Allgemeine datenschutzrechtliche Bestimmungen

§ 4.

(1) Verantwortliche im Sinne des Art. 4 Z 7 DSGVO sind

1. 1. für die Evidenzen der Schülerinnen und Schüler gemäß § 5 Abs. 1 und 2 und jene der Studierenden an den Bildungseinrichtungen deren Leiterinnen oder Leiter im Sinne des § 2 Z 8 und 10, bezüglich der Einrichtungen gemäß § 2 Z 4 lit. e deren Erhalterin, sowie
2. 2. bezüglich der Evidenzen der Schülerinnen und Schüler gemäß § 5 Abs. 3 und 4 die zuständige Bildungsdirektorin oder der zuständige Bildungsdirektor.

(2) Werden Zwecke der und Mittel zur Verarbeitung durch Verantwortliche gemäß Abs. 1 gemeinsam mit der zuständigen Bundesministerin oder dem zuständigen Bundesminister festgelegt, so sind die in Abs. 1 genannten Verantwortlichen und die zuständige Bundesministerin oder der zuständige Bundesminister gemeinsam Verantwortliche gemäß Art. 26 DSGVO. Für diese Fälle sind die jeweiligen Verpflichtungen der gemeinsam Verantwortlichen in transparenter Form in einer Vereinbarung festzulegen. Das gilt nicht in den Fällen von Verarbeitungen nach gesetzlichen Vorgaben oder nach Vorgaben der zuständigen Bundesministerin oder des zuständigen Bundesministers, in denen folgende Aufgaben jedenfalls von der zuständigen Bundesministerin oder dem zuständigen Bundesminister zu erfüllen sind:

1. 1. Führung von Verzeichnissen von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO sowie
2. 2. Durchführung allfälliger Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO.

(3) Die zuständige Bundesministerin oder der zuständige Bundesminister hat durch Verordnung festzulegen:

1. 1. geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO (das sind insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen),
2. 2. geeignete technische und organisatorische Maßnahmen zur Abfrage insbesondere im Stammzahlenregister zur Ausstattung mit bereichsspezifischen Personenkennzeichen gemäß den §§ 9 und 10 E-GovG (insbesondere Schnittstellendefinitionen, Übertragungsprotokolle und Datenformate zwischen den Softwareprodukten) und
3. 3. den Inhalt der Vereinbarung gemäß Abs. 2.

(4) Die zuständige Bundesministerin oder der zuständige Bundesminister hat

1. a) den Bildungsdirektorinnen und Bildungsdirektoren sowie
2. b) der Leiterin oder dem Leiter des Instituts des Bundes für Qualitätssicherung im österreichischen Schulwesen (IQS) unbeschadet des § 5 Abs. 2 IQS-G

1. zum Zweck der Wahrnehmung der diesen jeweils gesetzlich übertragenen Aufgaben auf Antrag eine Abfrageberechtigung auf die in der Gesamtevidenz der Schülerinnen und Schüler verarbeiteten Daten im Wege des Datenfernverkehrs zu eröffnen. Dies hat so zu erfolgen, dass statistische Auswertungen unter Wahrung des Statistikgeheimnisses gemäß § 17 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, möglich sind und weder eine Ermittlung und Abspeicherung von Daten über eine bestimmte Bildungsteilnehmerin oder einen bestimmten Bildungsteilnehmer noch ein Rückschluss auf Angaben über bestimmte Bildungsteilnehmerinnen oder Bildungsteilnehmer möglich ist. Abfrageberechtigungen dürfen nur erteilt werden, wenn die Einhaltung der Datensicherheitsmaßnahmen des Art. 32 DSGVO von der Antragstellerin oder vom Antragsteller nachgewiesen wird.

