Datenschutz-Folgenabschätzung "Nationale Kompetenzerhebungen / iKMPLUS"

Die folgende Datenschutz-Folgenabschätzung betrifft die Verarbeitung "Nationale Kompetenzerhebungen" gemäß § 2 Abs. 2 Z 1 und § 4 des IQS-Gesetzes (IQS-G), BGBl. I Nr. 50/2019, § 17 Abs. 1a des Schulunterrichtsgesetzes (SchUG), BGBl. Nr. 472/1986, § 16 des Bildungsdokumentationsgesetzes 2020 (BilDokG 2020), BGBl. I Nr. 20/2021, sowie der Verordnung der Bundesministerin für Unterricht, Kunst und Kultur über Bildungsstandards im Schulwesen, BGBl. II Nr. 1/2009 (in der Folge: Bildungsstandard-Verordnung bzw. BIST-VO). Die nationalen Kompetenzerhebungen werden u.a. auch als nationale Leistungsmessungen (§ 17 Abs. 1a des Schulunterrichtsgesetzes), nationale Kompetenzmessungen, individuelle Kompetenzerhebungen oder Kompetenzerhebung im Rahmen der Bildungsstandards bezeichnet. Zur besseren Nachvollziehbarkeit soll allerdings die in der Praxis gebräuchliche Bezeichnung "Individuelle Kompetenzmessung PLUS" (kurz: "iKMPLUS") verwendet werden.

Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 Buchstabe b DSGVO bzw. § 2 Abs. 3 der Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, BGBl. II Nr. 278/2018, erforderlich, weil es zu einer umfangreichen Verarbeitung von sensiblen Daten (= personenbezogenen Daten im Sinne von Art. 9 DSGVO) von schutzbedürftigen Personen kommt.

Systematische Beschreibung

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Die Beschreibung hat nach Erwägungsgrund 90 sowie Art. 35 Abs. 7 Buchstabe a und Abs. 8 DSGVO sowie den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Art der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung erfolgt elektronisch und zum Teil dezentral an der jeweiligen Schule und zum Teil zentral durch Eingabe in eine Plattform bzw. Erhebungslösungen des Instituts des Bundes für Qualitätssicherung im österreichischen Schulwesen (IQS); idR durch die Schulleiterinnen und Schulleiter. Aus Gründen der Datensicherheit gemäß Art. 32 DSGVO unterbleibt an dieser Stelle eine genaue Beschreibung der technischen Umsetzung, um potentielle Angreiferinnen und Angreifer nicht mit wertvollen Informationen über potentielle Schwachstellen (Art-29-Datenschutzgruppe, WP 248 Rev.01, 8) zu versorgen.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist nach der ausdrücklichen Festlegung des § 4 Abs. 1 des IQS-Gesetzes das IQS.

Umfang der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung iKMPLUS betrifft jährlich ca.  320.000 Schülerinnen und Schüler im gesamten Bundesgebiet. Es handelt sich damit um eine umfangreiche Verarbeitung im Sinne des § 2 Abs. 3 Z 1 der Datenschutz-Folgenabschätzungsverordnung (DSFA-V), BGBl. II Nr. 278/2018 bzw. des Kriteriums 5 der Art-29-Datenschutzgruppe (Art-29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung [DSFA] und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt", WP 248 Rev. 01, 11).

Kontext der Verarbeitung

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Rechtlich erfolgt die Verarbeitung im Kontext der nationalen Leistungsmessungen auf Basis von Bildungsstandards gemäß § 17 Abs. 1a des Schulunterrichtsgesetzes).

In technisch-organisatorischer Sicht erfolgt die Verarbeitung im Rahmen der IT-gestützten Schulverwaltung sowie teilweise in den (Software-)Systemen des IQS und ist von anderen Verarbeitungen, wie etwa dem elektronischen Klassenbuch oder der Leistungsbeurteilung organisatorisch – durch die Verwendung einer eigenen Software – getrennt.

Die Kompetenzerhebungen im Rahmen von iKMPLUS sind Grundlage für das Bildungscontrolling gemäß § 5 Abs. 2 des Bildungsdirektionen-Einrichtungsgesetzes (BD-EG), BGBl. I Nr. 138/2017, sowie gemäß § 15 des Bildungsdokumentationsgesetzes 2020 und bauen ihrerseits u.a. auf dem vom Bundesministerium für Bildung, Wissenschaft und Forschung geführten Verzeichnis der Schul- und Schulformkennzahlen auf, das allerdings keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO umfasst (§ 16 Abs. 1 in Verbindung mit § 5 Abs. 1 Z 1 und 2 des Bildungsdokumentationsgesetzes 2020).

Zum Zwecke der statistischen Auswertungen werden Daten im Rahmen der Systemberichterstattung vom IQS teilweise mit anderen Datenquellen über die Schulkennzahl verknüpft.

