vorheriges Dokument
nächstes Dokument

BGBl II 201/2007

BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

201. Verordnung: Berechtigung zur Abfrage von Daten aus der Gesamtevidenz

201. Verordnung der Bundesministerin für Unterricht, Kunst und Kultur über die Berechtigung zur Abfrage von Daten aus der Gesamtevidenz

Auf Grund des § 8 Abs. 1, 1b und 2 des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 113/2006, wird verordnet:

Inhaltsverzeichnis

1. Abschnitt
Allgemeine Bestimmungen

§ 1.

Geltungsbereich

§ 2.

Begriffsbestimmungen

2. Abschnitt
Abfrageberechtigung von Landesschulräten

§ 3.

Abfragezweck

§ 4.

Umfang der Abfrageberechtigung

§ 5.

Art der Abfrage

3. Abschnitt
Datensicherheitsmaßnahmen

§ 6.

Verantwortlicher

§ 7.

Belehrungspflicht

§ 8.

Datensicherheit

§ 9.

Technische Vorkehrungen

§ 10.

Entzug der Abfrageberechtigung

§ 11.

Dienstleister

§ 12.

Mitteilungen an den Auftraggeber

4. Abschnitt
Schlussbestimmungen

§ 13.

Geltung und Wirksamkeit anderer Rechtsvorschriften

§ 14.

Personenbezogene Bezeichnungen

§ 15.

In-Kraft-Treten

1. Abschnitt

Allgemeine Bestimmungen

Geltungsbereich

§ 1. Diese Verordnung regelt den Umfang und die Art der Abfrageberechtigung von Landesschulräten im Wege des Datenfernverkehrs auf die in der Gesamtevidenz der Schüler verarbeiteten Daten zum Zweck der summarischen Darstellung des Schulerfolges im Rahmen abschließender Prüfungen.

Begriffsbestimmungen

§ 2. Im Sinne dieser Verordnung sind zu verstehen:

  1. 1. unter Gesamtevidenz: die Gesamtevidenz der Schüler gemäß § 5 und § 6 des Bildungsdokumentationsgesetzes;
  2. 2. unter Auftraggeber (der Gesamtevidenz): der Bundesminister für Unterricht, Kunst und Kultur;
  3. 3. unter Abfrageberechtigter: der Landesschulrat für Burgenland, der Landesschulrat für Kärnten, der Landesschulrat für Niederösterreich, der Landesschulrat für Oberösterreich, der Landesschulrat für Salzburg, der Landesschulrat für Steiermark, der Landesschulrat für Tirol, der Landesschulrat für Vorarlberg sowie der Stadtschulrat für Wien.

2. Abschnitt

Abfrageberechtigung von Landesschulräten

Abfragezweck

§ 3. Den Abfrageberechtigten ist für Zwecke der Schulaufsicht eine Abfrageberechtigung auf die in der Gesamtevidenz verarbeiteten indirekt personenbezogenen Daten in der Weise eröffnet, dass ihnen statistische Auswertungen in Bezug auf den Schulerfolg im Rahmen abschließender Prüfungen möglich sind.

Umfang der Abfrageberechtigung

§ 4. Der Umfang der Abfrageberechtigung ist auf den sachlichen und örtlichen Zuständigkeitsbereich des jeweiligen Abfrageberechtigten sowie auf die in der Anlage genannten Datenarten der Gesamtdatensätze, die von Bildungseinrichtungen gemäß § 2 Abs. 1 Z 1 lit. a und c des Bildungsdokumentationsgesetzes übermittelt worden sind, beschränkt.

Art der Abfrage

§ 5. (1) Die Abfrage von Daten aus der Gesamtevidenz hat durch Auswahllisten so zu erfolgen, dass der Abfrageberechtigte

  1. 1. die Attribute oder eine Kombination von Attributen der in der Anlage genannten Datenarten und
  2. 2. die Gliederungsdarstellung der Datenarten

auswählt.

(2) Das Ergebnis der Abfrage von Daten aus der Gesamtevidenz ist eine summarische Darstellung der in der Anlage genannten Datenarten.

(3) Sofern das Ergebnis der Abfrage einen Rückschluss auf Einzelpersonen zulässt, ist durch programmtechnische Vorkehrungen in der summarischen Darstellung die Ausgabe eines Leerfeldes vorzusehen.

3. Abschnitt

Datensicherheitsmaßnahmen

Verantwortlicher

§ 6. (1) Jeder Abfrageberechtigte hat dem Auftraggeber zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen des Zugriffs auf die Gesamtevidenz und der Abfrage von Daten aus der Gesamtevidenz zu benennen.

(2) Der Verantwortliche hat nach Ermächtigung durch den Auftraggeber Abfrageberechtigungen für die Gesamtevidenz zu erteilen. Der Verantwortliche hat für seinen Zuständigkeitsbereich die Abfrageberechtigungen individuell an abfrageberechtigte Mitarbeiter zuzuweisen und deren Identität im Rahmen der Datensicherheitsmaßnahmen aufzuzeichnen.

(3) Sofern eine derartige Ermächtigung nicht erteilt wird, hat der Auftraggeber Abfrageberechtigungen zu vergeben. Abs. 2 zweiter Satz findet sinngemäß Anwendung.

