Datenschutz-Folgenabschätzung: Internationale Kompetenzerhebungen und Erhebungen zur Qualitätssicherung im Schulwesen

Die folgende Datenschutz-Folgenabschätzung betrifft die Verarbeitung „Internationale Kompetenzerhebungen und Erhebungen zur Qualitätssicherung im Schulwesen“ gemäß den §§ 4 und 5 des IQS-Gesetzes (IQS-G), BGBl. I Nr. 50/2019. Nicht umfasst sind von dieser Datenschutz-Folgenabschätzung nationale Kompetenzerhebungen, insbesondere die iKM^PLUS. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 Buchstabe b DSGVO bzw. § 2 Abs. 3 der Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, BGBl. II Nr. 278/2018, erforderlich, weil es 

• im Rahmen einer umfangreichen Verarbeitung^[1]
• zur Bewertung^[2]
• von Schülerinnen und Schülern (= schutzbedürftigen Personen im Sinne des WP 248 rev0.1 der Artikel 29-Datenschutzgruppe)^[3]
• aufgrund von teilweise sensiblen Daten (= personenbezogenen Daten im Sinne von Art. 9 DSGVO)^[4]

kommt. Es sind somit jedenfalls 4 von 9 der so genannten Artikel 29-Kriterien erfüllt; bereits ab der Erfüllung von 2 Kriterien ist eine Datenschutz-Folgenabschätzung vorzunehmen.^[5]

Verarbeiten gemäß §§ 4 und 5 IQS-G umfassen Verarbeitungstätigkeiten des IQS sowie der Schulen, d. h. einer Vielzahl an Verantwortlichen. Diese Verarbeitungstätigkeiten sind durch einen gemeinsamen Zweck, das ist die "Durchführung und Qualitätssicherung nationaler und internationaler Kompetenzerhebungen"^[6] verbunden, sodass internationale Kompetenzerhebungen ein Projekt darstellen und daher eine gemeinsame Datenschutz-Folgenabschätzung für diese durchgeführt werden darf.^[7]

Systematische Beschreibung

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach Erwägungsgrund 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" der Artikel 29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung erfolgt elektronisch und zum Teil dezentral an der jeweiligen Schule und zum Teil zentral durch Eingabe in eine der Plattformen bzw. Erhebungslösungen des Instituts des Bundes für Qualitätssicherung im österreichischen Schulwesen (IQS) oder eine der beteiligten internationalen Organisationen. Aus Gründen der Datensicherheit gemäß Art. 32 DSGVO unterbleibt an dieser Stelle eine genaue Beschreibung der technischen Umsetzung, um potentielle Angreiferinnen/Angreifer nicht mit wertvollen Informationen über potentielle Schwachstellen zu versorgen.^[8]

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist nach der ausdrücklichen Festlegung des § 4 Abs. 1 IQS-G das IQS. Zusätzlich sind nach dieser Bestimmung "die Schulen verpflichtet, die Durchführung und Qualitätssicherung nationaler und internationaler Kompetenzerhebungen zu unterstützen".

Umfang der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die Internationalen Kompetenzerhebungen und Erhebungen zur Qualitätssicherung im Schulwesen (in Folge „die gegenständlichen Erhebungen“) betreffen derzeit (im gesamten Bundesgebiet):

• PISA (Programme for International Student Assessment): Haupttest ca. 7.800 Schülerinnen/Schüler; Feldtest ca. 3.000 Schülerinnen/Schüler; ab dem Jahr 2025, Durchführung alle 4 Jahre;
• PIRLS (Progress in International Reading Literacy Study): Haupttest ca. 4.500 Schülerinnen/Schüler; Feldtest ca. 1.500 Schülerinnen/Schüler; Durchführung alle 5 Jahre;
• TIMSS (Trends in International Mathematics and Science Study) 4. oder 8. Schulstufe: Haupttest ca. 5.000 Schülerinnen/Schüler; Feldtest ca. 1.400 Schülerinnen/Schüler; Durchführung alle 4 Jahre;
• ICILS (International Computer and Information Literacy Study) auf der 8. Schulstufe: Haupttest ca. 4.000 Schülerinnen/Schüler; Feldtest ca. 1.000 Schülerinnen/Schüler; Durchführung alle 5 Jahre; sowie
• ICCS (International Civic and Citizenship Education Study) auf der 8. Schulstufe: Schülerinnen/Schüleranzahl aktuell noch nicht bekannt; Durchführungen international: 2009, 2016, 2022, 2027; Durchführungen in Österreich: 2009 und 2027.

Der Unterschied zwischen Haupt- und Feldtests besteht darin, dass der Feldtest mit Hilfe einer Stichprobe primär der Erprobung aller Prozesse des Haupttests dient. Darüber hinaus werden Test- und Fragebogenitems erprobt und funktionierende Fragen und Testaufgaben für den Haupttest ausgewählt. Pro Jahr sind somit im Durchschnitt aller Tests ca. 9.000 Schülerinnen/Schüler in Österreich betroffen.

Es handelt sich dabei um ähnliche Verarbeitungsvorgänge im Sinne des Art. 35 Abs. 1 letzter Satz DSGVO, weil die Zwecke ähnlich – oder fast gleich – gelagert sind^[9], sodass eine gemeinsame (thematische) Datenschutz-Folgenabschätzung für diese (thematisch) ähnlichen Verarbeitungsvorgänge durchgeführt werden darf.^[10]

Es handelt sich damit um eine umfangreiche Verarbeitung im Sinne des § 2 Abs. 3 Z 1 der Datenschutz-Folgenabschätzungsverordnung (DSFA-V), BGBl. II Nr. 278/2018 bzw. des Kriteriums 5 der Art-29-Datenschutzgruppe (Art-29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung [DSFA] und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt", WP 248 Rev. 01, 11).

Kontext der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung erfolgt im Kontext der IT-gestützten Schulverwaltung sowie teilweise in den (Software-)Systemen des IQS bzw. der internationalen Partnerorganisationen (insb. IEA^[11], OECD^[12] bzw. deren Vertragspartner).

Die gegenständlichen Erhebungen bauen u. a. auf dem vom Bundesministerium für Bildung, Wissenschaft und Forschung geführten Verzeichnis der Schul- und Schulformkennzahlen auf, das allerdings keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO umfasst (§ 5 Abs. 1 Z 1 und 2 BilDokG 2020).

