Allgemeine datenschutzrechtliche Bestimmungen

§ 4.

(1) Verantwortliche im Sinne des Art. 4 Z 7 DSGVO sind

1. 1. die jeweilige Schulleiterin bzw. der jeweilige Schulleiter hinsichtlich

1. a) der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und Einhaltung der Grundsätze des Art. 5 DSGVO durch die Bildungseinrichtung,
2. b) der Wahrung der organisatorischen Datensicherheitsmaßnahmen durch die Bildungseinrichtung gemäß § 9 IKTSchulverordnung, BGBl. II Nr. 382/2021, sowie
3. c) der Wahrung der Rechte der betroffenen Schülerinnen oder Schüler einer Bildungseinrichtung sowie deren Erziehungsberechtigter,

• wobei die Schulleiterin bzw. der Schulleiter hinsichtlich ihrer datenschutzrechtlichen Aufgaben durch eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten in der zuständigen Schulbehörde zu unterstützen ist;

1. 2. die Stelle des öffentlichen Bereichs bzw. eine Schulerhalterin oder ein Schulerhalter, die bzw. der über die technisch-organisatorische Ausgestaltung und den Einsatz der ITSysteme und Dienste entscheidet, hinsichtlich der Gewährleistung der Datensicherheit derselben (zB einer Schulverwaltungssoftware und deren Hosting);
2. 3. die zuständige Bildungsdirektorin oder der zuständige Bildungsdirektor für die Evidenzen der Schülerinnen und Schüler hinsichtlich des gleichwertigen Unterrichts für die der allgemeinen Schulpflicht unterliegenden Schülerinnen und Schüler gemäß § 5 Abs. 3 und 4 und
3. 4. die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung für

1. a) die Gesamtevidenzen der Schülerinnen und Schüler und der Studierenden, die Durchführung von Vorhaben im öffentlichen Interesse gemäß § 13, den Datenverbund der Schulen und das Bildungsstammportal des Bundes, wobei die Bundesrechenzentrum GmbH (BRZ GmbH) den Datenverbund der Schulen und das Bildungsstammportal des Bundes als Auftragsverarbeiterin gemäß Art. 4 Z 8 DSGVO nach Maßgabe eines Vertrages gemäß Art. 28 Abs. 3 DSGVO betreibt,
2. b) das Bildungsportal sowie
3. c) für alle IT-Systeme und Dienste, die seitens der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung bereitgestellt werden oder in denen Daten aus dem Datenverbund der Schulen zu Zwecken des Schulrechtsvollzugs verarbeitet werden.

(Anm.: Abs. 2 aufgehoben durch Art. 4 Z 5, BGBl I Nr. 121/2024)

(3) Die zuständige Bundesministerin oder der zuständige Bundesminister hat durch Verordnung festzulegen:

1. 1. geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO (das sind insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen),
2. 2. geeignete technische und organisatorische Maßnahmen zur Abfrage insbesondere im Stammzahlenregister zur Ausstattung mit bereichsspezifischen Personenkennzeichen gemäß den §§ 9 und 10 E-GovG (insbesondere Abfragezeitpunkte, Schnittstellendefinitionen, Übertragungsprotokolle und Datenformate zwischen den Softwareprodukten) und
3. 3. im Einvernehmen mit der Bundesministerin oder dem Bundesminister für Inneres geeignete technische und organisatorische Maßnahmen zur Abfrage im ZMR zur Ausstattung mit Meldedaten gemäß § 2 Z 21 lit. a, sowie im ZPR zur Ausstattung mit allgemeinen Personenstandsdaten der Eltern von Schülerinnen und Schülern (insbesondere Abfragezeitpunkte, Schnittstellendefinitionen, Übertragungsprotokolle und Datenformate zwischen den Softwareprodukten).

(4) Die zuständige Bundesministerin oder der zuständige Bundesminister hat

1. a) den Bildungsdirektorinnen und Bildungsdirektoren sowie
2. b) der Leiterin oder dem Leiter des Instituts des Bundes für Qualitätssicherung im österreichischen Schulwesen (IQS) unbeschadet des § 5 Abs. 2 IQS-G

1. zum Zweck der Wahrnehmung der diesen jeweils gesetzlich übertragenen Aufgaben auf Antrag eine Abfrageberechtigung auf die in der Gesamtevidenz der Schülerinnen und Schüler verarbeiteten Daten im Wege des Datenfernverkehrs zu eröffnen. Dies hat so zu erfolgen, dass statistische Auswertungen unter Wahrung des Statistikgeheimnisses gemäß § 17 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, möglich sind und weder eine Ermittlung und Abspeicherung von Daten über eine bestimmte Bildungsteilnehmerin oder einen bestimmten Bildungsteilnehmer noch ein Rückschluss auf Angaben über bestimmte Bildungsteilnehmerinnen oder Bildungsteilnehmer möglich ist. Abfrageberechtigungen dürfen nur erteilt werden, wenn die Einhaltung der Datensicherheitsmaßnahmen des Art. 32 DSGVO von der Antragstellerin oder vom Antragsteller nachgewiesen wird.