Belehrungspflicht

§ 7. Abfrageberechtigte Mitarbeiter sind in regelmäßigen Abständen über datenschutzrechtliche Bestimmungen, insbesondere hinsichtlich der Wahrung des Datengeheimnisses, und den Inhalt dieser Verordnung zu belehren.

Datensicherheit

§ 8. (1) Der gemäß § 6 Abs. 1 benannte Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und unter Bedachtnahme auf die wirtschaftliche Vertretbarkeit den Zugriffsschutz zu den Daten der Gesamtevidenz und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung betreffend die Gesamtevidenz in seinem Zuständigkeitsbereich festzulegen sowie die Voraussetzungen für den physischen Zugriff auf die Daten der Gesamtevidenz in seinem Zuständigkeitsbereich zu schaffen.

(2) Abfrageberechtigte und der Auftraggeber haben für den Bereich der Systeme, über die der Zugang zu der Gesamtevidenz erfolgt, sowie im Zusammenhang mit Abfragen aus der Gesamtevidenz die erforderlichen weiteren Datensicherheitsmaßnahmen zu treffen. Über diese sind Aufzeichnungen zu führen, die mindestens drei und höchstens sechs Jahre aufzubewahren sind.

Technische Vorkehrungen

§ 9. (1) Der Auftraggeber hat durch programmtechnische Vorkehrungen sicher zu stellen, dass der Zugriff auf die Gesamtevidenz und die Abfrage von Daten aus der Gesamtevidenz für den Abfrageberechtigten nur in dem zur Erreichung des Abfragezweckes erforderlichen Ausmaß möglich sind (§ 4 und § 5).

(2) Für den Verbindungsaufbau zu der Gesamtevidenz dürfen nur Geräte zum Einsatz kommen, die für Zwecke von Abfragen aus der Gesamtevidenz über ein nach Maßgabe des jeweiligen Standes der Technik anerkanntes Protokoll kommunizieren.

(3) Zugriffe auf die Gesamtevidenz sind nur nach geeigneter Identifikation der abfrageberechtigten Mitarbeiter (Benutzerkennung und Kennwort) und Bekanntgabe des Abfragezweckes zulässig. Kennwörter sind in geeigneter Weise unter Verschluss zu halten und sind nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen zu ändern. Soweit die Nachvollziehbarkeit der Verwendungsvorgänge programmtechnisch nicht möglich ist, sind Aufzeichnungen zu führen, welche die Zulässigkeit der tatsächlichen Zugriffe auf die Gesamtevidenz und Verwendungsvorgänge überprüfbar machen.

(4) Es sind geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen zu treffen, um eine Vernichtung oder Veränderung der Daten in der Gesamtevidenz sowie eine Abfrage von Daten aus der Gesamtevidenz durch Zugriffe nichtberechtigter Personen oder Systeme zu verhindern.

Entzug der Abfrageberechtigung

§ 10. (1) Abfrageberechtigte Mitarbeiter sind von dem gemäß § 6 Abs. 1 benannten Verantwortlichen von der Ausübung ihrer Abfrage jedenfalls dann auszuschließen, wenn

  1. 1. die Voraussetzungen, unter denen die individuelle Zuweisung einer Abfrageberechtigung erfolgt ist, nicht mehr vorliegen oder
  2. 2. die individuelle Zuweisung einer Abfrageberechtigung zur weiteren Erfüllung der übertragenen Aufgaben nicht mehr erforderlich ist oder
  3. 3. Daten aus der Gesamtevidenz nicht entsprechend dem Abfragezweck verwendet wurden.

(2) Unter den in Abs. 1 Z 3 genannten Voraussetzungen kann auch der Auftraggeber die individuelle Zuweisung einer Abfrageberechtigung entziehen.

(3) Abfrageberechtigten ist die Abfrageberechtigung nach Maßgabe des § 8 Abs. 3 des Bildungsdokumentationsgesetzes zu entziehen.

Dienstleister

§ 11. Bedienen sich der Auftraggeber oder die Abfrageberechtigten für den Datenverkehr zu der Gesamtevidenz eines Dienstleisters, haben sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.

Mitteilungen an den Auftraggeber

§ 12. (1) Abfrageberechtigte haben dem Auftraggeber unverzüglich mitzuteilen:

  1. 1. Veränderungen in Bezug auf abfrageberechtigte Mitarbeiter (einschließlich des Entzugs der Abfrageberechtigung), sofern nicht eine Ermächtigung gemäß § 6 Abs. 3 erteilt worden ist,
  2. 2. die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Dienstleisters und
  3. 3. das Auftreten von Programmstörungen, die den Datenbestand gefährden können.

4. Abschnitt

Schlussbestimmungen

Geltung und Wirksamkeit anderer Rechtsvorschriften

§ 13. Soweit in dieser Verordnung auf andere Rechtsvorschriften verwiesen wird, sind diese in der zum Zeitpunkt des In-Kraft-Tretens dieser Verordnung geltenden Fassung anzuwenden.

Personenbezogene Bezeichnungen

§ 14. Personenbezogene Bezeichnungen in dieser Verordnung gelten jeweils auch in ihrer weiblichen Form.

In-Kraft-Treten

§ 15. Diese Verordnung tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft.

Anlage

Anlage 

Schmied

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)