Weiterer Bearbeitungskontext siehe folgender Punkt "Zweck der Verarbeitung".

Zum Zwecke der statistischen Auswertungen werden Daten im Rahmen der Systemberichterstattung (wie Ergebnisberichte oder Nationaler Bildungsbericht) vom IQS oder externen Forscher/inne/n auf nicht personenbezogener Ebene teilweise mit anderen Datenquellen (z. B. Bildungsevidenz, öffentlich zugängliche Statistikdaten der Statistik Austria) verknüpft.

Zweck der Verarbeitung

(EG 90 sowie Art. 35 Abs. 7 Buchstabe a DSGVO; WP 248 Rev.01, 21 und 28)

Internationale Kompetenzerhebungen erfolgen gemäß § 4 Abs. 1 des IQS-Gesetzes im öffentlichen Interesse zum Zweck der wissenschaftlichen Forschung und der statistischen Auswertung der gewonnenen personenbezogenen Daten für

• die angewandte Bildungsforschung,
• das Bildungsmonitoring,
• die Unterstützung der Qualitätsentwicklung im Schulsystem,
• die Unterstützung der Schulen in ihrer standortbezogenen Unterrichts- und Förderplanung,
• die nationale Bildungsberichterstattung sowie
• nach Maßgabe des § 5 Abs. 4 des Bildungsdirektionen-Einrichtungsgesetzes, BGBl. I Nr. 138/2017 – die Festlegung von Kriterien für die Bewirtschaftung der Lehrpersonalressourcen.

Die Teilnahme der einzelnen Länder an internationalen Studien ist prinzipiell freiwillig. Die Teilnahme an internationalen Studien unterstützt die oben genannten Zwecke, indem länderübergreifend vergleichbare Daten (nach aktuellen wissenschaftlichen Standards) für die Forschung generiert werden und so z. B. best practice Modelle identifiziert werden können (vergleiche dazu u.a. das OECD-Übereinkommen^[13] sowie den im Jahr 1997 gefassten Beschluss der OECD betreffend das "Programme for International Student Assessment (PISA)").

Die OECD^[14] führt beispielsweise zu den Beweggründen von PISA Folgendes aus:

• "Many education systems monitor student learning to provide some answers to these questions. Comparative international analyses can extend and enrich the national picture by establishing the levels of performance being achieved by students in other countries and by providing a larger context within which to interpret national results. They can provide direction for schools’ instructional efforts and for students’ learning as well as insights into curriculum strengths and weaknesses. Coupled with appropriate incentives, they can motivate students to learn better, teachers to teach better and schools to be more effective. They also provide tools to allow central authorities to monitor achievement levels even when administration is devolved and schools are being run in partnership with communities."

Mit Hilfe der internationalen Kompetenzerhebungen können die verfassungsrechtlichen Ziele des österreichischen Schulwesens (Art. 14 B-VG) somit auf eine Art und Weise erreicht werden, die mit bloß nationalen Instrumenten nicht möglich ist.

Aus diesen Gründen ist daher eine Verarbeitung, insbesondere Speicherung jener Daten erforderlich, die der Teilnahme an internationalen Kompetenzerhebungen dienen.

Die Verarbeitung im Bereich der gegenständlichen Erhebungen dient der evidenzbasierten Qualitätssicherung und Qualitätsentwicklung im Schulwesen und ist Teil der staatlichen Aufsicht, um dadurch die Wirksamkeit der Instrumente evidenzbasierter Qualitätsentwicklung im österreichischen Schulwesen weiter zu stärken. Dafür ist es sinnvoll, dass Österreich auch künftig kontinuierlich an internationalen Schülerinnen- und Schülervergleichsstudien teilnimmt.

Personenbezogene Daten

(WP 248 Rev.01, 21 und 28)

Im Rahmen der gegenständlichen Erhebungen werden folgende Daten vom IQS bzw. den Schulen als Verantwortliche verarbeitet:

Daten der Schülerinnen/Schüler

Die Daten der Schülerinnen/Schüler werden – direkt personenbezogen – nur am Schulstandort verarbeitet. Eine Übertragung der Namen der Schülerinnen/Schüler an das IQS erfolgt nicht. Am IQS liegen die Daten pseudonymisiert vor – durch studienspezifische ID^[15].

• individuelle Ergebnisse der Kompetenzerhebungen (Leistungsdaten)
• demografische Daten (Geburtsmonat und Jahr)
• Geschlecht
• Vorliegen von Beeinträchtigungen/Einschränkungen (physisch, psychisch, sprachlich), die die Durchführung des Tests im Einzelfall verunmöglichen
• bildungsrelevante Faktoren, wie etwa Herkunft, Erstsprache oder höchster Bildungsabschluss und Beruf der Erziehungsberechtigten
• sonstige Kontextdaten, wie
  • Daten zum sozioökonomischen Status (z. B. zu Hause vorhandene Ressourcen)
  • Bildungskarriere
  • soziale und emotionale Charakteristiken und Wohlbefinden
  • Erfahrungen und Umgang mit bestimmten inhaltlichen Themen
  • Erfahrungen im Umgang mit digitalen Medien
  • Unterrichten in Zeiten von globalen Krisen
  • schulische Bedingungen, wie Learning in a Digital World und Schulklima

Faktoren, die die Lernsituation der Schülerinnen/Schüler hinsichtlich Unterstützung und Förderung sichtbar machen, wie etwa Lernunterstützung durch Erziehungsberechtigte und andere Personen.

Die Daten bleiben bis zum Ende des betreffenden Schuljahres an der Schule und werden dann gelöscht. § 4 Abs. 1 des IQS-Gesetzes ist die gesetzliche Grundlage der gegenständlichen Erhebungen.

Die Daten zur Erstsprache müssen als sensible Daten angesehen werden, weil die Erstsprache einen Hinweis auf die ethnische Herkunft^[16] geben kann.

