKuG sowohl der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten als auch die Auswertung von mittels Bildaufnahmen gewonnen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium für Zwecke gemäß Art. 89 Abs. 1 DSGVO zulässig, vorausgesetzt

1.

die Verarbeitung erfolgt durch wissenschaftliche Einrichtungen und

2.

durch die Verarbeitung erfolgt keine Veröffentlichung personenbezogener Daten.

(9) Bereichsspezifische Personenkennzeichen (§ 9 E-GovG) dürfen für Zwecke dieses Bundesgesetzes in maschinenlesbarer Form an Forschungsmaterial (§ 2b Z 6) angebracht werden.“

In Kraft seit 25.05.2018 bis 31.12.9999
Logo Jusline Seitentrenner Paragraf

0 Kommentare zu § 2d FOG


Es sind keine Kommentare zu diesen Paragrafen vorhanden.
Sie können den Inhalt von § 2d FOG selbst erläutern, also einen kurzen eigenen Fachkommentar verfassen. Klicken Sie einfach einen der nachfolgenden roten Links an!
Logo Jusline Seitentrenner Paragraf

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten
Logo Jusline Seitentrenner Paragraf

0 Entscheidungen zu § 2d FOG


Zu diesem Paragrafen sind derzeit keine Entscheidungen verfügbar.
Logo Jusline Seitentrenner Paragraf
Logo Jusline Seitentrenner Paragraf

0 Diskussionen zu § 2d FOG


Es sind keine Diskussionsbeiträge zu diesen Paragrafen vorhanden.
Sie können zu § 2d FOG eine Frage stellen oder beantworten. Klicken Sie einfach den nachfolgenden roten Link an!
Diskussion starten
Inhaltsverzeichnis FOG Gesamte Rechtsvorschrift Drucken PDF herunterladen Haftungsausschluss Vernetzungsmöglichkeiten
§ 2c FOG
§ 2e FOG