Zweck der Verarbeitung

(EG 90 sowie Art. 35 Abs. 7 Buchstabe a DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung dient primär der Einhaltung des verfassungsrechtlichen Effizienzgebotes (Art. 51 Abs. 8 B-VG bzw. VfSlg. 14.500/1996) beim Einsatz öffentlicher Mittel im Rahmen der Vollziehung der Bundeskompetenz "Schulwesen". Aus diesen Gründen ist daher eine Verarbeitung, insbesondere Speicherung jener Daten erforderlich, die für die "Entwicklung und Evaluation des österreichischen Schulwesens notwendig" (§ 17 Abs. 1a des Schulunterrichtsgesetzes) sind. Die Kompetenzerhebungen, wie etwa iKMPLUS, dienen der Erreichung dieses Zwecks, indem sie die Förderplanung, Förderung, sowie Unterrichtsplanung und Qualitätsentwicklung im österreichischen Schulwesen ermöglichen (§ 2 Z 6 BIST-VO). Die Daten werden für Zwecke der wissenschaftlichen Forschung und statistischen Auswertung für die angewandte Bildungsforschung, das Bildungsmonitoring, die Unterstützung der Qualitätsentwicklung im Schulsystem, die Unterstützung der Schulen in ihrer standortbezogenen Unterrichts- und Förderplanung, die nationale Bildungsberichterstattung sowie – nach Maßgabe des § 5 Abs. 4 BD-EG – erhoben.

Die Verarbeitung dient der Erhebung der Kompetenzen der Schülerinnen und Schüler, wobei unter Kompetenzen "längerfristig verfügbare kognitive Fähigkeiten und Fertigkeiten, die von Lernenden entwickelt werden und die sie befähigen, Aufgaben in variablen Situationen erfolgreich und verantwortungsbewusst zu lösen und die damit verbundene motivationale und soziale Bereitschaft zu zeigen" zu verstehen sind (§ 2 Z 2 BIST-VO). Mit der Festlegung von Bildungsstandards durch die Bildungsstandard-Verordnung gemäß § 17 Abs. 1a des Schulunterrichtsgesetzes wird eine systematische Auswahl grundlegender und im Unterricht nachhaltig zu erwerbender Kompetenzen getroffen. Diese grundlegenden Kompetenzen sind für die weitere schulische und berufliche Bildung – auch im Sinne des Lifelong Learning – von zentraler Bedeutung. Bildungsstandards beschreiben die erwünschten Lernergebnisse (Leistungen) so konkret und detailliert, dass sie in methodisch-didaktische Aufgaben umgesetzt und mit Hilfe von Testaufgaben überprüft werden können (ErläutRV 606 BlgNR 23. GP 4).

Bildungsstandards sollen zu einer stärkeren und nachhaltigeren Ergebnisorientierung in der Planung und Durchführung von Unterricht führen, konkrete Vergleichsmaßstäbe für die erreichten Leistungen der Schülerinnen und Schüler in der Diagnostik und in der individuellen Förderung bieten und die Qualitätsentwicklung in der Schule und im Bildungswesen insgesamt unterstützen. Bildungsstandards liefern einen Vergleichsmaßstab, an dem aufgezeigt werden kann, in welchem Ausmaß es einer Schule gelingt, die Schülerinnen und Schüler mit den grundlegenden Kompetenzen auszustatten (ErläutRV 606 BlgNR 23. GP 4).

Die Bildungsstandards sind in der Anlage der Bildungsstandard-Verordnung detailliert angeführt. Ihre Überprüfung erfolgt seit dem Sommersemester des Schuljahres 2021/22 durch die iKMPLUS.

Die Ergebnisse fließen in die nationale Bildungsberichterstattung laut Bildungsdirektionen-Einrichtungsgesetz und IQS-Gesetz ein. Die Durchführung internationaler Studien ist durch das IQS-Gesetz (§ 2 Abs. 2 in Verbindung mit § 4 Abs. 1) geregelt.

Personenbezogene Daten

(WP 248 Rev.01, 21 und 28)

Im Rahmen von iKMPLUS werden folgende Daten verarbeitet:

  • für maximal 2 Jahre: Name (§ 6 Abs. 3 BIST-VO), wobei dieser nur am Schulstandort verarbeitet werden darf. Eine Übertragung der Daten an das IQS erfolgt nicht, am IQS liegen die Daten pseudonymisiert vor (durch bereichsspezifisches Personenkennzeichen bPK und Matrikel der Schule);
  • die individuellen Ergebnisse der Kompetenzerhebungen gemäß Anlage der Bildungsstandard-Verordnung (§ 6 Abs. 3 BIST-VO);
  • schulische Bedingungen (§ 4 Abs. 1 des IQS-Gesetzes);
  • Faktoren, die die Lernsituation der Schülerinnen und Schüler hinsichtlich Unterstützung und Förderung sichtbar machen, wie etwa Lernunterstützung durch Erziehungsberechtigte und andere Personen (§ 4 Abs. 1 des IQS-Gesetzes);
  • im Rahmen von Stichproben: bildungsrelevante Faktoren, wie etwa Herkunft, Erstsprache oder höchster Bildungsabschluss der Erziehungsberechtigten (§ 4 Abs. 1 des IQS-Gesetzes).