Daten der Lehrerinnen/Lehrer

Geburtsjahr, Geschlecht, Unterrichtsfach, Dienstjahre; Geschlecht, Alter; höchster Bildungsabschluss; Ausbildung zur Lehrkraft/Lehramt, Schwerpunkte bei Aus- und Weiterbildung; Teilnahme an Fortbildungen zu unterrichts-fachbezogenen Themen; Bedarf an Fortbildungen zu unterrichtsfachbezogenen Themen; Arten der Fort- und Weiterbildung; Hindernisse für die Teilnahme an Fort- und Weiterbildung; Häufigkeit, mit der zum Vergnügen gelesen wird; Empfindungen bezüglich des Lehrberufs; Einstellung zur Arbeit als Lehrerin/Lehrer;

Daten der Schulleitungen

Berufserfahrung und Ausbildung; Arbeitszufriedenheit (Stress, Einstellung zur Arbeit als Schulleitung an der Schule);

Daten der Eltern

höchster Bildungsabschluss der Eltern; Geburtsort (und ggf. Zuzugsalter) der Schülerinnen/Schüler im In- oder Ausland; zu Hause mit dem Kind am häufigsten gesprochene Sprache der Eltern; ausgeübter Beruf der Eltern; wöchentliche Lesezeit der Eltern; Häufigkeit, mit der Eltern zum Vergnügen lesen; Einstellungen der Eltern zum Lesen

Empfängerinnen und Empfänger

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die oben angeführten Daten werden in pseudonymisierter Form den durchführenden internationalen Organisationen, d. h. der OECD bzw. der IEA sowie deren Vertragspartnern (z. B. Boston College, WESTAT, ACER) zur Verfügung gestellt. Die Pseudonymisierung erfolgt dabei dadurch, dass die Daten nur unter Angabe eines Pseudonyms (studienspezifische ID) von den Schulen an das IQS übermittelt werden und das IQS die Verbindung zwischen Pseudonym und Schülerinnen/Schülername nicht herstellen kann.

Diese Daten werden von der OECD bzw. der IEA in einem zweiten Schritt nochmals mit einem weiteren Schlüssel versehen, sodass zu diesem Zeitpunkt von keiner beteiligten Parteien eine Rückführbarkeit technisch möglich ist (=anonymisiert).

Diese anonymisierten Daten werden der interessierten Öffentlichkeit nur zur Verfügung gestellt, wenn sichergestellt ist, dass aggregierte Gruppen mehr als 5 Personen umfassen. ^[17] Schülerinnen/Schüler-Gruppen (weniger als 6 Personen) werden nicht analysiert.

Speicherdauer

(WP 248 Rev.01, 21 und 28)

Die Daten werden vom IQS unbegrenzt zu Zwecken der Forschung (Art. 89 Abs. 1 DSGVO) aufbewahrt (Art. 5 Abs. 1 Buchstabe e DSGVO in Verbindung mit § 2d Abs. 5 FOG). Hierbei werden die Ergebnisse pseudonymisiert gespeichert.

Funktionelle Beschreibung der Verarbeitungsvorgänge

(WP 248 Rev.01, 21 und 28)

Der Prozess der Datenverarbeitung im Rahmen der gegenständlichen Erhebungen umfasst folgende Schritte:

• Erhebung von Schülerinnen- und Schülerdaten: Schülerinnen- und Schülerdaten werden von den Schulen über sichere Plattformen ans IQS übermittelt (Klasse, Schulform, Geburtsmonat und -jahr, Geschlecht)
• Ergebnisse der Kompetenzmessungen werden mittels eines international zur Verfügung gestellten Testsystems auf USB-Stick oder über eine Online-Plattform erhoben
• Bearbeitung der Ergebnisdaten: Nach Abschluss aller Testungen werden die Ergebnisse der Kompetenzmessungen vom IQS von den USB-Sticks ausgelesen bzw. von der Online-Plattform für die Bewertung der Antworten aufbereitet
• Export der Ergebnisdaten: Für die oben beschriebenen Übermittlungen sind Exportfunktionen in den von internationaler Seite zur Verfügung gestellten Programmen vorgesehen.
• Eine Veröffentlichung anonymisierter Datensätze erfolgt auf internationaler Ebene (siehe oben Punkt Empfänger/innen)
• Speicherung: Die Daten werden für Forschungszwecke unbegrenzt aufbewahrt. Eine Löschung aus der Forschungsdatenbank des IQS, in der die Ergebnis- und Schülerinnen- und Schülerdaten gespeichert werden, ist nicht vorgesehen bzw. möglich, da das IQS einzelne Schülerinnen/Schüler nicht namentlich zuordnen kann.

Beschreibung der Hard- und Software bzw. sonstigen Infrastruktur

(WP 248 Rev.01, 21 und 28)

Da die vorliegende Datenschutz-Folgenabschätzung als Ergebnis des Normsetzungsverfahrens zu veröffentlichen ist, soll eine detaillierte Beschreibung von Hard- und Software bzw. sonstiger Infrastruktur – zur Vermeidung von Sicherheitsrisiken (vgl. Art-29-Datenschutzgruppe, WP 248 Rev.01, 8) und in weiterer Folge vielleicht sogar Datenschutzverletzungen (Art. 4 Nr. 12 DSGVO) – an dieser Stelle unterbleiben.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln

(Art. 35 Abs. 8 DSGVO; WP 248 Rev.01, 21 und 28)

Das Instrument der Verhaltensregeln ist für Behörden und öffentliche Stellen nicht geeignet (Art. 41 Abs. 6 DSGVO bzw. mwN Schweinoch/Will in Ehmann/Selmayr, DSGVO2 Art. 40‑43 Rn. 10).

Es wird auf § 46 BDG (Amtsverschwiegenheit) verwiesen.

Bewertung

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach Erwägungsgründen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" (WP 248) auf Maßnahmen

• betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie
• zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck

(EG 90 und Art. 35 Abs. 7 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Die Festlegung des Zwecks der gegenständlichen Erhebungen erfolgt in § 4 Abs. 1 des IQS-Gesetzes wie folgt:

"Nationale und internationale Kompetenzerhebungen und Erhebungen zur Qualitätssicherung im Schulwesen erfolgen im öffentlichen Interesse zum Zweck der wissenschaftlichen Forschung und der statistischen Auswertung der gewonnenen personenbezogenen Daten für die angewandte Bildungsforschung, für das Bildungsmonitoring, für die Unterstützung der Qualitätsentwicklung im Schulsystem, für die Unterstützung der Schulen in ihrer standortbezogenen Unterrichts- und Förderplanung, für die nationale Bildungsberichterstattung sowie – nach Maßgabe des § 5 Abs. 4 des Bildungsdirektionen-Einrichtungsgesetzes, BGBl. I Nr. 138/2017 – für die Festlegung von Kriterien für die Bewirtschaftung der Lehrpersonalressourcen."

