Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Datenschutz in Schulen Datenschutzinformation gemäß Art. 12 ff DSGVO im Rahmen der Schulverwaltung an österreichischen Schulen gemäß Art. 14 B-VG

Verarbeitungstätigkeit
Verantwortlicher
Kontaktdaten der/des Datenschutzbeauftragten
Rechtsgrundlage und Zwecke der Datenverarbeitungen an österreichischen Schulen (Art. 6 DSGVO)
Datenkategorien
Übermittlung und Empfänger
Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht
Speicherdauer
Rechte des Betroffenen
Automatisierte Entscheidungsfindung
Dokumente zur DSGVO
Informationen zu zentralen Shared Services

Für die österreichischen Schulen hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Personenbezogene Daten werden daher ausschließlich auf Grundlage der Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der österreichischen Rechtslage verarbeitet. Alle Mitarbeiterinnen und Mitarbeiter werden datenschutzrechtlich geschult und verarbeiten Daten verantwortungsvoll im Rahmen der gesetzlichen Grundlagen. Zudem wurden technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von den Schulen als auch von benötigten externen Dienstleistern (zum Beispiel Bundesrechenzentrum) beachtet werden. Schließlich möchten wir, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Im Folgenden wollen wir Sie über wichtige datenschutzrechtliche Grundlagen und Prozesse in der Schulverwaltung informieren:

Verarbeitungstätigkeit

Als öffentliche Einrichtungen handeln Schulen entsprechend dem verwaltungsrechtlichen Legalitätsprinzips, das heißt dass die Tätigkeit auf österreichischem und europäischem Recht beruht. Daher sind die geltenden Normen auch für die Verarbeitung personenbezogener Daten in der Regel die relevante Rechtsgrundlage (Artikel 6 beziehungsweise 9 DSGVO). Im konkreten Einzelfall kommt aber auch ein Vertrag oder eine sonstige rechtliche Verpflichtung in Betracht. Soweit Sie Ihre Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, ist diese die Grundlage und gleichzeitig die Grenze dafür.

Auch die Dauer der Datenspeicherung ergibt sich grundsätzlich aus der jeweiligen Rechtsgrundlage des Einzelfalls (gesetzliche Vorgaben, Vertragsinhalt oder dergleichen).

Der Zweck der Verarbeitung von personenbezogenen Daten ist ebenso durch die österreichische und europäische Rechtslage bestimmt und orientiert sich an den gesetzlichen Aufgaben der Schule. Grundlage hierfür sind die Schulgesetze in der jeweils geltenden Fassung für Datenverarbeitungen, die im Vollzug des Schulrechts erfolgen. (siehe hier insbesondere Anlage 1, 1a und 2 Bildungsdokumentationsgesetz), sowie Serviceleistungen auf Schülerwunsch (zum Beispiel Kopiersystem, Essensbestellung)

Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist grundsätzlich die/der jeweilige Schulleiter/in gemäß § 2 Abs. 3 Bildungsdokumentationsgesetz. Kontaktinformationen finden sich für alle österreichischen Schulen gemäß Art. 14 B-VG im offiziellen Schulverzeichnis.

Ausgehend vom Aufbau der DSGVO und den dort allgemein festgelegten Pflichten der Verantwortlichen sollen die einzelnen Punkte je nach überwiegender funktionaler Zuständigkeitssphäre zwischen BMBWF und den Schulleitungen sinngemäß nach folgenden Aspekten aufgeteilt werden:

BMBWF:

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (= privacy by design & privacy by default) (nach Art. 25 DSGVO)
  • Auftragsverarbeitervereinbarungen mit allen Auftragnehmern abschließen (nach Art. 28 DSGVO)
  • Sicherheit der Verarbeitung (nach Art. 32 DSGVO)
  • Datenschutzfolgeabschätzung (nach Art. 35 f DSGVO)
  • Verarbeitungsverzeichnis (nach Art. 30 DSGVO)
  • Datenschutzinformation (nach Art. 12 ff DSGVO)

Schulleiterinnen und Schulleiter:

  • Lokale Datenverarbeitung und dabei insbes. Rechtmäßigkeit, Vertraulichkeit und Richtigkeit der Erhebung (nach Art. 5 f DSGVO)
  • Betroffenenrechtsanfragen, wie zum Beispiel Auskunfts-, Richtigstellung- und Löschungsanfragen, beantworten (nach Art. 15 ff DSGVO)
  • Meldung von gegebenenfalls auftretenden Datenschutzverletzungen (nach Art. 33 f DSGVO)

Kontaktdaten der/des Datenschutzbeauftragten

In den Bildungsdirektionen ist ein/e Datenschutzbeauftragte/r für das jeweilige Bundesland eingerichtet.