Gemäß Anlage 10 zu § 16 Abs. 1 und 2 des Bildungsdokumentationsgesetzes 2020 sowie Anlage 6 der Bildungsdokumentationsverordnung 2021, BGBl. II Nr. 268/2021, überdies:

  1. die Schulkennzahl;
  2. die Schulformkennzahl;
  3. das Schuljahr;
  4. die Schulstufe;
  5. die Klasse;
  6. das bildungseinrichtungsspezifische Personenkennzeichen;
  7. das bPK-BF und das bPK-AS in verschlüsselter Form;
  8. die Erhebungs-ID;
  9. den Monat und das Jahr der Geburt;
  10. die Staatsangehörigkeit;
  11. das Geschlecht;
  12. die Eigenschaft als ordentliche oder außerordentliche Schülerin bzw. ordentlicher oder außerordentlicher Schüler. Im Fall der Aufnahme als außerordentliche Schülerin oder außerordentlicher Schüler auch die Dauer der Aufnahme;
  13. die Sprachen der Schülerin oder des Schülers in folgender Differenzierung:
    a) bis zu drei Erstsprachen, in denen der Spracherwerb bis zur Vollendung des dritten Lebensjahres erfolgte,
    b) bis zu drei im Alltag gebrauchte Sprachen;
  14. die Information, ob ein sonderpädagogischer Förderbedarf festgestellt wurde;
  15. die Daten der Durchführung der Kompetenzerhebung;
  16. die Begründung für eine allfällige Nichtteilnahme:
    a) begründet gemäß § 9 des Schulpflichtgesetzes 1985 oder einer sonstigen schulrechtlichen Norm oder
    b) unbegründet;
  17. im Rahmen der Kompetenzerhebung erhobene Leistungs- und Kontextdaten;
  18. die Dokumentation über die erfolgte Durchführung der Gespräche;
  19. Identifikatoren der fachspezifischen Unterrichtsgruppe und
  20. Identifikatoren der fachspezifischen Lehrperson.

Die Daten zur Erstsprache (§ 4 Abs. 1 des IQS-Gesetzes) müssen als sensible Daten angesehen werden, weil die Erstsprache einen Hinweis auf die ethnische Herkunft (Schiff in Ehmann/Selmayr, DSGVO2 Art. 9 Rn. 19) geben kann.

Empfängerinnen und Empfänger

(EG 90 DSGVO; WP 248 Rev.01, 21 und 28)

Ergebnisse aus iKMPLUS werden auf Individualebene den Schülerinnen und Schülern und Erziehungsberechtigten, den betroffenen Lehrerinnen und Lehrern sowie den zuständigen Schulleiterinnen und Schulleitern zur Verfügung gestellt (§ 4 Abs. 2 des IQS-Gesetzes).

Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung erhält zur Sicherung und Weiterentwicklung der Qualität gemäß § 5 Abs. 2 BD-EG sowie zur Sicherstellung der Grundsätze der Leistungsbeurteilung gemäß § 11 der Leistungsbeurteilungsverordnung, BGBl. Nr. 371/1974, die Daten gemäß Anlage 10 des Bildungsdokumentationsgesetzes 2020 bzw. gemäß Anlage 6 der Bildungsdokumentationsverordnung 2021.

Auszüge werden in aggregierter Form, bei denen sichergestellt ist, dass aggregierte Gruppen mehr als 5 Personen umfassen (DSB 30.03.2015, DSB-D215.611/0003-DSB/2014), überdies verschiedenen Ebenen, wie etwa Bildungsdirektionen oder der Öffentlichkeit, zur Verfügung gestellt.

Speicherdauer

(WP 248 Rev.01, 21 und 28)

Die Daten werden unbegrenzt zu Zwecken der Forschung (Art. 89 Abs. 1 DSGVO) aufbewahrt (Art. 5 Abs. 1 Buchstabe e DSGVO in Verbindung mit § 2d Abs. 5 FOG). Hierbei werden die Ergebnisse aus iKMPLUS pseudonymisiert mit bPK gespeichert.

Funktionelle Beschreibung der Verarbeitungsvorgänge

(WP 248 Rev.01, 21 und 28)

Der Prozess der Datenverarbeitung im Rahmen von iKMPLUS umfasst folgende Schritte:

  • Schülerinnen- und Schülerdaten übernehmen: Aufgrund der großen Überschneidung mit den lokalen Evidenzen an den Schulen können Daten großteils aus den lokalen Evidenzen an den Schulen übernommen werden.
  • Leistungsdaten aufnehmen: Ab dem Zeitpunkt der Übernahme der Stammdaten aus den lokalen Evidenzen können Leistungsdaten aufgenommen werden.
  • Leistungsdaten bearbeiten: Ab dem Zeitpunkt der Übernahme der Stammdaten aus den lokalen Evidenzen können bereits aufgenommene Leistungsdaten bearbeitet werden.
  • Leistungsdaten exportieren: Für die oben beschriebenen Übermittlungen sind Exportfunktionen vorgesehen.
  • Schülerinnen- und Schülerdaten löschen: Die Schülerinnen- und Schülerdaten können – aus technischer Sicht – vor ihrer pseudonymisierten Aufnahme in die Forschungsdatenbank jederzeit gelöscht werden.

Beschreibung der Hard- und Software bzw. sonstigen Infrastruktur

(WP 248 Rev.01, 21 und 28)

Da die vorliegende Datenschutz-Folgenabschätzung als Ergebnis des Normsetzungsverfahrens zu veröffentlichen ist, soll eine detaillierte Beschreibung von Hard- und Software bzw. sonstiger Infrastruktur – zur Vermeidung von Sicherheitsrisiken (vgl. Art-29-Datenschutzgruppe, WP 248 Rev.01, 8) und in weiterer Folge vielleicht sogar Datenschutzverletzungen (Art. 4 Nr. 12 DSGVO) – an dieser Stelle unterbleiben.

