Hosting

§ 8.

(1) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 für Schulen sind in Rechenzentren zu betreiben, die sich im EWR-Raum bzw. in Staaten, hinsichtlich derer ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO besteht, befinden und geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen aufweisen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.

(2) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 2 bis 4 können über die Regelung in Abs. 1 hinaus auch in sonstigen Rechenzentren geeigneter Clouddiensteanbieter gehostet werden. Beim Heranziehen solcher Clouddiensteanbieter sind jedenfalls die Bestimmungen des Europäischen Datenschutzausschusses zu genehmigten Verhaltensregeln nach Art. 40 DSGVO zu berücksichtigen. Es sind nur jene Clouddiensteanbieter heranzuziehen, die eine Vereinbarung mit dem BMBWF abgeschlossen haben. Diese hat sich nach den Rahmenbedingungen des Bundesministeriums für Bildung, Wissenschaft und Forschung für den Einsatz privater Clouddiensteanbieter im IKT-gestützten Unterricht zu richten.

(3) Zur Sicherstellung der IT-Sicherheit können IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 bis 5 auch für mehrere Schulen zentral gehostet werden, wobei durch eine Berechtigungsverwaltung sicherzustellen ist, dass auf Schülerinnen- und Schülerdaten einer Schule nur durch die jeweilige Schulleitung zugegriffen werden darf.

Schlagworte

Schülerinnendaten

Zuletzt aktualisiert am

31.08.2021

Gesetzesnummer

20011647

Dokumentnummer

NOR40237638