Liste der Datenschutzbeauftragten in den Bildungsdirektionen sowie für Zentrallehranstalten und Pädagogische Hochschulen

Rechtsgrundlage und Zwecke der Datenverarbeitungen an österreichischen Schulen (Art. 6 DSGVO

  • Alle schulgesetzlichen Verpflichtungen, die für die Wahrnehmung von Aufgaben erforderlich sind, die im öffentlichen Interesse liegen beziehungsweise die zur Erfüllung einer rechtlichen Verpflichtung im Zuge der Schulverwaltung erforderlich sind. (siehe hier insbesondere Anlage 1, 1a und 2 Bildungsdokumentationsgesetz). Hier besteht auf Grund des Schulrechts die gesetzliche Verpflichtung der Schüler/innen beziehungsweise Erziehungsberechtigten zur Bereitstellung der erforderlichen personenbezogenen Daten.
  • Serviceleistungen auf Schülerwunsch (zum Beispiel Kopiersystem, Essensbestellung, Bereitstellung von edu.Lizenzen) sowie Öffentlichkeitsarbeit der Schule (zum Beispiel Fotos von Schüler/innen bei Schulveranstaltungen). Soweit die Datenverarbeitung auf Einwilligung beruht, besteht das jederzeitige Recht auf Widerruf gemäß Art 7 DSGVO.
  • Weitergabe von Daten im Notfall – zum Beispiel Übergabe der Kontaktdaten der Eltern eines Schülers bei Verletzung an die Rettung

Datenkategorien

Die Aufzählung der für die Vollziehung des Schulrechts zu verarbeitenden Datenkategorien ist in §§ 3 ff in Verbindung mit den Anlagen des Bildungsdokumentationsgesetzes gesetzlich geregelt.
Generell werden im Rahmen der Schulverwaltung Daten nur bei den Schüler/innen beziehungsweise Erziehungsberechtigten selbst erhoben.

Übermittlung und Empfänger

Auf Grund gesetzlicher Regelungen im Bildungsdokumentationsgesetz sind folgende Übermittlungen von Schülerdaten generell vorgesehen:

  • an den zuständigen Bundesminister zur Führung der Gesamtevidenzen (im Wege über die Bundesanstalt „„Statistik Österreich“) und der Evidenz über den Personal-, Betriebs- und Erhaltungsaufwand der Bildungseinrichtung sowie zum Qualitätsmanagement und Bildungscontrolling gemäß § 5 BD-EG in pseudonymisierter Form;
  • an die Bundesanstalt Statistik Österreich zur Erstellung der Bundesstatistik
  • an die Stammzahlenregisterbehörde im Rahmen ihrer Befugnisse nach dem E-Government-Gesetz.

Als Serviceleistung für Schüler/innen können auf Grund der Einwilligung der Schüler/innen beziehungsweise Erziehungsberechtigten folgende Übermittlungen durch Schnittstellen zwischen Schülerverwaltung und Service-Institution automatisiert durchgeführt werden.

  • Verkehrsverbünde im Zuge der Schülerfreifahrt
  • Kantinenbetreiber zur Essensverwaltung
  • Alumni-Verbände an Schulen, Elternvereine
  • IT-Dienstleister (zum Beispiel zum Nachweis der Berechtigung des Bezugs verbilligter Edu-Lizenzen
  • und ähnliche

Übermittlung in Drittländer oder Internationale Organisationen

Im Zuge der Schulverwaltung an österr. Schulen erfolgt grundsätzlich keine Datenübermittlung an Staaten außerhalb der EU. Für Datenübermittlungen im Bereich der österr. Auslandsschulen sind die Bestimmungen in den jeweiligen völkerrechtlichen Verträgen nach Maßgabe der Grundsätze der DSGVO anzuwenden. Datenübermittlungen im Zuge des internationalen Schüleraustausches (zum Beispiel Erasmus) beruhen prinzipiell auf Einwilligung.

Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht

IT-gestützter Unterricht ist seit langem in den meisten Bildungssystemen ein wesentliches Element. Wie auch in IT-Anwendungsszenarien in anderen Gesellschaftsbereichen wird eine verstärkte Bedeutung von Clouddiensten privater Anwender (etwa Apple, Google, Microsoft) festgestellt. Aufgrund der Größe des Benutzerkreises (1,2 Millionen Schüler/innen, 120.000 Lehrer/innen an 6.000 Schulen) ist (derzeit) eine Hostinglösung, die für diese Größe performant skaliert, in Rechenzentren der öffentlichen Hand nicht für jede Verarbeitungstätigkeit (etwa Schüler/innen-Postfächer, Distance Learning-Tools) et cetera realisierbar. Verlagerung der Server auf einzelne Schulstandorte beziehungsweise eine BYOD-Lösung am schülereigenen Endgerät würden zu deutlich höheren IT-Sicherheitsrisiken als der Betrieb bei einem privaten Clouddiensteanbieter führen.

Daher ist unter folgenden Rahmenbedingungen der Einsatz privater Clouddienste im IT-gestützten Unterricht (und nicht der Einsatz in der Schulverwaltung) aus datenschutzrechtlicher Sicht zulässig:

  • Abgrenzung der Anwendungskategorien Verwaltung und Pädagogik
  • Anforderungen an Clouddiensteanbieter (Auftragsverarbeitervereinbarung, Eigenerklärung, et cetera)
  • Geeignete rechtliche, technisch sowie organisatorische Maßnahmen
  • Datenschutz-Folgeabschätzung für Verarbeitungstätigkeiten im IT-gestützten Unterricht
  • Einordnung des IT-gestützten Unterrichts gemäß Art 6 DSGVO als rechtliche (gesetzliche) Verpflichtung beziehungsweise aus öffentlichem Interesse
  • Datenschutz-Schulungen, Bewusstseinsbildung im Unterricht
  • Internationaler Datentransfer (hier sollen den derzeit vorliegenden Empfehlungen zur Umsetzung des EuGH-Urteils Schrems II folgend insbesondere Fragen zu (zukünftigen) rechtlichen, technischen und organisatorischen Maßnahmen der privaten Clouddiensteanbieter definiert werden, die in einem ersten Schritt durch die Verantwortlichen im öffentlichen Bereich an diese gerichtet werden. Die Anpassung der bisherigen rechtlichen, technischen und organisatorischen Maßnahmen durch private Clouddiensteanbieter in Reaktion auf die jüngsten Erkenntnisse des EuGH im Urteil Schrems II ist durch die Verantwortlichen im Bildungsbereich zu evaluieren.)

Um die derzeit bestehenden europaweit offenen Themen bezüglich der Geeignetheit der von den Clouddiensteanbietern verwendeten Standarddatenschutzklauseln und deren erforderlichenfalls zusätzlichen rechtlichen, technischen und organisatorischen Maßnahmen zu klären, wurde ein Fragenkatalog (Anhang 1 in Rahmenbedingungen für den Einsatz privater Clouddiensteanbieter im IT-gestützten Unterricht (PDF, 456 KB)) ausgearbeitet und mit anderen Ressorts abgestimmt. Dieser wurde den US-basierten Clouddiensteanbietern zur Beantwortung übermittelt. Aufbauend auf diese Antworten ist zukünftig geplant, die Verarbeitungstätigkeit IT-gestützter Unterricht unter Heranziehung von privaten Clouddiensteanbietern in einem Verfahren gemäß Art. 42  DSGVO zu zertifizieren, sobald eine diesbezügliche Zertifizierungsstelle durch die österreichische Datenschutzbehörde akkreditiert ist.

Ausführliche Unterlagen zum Thema (PDF, 456 KB)

Von folgenden Clouddiensteanbietern liegt eine Eigenerklärung / Beantwortung von FAQ vor, in der spezifische Fragen des BMBWF zum Datenschutz der angebotenen Cloudprodukte bei Verwendung im Bildungsbereich beantwortet werden. Die Links zu den Eigenerklärungen des jeweiligen Clouddiensteanbieters finden sich in alphabetischer Reihenfolge hier (Stand der Dokumente: April 2020):

Speicherdauer

Diese ist durch die jeweiligen gesetzlichen Materienbestimmungen vorgegeben (siehe etwa: § 77 SchUG zum Klassenbuch, § 77a SchUG zur Aufbewahrung von [Prüfungs]Protokollen und Aufzeichnungen)

Rechte des/der Betroffenen

Sie haben das Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten. Die Rechte der/des Betroffenen müssen gegenüber dem Verantwortlichen geltend gemacht werden. Dies ist gemäß § 2 Abs. 3 Bildungsdokumentationsgesetz der jeweilige Schulleiter. Kontaktinformationen finden sich für alle österr. Schulen gemäß Art. 14 B-VG im offiziellen Schulverzeichnis.

