BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2021

Ausgegeben am 30. August 2021

Teil II

382. Verordnung:

IKT-Schulverordnung

382. Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung über IKT-gestützten Unterricht und Datensicherheitsmaßnahmen im Schulwesen (IKT-Schulverordnung)

Auf Grund

  1. Ziffer eins
    des Paragraph 4, Absatz 3, Ziffer eins, des Bildungsdokumentationsgesetzes 2020 – BilDokG 2020, Bundesgesetzblatt Teil eins, Nr. 20 aus 2021,,
  2. Ziffer 2
    des Paragraph 14 a, Absatz 3 und Paragraph 70 a, des Schulunterrichtsgesetzes – SchUG, Bundesgesetzblatt Nr. 472 aus 1986,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 170 aus 2021,, sowie
  3. Ziffer 3
    des Paragraph 6, des Bundesgesetzes zur Finanzierung der Digitalisierung des Schulunterrichts – SchDigiG, Bundesgesetzblatt Teil eins, Nr. 9 aus 2021,,
wird verordnet:

Inhaltsverzeichnis

Paragraph

Gegenstand

1. Abschnitt
Allgemeine Bestimmungen

Paragraph eins,

Geltungsbereich

Paragraph 2,

Regelungszweck

Paragraph 3,

Personenbezogene Bezeichnungen

Paragraph 4,

Begriffsbestimmungen

2. Abschnitt
Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung bei schulischen Verarbeitungen

Paragraph 5,

Authentifizierung

Paragraph 6,

Bildungsstammportale und Bildungsportalverbund

Paragraph 7,

Anforderungen an IT-Systeme und Dienste

Paragraph 8,

Hosting

Paragraph 9,

Organisatorische Datensicherheitsmaßnahmen

3. Abschnitt
Technische und organisatorische Maßnahmen bei digitalen Endgeräten

Paragraph 10,

Endgeräteverwaltung für digitale Endgeräte

Paragraph 11,

Anwendungsbezogene Anforderungen an digitale Endgeräte

4. Abschnitt
Technische und organisatorische Maßnahmen beim IKT-gestützten Unterricht und für Lern- und Arbeitsplattformen

Paragraph 12,

IT-Nutzungsbedingungen

Paragraph 13,

Funktionalitäten der Endgeräte im IKT-gestützten Unterricht

Paragraph 14,

Elektronische Kommunikation mit Erziehungsberechtigten

5. Abschnitt
Verantwortlichkeit bei schulischen Datenverarbeitungen

Paragraph 15,

Abgrenzung der datenschutzrechtlichen Verantwortlichkeit bei Datenverarbeitungen am Schulstandort

6. Abschnitt
Schlussbestimmungen

Paragraph 16,

Übergangsbestimmung

Paragraph 17,

Verweise auf Bundesgesetze

Paragraph 18,

Inkrafttreten

1. Abschnitt
Allgemeine Bestimmungen

Geltungsbereich

Paragraph eins,

Diese Verordnung gilt für Bildungseinrichtungen gemäß

  1. Ziffer eins
    Paragraph 2, Ziffer eins, Litera a,, c und e des Bildungsdokumentationsgesetzes 2020 – BilDokG 2020, Bundesgesetzblatt Teil eins, Nr. 20 aus 2021,, mit der Maßgabe, dass
    1. Litera a
      hinsichtlich der Privatschulen ohne gesetzlich geregelte Schulartbezeichnung nur der 2. Abschnitt anzuwenden ist,
    2. Litera b
      die Paragraphen 13 und 14 nur auf Bildungseinrichtungen im Geltungsbereich des Schulunterrichtsgesetzes – SchUG, Bundesgesetzblatt Nr. 472 aus 1986,, anzuwenden sind,
  2. Ziffer 2
    Paragraph 2, Ziffer eins, Litera b und d BilDokG 2020, ausgenommen die Paragraphen 5 bis 9, 12, 15 und 16.