Die Teilnahme an internationalen Kompetenzerhebungen erlauben Verbesserungen des österreichischen Schulsystems, die mit bloß nationalen Instrumenten kaum oder gar nicht erreicht werden können.

Eindeutiger Zweck

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Durch die Aufzählung und genaue Beschreibung der einzelnen Teilzwecke ist der übergeordnete Zweck der bestmöglichen Entwicklung von Kindern und Jugendlichen im Sinne des Art. 14 Abs. 5a B‑VG eindeutig festgelegt und durch Einsicht der entsprechenden Rechtsvorschriften^[18], völkerrechtlichen Verträge^[19] sowie internationalen Programme^[20], öffentlich nachprüfbar.

Legitimer Zweck

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Der eindeutig festgelegte Zweck ist zudem legitim. Dies zeigen vor allem die verfassungsrechtlichen Grundlagen des Schulwesens in den Art. 14 und 14a B‑VG. Schulen sind Einrichtungen, in denen Schülerinnen/Schüler gemeinsam nach einem umfassenden, festen Lehrplan unterrichtet werden und im Zusammenhang mit der Vermittlung von allgemeinen oder allgemeinen und beruflichen Kenntnissen und Fertigkeiten ein umfassendes erzieherisches Ziel angestrebt wird.^[21] Im partnerschaftlichen Zusammenwirken von Schülerinnen und Schülern, Erziehungsberechtigten und Lehrpersonen ist Kindern und Jugendlichen die bestmögliche geistige, seelische und körperliche Entwicklung zu ermöglichen, damit sie zu gesunden, selbstbewussten, glücklichen, leistungsorientierten, pflichttreuen, musischen und kreativen Menschen werden, die befähigt sind, an den sozialen, religiösen und moralischen Werten orientiert Verantwortung für sich selbst, Mitmenschen, Umwelt und nachfolgende Generationen zu übernehmen (Art. 14 Abs. 5a B‑VG). Ob die im Schulbereich erzielten Wirkungen den verfassungsrechtlichen Vorgaben der „Ermöglichung einer bestmöglichen Entwicklung“ entsprechen, kann nur mittels Überprüfung festgestellt werden. Dazu bedarf es einer neben einer kontinuierlichen nationalen Überprüfung des Lernerfolgs der Schülerinnen/Schüler, auch des internationalen Vergleichs, um Stärken und Schwächen des österreichischen Schulsystems in einer gesamtheitlichen Sicht besser beurteilen zu können. Dieser internationale Vergleich soll durch die gegenständlichen Erhebungen sichergestellt werden.

Mit (verfassungs-)gesetzlich übertragenen Aufgaben ist – nach Ansicht des VfGH – jedenfalls auch die entsprechende Verarbeitungsbefugnis verbunden, weil andernfalls die übertragene Aufgabe nicht erfüllt werden könnte (VfSlg. 15.130/1998). Es ist daher nicht nur von einem legitimen Zweck auszugehen, sondern – aufgrund der Regelung im Verfassungsrang – sogar von einem erheblichen öffentlichen Interesse an der Feststellung, ob die verfassungsrechtlichen Vorgaben an das Schulwesen eingehalten werden.

Es ist daher nicht nur von einem legitimen Zweck auszugehen, sondern – nach Ansicht der Datenschutzbehörde aufgrund dessen, "dass die Rechtsordnung dem Thema [...] in mehrfacher Hinsicht einen hohen Stellenwert einräumt"^[22], wie etwa in Art. 14 f B-VG in Verbindung mit §§ 4 f IQS-G sowie § 16 BilDokG – sogar von einem erheblichen öffentlichen Interesse. Argumento a minori ad maius müsste dies noch viel mehr gelten, wenn die Thematisierung im Verfassungsrang stattfindet.

Rechtmäßigkeit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 6 und 9 DSGVO; WP 248 Rev.01, 21 und 28)

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstabe g DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Auf nationaler Ebene stellen vor allem § 4 des IQS-Gesetzes bzw. § 16 des Bildungsdokumentationsgesetzes 2020 das "Recht eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht" im Sinne des Art. 9 Abs. 2 Buchstabe g DSGVO dar.

Das zitierte erhebliche öffentliche Interesse zeigt sich an der grundlegenden Aufgabe, die der österreichischen Schule in Bezug auf die Gesellschaft zukommt, indem sie an der Entwicklung der Anlagen der Jugend nach den sittlichen, religiösen und sozialen Werten sowie nach den Werten des Wahren, Guten und Schönen durch einen ihrer Entwicklungsstufe und ihrem Bildungsweg entsprechenden Unterricht mitzuwirken hat.^[23] Zudem hat die österreichische Schule die Jugend mit dem für das Leben und den künftigen Beruf erforderlichen Wissen und Können auszustatten und zum selbsttätigen Bildungserwerb zu erziehen.^[24]

Hinsichtlich dieses erheblichen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung ist angemessen, weil sie einem erheblichen öffentlichen Interesse dient (siehe oben die Ausführungen zu Bewertung / Legitimer Zweck) und sich auf die erforderlichen Daten beschränkt (siehe unten die Ausführungen zu Bewertung / Beschränktheit der Verarbeitung auf das notwendige Maß). Außerdem sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorgesehen, die vor allem in der rechtlich-organisatorischen Absicherung der Verarbeitung durch § 4 Abs. 2 des IQS-Gesetzes bestehen (siehe unten Abhilfemaßnahmen).

Erheblichkeit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung ist erheblich, weil ohne Überprüfung des Lernerfolgs der Schülerinnen/Schüler nicht festgestellt werden kann, ob dem verfassungsrechtlichen Auftrag eine "bestmögliche Entwicklung"^[25] zu ermöglichen, entsprochen wird.

Beschränktheit der Verarbeitung auf das notwendige Maß

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

§ 5 Abs. 1 des IQS-Gesetzes verpflichtet das IQS "bei der Wahrnehmung sämtlicher Aufgaben die Grundsätze des Datenschutzes zu wahren".

