Datenschutz
Datenschutz in Schulen Datenschutzinformation gemäß Art. 12ff DSGVO im Rahmen der Schulverwaltung an österreichischen Schulen gemäß Art. 14 B-VG
Verarbeitungstätigkeit
Verantwortlicher
Kontaktdaten der/des Datenschutzbeauftragten
Rechtsgrundlage und Zwecke der Datenverarbeitungen an österreichischen Schulen (Art. 6 DSGVO)
Datenkategorien
Übermittlung und Empfänger
Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht
Speicherdauer
Rechte des Betroffenen
Dokumente zur DSGVO
Informationen zu zentralen Shared Services
Für die österreichischen Schulen hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Personenbezogene Daten werden daher ausschließlich auf Grundlage der Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der österreichischen Rechtslage verarbeitet. Alle Mitarbeiterinnen und Mitarbeiter werden datenschutzrechtlich geschult und verarbeiten Daten verantwortungsvoll im Rahmen der gesetzlichen Grundlagen. Zudem wurden technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von den Schulen als auch von benötigten externen Dienstleistern (zum Beispiel Bundesrechenzentrum) beachtet werden. Schließlich möchten wir, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Im Folgenden wollen wir Sie über wichtige datenschutzrechtliche Grundlagen und Prozesse in der Schulverwaltung informieren:
Verarbeitungstätigkeit
Als öffentliche Einrichtungen handeln Schulen entsprechend dem verwaltungsrechtlichen Legalitätsprinzips, das heißt, dass die Tätigkeit auf österreichischem und europäischem Recht beruht. Daher sind die geltenden Normen auch für die Verarbeitung personenbezogener Daten in der Regel die relevante Rechtsgrundlage (Artikel 6 beziehungsweise 9 DSGVO). Im konkreten Einzelfall kommt aber auch ein Vertrag oder eine sonstige rechtliche Verpflichtung in Betracht. Soweit Sie Ihre Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, ist diese die Grundlage und gleichzeitig die Grenze dafür.
Auch die Dauer der Datenspeicherung ergibt sich grundsätzlich aus der jeweiligen Rechtsgrundlage des Einzelfalls (gesetzliche Vorgaben, Vertragsinhalt oder dergleichen).
Der Zweck der Verarbeitung von personenbezogenen Daten ist ebenso durch die österreichische und europäische Rechtslage bestimmt und orientiert sich an den gesetzlichen Aufgaben der Schule. Grundlage hierfür sind die Schulgesetze in der jeweils geltenden Fassung für Datenverarbeitungen, die im Vollzug des Schulrechts erfolgen. (siehe hier insbesondere Anlage 1 und 2 Bildungsdokumentationsgesetz 2020), sowie Serviceleistungen auf Schülerwunsch (zum Beispiel Kopiersystem, Essensbestellung)
Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist grundsätzlich die jeweilige Schulleiterin beziehungsweise der jeweilige Schulleiter gemäß § 4 Abs. 1 Z 1 Bildungsdokumentationsgesetz 2020. Kontaktinformationen finden sich für alle österreichischen Schulen gemäß Art. 14 B-VG im offiziellen Schulverzeichnis.
Weitere Merkmale zur Abgrenzung der datenschutzrechtlichen Verantwortlichkeit bei Datenverarbeitungen am Schulstandort sind in § 15 IKT-Schulverordnung geregelt:
Die Schulleitung ist verantwortlich hinsichtlich der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und Einhaltung der Grundsätze des Art. 5 DSGVO durch die Bildungseinrichtung sowie hinsichtlich der Wahrung des Datenschutzes am Schulstandort gemäß § 4 Abs. 1 BilDokG 2020.
Jene Stelle, die als Maßnahme bezüglich der IT-Ausstattung an Schulen die Entscheidung darüber trifft (etwa für Bundesschulen das BMBWF), ist verantwortlich hinsichtlich der Gewährleistung der Datensicherheit der nötigen IT-Systeme und Dienste für Datenverarbeitungen (zum Beispiel einer Schulverwaltungssoftware und deren Hosting).
Kontaktdaten der/des Datenschutzbeauftragten
In den Bildungsdirektionen ist eine Datenschutzbeauftragte beziehungsweise ein Datenschutzbeauftragter für das jeweilige Bundesland eingerichtet.