Eingehaltene, gemäß Art. 40 DSGVO genehmigte Verhaltensregeln

(Art. 35 Abs. 8 DSGVO; WP 248 Rev.01, 21 und 28)

Das Instrument der Verhaltensregeln ist für Behörden und öffentliche Stellen nicht geeignet (Art. 41 Abs. 6 DSGVO bzw. mwN Schweinoch/Will in Ehmann/Selmayr, DSGVO2 Art. 40‑43 Rn. 10).

Bewertung

der Notwendigkeit und Verhältnismäßigkeit

Die Bewertung hat nach Erwägungsgründen 90 und 96, Art. 35 Abs. 7 Buchstaben b und d DSGVO sowie den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" (WP 248) auf Maßnahmen

  • betreffend Notwendigkeit und Verhältnismäßigkeit (Art. 5 und 6 DSGVO) sowie
  • zur Stärkung der Rechte der betroffenen Personen (Art. 12 bis 21, 28, 36 und Kapitel V DSGVO)

abzustellen.

Festgelegter Zweck

(EG 90 und Art. 35 Abs. 7 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Die Festlegung des Zwecks von aus iKMPLUS erfolgt an mehreren Stellen auf Gesetzes- bzw. Verordnungsebene, und zwar:

  1. in § 1 Abs. 1 Z 5 des Bildungsdokumentationsgesetzes 2020, wonach der Zweck int "der periodischen Überprüfung von Lernergebnissen der Schülerinnen und Schüler, der Unterrichts- und Förderplanung in Verbindung mit durch die zuständigen Lehrpersonen nach schulrechtlichen Bestimmungen geführten Gesprächen, des Qualitätsmanagements und der Qualitätsentwicklung im Schulwesen gemäß § 5 Abs. 2 Z 2, 4 und 6 BD-EG sowie hinsichtlich Kompetenzerhebungen gemäß § 17 Abs. 1a des Schulunterrichtsgesetzes – SchUG, BGBl. Nr. 472/1986" besteht;
  2. in § 4 Abs. 1 des IQS-Gesetzes, wonach "Nationale und internationale Kompetenzerhebungen und Erhebungen zur Qualitätssicherung im Schulwesen erfolgen im öffentlichen Interesse zum Zweck der wissenschaftlichen Forschung und der statistischen Auswertung der gewonnenen personenbezogenen Daten für die angewandte Bildungsforschung, für das Bildungsmonitoring, für die Unterstützung der Qualitätsentwicklung im Schulsystem, für die Unterstützung der Schulen in ihrer standortbezogenen Unterrichts- und Förderplanung, für die nationale Bildungsberichterstattung sowie – nach Maßgabe des § 5 Abs. 4 des Bildungsdirektionen-Einrichtungsgesetzes, BGBl. I Nr. 138/2017 – für die Festlegung von Kriterien für die Bewirtschaftung der Lehrpersonalressourcen;
  3. in § 3 Abs. 1 BIST-VO, wonach "Bildungsstandards [...] Aufschlüsse über den Erfolg des Unterrichts und über Entwicklungspotentiale des österreichischen Schulwesens liefern, [...]eine nachhaltige Ergebnisorientierung in der Planung und Durchführung von Unterricht bewirken, [...]durch konkrete Vergleichsmaßstäbe die bestmögliche Diagnostik als Grundlage für individuelle Förderung sicherstellen und [...]wesentlich zur Qualitätsentwicklung in der Schule beitragen [sollen]".

Eindeutiger Zweck

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Durch die Aufzählung und genaue Beschreibung der einzelnen Teilzwecke ist der übergeordnete Zweck der bestmöglichen Entwicklung von Kindern und Jugendlichen im Sinne des Art. 14 Abs. 5a B‑VG eindeutig festgelegt und durch Einsicht der entsprechenden Rechtsvorschriften öffentlich nachprüfbar.

Legitimer Zweck

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe b DSGVO; WP 248 Rev.01, 21 und 28)