(5) Näheres über die Vorgangsweise bei der Verarbeitung von Daten und über die Voraussetzungen, insbesondere im Hinblick auf Datensicherheitsmaßnahmen gemäß Abs. 4 letzter Satz, unter denen den Bildungsdirektorinnen und Bildungsdirektoren bzw. der Leiterin oder dem Leiter des IQS eine Abfrageberechtigung gemäß Abs. 4 eingeräumt wird, sind von der zuständigen Bundesministerin oder vom zuständigen Bundesminister durch Verordnung festzulegen, wobei insbesondere vorzusehen ist, dass seitens der Antragstellerin oder des Antragstellers sichergestellt wird, dass

1. 1. in ihrem oder seinem Bereich ausdrücklich festgelegt wird, wer (Identität der oder des Abfragenden) unter welchen Voraussetzungen (Bekanntgabe des Abfragezwecks) eine Abfrage durchführen darf;
2. 2. die gemäß Z 1 abfrageberechtigten Mitarbeiterinnen und Mitarbeiter über ihre nach Datenschutzvorschriften bestehenden Pflichten belehrt werden;
3. 3. entsprechende Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte getroffen werden;
4. 4. durch technische oder programmgesteuerte Vorkehrungen Maßnahmen gegen unbefugte Abfragen ergriffen werden;
5. 5. Aufzeichnungen geführt werden, damit tatsächlich durchgeführte Verarbeitungsvorgänge im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (Protokollierung);
6. 6. Maßnahmen zum Schutz vor unberechtigtem Zutritt zu Räumlichkeiten, von denen aus Abfragen durchgeführt werden können, ergriffen werden sowie
7. 7. eine Dokumentation über die nach Z 1 bis 6 getroffenen Maßnahmen geführt wird.

(6) Die Berechtigung zur Abfrage aus der Gesamtevidenz der Schülerinnen und Schüler gemäß Abs. 4 ist zu entziehen, wenn

1. 1. die Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen;
2. 2. Interessen, Grundrechte oder Grundfreiheiten betroffener Personen durch die Erteilung von Auskünften verletzt wurden;
3. 3. gegen Datensicherheitsmaßnahmen gemäß Abs. 5 Z 1 bis 7 oder die allgemeinen Grundsätze des Art. 32 DSGVO verstoßen wurde oder
4. 4. ausdrücklich auf sie verzichtet wird.

(7) Die in den Evidenzen der Schülerinnen und Schüler bzw. jenen der Studierenden enthaltenen Sozialversicherungsnummern oder Ersatzkennzeichen der Schülerinnen, Schüler und Studierenden sind spätestens zwei Jahre nach dem Abgang von der Bildungseinrichtung zu löschen. Die Schulleiterinnen und Schulleiter haben darüber hinaus

1. 1. die Daten gemäß § 5 Abs. 1 Z 3, 8 und 11 sowie der Anlage 1 Z 7, 9, 11 und 12 spätestens zwei Jahre und
2. 2. die Daten gemäß der Anlage 2 Z 6, 7 und 8 60 Jahre

• nach dem Abgang der Schülerin oder des Schülers von der Bildungseinrichtung aus den Evidenzen der Schülerinnen und Schüler zu löschen. Alle übrigen Daten sind nach Maßgabe schul- und hochschulrechtlicher Bestimmungen zu dem jeweils festgelegten Zeitpunkt zu löschen. Die Bestimmungen des Bundesarchivgesetzes, BGBl. I Nr. 162/1999, bleiben davon unberührt.

(8) Die Bundesanstalt „Statistik Österreich“ hat hinsichtlich der gemäß § 18 Abs. 2 für Zwecke der Bundesstatistik zum Bildungswesen übermittelten Daten in jedem Datensatz spätestens 60 Jahre nach der letzten Datenmeldung zu dieser Schülerin oder diesem Schüler bzw. dieser oder diesem Studierenden den Personenbezug zu löschen. Davon abweichend ist der Personenbezug zum Datum gemäß § 18 Abs. 2 Z 1 lit. o spätestens 20 Jahre nach der letzten Datenmeldung zu dieser Schülerin oder diesem Schüler zu löschen.

Zuletzt aktualisiert am

06.08.2024

Gesetzesnummer

20011451

Dokumentnummer

NOR40264679