Die Beschränktheit auf das notwendige Maß erfolgt dadurch, dass für die gegenständlichen Verarbeitungen

• nur die international vorgegebenen bzw. wissenschaftlich sinnvolle nationale Zusätze Daten erhoben werden;
• am IQS keine Auswertungen zu direkt personenbezogenen Daten durchgeführt werden, sondern der direkte Personenbezug an den Schulen "verbleibt" bzw. "gekapselt" wird;
• an der Schule keine Auswertungen zu einzelnen Schülerinnen und Schülern durchgeführt werden.

Speicherbegrenzung

(Art. 5 Abs. 1 Buchstabe e DSGVO; WP 248 Rev.01, 21 und 28)

Bei den gegenständlichen Erhebungen ist gemäß § 4 Abs. 2 des IQS-Gesetzes durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Beaufsichtigung der Testung durch autorisiertes Personal, Zugriffsbeschränkung, räumliche Abgrenzung, Belehrung, Pseudonymisierung und Löschaufforderungen) sicherzustellen, dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können. Die bei den Erhebungen gewonnenen personenbezogenen Daten sind an den betroffenen Testschulen mit Eingang der Löschaufforderung des IQS zu löschen (in der Regel zum Ende des Schuljahres nach Ende der jeweiligen Datenerhebung einer Studie). Über die getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind Aufzeichnungen zu führen, die mindestens drei Jahre aufzubewahren sind (z. B. technische Berichte zu den einzelnen Studien, Instruktionen für Schulen und Testleiter/innen zur Vorbereitung und Durchführung der einzelnen Studien, internationale Vorgaben zur Vorbereitung und Durchführung der einzelnen Studien). 

Generelle Information der betroffenen Personen

(Art. 12 DSGVO; WP 248 Rev.01, 21 und 28)

Die Anforderungen transparenter Information, Kommunikation und für die Ausübung der Rechte der betroffenen Personen gemäß Art. 12 DSGVO werden durch die Bereitstellung von Informationen, Vorlagen und Mustern seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung unter der Internetadresse https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html erfüllt.

Nähere Informationen zu der Erhebung und Verarbeitung von Daten im Rahmen der gegenständlichen Erhebungen in Bezug auf das IQS sind hier zu finden: https://www.iqs.gv.at/services/datenschutzinformationen

Information der betroffenen Personen bei Erhebung

(Art. 13 DSGVO; WP 248 Rev.01, 21 und 28)

Es wird unter der Internetadresse https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html und https://www.iqs.gv.at/services/datenschutzinformationen eine Datenschutzerklärung, die im Sinne der Judikatur der Datenschutzbehörde^[26] zwischen den Informationspflichten gemäß Art. 13 und 14 DSGVO unterscheidet, zur Verfügung gestellt.

Außerdem werden die Schülerinnen und Schüler im Zuge von Erhebungen durch das IQS mit Datenschutzinformationen versorgt, etwa durch Schulanschreiben oder Elterninformationen).

Die Schulen werden in den Datenschutzschulungen angehalten, auf ihren Websites auf die vom BMBWF zur Verfügung gestellte Datenschutzerklärung (siehe https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html) zu verweisen.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden

(Art. 14 DSGVO; WP 248 Rev.01, 21 und 28)

Sämtliche Daten werden direkt bei den betroffenen Personen erhoben und je nach Studie bei deren Eltern, deren Lehrpersonen bzw. deren Schulleitungen erhoben (Siehe oben: Bewertung / Information der betroffenen Personen bei Erhebung.)

Auskunftsrecht der betroffenen Personen und Recht auf Datenübertragbarkeit

(Art. 15 und 20 DSGVO; WP 248 Rev.01, 21 und 28)

Das IQS kann das Auskunftsrecht nicht erfüllen, weil es – aufgrund der pseudonymisierten Übermittlung – nicht in der Lage ist, einzelne Schülerinnen/Schüler namentlich zuzuordnen.^[27]

Gegenüber den Schulen steht den Schülerinnen und Schülern das Auskunftsrecht bezüglich den an das IQS weitergegebenen Daten hingegen ohne Einschränkung zu.

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO weder gegenüber dem IQS noch gegenüber Schulen zu, weil die Verarbeitung

• weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)
• noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt, sondern aufgrund des Rechts eines Mitgliedstaates, nämlich den Bestimmungen der Art. 14 f B-VG, des IQS-Gesetzes sowie des Bildungsdokumentationsgesetzes 2020.

Recht auf Berichtigung und Löschung

(Art. 16, 17 und 19, WP 248 Rev.01, 21 und 28)

Das IQS kann das Recht auf Berichtigung nicht erfüllen, weil es – aufgrund der pseudonymisierten Übermittlung – nicht in der Lage ist, einzelne Schülerinnen/Schüler namentlich zuzuordnen.^[28]

Gegenüber den Schulen steht den Schülerinnen und Schülern das Berichtigungsrecht bezüglich den an das IQS weitergegebenen Daten hingegen ohne Einschränkung zu.

Das Recht auf Löschung steht gemäß Art. 17 Abs. 3 Buchstabe e DSGVO weder gegenüber dem IQS noch gegenüber den Schulen zu, weil die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der die Verantwortlichen unterliegen, erforderlich ist. Die rechtliche Verpflichtung nach dem Recht eines Mitgliedstaats ist in diesem Fall § 4 des IQS-Gesetzes.

Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung

(Art. 18, 19 und 21; WP 248 Rev.01, 21 und 28

Das Widerspruchsrecht steht nicht zu, weil die Verarbeitung weder aufgrund öffentlicher Interessen (Art. 6 Abs. 1 Buchstabe e DSGVO) noch aufgrund berechtigter Interessen (Art. 6 Abs. 1 Buchstabe f DSGVO) noch zu Zwecken der Direktwerbung erfolgt.

Das IQS kann das Recht auf Einschränkung der Verarbeitung nicht erfüllen, weil es – aufgrund der pseudonymisierten Übermittlung – nicht in der Lage ist, einzelne Schülerinnen/Schüler namentlich zuzuordnen.^[29]

Aufgrund der Teilnahmepflicht nach § 4 Abs. 1 IQS-Gesetz steht den Schülerinnen und Schülern das Recht auf Einschränkung der Verarbeitung nicht zu.