Rechtsgrundlage und Zwecke der Datenverarbeitungen an österreichischen Schulen (Art. 6 DSGVO)
- Alle schulgesetzlichen Verpflichtungen, die für die Wahrnehmung von Aufgaben erforderlich sind, die im öffentlichen Interesse liegen beziehungsweise die zur Erfüllung einer rechtlichen Verpflichtung im Zuge der Schulverwaltung erforderlich sind. (siehe hier insbesondere Anlage 1 und 2 Bildungsdokumentationsgesetz 2020, sowie auch zum IT-gestützten Unterricht § 14a SchuG sowie zur Verwaltung von Schüler-Endgeräten § 6 SchDigiG). Hier besteht auf Grund des Schulrechts die gesetzliche Verpflichtung der Schülerinnen und Schüler beziehungsweise Erziehungsberechtigten zur Bereitstellung der erforderlichen personenbezogenen Daten.
- Ein Bündel an technischen und organisatorischen Maßnahmen im Sinne des Art 32 DSGVO sind in der IKT-Schulverordnung ergänzt durch die zugehörigen Erläuterungen (PDF, 180 KB) verbindlich für die Ausgestaltung der IT-Systeme und Dienste im schulischen Umfeld festgelegt.
- Serviceleistungen auf Schülerwunsch (zum Beispiel Kopiersystem, Essensbestellung, Bereitstellung von edu.Lizenzen) sowie Öffentlichkeitsarbeit der Schule (zum Beispiel Fotos von Schülerinnen und Schülern bei Schulveranstaltungen). Soweit die Datenverarbeitung auf Einwilligung beruht, besteht das jederzeitige Recht auf Widerruf gemäß Art 7 DSGVO.
- Weitergabe von Daten im Notfall – zum Beispiel Übergabe der Kontaktdaten der Eltern einer Schülerin beziehungsweise eines Schülers bei Verletzung an die Rettung
Datenkategorien
Die Aufzählung der für die Vollziehung des Schulrechts zu verarbeitenden Datenkategorien ist in § 5 in Verbindung mit den Anlagen 1 und 2 des Bildungsdokumentationsgesetzes 2020 gesetzlich geregelt.
Generell werden im Rahmen der Schulverwaltung Daten nur bei den Schülerinnen und Schülern beziehungsweise Erziehungsberechtigten selbst erhoben.
Übermittlung und Empfänger
Auf Grund gesetzlicher Regelungen im Bildungsdokumentationsgesetz sind folgende Übermittlungen von Schülerdaten generell vorgesehen:
- an den zuständigen Bundesminister zur Führung der Gesamtevidenzen (im Wege über die Bundesanstalt „Statistik Österreich“) und der Evidenz über den Personal-, Betriebs- und Erhaltungsaufwand der Bildungseinrichtung sowie zum Qualitätsmanagement und Bildungscontrolling gemäß § 5 BD-EG in pseudonymisierter Form;
- an die Bundesanstalt Statistik Österreich zur Erstellung der Bundesstatistik
- an die Stammzahlenregisterbehörde im Rahmen ihrer Befugnisse nach dem E-Government-Gesetz.
Als Serviceleistung für Schülerinnen und Schüler können auf Grund der Einwilligung der Schülerinnen und Schüler beziehungsweise Erziehungsberechtigten folgende Übermittlungen durch Schnittstellen zwischen Schülerverwaltung und Service-Institution automatisiert durchgeführt werden.
- Verkehrsverbünde im Zuge der Schülerfreifahrt
- Kantinenbetreiber zur Essensverwaltung
- Alumni-Verbände an Schulen, Elternvereine
- IT-Dienstleister (zum Beispiel zum Nachweis der Berechtigung des Bezugs verbilligter Edu-Lizenzen
- und ähnliche
Übermittlung in Drittländer oder internationale Organisationen
Im Zuge der Schulverwaltung an österr. Schulen erfolgt grundsätzlich keine Datenübermittlung an Staaten außerhalb der EU. Für Datenübermittlungen im Bereich der österr. Auslandsschulen sind die Bestimmungen in den jeweiligen völkerrechtlichen Verträgen nach Maßgabe der Grundsätze der DSGVO anzuwenden. Datenübermittlungen im Zuge des internationalen Schüleraustausches (zum Beispiel Erasmus) beruhen prinzipiell auf Einwilligung.
Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht
IT-gestützter Unterricht ist seit langem in den meisten Bildungssystemen ein wesentliches Element. Wie auch in IT-Anwendungsszenarien in anderen Gesellschaftsbereichen wird eine verstärkte Bedeutung von Clouddiensten privater Anwender (etwa Apple, Google, Microsoft) festgestellt. Aufgrund der Größe des Benutzerkreises (1,2 Millionen Schülerinnen und Schüler, 120.000 Lehrerinnen und Lehrer an 6.000 Schulen) ist (derzeit) eine Hostinglösung, die für diese Größe performant skaliert, in Rechenzentren der öffentlichen Hand nicht für jede Verarbeitungstätigkeit (etwa Schülerinnen- und Schüler-Postfächer, Distance Learning-Tools) et cetera realisierbar. Verlagerung der Server auf einzelne Schulstandorte beziehungsweise eine BYOD-Lösung am schülereigenen Endgerät würden zu deutlich höheren IT-Sicherheitsrisiken als der Betrieb bei einem privaten Clouddiensteanbieter führen.
Daher ist unter folgenden Rahmenbedingungen der Einsatz privater Clouddienste im IT-gestützten Unterricht (und nicht der Einsatz in der Schulverwaltung) aus datenschutzrechtlicher Sicht zulässig:
- Abgrenzung der Anwendungskategorien Verwaltung und Pädagogik
- Anforderungen an Clouddiensteanbieter (Auftragsverarbeitervereinbarung, Eigenerklärung, et cetera)
- Geeignete rechtliche, technisch sowie organisatorische Maßnahmen
- Datenschutz-Folgeabschätzung für Verarbeitungstätigkeiten im IT-gestützten Unterricht
- Einordnung des IT-gestützten Unterrichts gemäß Art 6 DSGVO als rechtliche (gesetzliche) Verpflichtung beziehungsweise aus öffentlichem Interesse
- Datenschutz-Schulungen, Bewusstseinsbildung im Unterricht
- Internationaler Datentransfer (hier sollen den derzeit vorliegenden Empfehlungen zur Umsetzung des EuGH-Urteils Schrems II folgend insbesondere Fragen zu (zukünftigen) rechtlichen, technischen und organisatorischen Maßnahmen der privaten Clouddiensteanbieter definiert werden, die in einem ersten Schritt durch die Verantwortlichen im öffentlichen Bereich an diese gerichtet werden. Die Anpassung der bisherigen rechtlichen, technischen und organisatorischen Maßnahmen durch private Clouddiensteanbieter in Reaktion auf die jüngsten Erkenntnisse des EuGH im Urteil Schrems II ist durch die Verantwortlichen im Bildungsbereich zu evaluieren.)
Um die derzeit bestehenden europaweit offenen Themen bezüglich der Geeignetheit der von den Clouddiensteanbietern verwendeten Standarddatenschutzklauseln und deren erforderlichenfalls zusätzlichen rechtlichen, technischen und organisatorischen Maßnahmen zu klären, wurde ein Fragenkatalog (Anhang 1 in Rahmenbedingungen für den Einsatz privater Clouddiensteanbieter im IT-gestützten Unterricht (PDF, 456 KB)) ausgearbeitet und mit anderen Ressorts abgestimmt. Dieser wurde den US-basierten Clouddiensteanbietern zur Beantwortung übermittelt. Aufbauend auf diese Antworten ist zukünftig geplant, die Verarbeitungstätigkeit IT-gestützter Unterricht unter Heranziehung von privaten Clouddiensteanbietern in einem Verfahren gemäß Art. 42 DSGVO zu zertifizieren, sobald eine diesbezügliche Zertifizierungsstelle durch die österreichische Datenschutzbehörde akkreditiert ist.