Der eindeutig festgelegte Zweck ist zudem legitim. Dies zeigen vor allem die verfassungsrechtlichen Grundlagen des Schulwesens in den Art. 14 und 14a B‑VG. Schulen sind Einrichtungen, in denen Schüler gemeinsam nach einem umfassenden, festen Lehrplan unterrichtet werden und im Zusammenhang mit der Vermittlung von allgemeinen oder allgemeinen und beruflichen Kenntnissen und Fertigkeiten ein umfassendes erzieherisches Ziel angestrebt wird (Art. 14 Abs. 6 B‑VG). Im partnerschaftlichen Zusammenwirken von Schülern, Eltern und Lehrern ist Kindern und Jugendlichen die bestmögliche geistige, seelische und körperliche Entwicklung zu ermöglichen, damit sie zu gesunden, selbstbewussten, glücklichen, leistungsorientierten, pflichttreuen, musischen und kreativen Menschen werden, die befähigt sind, an den sozialen, religiösen und moralischen Werten orientiert Verantwortung für sich selbst, Mitmenschen, Umwelt und nachfolgende Generationen zu übernehmen (Art. 14 Abs. 5a B‑VG). Ob die im Schulbereich erzielten Wirkungen den verfassungsrechtlichen Vorgaben der "Ermöglichung einer bestmöglichen Entwicklung" entsprechen, kann nur mittels Überprüfung festgestellt werden. Dazu bedarf es einer kontinuierlichen Überprüfung des Lernerfolgs der Schülerinnen und Schüler, die durch die "Kompetenzerhebungen" sichergestellt werden soll. Mit (verfassungs-)gesetzlich übertragenen Aufgaben ist – nach Ansicht des VfGH – jedenfalls auch die entsprechende Verarbeitungsbefugnis verbunden, weil andernfalls die übertragene Aufgabe nicht erfüllt werden könnte (VfSlg. 15.130/1998). Es ist daher nicht nur von einem legitimen Zweck auszugehen, sondern – aufgrund der Regelung im Verfassungsrang – sogar von einem erheblichen öffentlichen Interesse an der Feststellung, ob die verfassungsrechtlichen Vorgaben an das Schulwesen eingehalten werden.

Rechtmäßigkeit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 6 und 9 DSGVO; WP 248 Rev.01, 21 und 28)

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art. 9 Abs. 2 Buchstabe g DSGVO, wonach die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt. Auf nationaler Ebene stellt vor allem § 4 des IQS-Gesetzes bzw. § 16 des Bildungsdokumentationsgesetzes 2020 das "Recht eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht" im Sinne des Art. 9 Abs. 2 Buchstabe g DSGVO dar.

Das zitierte erhebliche öffentliche Interesse zeigt sich an der grundlegenden Aufgabe, die der österreichischen Schule in Bezug auf die Gesellschaft zukommt, indem sie an der Entwicklung der Anlagen der Jugend nach den sittlichen, religiösen und sozialen Werten sowie nach den Werten des Wahren, Guten und Schönen durch einen ihrer Entwicklungsstufe und ihrem Bildungsweg entsprechenden Unterricht mitzuwirken hat. Zudem hat die österreichische Schule die Jugend mit dem für das Leben und den künftigen Beruf erforderlichen Wissen und Können auszustatten und zum selbsttätigen Bildungserwerb zu erziehen (§ 2 des Schulorganisationsgesetzes).

Hinsichtlich dieses erheblichen öffentlichen Interesses darf auf die Ausführungen oben zu Bewertung / Legitimer Zweck verwiesen werden.

Angemessenheit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung ist angemessen, weil sie einem erheblichen öffentlichen Interesse dient (siehe oben die Ausführungen zu Bewertung / Legitimer Zweck) und sich auf die erforderlichen Daten beschränkt (siehe unten die Ausführungen zu Bewertung / Beschränktheit der Verarbeitung auf das notwendige Maß). Außerdem sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorgesehen, die vor allem in der rechtlich-organisatorischen Absicherung der Verarbeitung durch § 4 Abs. 2 des IQS-Gesetzes bestehen (siehe unten Abhilfemaßnahmen).

Erheblichkeit der Verarbeitung

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

Die Verarbeitung ist erheblich, weil ohne Überprüfung des Lernerfolgs der Schülerinnen und Schüler nicht festgestellt werden kann, ob dem verfassungsrechtlichen Auftrag eine "bestmögliche Entwicklung" zu ermöglichen, entsprochen wird.

Beschränktheit der Verarbeitung auf das notwendige Maß

(Art. 35 Abs. 7 Buchstabe b iVm Art. 5 Abs. 1 Buchstabe c DSGVO; WP 248 Rev.01, 21 und 28)

§ 5 Abs. 1 des IQS-Gesetzes verpflichtet das IQS "bei der Wahrnehmung sämtlicher Aufgaben die Grundsätze des Datenschutzes zu wahren".

Die Beschränktheit auf das notwendige Maß erfolgt dadurch, dass nicht alle Daten der Schülerinnen und Schüler verarbeitet werden, sondern nur die, die in ihrer Zusammenschau für die Steuerung des Bildungsbereichs erforderlich sind. Nicht verarbeitet werden beispielsweise besondere Vorkommnisse im Unterricht ("Klassenbucheintragungen"), Inhalte von Elterngesprächen, die Erhebungen zu Schulveranstaltungen, Leistungen aus dem Familienlastenausgleichsfonds (Schülerfreifahrt, Schulbuch, …), sämtliche Gesundheitsdaten von Schülerinnen und Schülern (auch wenn sie von den Eltern an die Schule herangetragen werden), weil diese über das für die Kompetenzerhebungen erforderliche Maß hinausgehen würden.

Die individuellen Ergebnisse der Kompetenzerhebungen dürfen zu keinem Zeitpunkt auf die betreffende Person rückführbar sein, außer in den ersten 24 Monaten nach Erhebung, durch die betreffende Schülerin oder den betreffenden Schüler selbst und ihre oder seine Erziehungsberechtigten, sowie die zuständigen Lehrpersonen und Schulleitung, sofern die Ergebnisse als Grundlage für Maßnahmen zur individuellen Förderung definiert sind (§ 6 Abs. 3 BIST-VO).