Verhältnis zu Auftragsverarbeiterinnen und Auftragsverarbeitern

(Art. 28 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verantwortlichen der Verarbeitung dürfen die heranzuziehenden Auftragsverarbeiter/innen frei im Rahmen des Art. 28 DSGVO wählen. Hierbei sind die Anforderungen des Art. 28 DSGVO einzuhalten, um keine Schadenersatzpflicht gemäß Art. 82 DSGVO auszulösen. Da es kein "anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht eines Mitgliedstaates“^[30], d. h. insbesondere keine Bestimmung im IQS-Gesetz, gibt, die die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt, sind Auftragsverarbeitungsvereinbarungen abzuschließen. Dies hat gemäß Art. 28 Abs. 9 DSGVO schriftlich zu erfolgen. Die Verantwortung für den Abschluss der Auftragsverarbeitungsvereinbarungen tragen als Verantwortliche das IQS^[31]. Das IQS fördert und unterstützt zudem die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Leitlinie 7/2020 des Europäischen Datenschutzausschusses zu den Anforderungen an Auftragsverarbeiter/innen.

Schutzmaßnahmen bei der Übermittlung in Drittländer

(Kapitel V DSGVO; WP 248 Rev.01, 21 und 28)

Eine Übermittlung in Drittländer erfolgt ausschließlich im Rahmen von internationalen Studien, bei denen eine Zusammenarbeit mit internationalen Organisationen (z. B. OECD oder IEA) bzw. deren Auftragsverarbeiter/innen notwendig ist. Diesfalls werden die erforderlichen vertraglichen (Vorhandensein entsprechender Vereinbarungen, wie z. B. Joint Controller Agreements, oder Data protection plan) sowie technischen (Gewährleistung einer sicheren Datenübermittlung) Rahmenbedingungen berücksichtigt.

Vorherige Konsultation

(Art. 36 und EG 96 DSGVO; WP 248 Rev.01, 21 und 28)

Eine gesonderte Konsultation der Datenschutzbehörde ist gemäß Art. 36 Abs. 4 DSGVO nicht erforderlich, weil dieser im Rahmen des Begutachtungsverfahrens zum IQS-Gesetz^[32][33] ausdrücklich die Möglichkeit zur Stellungnahme und somit der aktiven Mitwirkung an der Gestaltung dieser Bestimmungen im Zuge des Gesetzgebungsverfahrens eingeräumt wurde. Damit hatte die Datenschutzbehörde die Möglichkeit die Vereinbarkeit der geplanten Bestimmungen mit der DSGVO sicherzustellen.

Risiken

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Ursache: Da die (Leistungs-)Daten an der Schule nicht für Schul- und Unterrichtsentwicklung oder andere Zwecke herangezogen werden und die Daten der Schule sowieso bekannt sind, sind seitens der Schule keine durch diese Verarbeitung verursachten Schäden (weder durch unrechtmäßigen Zugriff auf noch unerwünschte Änderung noch Verschwinden der Daten)^[34] zu erwarten. Da das IQS die Schülerinnen/Schüler nicht benotet und als potenzieller Arbeitgeber nur eine untergeordnete Rolle spielt, sind auch seitens des IQS keine durch diese Verarbeitung verursachten Schäden (weder durch unrechtmäßigen Zugriff auf noch unerwünschte Änderung noch Verschwinden der Daten)^[35] zu erwarten.

Davon abgesehen können materielle oder immaterielle Schäden für Schülerinnen/Schüler nicht gänzlich ausgeschlossen werden, falls ihre (schlechten) schulischen Leistungen öffentlich bekanntwerden. Dies betrifft vor allem die Offenlegung gegenüber potenziellen Arbeitgeberinnen und Arbeitgebern. Physische Schäden – aufgrund der Offenlegung von Leistungsdaten – sind nicht denkbar, weil die Verarbeitung nicht Grundlage für körperliche Eingriffe, wie etwa bei medizinischen Behandlungen, ist. Physische, materielle oder immaterielle Schäden sind denkbar aufgrund von Diskriminierungen, die wiederum durch die Offenlegung von Daten zur Herkunft bzw. dem ökosozialen Hintergrund der Schülerinnen/Schüler erfolgen können.

Für die Fragebogendaten von Lehrpersonen und Schulleiter/innen könnte es auch zu beruflichen Nachteilen kommen, wenn diese missbräuchlich verwendet würden, da es sich um Fragen zum beruflichen (Arbeits-)Umfeld handelt.

Art: Materielle Schäden für Schülerinnen/Schüler können insbesondere in schlechteren Jobchancen, d. h. zukünftigem Verdienstentgang, bestehen. Immaterielle Schäden können bei unrechtmäßiger Offenlegung von Leistungsdaten in Ärger und Angst vor Verletzung der Privatsphäre bzw. der Verschlechterung von Erwerbschancen sowie bei unrechtmäßiger Offenlegung von Daten zur Herkunft bzw. Dem ökosozialen Hintergrund der Schülerinnen/Schüler in der Gefahr für Cyber-Mobbing oder Belästigung bestehen, insbesondere falls nicht wohl gesonnene Mitschülerinnen/Mitschüler Einblicke erlangen, die sie bisher nicht hatten.

Besonderheit: Die Besonderheit des gegenständlichen Risikos ergibt sich aus dem schulischen Umfeld, in dem es verortet ist und daher langanhaltende immaterielle und materielle negative Konsequenzen für die Schülerinnen/Schüler haben kann.

Schwere: Die potenziellen materiellen Schäden sind nach der Einteilung des BMBWF zu Schutzbedarfsklassen für personenbezogene Daten^[36] als schwer zu beurteilen, weil es beispielsweise zum Entgang nicht wiederkehrender Möglichkeiten (etwa bei der Vergabe von Praktika oder Arbeitsstellen bzw. Zulassung zu Studien [insb. bei zulassungsbeschränkten Studien – "Numerus clausus"]) kommen kann. Auch die potenziellen immateriellen Schäden sind – nach der Klassifikation des BMBWF - als schwer zu beurteilen, weil durchaus die Gefahr für Cyber-Mobbing oder Belästigung besteht.