Ausführliche Unterlagen zum Thema (PDF, 456 KB)
Von folgenden Clouddiensteanbietern liegt eine Eigenerklärung / Beantwortung von FAQ vor, in der spezifische Fragen des BMBWF zum Datenschutz der angebotenen Cloudprodukte bei Verwendung im Bildungsbereich beantwortet werden. Die Links zu den Eigenerklärungen des jeweiligen Clouddiensteanbieters finden sich in alphabetischer Reihenfolge hier (Stand der Dokumente: April 2020):
- Apple School Manager
- Google G-Suite
- Eigenerklärung (PDF, 75 KB) (April 2022)
- Microsoft Office 365
- Eigenerklärung (PDF, 143 KB) (Mai 2022)
- Datenschutzinformation (PDF, 85 KB) (Mai 2022)
- Datenschutzvereinbarung
Speicherdauer
Diese ist durch die jeweiligen gesetzlichen Materienbestimmungen vorgegeben (siehe etwa: § 77 SchUG zum Klassenbuch, § 77a SchUG zur Aufbewahrung von [Prüfungs]Protokollen und Aufzeichnungen)
Rechte des/der Betroffenen
Sie haben das Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten. Die Rechte der/des Betroffenen müssen gegenüber dem Verantwortlichen geltend gemacht werden. Dies ist gemäß § 4 Abs. 1 Bildungsdokumentationsgesetz 2020 der jeweilige Schulleiter. Kontaktinformationen finden sich für alle österr. Schulen gemäß Art. 14 B-VG im offiziellen Schulverzeichnis.
- Soweit die Datenverarbeitung auf Einwilligung beruht besteht das jederzeitige Recht auf Widerruf gemäß Art 7 DSGVO.
- Eine betroffene Person hat das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden. (Art 15 DSGVO)
Weitere Betroffenenrechte (Art. 16 – 21 DSGVO)
- Eine betroffene Person hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.
- Eine betroffene Person hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.
- Eine betroffene Person hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.
- Eine betroffene Person hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch einzulegen, sofern der Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweist (zum Beispiel Gesetzesvollzug), die die Interessen, Rechte und Freiheiten der Betroffenen Person überwiegen.
Aufsichtsbehörde
Österreichische Datenschutzbehörde
www.dsb.gv.at
T +43 1 52152-0
dsb@dsb.gv.at
Beschwerderecht (Art 77 DSGVO)
Wenn Sie sich aufgrund von Datenverarbeitungen einer Schule in ihren Datenschutzrechten verletzt erachten, wenden Sie sich bitte zuerst an die dortige Schulleitung, beziehungsweise an den Datenschutzbeauftragten der jeweiligen Bildungsdirektion. Zudem haben Sie die Möglichkeit, eine Beschwerde an die datenschutzrechtliche Aufsichtsbehörde zu erheben. Das ist in Österreich die Datenschutzbehörde.
Dokumente zur DSGVO
- Vorlage Auftragsverarbeitervereinbarung (AVV) Schulen (Word, 36 KB)
- Vorlage Art. 32 Kurzformular (Word, 38 KB)
- Vorlage Feststellung der Schutzbedarfsklasse (Excel, 38 KB)
- IT-Sicherheit: Erläuterungen zur Feststellung der Schutzbedarfsklasse (PDF)
Links
- Liste der Datenschutzbeauftragten in den Bildungsdirektionen sowie für Zentrallehranstalten und Pädagogische Hochschulen
- §§ 14a, 57b, 70a, 77, 77a Schulunterrichtsgesetz
- Bildungsdokumentationsgesetz 2020
- Bundesgesetz zur Finanzierung der Digitalisierung des Schulunterrichts (SchDigiG)
- IKT-Schulverordnung
- Datenschutzfolgeabschätzung für das Bildungsdokumentationsgesetz (PDF, 704 KB)
- schulen-online.at
Informationen zu zentralen Shared Services
Aus Datensicherheits-, Synergie-, Aufwands- und Kostengründen werden den Schulen sukzessive zentrale Shared Services (Portal Digitale Schule, Schülerverwaltung Sokrates im Bund, Web-Untis, Lernplattformen, et cetera) angeboten und damit einerseits ein ausfalls- und qualitätsgesicherter sowie andererseits ein einheitlicher und schulweit standardisierter Einsatz im Unterricht gewährleistet.