  • Soweit die Datenverarbeitung auf Einwilligung beruht besteht das jederzeitige Recht auf Widerruf gemäß Art 7 DSGVO.
  • Eine betroffene Person hat das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden. (Art 15 DSGVO)

Weitere Betroffenenrechte (Art. 16 – 21 DSGVO)

  • Eine betroffene Person hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.
  • Eine betroffene Person hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.
  • Eine betroffene Person hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind..
  • Eine betroffene Person hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch einzulegen, sofern der Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweist (zum Beispiel Gesetzesvollzug), die die Interessen, Rechte und Freiheiten der Betroffenen Person überwiegen.

Automatisierte Entscheidungsfindung

Im Bereich der Schulverwaltung sowie Leistungsbeurteilung finden keine automatisierten Entscheidungsfindungen einschließlich Profiling statt, die dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt.

Aufsichtsbehörde

Österreichische Datenschutzbehörde
www.dsb.gv.at
T +43 1 52152-0
dsb@dsb.gv.at

Beschwerderecht (Art 77 DSGVO)

Wenn Sie sich aufgrund von Datenverarbeitungen einer Schule in ihren Datenschutzrechten verletzt erachten, wenden Sie sich bitte zuerst an die dortige Schulleitung, beziehungsweise an den Datenschutzbeauftragten der jeweiligen Bildungsdirektion. Zudem haben Sie die Möglichkeit, eine Beschwerde an die datenschutzrechtliche Aufsichtsbehörde zu erheben. Das ist in Österreich die Datenschutzbehörde.

Dokumente zur DSGVO

Links

Informationen zu zentralen Shared Services

Portal Digitale Schule

Aus Datensicherheits-, Synergie-, Aufwands- und Kostengründen werden den Schulen sukzessive zentrale Shared Services (Portal Digitale Schule, Schülerverwaltung Sokrates im Bund, Web-Untis, Lernplattformen, et cetera) angeboten und damit einerseits ein ausfalls- und qualitätsgesicherter sowie andererseits ein einheitlicher und schulweit standardisierter Einsatz im Unterricht gewährleistet.

Aus Sicht der Datensicherheit und des Datenschutzes führt insbesondere die professionelle Wartung der einzelnen Anwendungen sowie ein sicheres Hosting meist im Bundesrechenzentrum, zu einer deutlich erhöhten IT-Sicherheit. Für alle Anwendungen, die als Shared Services für Schulen betrieben werden, ist durch das Konzept der mandantenspezifischen Datenbank technisch und organisatorisch sichergestellt, dass in Umsetzung der datenschutzrechtlichen Vorgaben im Bildungsdokumentationsgesetz nur die jeweilige Schule die Daten ihrer Schüler/innen verarbeiten kann. Die Verarbeitung an der Schule erfolgt über browserunterstützte Anwendungen, sodass insbesondere eine lokale Speicherung von Schülerdaten auf potentiell unsicheren Endgeräten vermieden wird.

Durch Einbindung des zentralen behördlichen Identity- und Accessmanagementsystem des Portal Austria ist eine hochwertige Authentifizierung sichergestellt.

Das Portal Digitale Schule ist eine Plattform, die eine zentrale Zugangsmöglichkeit zu bereits bestehenden Anwendungen und Services im Schulbereich für PädagogInnen, Lernende und ab Ende 2020 auch Erziehungsberechtigte ermöglicht. Das PoDS ist nicht als zentraler Speicherort für Daten konzipiert, sondern als zentraler Einstiegspunkt, um die Datenhaltung im Schulalltag zu erleichtern.

Je nachdem, welche Anwendungen und Services von Ihrer Schule bereits in Verwendung sind, bietet das PoDS einen zentralen Zugang beispielsweise zu:

  • Administration, Klassenbuch, Notenverwaltung (zum Beispiel Sokrates, WebUntis)
  • Kollaboration und Kommunikation zwischen Lehrenden und Lernenden (zum Beispiel LMS, Moodle, Office365, GSuite, elektronische Mitteilungshefte)
  • Inhaltliche Angebote (zum Beispiel Eduthek, EduTube, Digi4School)
  • Administration, Inhalte und die Organisation des Lernprozesses beziehungsweise Unterrichts über Lernplattformen.