Regelungszweck

Paragraph 2,

Diese Verordnung verfolgt die Zwecke

  1. Ziffer eins
    der Konkretisierung technischer und organisatorischer Maßnahmen im Sinne der Artikel , der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 Sitzung 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 Sitzung 2 (im Folgenden: DSGVO) zur Gewährleistung der Sicherheit bei Datenverarbeitungen im Bereich der Schulverwaltung, der Unterrichtsdokumentation und der elektronischen Kommunikation im Schulbereich (2. Abschnitt);
  2. Ziffer 2
    der Festlegung von Vorgaben gemäß Paragraph 14 a, des Schulunterrichtsgesetzes – SchUG über die erforderlichen technischen und organisatorischen Maßnahmen für IKT-gestützten Unterricht, digitale Lern- und Arbeitsformen sowie für den Einsatz digitaler Endgeräte im Rahmen der schulischen Verwendung, insbesondere auch hinsichtlich der Funktionalität für den Unterricht und der Sicherheit der Geräte (zB Mobile Device Management und Fernverwaltung) im Sinne des Paragraph 6, des Bundesgesetzes zur Finanzierung der Digitalisierung des Unterrichts – SchDigiG, BGBl. römisch eins Nr. 9/2021;
  3. Ziffer 3
    der Regelung der elektronischen Kommunikation mit Schülerinnen und Schülern sowie Erziehungsberechtigten (zB elektronisches Mitteilungsheft).

Personenbezogene Bezeichnungen

Paragraph 3,

Soweit in dieser Verordnung auf natürliche Personen bezogene Bezeichnungen angeführt sind, beziehen sich diese auf alle Geschlechtsformen in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.

Begriffsbestimmungen

Paragraph 4,

Im Sinne dieser Verordnung sind zu verstehen:

  1. Ziffer eins
    unter dem Begriff „Schulverwaltung“: sämtliche Verarbeitungen personenbezogener Daten, die in datenschutzrechtlicher Verantwortung der Schulleitung am Schulstandort aufgrund schulgesetzlicher Regelungen vorzunehmen sind, soweit sie nicht in den Ziffer 3 bis 6 geregelt sind; davon umfasst sind
    1. Litera a
      Verarbeitungen von Schülerinnen- und Schülerdaten in den Evidenzen gemäß Paragraph 5, BilDokG 2020; dazu gehören jedenfalls alle IT-Systeme und Dienste, soweit deren Benutzerinnen und Benutzer, insbesondere in der Rolle der Schulleitung oder Sokrates-Administration damit schulweit auf personenbezogene Daten von Schülerinnen und Schülern zugreifen können, oder die überwiegend zur Verwaltung personenbezogener Daten nach Artikel 9, Absatz eins, DSGVO eingesetzt werden,
    2. Litera b
      Verarbeitungen von Schülerinnen- und Schülerdaten im Datenverbund der Schulen gemäß Paragraph 6, BilDokG 2020,
    3. Litera c
      Verarbeitungen von Schülerinnen- und Schülerdaten zur Ausstellung von Zeugnissen,
    4. Litera d
      Datenverarbeitungen in Bezug auf Stundenplanerstellung, Personalverwaltung, aktenmäßige Kommunikation zwischen Schule und Schulbehörde;
  2. Ziffer 2
    unter dem Begriff „Endgeräteverwaltung (Mobile Device Management)“: ein IT-System zur zentralisierten Verwaltung von digitalen Endgeräten gemäß Ziffer 10 ;, dieses IT-System dient der Erfüllung der in Paragraph 10, festgelegten Funktionalität;
  3. Ziffer 3
    unter dem Begriff „Unterrichtsdokumentation“: sämtliche Verarbeitungen von Schülerinnen- und Schülerdaten, die zu Zwecken der laufenden Dokumentation des Unterrichts und der Leistungsbeurteilung durch die Lehrperson vorgenommen werden sowie Datenverarbeitungen zur Durchführung von Kompetenzerhebungen;
  4. Ziffer 4
    unter dem Begriff „IT-Services für pädagogische Zwecke“: Maßnahmen zur Schaffung der technischen Rahmenbedingungen für IKT-gestützten Unterricht und elektronische Kommunikation, insbesondere die Zurverfügungstellung von Lernplattformen sowie die Einrichtung von Schülerinnen- und Schüler-Mail-Postfächern, Online-Office-Umgebungen, Onlinespeicherplatz und Webpräsenzen (zB für Projekte);
  5. Ziffer 5
    unter dem Begriff „Fernverwaltung“: der Zugriff von Lehrpersonen auf die Schülerinnen- und Schülergeräte während des IKT-gestützten Unterrichts;
  6. Ziffer 6
    unter dem Begriff „Authentifizierung“: die Überprüfung der Identität einer Benutzerin oder eines Benutzers im Zuge eines Anmeldevorgangs an einem IT-System und Dienst;
  7. Ziffer 7
    unter dem Begriff „Bildungsstammportal“: ein Portal, das der Benutzer- und Berechtigungsverwaltung zugriffsberechtigter Personen (Schülerinnen und Schüler, Lehrpersonen sowie Erziehungsberechtigte) für den Zugang zu IT-Systemen und Diensten gemäß Ziffer eins bis 4 dient;
  8. Ziffer 8
    unter dem Begriff „Bildungsportalverbund“: die Gesamtheit der Bildungsstammportale, deren Betreiber eine Vereinbarung zu gemeinsamen Rechten, Pflichten und Nutzungsbedingungen (Bildungsportalverbundvereinbarung) unterzeichnet haben;
  9. Ziffer 9
    unter dem Begriff „IT-Systeme und Dienste“: Systeme und Dienste gemäß Artikel 32, DSGVO, über deren Einsatz durch die Stelle gemäß Paragraph 15, Ziffer 2, entschieden wurde und die in Schulen zur Erfüllung der gesetzlichen Aufgaben bzw. im öffentlichen Interesse sowie zur Durchführung der Datenverarbeitungen nach Ziffer eins bis 7 eingesetzt werden;
  10. Ziffer 10
    unter dem Begriff „digitale Endgeräte“: Einrichtungen zur elektronischen oder nachrichtentechnischen Übermittlung, Speicherung und Verarbeitung von Sprache, Text, Stand- und Bewegtbildern sowie Daten, die zur Datenverarbeitung und -kommunikation eingesetzt werden können, insbesondere Notebooks oder Tablets; diese können durch den Dienstgeber als Sachbehelf gemäß Paragraph 80, des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, Bundesgesetzblatt Nr. 333 aus 1979,, bzw. Paragraph 23, des Vertragsbedienstetengesetzes 1948 – VBG, Bundesgesetzblatt Nr. 86 aus 1948,, oder durch die Erziehungsberechtigten als Arbeitsmittel gemäß Paragraph 14 a, in Verbindung mit Paragraph 61, SchUG bereitgestellt werden;
  11. Ziffer 11
    unter dem Begriff „Schulnetz“: die Gesamtheit aller Netzwerke, Komponenten und Server, die Software, Dienste und Daten bereitstellen, um am Schulstandort durch digitale Endgeräte (unabhängig vom wirtschaftlichen Eigentümer) genutzt zu werden.