Speicherbegrenzung

(Art. 5 Abs. 1 Buchstabe e DSGVO; WP 248 Rev.01, 21 und 28)

Im Rahmen von iKMPLUS ist durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sichergestellt, dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können, außer in den ersten 24 Monaten nach Erhebung, durch die betreffende Schülerin oder den betreffenden Schüler selbst und ihre oder seine Erziehungsberechtigten, sowie die zuständige Lehrperson und Schulleitung, sofern die Ergebnisse als Grundlage für konkrete Maßnahmen zur standortspezifischen Qualitätsentwicklung bzw. Unterrichts- und Förderplanung definiert sind. Die im Rahmen von iKMPLUS gewonnenen personenbezogenen Daten sind spätestens mit Ablauf des dritten Jahres nach dem Jahr der Erhebung zu pseudonymisieren. Über die getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind Aufzeichnungen zu führen, die mindestens drei Jahre aufzubewahren sind (§ 4 Abs. 2 des IQS-Gesetzes).

Generelle Information der betroffenen Personen

(Art. 12 DSGVO; WP 248 Rev.01, 21 und 28)

Die Anforderungen transparenter Information, Kommunikation und für die Ausübung der Rechte der betroffenen Personen gemäß Art. 12 DSGVO werden durch die Bereitstellung von Informationen, Vorlagen und Mustern seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung unter der Internetadresse https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html erfüllt.

Nähere Informationen zu der Erhebung und Verarbeitung von Daten im Rahmen von iKMPLUS sind unter https://www.iqs.gv.at/services/datenschutzinformationen zu finden.

Information der betroffenen Personen bei Erhebung

(Art. 13 DSGVO; WP 248 Rev.01, 21 und 28)

Es wird unter der Internetadresse https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html und https://www.iqs.gv.at/services/datenschutzinformationen eine Datenschutzerklärung, die im Sinne der Judikatur der Datenschutzbehörde (DSB 16.11.2018, DSB-D213.692/0001-DSB/2018) zwischen den Informationspflichten gemäß Art. 13 und 14 DSGVO unterscheidet, zur Verfügung gestellt.

Außerdem werden die Schülerinnen und Schüler im Zuge von Erhebungen durch das IQS mit Datenschutzinformationen versorgt, etwa durch Schulanschreiben oder Elterninformationen).

Die Schulen werden in den Datenschutzschulungen angehalten, auf ihren Websites auf die vom BMBWF zur Verfügung gestellte Datenschutzerklärung (siehe https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html) zu verweisen.

Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden

(Art. 14 DSGVO; WP 248 Rev.01, 21 und 28)

Siehe oben: Bewertung / Information der betroffenen Personen bei Erhebung.

Auskunftsrecht der betroffenen Personen und Recht auf Datenübertragbarkeit

(Art. 15 und 20 DSGVO; WP 248 Rev.01, 21 und 28)

Die in Erwägungsgrund 63 DSGVO vorgesehene Bereitstellung eines Fernzugangs zu einem sicheren System, der den betroffenen Personen direkten Zugang zu ihren personenbezogenen Daten ermöglicht, ist teilweise im Rahmen der iKMPLUS-Plattform geplant, etwa durch Individualrückmeldungen, abgesichert über ein Code-System, sodass nur berechtigte Personen darauf zugreifen können, nicht aber beispielsweise das durchführende Institut).

Das Recht auf Datenübertragbarkeit steht gemäß Art. 20 Abs. 1 Buchstabe a DSGVO nicht zu, weil die Verarbeitung

  • weder aufgrund einer Einwilligung (Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO)
  • noch aufgrund eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

erfolgt, sondern aufgrund des Rechts eines Mitgliedstaates, nämlich den Bestimmungen des IQS-Gesetzes.

Recht auf Berichtigung und Löschung

(Art. 16, 17 und 19, WP 248 Rev.01, 21 und 28)

Das Recht auf Berichtigung steht gemäß Art. 16 DSGVO zu und kann durch Kontaktaufnahme mit dem Datenschutzbeauftragten des IQS geltend gemacht werden.

Das Recht auf Löschung steht gemäß Art. 17 Abs. 3 Buchstabe b DSGVO nicht zu, weil die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Die rechtliche Verpflichtung nach dem Recht eines Mitgliedstaats ist in diesem Fall § 4 des IQS-Gesetzes.

Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung

(Art. 18, 19 und 21; WP 248 Rev.01, 21 und 28

Das Widerspruchsrecht steht nicht zu, weil die Verarbeitung weder aufgrund öffentlicher Interessen (Art. 6 Abs. 1 Buchstabe e DSGVO) noch aufgrund berechtigter Interessen (Art. 6 Abs. 1 Buchstabe f DSGVO) noch zu Zwecken der Direktwerbung erfolgt.

Das Recht auf Einschränkung der Verarbeitung steht gemäß Art. 18 DSGVO zu und kann durch Kontaktaufnahme mit dem Datenschutzbeauftragten des IQS geltend gemacht werden.