Eintrittswahrscheinlichkeit: Es ist allerdings nicht zu erwarten, dass es zu diesen Schäden für die betroffenen Personen kommt, weil es strenge Vorkehrungen gibt, die vor unrechtmäßigem Zugriff, unerwünschten Änderungen sowie Verschwinden von personenbezogenen Daten im Rahmen der geplanten Verarbeitung schützen sollen, wie etwa:

• das Disziplinarrecht der Lehrpersonen;
• Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass „geeignete technische und organisatorische Maßnahmen“ zu treffen sind;
• Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiter/innen für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO) bzw. § 4 Abs. 3 Z 1 BilDokG 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
• die Amtsverschwiegenheit;^[37]
• strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 StGB) oder „Verletzung eines Amtsgeheimnisses“ (§ 310 StGB), weil die Mitarbeiter/innen des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 IQS-G iVm OGH RS0092043).
• Interne Richtlinie Datenschutz und Datensicherheit des IQS
• Begleitschreiben an Schulen und Belehrungen
• Gestaltung der Testadministration unter Sicherheitsaspekten (z. B. externe Testleitungen)

Verlust der Kontrolle über personenbezogene Daten

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Für den Verlust der Kontrolle über personenbezogene Daten gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Diskriminierung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Spezifische Nachteile durch Diskriminierung sind nicht zu erwarten, da die verarbeiteten Daten kein spezielles Potential dafür haben (primär geht es um Leistungsdaten von Schülerinnen und Schülern und Fragen zum schulischen Umfeld). Art. 9 DSGVO Daten sind als Daten in Bezug auf Herkunft/Erstsprache ein Randthema in Bezug auf die gesamten verarbeiteten Daten und entstehen daraus auch keine individuellen Konsequenzen für Schülerinnen/Schüler.

Ansonsten gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Identitätsdiebstahl oder -betrug

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Spezifische Nachteile durch Identitätsdiebstahl oder -betrug sind nicht zu erwarten. Es wäre zwar theoretisch denkbar, dass eine Schülerin/ein Schüler versucht, einen Test unter falscher Identität zu schreiben (und je nach persönlicher Kenntnis der Testleitung der Schülerinnen/Schüler auch nicht ausgeschlossen), jedoch würden daraus keine individuellen Vorteile für die betrügende Person entstehen. Der Nachteil für die betrogene Person wäre letztlich nur, dass sie/er kein valides Ergebnis erzeugt. Da die Tests jedoch primär für eine Systembeobachtung konzipiert sind, und nicht für individuelle Rückmeldungen an Schülerinnen/Schüler, wäre der Nachteil eine geringfügige, aber statistisch verkraftbare Beeinflussung des Gesamttestergebnisses.

Ansonsten gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Finanzielle Verluste

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Finanzielle Verluste für die betroffenen Personen sind nicht zu erwarten. Es werden weder Finanzdaten, Zahlungsdaten, Rechnungsdaten o.ä. verarbeitet, noch entstehen durch die Durchführung der Testungen für Schülerinnen/Schüler oder Lehrerinnen/Lehrer individuelle Kosten.

Für indirekte Schäden wie verminderte Jobchancen gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Unbefugte Aufhebung der Pseudonymisierung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Für den Fall einer unbefugten Aufhebung der Pseudonymisierung gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden""

Rufschädigung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Für den Fall einer Rufschädigung gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Verlust der Vertraulichkeit bei Berufsgeheimnissen

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Verlust der Vertraulichkeit bei Berufsgeheimnissen ist nicht zu erwarten, da keine einem Berufsgeheimnis unterliegenden Daten verarbeitet werden.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen Personen sind im Sinne der Ausführungen unter "Physische, materielle oder immaterielle Schäden" bzw. "Finanzielle Verluste" nicht zu erwarten, da die Natur der verarbeiteten Daten aus unserer Sicht letztlich keine Erheblichkeit des potentiellen Missbrauchspotentials bewirkt.

Ansonsten gelten sinngemäß die Ausführungen unter "Physische, materielle oder immaterielle Schäden".

Abhilfemaßnahmen

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten

(EG 78 und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Bei den internationalen Studien werden nur Daten erhoben, die entweder für konkrete Forschungsfragen relevant sind oder im Zuge der Datenerhebung organisatorisch notwendig sind.

Schnellstmögliche Pseudonymisierung personenbezogener Daten

(EG 28 und 78 sowie Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Das IQS als zentrale Verantwortliche hat gemäß § 4 Abs. 2 des IQS-Gesetzes bei den gegenständlichen Erhebungen keinen Zugriff auf Namen von Schülerinnen und Schülern; dabei ist durch die Vorgangsweise der Testung und Vorkehrungen in der IQS-Plattform (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen, dass in keiner Phase der Durchführung der gegenständlichen Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen vom IQS direkt identifiziert werden können.

Details siehe oben Bewertung – Speicherbegrenzung.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten

(EG 78 DSGVO und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Durch die Publikation des IQS-Gesetzes als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe sowie die vorliegende Datenschutz-Folgenabschätzung für die gegenständliche Verarbeitung von der Öffentlichkeit kostenlos nachvollzogen werden.

Die Gesetzestexte bzw. parlamentarischen Materialien sind an folgenden Stellen zu finden:

• IQS-Gesetz
• Erläuterungen zur Regierungsvorlage des IQS-Gesetzes
• Ausschussbericht zum IQS-Gesetz

Datenschutz-Folgenabschätzung: https://www.iqs.gv.at/services/datenschutzinformationen

Außerdem sind die Datenschutzerklärungen für das IQS unter https://www.iqs.gv.at/services/datenschutzinformationen und die Schulen unter https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html frei zugänglich im Internet zu finden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen

(EG 78 DSGVO und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Eine ausdrückliche Überwachung der Verarbeitung personenbezogener Daten ist nicht in einem über die allgemeinen Vorgaben der DSGVO hinausgehendem Ausmaß vorgesehen. Hinsichtlich der Verarbeitungstätigkeiten des IQS ist die Überwachung schwer, weil die Betroffenenrechte mangels direkten Personenbezugs oftmals nicht anzuwenden sind.

Datensicherheitsmaßnahmen

(EG 78 und 83 DSGVO sowie Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Gemäß § 4 Abs. 2 des IQS-Gesetzes hat das IQS die geeigneten technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO vorzusehen. Details siehe oben Bewertung – Speicherbegrenzung.