2. Abschnitt
Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung bei schulischen Verarbeitungen

Authentifizierung

Paragraph 5,

  1. Absatz einsBeim Login an IT-Systemen und Diensten, etwa durch Anmeldung im Schulnetz bzw. an einem Bildungsstammportal, ist eine Authentifizierung durch personenbezogene Benutzerkennung und Passwort erforderlich. Dabei sind die IT-Systeme und Dienste so zu konfigurieren, dass Passwörter ausreichend komplex zu gestalten sind. Weiters sind die Benutzerinnen und Benutzer zu belehren, dass Passwörter nicht weitergegeben werden dürfen.
  2. Absatz 2Bei IT-Systemen und Diensten für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins und 2 ist zusätzlich eine Mehr-Faktor-Authentifizierung erforderlich (etwa mittels Technologien wie Handysignatur, TANs über dienstliche Mail-Adresse, biometrische Merkmale oder gleichwertige Maßnahmen).

Bildungsstammportale und Bildungsportalverbund

Paragraph 6,

  1. Absatz einsZur Gewährleistung der IT-Sicherheit in Schulen, in der Schulverwaltung und zum Schutz der Rechte von Schülerinnen und Schülern, Lehrpersonen und Erziehungsberechtigten ist für die Anmeldung und Nutzung von IT-Systemen und Diensten im Schulwesen ein Identity- und Access-Management vorzusehen. Zu diesem Zweck ist für alle öffentlichen und privaten Schulen von der Bundesministerin oder vom Bundesminister für Bildung, Wissenschaft und Forschung als Verantwortliche bzw. als Verantwortlicher ein Bildungsstammportal zu betreiben, sofern deren Erhalter nicht von der Möglichkeit des Betriebs eines eigenen Bildungsstammportals gemäß Absatz 2, Gebrauch machen. Jenes umfasst als Access-Management das IT-System „Portal Digitale Schule (PoDS)“ und verwaltet die Zugriffsberechtigungen von Schülerinnen und Schülern, Lehr- und Verwaltungspersonal sowie von Erziehungsberechtigten auf schulbezogene IT-Systeme und Dienste. Die dafür benötigten Identitätsdaten dieser Personengruppen werden im IT-System „edu.IDAM“ für Schülerinnen und Schüler, im PoDS für Erziehungsberechtigte als Identitätsmanagement verwaltet und aus den lokalen Evidenzen nach Paragraph 5, BilDokG 2020 bzw. den Personalverwaltungssystemen gespeist.
  2. Absatz 2Eine Stelle nach Paragraph 15, Ziffer 2, oder ein Schulerhalter kann als Verantwortlicher ein Bildungsstammportal für die Schülerinnen und Schüler, deren Erziehungsberechtigte sowie Lehr- und Verwaltungspersonal im eigenen Zuständigkeitsbereich betreiben. Solche Bildungsstammportale haben für die Aufnahme in den Bildungsportalverbund gemäß Paragraph 4, Ziffer 8, die allgemeine Zugänglichkeit für Schülerinnen und Schüler, Lehr- und Verwaltungspersonal sowie Erziehungsberechtigte im jeweiligen Geltungsbereich eines Bildungsstammportals zu gewährleisten und für das Access-Management für bundesweite IT-Systeme und Dienste im Bildungsbereich und Synchronisation mit anderen bundesweiten Verzeichnisdiensten Schnittstellen zu den IT-Systemen PoDS und edu.IDAM vorzusehen und die dafür benötigten Daten gemäß Absatz 3, zur Verfügung zu stellen. Dafür haben die Betreiber eines Bildungsstammportals dem Bildungsportalverbund beizutreten und eine unterzeichnete Bildungsportalverbundvereinbarung bei der Bundesministerin oder beim Bundesminister für Bildung, Wissenschaft und Forschung als Depositär zu hinterlegen. Diese Vereinbarung hat der Festlegung gemeinsamer Rechte, Pflichten und Nutzungsbedingungen der Betreiber von Bildungsstammportalen zu dienen und einen einheitlichen Rahmen für den Zugriff auf verschiedene IT-Systeme und Dienste, wie sie insbesondere im PoDS beinhaltet sind, zu schaffen. Der Text der Bildungsportalverbundvereinbarung ist auf der Webseite des Bundesministeriums für Bildung, Wissenschaft und Forschung zu veröffentlichen.
