Anforderungen an IT-Systeme und Dienste

§ 7.

(1) Zur Integration weiterer IT-Systeme und Dienste in das Bildungsportal auf Vorschlag einer Bildungsdirektion oder eines privaten Schulerhalters ist durch den Diensteanbieter als Auftragsverarbeiter eine Auftragsverarbeitervereinbarung mit der Bundesministerin oder dem Bundesminister für Bildung als Verantwortlicher für das Bildungsportal abzuschließen und zu dokumentieren, wie die technischen und organisatorischen Maßnahmen dieser Verordnung sowie die Schnittstellenspezifikation und Teilnahmebedingungen des Bildungsportals eingehalten werden.

(2) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 und 2 sind grundsätzlich webbasiert zur Verfügung zu stellen, soweit sie nicht ausschließlich auf dienstlichen Endgeräten im Schulnetz verwendet werden. Beim Design des IT-Systems oder Dienstes ist darauf zu achten, dass die für die Anwenderinnen und Anwender benötigte Funktionalität grundsätzlich ohne Speicherung personenbezogener Daten am Endgerät gewährleistet ist. Die Datensicherheit der IT-Systeme und Dienste kann insbesondere über einschlägige Zertifizierungen nachgewiesen werden. Im Zuge der ersten Inbetriebnahme ist ein dem Stand der Technik entsprechender und dem Risikopotential der Anwendung angemessener Penetrationstest sowie ein Third Party Review zur Bewertung der IT-Sicherheit durchzuführen.

(3) Für IT-Systeme und Dienste, die in einem Bildungsstammportal per Single sign-on (SSO) angebunden sind, ist ein Deep-Link bereitzustellen, der es der Bildungsportalnutzerin bzw. dem Bildungsportalnutzer ermöglicht, direkt über den SSO-Dienst des Bildungsportals in das jeweilige Bildungsstammportal zu gelangen, ohne dass es einer weiteren Anmeldung in diesem bedarf. Weiters ist durch das jeweilige Bildungsstammportal sicherzustellen, dass über eine Schnittstelle des Bildungsportals automatisiert die Berechtigung gepflegt wird, welche Personen oder Personengruppen der jeweiligen Bildungseinrichtung diesen Link (zum jeweiligen IT-Service oder Dienst) aufzurufen berechtigt sind. Dazu ist eine bidirektionale SSO-Kopplung zwischen dem Bildungsportal und dem jeweiligen Bildungsstammportal einzurichten.

(4) Im IT-System und Dienst ist im Zuge jedes Anmeldevorganges sicherzustellen, dass die aktuelle Rollen- und Berechtigungssituation berücksichtigt wird. Daher sind im Zuge des Anmeldevorganges die Informationen aus dem SSO-Token des Bildungsportals zu übernehmen oder die Nutzerdatenschnittstelle des Bildungsportals abzufragen.

Zuletzt aktualisiert am

21.01.2026

Gesetzesnummer

20011647

Dokumentnummer

NOR40275313