Verhältnis zu Auftragsverarbeiterinnen und Auftragsverarbeitern

(Art. 28 DSGVO; WP 248 Rev.01, 21 und 28)

Die Verantwortlichen der Verarbeitung dürfen die heranzuziehenden Auftragsverarbeiterinnen und Auftragsverarbeiter frei im Rahmen des Art. 28 DSGVO wählen. Hierbei sind die Anforderungen des Art. 28 DSGVO einzuhalten, um keine Schadenersatzpflicht gemäß Art. 82 DSGVO auszulösen. Da es kein "anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht eines Mitgliedstaates" (Art. 28 Abs. 3 DSGVO), d.h. insbesondere keine Bestimmung im IQS-Gesetz, gibt, die die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt, sind Auftragsverarbeitungsvereinbarungen abzuschließen. Dies hat gemäß Art. 28 Abs. 9 DSGVO schriftlich zu erfolgen. Die Verantwortung für den Abschluss der Auftragsverarbeitungsvereinbarungen trägt das IQS als Verantwortlicher (§ 4 Abs. 1 des IQS-Gesetzes). Das IQS fördert und unterstützt zudem die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Leitlinie 7/2020 des Europäischen Datenschutzausschusses zu den Anforderungen an Auftragsverarbeiter. Die vom IQS verwendeten Vereinbarungen gemäß Art. 28 DSGVO enthalten in ihrem Punkt 8 Bestimmungen über den Nachweis der Zuverlässigkeit von Auftragsverarbeiterinnen und Auftragsverarbeitern, etwa durch gültige Zertifizierungen nach ISO 27000, ISO 29134, BSI-Grundschutz, CNIL oder ähnliche.

Schutzmaßnahmen bei der Übermittlung in Drittländer

(Kapitel V DSGVO; WP 248 Rev.01, 21 und 28)

Eine Übermittlung in Drittländer erfolgt nicht.

Vorherige Konsultation

(Art. 36 und EG 96 DSGVO; WP 248 Rev.01, 21 und 28)

Eine gesonderte Konsultation der Datenschutzbehörde ist gemäß Art. 36 Abs. 4 DSGVO nicht erforderlich, weil dieser im Rahmen des Begutachtungsverfahrens (siehe: Begleitschreiben unter https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/imfname_742427.pdf) ausdrücklich die Möglichkeit zur Stellungnahme und somit der aktiven Mitwirkung an der Gestaltung dieser Bestimmungen im Zuge des Gesetzgebungsverfahrens eingeräumt wurde. Damit hatte die Datenschutzbehörde die Möglichkeit die Vereinbarkeit der geplanten Bestimmungen mit der DSGVO sicherzustellen.

Risiken

Die Risiken sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (Erwägungsgründe 76, 77, 84 und 90 DSGVO). Als Risiken werden in den Erwägungsgründen 75 und 85 DSGVO unter anderem genannt:

Physische, materielle oder immaterielle Schäden

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Physische, materielle oder immaterielle Schäden können für die betroffenen Personen nie ganz ausgeschlossen werden; denkbar sind beispielsweise Schäden durch die Offenlegung schlechter Beurteilungen von Schülerinnen und Schülern etwa durch einen Data Breach. Es ist allerdings nicht zu erwarten, dass es zu diesen Schäden für die betroffenen Personen kommt, weil es strenge Vorkehrungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Verlust der Kontrolle über personenbezogene Daten

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Der Verlust der Kontrolle über personenbezogene Daten ist für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Diskriminierung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Nachteile aus Diskriminierung sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch"  § 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Identitätsdiebstahl oder -betrug

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Nachteile aus Identitätsdiebstahl oder -betrug sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Finanzielle Verluste

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Finanzielle Verluste sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Unbefugte Aufhebung der Pseudonymisierung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Nachteile aus der unbefugten Aufhebung der Pseudonymisierung sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie insbesondere:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Rufschädigung

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Nachteile aus Rufschädigung sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Verlust der Vertraulichkeit bei Berufsgeheimnissen

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Nachteile aus der Verletzung von Berufsgeheimnissen sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile

(EG 90 iVm 85 DSGVO; WP 248 Rev.01, 21 und 28)

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile sind für die betroffenen Personen nicht zu erwarten, weil es strenge Bestimmungen gibt, die vor einer missbräuchlichen Verarbeitung schützen sollen, wie etwa:

  • das Disziplinarrecht der beamteten Lehrerinnen und Lehrer,
  • Art. 25 DSGVO, der zum Schutz der betroffenen Personen verlangt, dass "geeignete technische und organisatorische Maßnahmen" zu treffen sind;
  • Art. 32 DSGVO, wonach Verantwortliche und Auftragsverarbeiterinnen und Auftragsverarbeiter für "ein dem Risiko angemessenes Schutzniveau" zu sorgen haben und der – zumindest im privaten Bereich – mit Geldstrafen bis 10 Mio. EUR sanktioniert ist (Art. 83 Abs. 4 Buchstabe a DSGVO), § 4 Abs. 2 des IQS-Gesetzes, wonach "[b]ei den Erhebungen gemäß Abs. 1 [...] durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen [ist], dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können" bzw. § 4 Abs. 3 Z 1 des Bildungsdokumentationsgesetzes 2020, der "insbesondere Maßnahmen zur sicheren Authentifizierung und sicheren Datenübertragung auf Endgeräten, Mindestanforderungen an die eingesetzte Hostingumgebung sowie Leitlinien für von den Bildungseinrichtungen festzulegenden IT-Nutzungsbedingungen" als geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung definiert;
  • strafrechtliche Bestimmungen, wie etwa die Straftatbestände "Amtsmissbrauch" (§ 302 des Strafgesetzbuches) oder "Verletzung eines Amtsgeheimnisses" (§ 310 des Strafgesetzbuches), weil die Mitarbeiterinnen und Mitarbeiter des IQS Beamte im Sinne des Strafgesetzbuches sind (§ 12 des IQS-Gesetzes iVm OGH RS0092043).