Aus Sicht der Datensicherheit und des Datenschutzes führt insbesondere die professionelle Wartung der einzelnen Anwendungen sowie ein sicheres Hosting meist im Bundesrechenzentrum, zu einer deutlich erhöhten IT-Sicherheit. Für alle Anwendungen, die als Shared Services für Schulen betrieben werden, ist durch das Konzept der mandantenspezifischen Datenbank technisch und organisatorisch sichergestellt, dass in Umsetzung der datenschutzrechtlichen Vorgaben im Bildungsdokumentationsgesetz nur die jeweilige Schule die Daten ihrer Schülerinnen und Schüler verarbeiten kann. Die Verarbeitung an der Schule erfolgt über browserunterstützte Anwendungen, sodass insbesondere eine lokale Speicherung von Schülerdaten auf potentiell unsicheren Endgeräten vermieden wird.
Durch Einbindung des zentralen behördlichen Identity- und Accessmanagementsystem des Portal Austria ist eine hochwertige Authentifizierung sichergestellt.
Portal Digitale Schule
Das Portal Digitale Schule ist eine Plattform, die eine zentrale Zugangsmöglichkeit zu bereits bestehenden Anwendungen und Services im Schulbereich für Pädagoginnen und Pädagogen, Lernende und ab Ende 2020 auch Erziehungsberechtigte ermöglicht. Das PoDS ist nicht als zentraler Speicherort für Daten konzipiert, sondern als zentraler Einstiegspunkt, um die Datenhaltung im Schulalltag zu erleichtern.
Je nachdem, welche Anwendungen und Services von Ihrer Schule bereits in Verwendung sind, bietet das PoDS einen zentralen Zugang beispielsweise zu:
- Administration, Klassenbuch, Notenverwaltung (zum Beispiel Sokrates, WebUntis)
- Kollaboration und Kommunikation zwischen Lehrenden und Lernenden (zum Beispiel LMS, Moodle, Office365, GSuite, elektronische Mitteilungshefte)
- Inhaltliche Angebote (zum Beispiel Eduthek, EduTube, Digi4School)
- Administration, Inhalte und die Organisation des Lernprozesses beziehungsweise Unterrichts über Lernplattformen.
Verwaltung der Geräteinitiative „Digitales Lernen“
Hier verarbeitete personenbezogene Daten dienen der administrativen Verwaltung gemäß SchDigiG beziehungsweise allgemein als Arbeitsmittel vorgesehener mobiler IT-Geräte der Schülerinnen und Schüler.
Die mobilen IT-Geräte werden an die Schülerinnen und Schüler ausgegeben. Ein Selbstbehalt der Gerätekosten wird an die Erziehungsberechtigten in Rechnung gestellt, außer es wird ein Antrag von Erziehungsberechtigten auf Befreiung gestellt. Das Eigentum der mobilen Endgeräte geht nach Zahlung des Selbstbehaltes (oder nach Befreiung) auf die Schülerinnen und Schüler über.
Die gemäß § 6 SchDigiG vorgesehene IT-Sicherheit und sichere Verwendung der Geräte im Schulnetz wird insbesondere durch ein Gerätemanagement gewährleistet.
edu.digicard
Die edu.digicard ist eine digitale Version der edu.card und ermöglicht Schülerinnen und Schülern in Österreich eine zeitgemäße Nutzung des elektronischen Schülerausweises auf dem eigenen Smartphone. Die Verwendung der edu.digicard App erfolgt auf freiwilliger Basis, wobei für unter 14-Jährige die Erziehungsberechtigten entscheiden, ob eine edu.digicard beantragt wird. Ab dem vollendeten 14. Lebensjahr entscheiden die Schülerinnen und Schüler selbst, ob sie die edu.digicard beantragen und verwenden wollen. Bei der Verwendung der edu.digicard – App werden Zugriffe in Protokolldateien (Serverlogs) für einen Zeitraum von bis zu 6 Monaten gespeichert. Diese Daten dienen der Überprüfung der Systemsicherheit, Fehleranalyse sowie zu statistischen Zwecken und weisen keinen Personenbezug auf. Ansonsten werden ausschließlich die bestehenden Schülerstammdaten in der Schülerverwaltung der jeweiligen Schule zum Nachweis der Schulzugehörigkeit abgefragt.