  3. Absatz 3Für die Nutzung eines Bildungsstammportals gemäß Absatz eins und 2 durch Schülerinnen und Schüler sowie deren Erziehungsberechtigte und durch Bedienstete des Bundes an Schulen und Landeslehrpersonen sind im Bildungsportalverbund zu verarbeiten und bereitzustellen:
    1. Ziffer eins
      folgende Daten der Schülerinnen und Schüler aus den Evidenzen der Schülerinnen und Schüler bzw. der Studierenden gemäß Paragraph 5, sowie Anlage 1 und 2 BilDokG 2020 in Verbindung mit Paragraph 14 a, SchUG sowie das bPK-BF aus dem Stammzahlenregister:
      1. Litera a
        Angaben zur besuchten Schule (Schulkennzahl, Schulbezeichnung, Anschrift),
      2. Litera b
        ein bildungseinrichtungsspezifisches Personenkennzeichen gemäß Paragraph 5, Absatz eins, Ziffer 3, BilDokG2020,
      3. Litera c
        das bereichsspezifische Personenkennzeichen des Tätigkeitsbereichs „Bildung und Forschung“ (bPK-BF),
      4. Litera d
        die Namen (Vor- und Familiennamen, einschließlich allfälliger akademischer Grade),
      5. Litera e
        das Geburtsdatum,
      6. Litera f
        das Geschlecht,
      7. Litera g
        Angaben zur besuchten Klasse bzw. zum besuchten Jahrgang, Klassen- bzw. Jahrgangsvorstand oder Klassen- bzw. Jahrgangsvorständin sowie Zuordnung zum Stundenplan,
      8. Litera h
        der Schülerinnen- bzw. Schülerstatus (ordentlich oder außerordentlich),
      9. Litera i
        die Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse),
    2. Ziffer 2
      folgende Daten der Erziehungsberechtigten aus den Evidenzen der Schülerinnen und Schüler gemäß Paragraph 5, Absatz eins, Ziffer 20, sowie Anlage 2 Ziffer 9, BilDokG 2020 in Verbindung mit Paragraph 14 a, SchUG :
      1. Litera a
        die Schulkennzahl bzw. Schulkennzahlen der von den zugehörigen Schülerinnen und Schülern besuchten Schule bzw. Schulen,
      2. Litera b
        das bPK-BF, dieses nach Erklärung der Einwilligung gem. Artikel 7, DSGVO der oder des Erziehungsberechtigten,
      3. Litera c
        die Namen (Vor- und Familiennamen einschließlich allfälliger akademischer Grade),
      4. Litera d
        das Geschlecht,
      5. Litera e
        die Zuordnung zu den zugehörigen Schülerinnen und Schüler je Schulkennzahl,
      6. Litera f
        die Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse),
    3. Ziffer 3
      folgende Daten der Bediensteten des Bundes an Schulen gemäß Paragraph 280, Absatz eins, Ziffer eins, BDG und der Landeslehrpersonen gemäß Paragraph 119 a, des Landeslehrer-Dienstrechtsgesetzes – LDG, Bundesgesetzblatt Nr. 302 aus 1984,, in Verbindung mit Paragraph 280, Absatz eins, Ziffer 7, BDG:
      1. Litera a
        die Schulkennzahl bzw. Schulkennzahlen,
      2. Litera b
        das bPK-BF,
      3. Litera c
        die Namen (Vor- und Familiennamen einschließlich allfälliger akademischer Grade),
      4. Litera d
        das Geschlecht,
      5. Litera e
        die SAP-Personalnummer,
      6. Litera f
        die Zuordnung zu Stundenplänen (Klasse bzw. Jahrgang),
      7. Litera g
        die Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse).
  4. Absatz 4Schulleitungen oder Dienstgeber, die das Bildungsstammportal gemäß Absatz eins, nutzen, haben die Daten gemäß Absatz 3, über Schnittstellen aus den jeweiligen lokalen Evidenzen gemäß Paragraph 5, BilDokG 2020 sowie den Personalverwaltungssystemen, soweit sie nicht Bundesbedienstete betreffen, für Zwecke des Identitätsmanagements und der Synchronisation in den IT-Systemen PoDS und edu.IDAM zu übermitteln. Sie haben die Kosten zu tragen, die durch die Herstellung und den Betrieb der Schnittstelle zur Anbindung an das Bildungsstammportal des Bundes entstehen.