Abhilfemaßnahmen

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:

Minimierung der Verarbeitung personenbezogener Daten

(EG 78 und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Das IQS als Verantwortlicher für iKMPLUS hat gemäß § 4 Abs. 2 des IQS-Gesetzes bei Kompetenzerhebungen keinen Zugriff auf Namen von Schülerinnen und Schülern; dies ist durch die Vorgangsweise der Testung und Vorkehrungen in der IQS-Plattform gewährleistet. Das IQS bekommt nur pseudonymisierte Daten.

Schnellstmögliche Pseudonymisierung personenbezogener Daten

(EG 28 und 78 sowie Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Bei den Erhebungen für iKMPLUS ist gemäß § 4 Abs. 2 des IQS-Gesetzes durch geeignete Vorkehrungen und Maßnahmen (wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen, dass in keiner Phase der Durchführung der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können, außer innerhalb der ersten 24 Monate ab Erhebung durch die betreffende Schülerin oder den betreffenden Schüler selbst und ihre oder seine Erziehungsberechtigten, sowie die zuständige Lehrperson und Schulleitung, sofern die Ergebnisse als Grundlage für konkrete Maßnahmen zur standortspezifischen Qualitätsentwicklung und Unterrichts- und Förderplanung definiert sind.

Die bei den Erhebungen für iKMPLUS gewonnenen personenbezogenen Daten sind spätestens mit Ablauf des dritten Jahres nach dem Jahr der Erhebung zu pseudonymisieren.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten

(EG 78 DSGVO und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Durch die Publikation des IQS-Gesetzes als Bundesgesetz im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe der Verarbeitung iKMPLUS sowie die vorliegende Datenschutz-Folgenabschätzung zur Verarbeitung iKMPLUS von der Öffentlichkeit kostenlos nachvollzogen werden.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen

(EG 78 DSGVO und Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Eine ausdrückliche Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen ist nicht in einem über die allgemeinen Vorgaben der DSGVO hinausgehendem Ausmaß vorgesehen.

Datensicherheitsmaßnahmen

(EG 78 und 83 DSGVO sowie Art. 35 Abs. 7 Buchstabe d DSGVO; WP 248 Rev.01, 21 und 29)

Gemäß § 4 Abs. 2 des IQS-Gesetzes hat das IQS die geeigneten technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO, wie insbesondere Zutrittsbeschränkung, räumliche Abgrenzung, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung vorzusehen. Über die getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind Aufzeichnungen zu führen, die mindestens drei Jahre aufzubewahren sind.

Konkret setzt das IQS Datensicherheitsmaßnahmen bzw. verfügt über ein Datensicherheitskonzept u.a. in folgenden Bereichen:

  • Schutzmaßnahmen für IT-Infrastruktur (räumliche Abgrenzung, USV etc.)
  • Backup-Konzept
  • Zugangskonzept Netzwerk
  • Firewall
  • Server und Infrastruktur Monitoring
  • Zentrale Softwareverwaltung
  • Zugriffskontrolle, Berechtigungssystem
  • Informationssicherheit
  • organisationale Sicherheit
  • Sicherheitsszenarien, Disaster Recovery und Business Continuity
  • Datenklassifizierung und Organisation
  • Vertragsmanagement

Berücksichtigung von Datenschutzinteressen

Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:

Stellungnahme der Datenschutzbehörde

(Art. 36 Abs. 4 DSGVO)

Es ist keine Stellungnahme der Datenschutzbehörde im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes (https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/index.shtml#tab-Stellungnahmen) ergangen, obwohl dieser im Rahmen des Begutachtungsverfahrens (siehe: Begleitschreiben unter https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/imfname_742427.pdf) ausdrücklich die Möglichkeit zur Stellungnahme und somit der aktiven Mitwirkung an der Gestaltung dieser Bestimmung im Zuge des Gesetzgebungsverfahrens eingeräumt wurde.

Stellungnahme des Datenschutzbeauftragten

(Art. 35 Abs. 2 DSGVO; WP 248 Rev.01, 21 und 29)

Es ist keine Stellungnahme des Datenschutzbeauftragten der erlassenden Stelle im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes (https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/index.shtml#tab-Stellungnahmen) ergangen.

Stellungnahme betroffener Personen

(Art. 35 Abs. 9 DSGVO; WP 248 Rev.01, 21 und 29)

Es ist keine Stellungnahme betroffener Personen zu den datenschutzrechtlichen Aspekten im Rahmen des Begutachtungsverfahrens des IQS-Gesetzes (https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00128/index.shtml#tab-Stellungnahmen) ergangen.

BCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-Icons_datei_bildBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-IconsBCMS-Icons
Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt darzustellen. Den Browser jetzt aktualisieren

×