(5) Näheres über die Vorgangsweise bei der Verarbeitung von Daten und über die Voraussetzungen, insbesondere im Hinblick auf Datensicherheitsmaßnahmen gemäß Abs. 4 letzter Satz, unter denen den Bildungsdirektorinnen und Bildungsdirektoren bzw. der Leiterin oder dem Leiter des IQS eine Abfrageberechtigung gemäß Abs. 4 eingeräumt wird, sind von der zuständigen Bundesministerin oder vom zuständigen Bundesminister durch Verordnung festzulegen, wobei insbesondere vorzusehen ist, dass seitens der Antragstellerin oder des Antragstellers sichergestellt wird, dass

1. 1. in ihrem oder seinem Bereich ausdrücklich festgelegt wird, wer (Identität der oder des Abfragenden) unter welchen Voraussetzungen (Bekanntgabe des Abfragezwecks) eine Abfrage durchführen darf;
2. 2. die gemäß Z 1 abfrageberechtigten Mitarbeiterinnen und Mitarbeiter über ihre nach Datenschutzvorschriften bestehenden Pflichten belehrt werden;
3. 3. entsprechende Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verarbeitung der Daten durch Unbefugte getroffen werden;
4. 4. durch technische oder programmgesteuerte Vorkehrungen Maßnahmen gegen unbefugte Abfragen ergriffen werden;
5. 5. Aufzeichnungen geführt werden, damit tatsächlich durchgeführte Verarbeitungsvorgänge im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (Protokollierung);
6. 6. Maßnahmen zum Schutz vor unberechtigtem Zutritt zu Räumlichkeiten, von denen aus Abfragen durchgeführt werden können, ergriffen werden sowie
7. 7. eine Dokumentation über die nach Z 1 bis 6 getroffenen Maßnahmen geführt wird.

(6) Die Berechtigung zur Abfrage aus der Gesamtevidenz der Schülerinnen und Schüler gemäß Abs. 4 ist zu entziehen, wenn

1. 1. die Voraussetzungen, unter denen die Abfrageberechtigung erteilt wurde, nicht mehr vorliegen;
2. 2. Interessen, Grundrechte oder Grundfreiheiten betroffener Personen durch die Erteilung von Auskünften verletzt wurden;
3. 3. gegen Datensicherheitsmaßnahmen gemäß Abs. 5 Z 1 bis 7 oder die allgemeinen Grundsätze des Art. 32 DSGVO verstoßen wurde oder
4. 4. ausdrücklich auf sie verzichtet wird.

(7) Die in den Evidenzen der Schülerinnen und Schüler bzw. jenen der Studierenden enthaltenen Sozialversicherungsnummern oder Ersatzkennzeichen der Schülerinnen, Schüler und Studierenden sind spätestens zwei Jahre nach dem Abgang von der Bildungseinrichtung zu löschen. Die Schulleiterinnen und Schulleiter haben darüber hinaus

1. 1. die Daten gemäß § 5 Abs. 1 Z 3, 8 und 11 sowie der Anlage 1 Z 7, 9, 11 und 12 spätestens zwei Jahre und
2. 2. die Daten gemäß der Anlage 2 Z 6, 7 und 8 60 Jahre

• nach dem Abgang der Schülerin oder des Schülers von der Bildungseinrichtung aus den Evidenzen der Schülerinnen und Schüler zu löschen. Alle übrigen Daten sind nach Maßgabe schul- und hochschulrechtlicher Bestimmungen zu dem jeweils festgelegten Zeitpunkt zu löschen. Die Bestimmungen des Bundesarchivgesetzes, BGBl. I Nr. 162/1999, bleiben davon unberührt.

(8) Die Bundesanstalt „Statistik Österreich“ hat hinsichtlich der gemäß § 18 Abs. 2 für Zwecke der Bundesstatistik zum Bildungswesen übermittelten Daten in jedem Datensatz spätestens 60 Jahre nach der letzten Datenmeldung zu dieser Schülerin oder diesem Schüler bzw. dieser oder diesem Studierenden den Personenbezug zu löschen. Davon abweichend ist der Personenbezug zum Datum gemäß § 18 Abs. 2 Z 1 lit. o spätestens 20 Jahre nach der letzten Datenmeldung zu dieser Schülerin oder diesem Schüler zu löschen.

Zuletzt aktualisiert am

25.01.2021

Gesetzesnummer

20011451

Dokumentnummer

NOR40230940