Anforderungen an IT-Systeme und Dienste

Paragraph 7,

  1. Absatz einsZur Integration weiterer IT-Systeme und Dienste in das PoDS auf Vorschlag einer Bildungsdirektion oder eines privaten Schulerhalters ist durch den Diensteanbieter als Auftragsverarbeiter eine Auftragsverarbeitervereinbarung mit der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung als Verantwortlicher für PoDS abzuschließen und zu dokumentieren, wie die technischen und organisatorischen Maßnahmen dieser Verordnung sowie die Schnittstellenspezifikation und Teilnahmebedingungen des PoDS eingehalten werden.
  2. Absatz 2IT-Systeme und Dienste für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins und 2 sind grundsätzlich webbasiert zur Verfügung zu stellen, soweit sie nicht ausschließlich auf dienstlichen Endgeräten im Schulnetz verwendet werden. Beim Design des IT-Systems oder Dienstes ist darauf zu achten, dass die für die Anwenderinnen und Anwender benötigte Funktionalität grundsätzlich ohne Speicherung personenbezogener Daten am Endgerät gewährleistet ist. Die Datensicherheit der IT-Systeme und Dienste kann insbesondere über einschlägige Zertifizierungen nachgewiesen werden. Im Zuge der ersten Inbetriebnahme ist ein dem Stand der Technik entsprechender und dem Risikopotential der Anwendung angemessener Penetrationstest sowie ein Third Party Review zur Bewertung der IT-Sicherheit durchzuführen.