Allgemeine Datensicherheitsmaßnahmen an Schulen ergeben sich überdies auch über die IKT-Schulverordnung.

Berücksichtigung von Datenschutzinteressen

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde

(Art. 36 Abs. 4 DSGVO)

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes ergangen^[38], obwohl dieser im Rahmen des Begutachtungsverfahrens (siehe: Begleitschreiben unter https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/imfname_742427.pdf) ausdrücklich die Möglichkeit zur Stellungnahme und somit der aktiven Mitwirkung an der Gestaltung dieser Bestimmung im Zuge des Gesetzgebungsverfahrens eingeräumt wurde.

Stellungnahme des Datenschutzbeauftragten

(Art. 35 Abs. 2 DSGVO; WP 248 Rev.01, 21 und 29)

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes (https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/index.shtml#tab-Stellungnahmen) ergangen.

Es ist keine Stellungnahme vom Datenschutzbeauftragten des IQS oder von Datenschutzbeauftragten der Schulen ergangen.

Stellungnahme betroffener Personen

(Art. 35 Abs. 9 DSGVO; WP 248 Rev.01, 21 und 29)

Es ist keine Stellungnahme betroffener Personen zu den datenschutzrechtlichen Aspekten im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes (https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/index.shtml#tab-Stellungnahmen) ergangen.

Fußnoten

^[1] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 11 (arg.: Kriterium 5).

^[2] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 10 (arg.: Kriterium 1).

^[3] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 12 (arg.: Kriterium 7).

^[4] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 11 (arg.: Kriterium 4).

^[5] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 12.

^[6] § 4 Abs. 1 IQS-G.

^[7] Art. 35 Abs. 1 DSGVO bzw. Jandt in Kühling/Buchner, DS-GVO3 Art. 35 Rn. 11.

^[8] Artikel 29-Datenschutzgruppe, WP 248 Rev.01, 8.

^[9] Näher zum Kriterium der Ähnlichkeit: Baumgartner in Ehmann/Selmayr, DSGVO2 Art. 35 Rn. 17 f. Erwägungsgrund 92 DSGVO führt zur "thematischen Folgenabschätzung" Folgendes aus:

• Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.

^[10] Zum Stand Juni 2023 konnte keine Entscheidung der österreichischen Datenschutzbehörde oder eines österreichischen (Verwaltungs-)Gerichts gefunden werden, die eine gegenteilige Ansicht nahelegen würde.

^[11] International Association for the Evaluation of Educational Achievement.

^[12] Organisation for Economic Co-operation and Development.

^[13] Übereinkommen über die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), BGBl. Nr. 248/1961 in der Fassung Kundmachung der Bundesministerin für EU und Verfassung betreffend den Geltungsbereich des Übereinkommens über die Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung (OECD), BGBl. III Nr. 83/2021.

^[14] OECD Programme for International Student Assessment (1999) 7 - https://www.oecd.org/education/school/programmeforinternationalstudentassessmentpisa/33693997.pdf#page=9 (21.05.2023).

^[15] Die Pseudonymisierung erfolgt an der Schule (siehe bspw.  PIRLS 2021 Technischer Bericht Kap. 4.3).

^[16] Schiff in Ehmann/Selmayr, DSGVO2 Art. 9 Rn. 19.

^[17] DSB 30.03.2015, DSB-D215.611/0003-DSB/2014.

^[18] Art. 14 f des Bundes-Verfassungsgesetzes sowie IQS-Gesetz, BGBl. I Nr. 50/2019.

^[19] OECD-Übereinkommen, BGBl. Nr. 248/1961.

^[20] OECD, OECD Programme for International Student Assessment (1999) – https://www.oecd.org/education/school/programmeforinternationalstudentassessmentpisa/33693997.pdf; oder IEA, PIRLS (2006) - https://timss.bc.edu/PDF/P06Framework.pdf

^[21] Art. 14 Abs. 6 B‑VG.

^[22] DSK 7.9.2006, K202.047/0009-DSK/2006.

^[23] Art. 14 Abs. 5a B-VG.

^[24] § 2 des Schulorganisationsgesetzes.

^[25] Art. 14 Abs. 5a B-VG.

^[26] DSB 16.11.2018, DSB-D213.692/0001-DSB/2018. (DSB 16.11.2018, DSB-D213.692/0001-DSB/2018)

^[27] Die Betroffenenrechte gemäß Kapitel III DSGVO sind somit gemäß Art. 12 Abs. 2 DSGVO nicht anzuwenden

^[28] Die Betroffenenrechte gemäß Kapitel III DSGVO sind somit gemäß Art. 12 Abs. 2 DSGVO nicht anzuwenden

^[29] Die Betroffenenrechte gemäß Kapitel III DSGVO sind somit gemäß Art. 12 Abs. 2 DSGVO nicht anzuwenden

^[30] Art. 28 Abs. 3 DSGVO.

^[31] § 4 Abs. 1 des IQS-Gesetzes.

^[32] https://www.oecd.org/pisa/data/OECD_PISA_2025_Data_Protection_Notice.docx
       https://www.oecd.org/pisa/pisaproducts/PISA_2025_Technical_Standards.pdf

^[33] Siehe: Begleitschreiben unter https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/imfname_742427.pdf

^[34] Art 29-Datenschutzgruppe, WP 248 (DE) rev0.1, 28.

^[35] Art 29-Datenschutzgruppe, WP 248 (DE) rev0.1, 28.

^[36] BMBWF, Schutzbedarfsklassen für personenbezogene Daten 5 (Jänner 2019).

^[37] DSK 2.4.2008, K121.347/0004-DSK/2008 (arg.: "Das verfassungsgesetzliche Gebot der Amtsverschwiegenheit – dessen Verletzung durch strafrechtliche Sanktionen zusätzlich bewehrt ist – gewährleistet in diesem System als ‘angemessene Garantie’ im Sinne des § 1 Abs. 2 zweiter Satz DSG 2000, dass Daten, die einer unzuständigen Behörde im Wege ihrer Anrufung zur Kenntnis gelangen, nicht für andere Zwecke als den vom Anbringer beabsichtigten Zweck der Rechtsverfolgung verwendet werden.")

^[38] https://www.parlament.gv.at/gegenstand/XXVI/ME/128 (22.05.2023).