Hosting

Paragraph 8,

  1. Absatz einsIT-Systeme und Dienste für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins, für Schulen sind in Rechenzentren zu betreiben, die sich im EWR-Raum bzw. in Staaten, hinsichtlich derer ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45, DSGVO besteht, befinden und geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen aufweisen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.
  2. Absatz 2IT-Systeme und Dienste für Datenverarbeitungen gemäß Paragraph 4, Ziffer 2 bis 4 können über die Regelung in Absatz eins, hinaus auch in sonstigen Rechenzentren geeigneter Clouddiensteanbieter gehostet werden. Beim Heranziehen solcher Clouddiensteanbieter sind jedenfalls die Bestimmungen des Europäischen Datenschutzausschusses zu genehmigten Verhaltensregeln nach Artikel 40, DSGVO zu berücksichtigen. Es sind nur jene Clouddiensteanbieter heranzuziehen, die eine Vereinbarung mit dem BMBWF abgeschlossen haben. Diese hat sich nach den Rahmenbedingungen des Bundesministeriums für Bildung, Wissenschaft und Forschung für den Einsatz privater Clouddiensteanbieter im IKT-gestützten Unterricht zu richten.
  3. Absatz 3Zur Sicherstellung der IT-Sicherheit können IT-Systeme und Dienste für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins bis 5 auch für mehrere Schulen zentral gehostet werden, wobei durch eine Berechtigungsverwaltung sicherzustellen ist, dass auf Schülerinnen- und Schülerdaten einer Schule nur durch die jeweilige Schulleitung zugegriffen werden darf.

Organisatorische Datensicherheitsmaßnahmen

Paragraph 9,

Die Schulleitung hat sicherzustellen, dass

  1. Ziffer eins
    Datenverarbeitungen gemäß Paragraph 4, Ziffer eins, vor unbefugter Einsicht geschützt sind,
  2. Ziffer 2
    der Zutritt zu Räumen, in denen solche Datenverarbeitungen stattfinden, nur befugten Benutzerinnen und Benutzern möglich ist und bei etwaigem Parteienverkehr in diesen Räumen keine Einsichtnahme in die Daten erfolgen kann,
  3. Ziffer 3
    Datenverarbeitungen gemäß Paragraph 4, Ziffer eins bis 4 nur durch Bedienstete der eigenen Dienststelle nach Abwägung der Erforderlichkeit für die Erfüllung der schulrechtlich vorgesehenen Zwecke möglich sind, und nur diesen die dafür erforderlichen Zugangsberechtigungen eingeräumt werden,
  4. Ziffer 4
    Bedienstete der eigenen Dienststelle in regelmäßigen Abständen über die Bestimmungen der DSGVO und des Datenschutzgesetzes – DSG, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, belehrt werden, insbesondere hinsichtlich
    1. Litera a
      der Wahrung des Datengeheimnisses gemäß Paragraph 6, DSG,
    2. Litera b
      der datenschutzrechtlichen Zweckbindung, auf deren Grundlage personenbezogene Daten nur für die schulrechtlich vorgesehenen Zwecke verarbeitet werden, dürfen sowie
    3. Litera c
      des Inhalts dieser Verordnung.

3. Abschnitt
Technische und organisatorische Maßnahmen bei digitalen Endgeräten

Endgeräteverwaltung für digitale Endgeräte

Paragraph 10,

Um die Funktionalität und Sicherheit aller digitalen Endgeräte mittels geeigneter technischer Maßnahmen, insbesondere durch Integration in eine Endgeräteverwaltung (Mobile Device Management), sicherzustellen, haben die von der Stelle gemäß Paragraph 15, Ziffer 2, bzw. vom Dienstgeber eingesetzten Systeme zur Endgeräteverwaltung folgende technische und organisatorische Maßnahmen zu gewährleisten:

  1. Ziffer eins
    automatisiertes Einspielen von Sicherheits- und Betriebssystemupdates auf den digitalen Endgeräten,
  2. Ziffer 2
    aktueller Schutz vor Schadsoftware auf digitalen Endgeräten zum Schutz des Schulnetzes,
  3. Ziffer 3
    sicherer Betrieb im Schulnetz gemäß den für die jeweilige Benutzerin oder den jeweiligen Benutzer festgelegten Zugriffsrechten,
  4. Ziffer 4
    bei Verlust die Möglichkeit zur Fernlokalisierung, Fernsperre bzw. Fernlöschung der digitalen Endgeräte bei technischer Möglichkeit auf ausdrücklichen und dokumentierten Wunsch der Geräteinhaberin oder des Geräteinhabers, soweit das Endgerät erreichbar ist, und
  5. Ziffer 5
    Aktivierung der für die Endgeräteverwaltung erforderlichen Software-Komponenten auf den verwalteten digitalen Endgeräten.

Anwendungsbezogene Anforderungen an digitale Endgeräte

Paragraph 11,

  1. Absatz einsDie Verwendung digitaler Endgeräte ist zulässig
    1. Ziffer eins
      für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins und 2, sofern die Endgeräte
      1. Litera a
        durch den Dienstgeber als Sachbehelf gemäß Paragraph 80, BDG 1979 bzw. Paragraph 23, VBG zur Verfügung gestellt werden,
      2. Litera b
        die vorgesehenen Methoden im Rahmen der Mehr-Faktor-Authentifizierung gemäß Paragraph 5, Absatz 2, unterstützen,
      3. Litera c
        mit einer Endgeräteverwaltung gemäß Paragraph 10, betrieben werden bzw. durch die Betreuung der Dienstgeräte im Rahmen der Schul-IT alle Anforderungen des Paragraph 10, Ziffer eins bis 4 gewährleistet sind und
      4. Litera d
        lokale Daten möglichst in verschlüsselter Form speichern und
    2. Ziffer 2
      für Datenverarbeitungen gemäß Paragraph 4, Ziffer 3 und 4, sofern die im Schulnetz befindlichen Endgeräte mit einer Endgeräteverwaltung gemäß Paragraph 10, betrieben werden.
  2. Absatz 2Wenn an einem Schulstandort die Entscheidung für die einheitliche Verwendung digitaler Endgeräte insbesondere im Rahmen eines Digitalisierungskonzepts gemäß Paragraph 2, Absatz 2, SchDigiG getroffen wurde, so ist eine Beschreibung der Gerätetypen festzulegen und sind ausschließlich Endgeräte dieser Typen zu verwenden.
  3. Absatz 3Um die Speicherung personenbezogener Schülerinnen- und Schülerdaten am Endgerät zu vermeiden, sind IT-Systeme und Dienste für Datenverarbeitungen gemäß Paragraph 4, Ziffer eins und 2 grundsätzlich webbasiert zur Verfügung zu stellen. Stehen ausnahmsweise an Schulen keine webbasierten IT-Systeme und Dienste für die genannten Datenverarbeitungen zur Verfügung, so sind durch die jeweiligen Stellen gemäß Paragraph 15, Ziffer 2, technische und organisatorische Maßnahmen, die eine gleichwertige IT-Sicherheit wie beim Einsatz webbasierter Lösungen gewährleisten, vorzusehen und diesbezügliche Regelungen, wie etwa Festplattenverschlüsselung, für die Verwendung festzulegen.
  4. Absatz 4Anstelle einer Einbindung in eine Endgeräteverwaltung gemäß Paragraph 10, können Zugriffe auf IT-Systeme und Dienste über ein schulseitig betriebene Remote Desktop Service erfolgen, sofern gewährleistet ist, dass alle Anforderungen dieser Verordnung hinsichtlich Authentifizierung, Hosting des Remote Desktop Service, organisatorischer Maßnahmen sowie eines sicheren Betriebs ohne direkte Datenhaltung am Endgerät durch die Funktionalität des Remote Desktop Services erfüllt werden.,

4. Abschnitt
Technische und organisatorische Maßnahmen beim IKT-gestützten Unterricht und für Lern- und Arbeitsplattformen

IT-Nutzungsbedingungen

Paragraph 12,

  1. Absatz einsUnter Berücksichtigung der Anforderungen des Paragraph 11, ist die Verwendung eines digitalen Endgerätes im Schulnetz als Arbeitsmittel im IKT-gestützten Unterricht, zum eigenständigen Lernen und für Zwecke der Schulverwaltung zulässig.
  2. Absatz 2Unzulässig ist
    1. Ziffer eins
      eine Verwendung für kommerzielle oder gewerbliche Zwecke,
    2. Ziffer 2
      eine übermäßige Auslastung des Schulnetzes für private Zwecke,
    3. Ziffer 3
      die Integration von kommerzieller Werbung (ausgenommen die Diskussion über die Vor- und Nachteile eines Produktes durch Benutzerinnen und Benutzer) in schüler- oder lehrerbezogene Webpräsenzen sowie Lernplattformen,
    4. Ziffer 4
      eine Verwendung mit dem Ziel der Realisierung von illegalen Handlungen sowie der Versuch, unberechtigten Zugang zu Systemen, Software, Diensten oder Informationen zu erlangen,
    5. Ziffer 5
      eine Verwendung zu Zwecken der Nachrichtenübermittlung, welche die öffentliche Ordnung und Sicherheit oder die Sittlichkeit gefährdet oder gegen Gesetze verstößt,
    6. Ziffer 6
      eine Verwendung, die eine Belästigung oder Verängstigung anderer Benutzerinnen oder Benutzer bewirkt,
    7. Ziffer 7
      jegliche Verwendung, die andere Benutzerinnen oder Benutzer behindert oder das gute Funktionieren der Services des Schulnetzes stört,
    8. Ziffer 8
      die unberechtigte Vervielfältigung und Verteilung von Software sowie jede Art der Verwendung, die im Widerspruch zum Urheberrechtsgesetz, Bundesgesetzblatt Nr. 111 aus 1936,, steht.
  3. Absatz 3Über die Zulässigkeit einer konkreten Verwendung hat im Zweifelsfall die Schulleitung zu entscheiden.
  4. Absatz 4Die Schulleitung kann weitere standortspezifische IT-Nutzungsbedingungen anordnen. Sie kann dabei das Schulforum bzw. den Schulgemeinschaftsausschuss beratend beiziehen.

Funktionalitäten der Endgeräte im IKT-gestützten Unterricht

Paragraph 13,

  1. Absatz einsDie im IKT-gestützten Unterricht eingesetzten IT-Systeme und Dienste haben den Videoeinsatz und die Präsentationsmöglichkeiten zu unterstützen.
  2. Absatz 2Bei Aktivierung der Kameras sind die technischen Möglichkeiten der Schülerinnen und Schüler, der Schutz der familiären Privatsphäre in der Wohnung der Schülerinnen und Schüler sowie die besonderen Bedürfnisse von Schülerinnen und Schülern mit Behinderung nach Maßgabe der technischen Möglichkeiten zu berücksichtigen.
  3. Absatz 3Aufzeichnungen des Unterrichts durch Video- oder Audioaufnahmen oder Screenshots sind nur mit Einwilligung aller Betroffenen gemäß Artikel 7, DSGVO in Verbindung mit Paragraph 4, Absatz 4, DSG zulässig.

Elektronische Kommunikation mit Erziehungsberechtigten

Paragraph 14,

Sofern die Erziehungsberechtigten die Möglichkeit einer elektronischen Kommunikation mit der Schule nützen wollen, ist durch die zum Einsatz kommenden IT-Systeme und Dienste sicherzustellen, dass die elektronische Kommunikation mit den Erziehungsberechtigten der jeweiligen Schülerin bzw. des jeweiligen Schülers erfolgt und die Kenntnisnahme der Nachricht durch die Erziehungsberechtigten für die Schule nachvollziehbar ist.

5. Abschnitt
Verantwortlichkeit bei schulischen Datenverarbeitungen

Abgrenzung der datenschutzrechtlichen Verantwortlichkeit bei Datenverarbeitungen am Schulstandort

Paragraph 15,

Verantwortlicher im Sinne des Artikel 4, Ziffer 7, DSGVO ist

  1. Ziffer eins
    hinsichtlich der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und Einhaltung der Grundsätze des Artikel 5, DSGVO durch die Bildungseinrichtung sowie hinsichtlich der Wahrung des Datenschutzes am Schulstandort gemäß Paragraph 4, Absatz eins, BilDokG 2020 die jeweilige Schulleitung und
  2. Ziffer 2
    hinsichtlich der Gewährleistung der Datensicherheit der nötigen IT-Systeme und Dienste für Datenverarbeitungen (zB einer Schulverwaltungssoftware und deren Hosting) jene Stelle, die als Maßnahme bezüglich der IT-Ausstattung an Schulen die Entscheidung darüber trifft.

6. Abschnitt
Schlussbestimmungen

Übergangsbestimmung

Paragraph 16,

Allen Schülerinnen und Schülern an Bundesschulen sowie deren Erziehungsberechtigten ist die Teilnahme am Bildungsstammportal gemäß Paragraph 6, Absatz eins, ab 30. September 2021 zu ermöglichen. Schnittstellen gemäß Paragraph 6, Absatz 2, und 4 sind bis spätestens 30. September 2022 durch die Stelle gemäß Paragraph 15, Ziffer 2, einzurichten. Paragraph 10 und Paragraph 11, sind nach Maßgabe der technischen Voraussetzungen an den Schulstandorten bis spätestens 31. Jänner 2022 umzusetzen.

Verweise auf Bundesgesetze

Paragraph 17,

Soweit in dieser Verordnung auf Bundesgesetze verwiesen wird, sind diese in der mit dem Inkrafttreten der jeweils letzten Novelle dieser Verordnung geltenden Fassung anzuwenden.

Inkrafttreten

Paragraph 18,

Diese Verordnung tritt mit 1. September 2021 in Kraft.

Faßmann