Ergebnisse pro Seite 20 | 50 | Alle

Identitätsmanagement und SingleSignOn gemäß § 6 IKT-Schulverordnung

2023-0.156.988
BMBWF, Präs/13 (Infrastruktur, Portale, IT-Services und Bildungstechnologien für Schulen, IT-Recht)
Mag. Dr. Thomas Menzel

+43 1 531 20-7700
Minoritenplatz 5, 1010 Wien

Rundschreiben Nr. 12/2023 (BMBWF)

Titel: Identitätsmanagement und SingleSignOn gemäß § 6 IKT-Schulverordnung 1
Rundschreiben Nr.: 12/2023
Sachgebiet: IT-Recht, Datenschutz
Verteilerkreis: alle weiterführenden höheren Schulen mit vom Bund besoldeten Personal
Datenschutzbeauftragte der Bildungsdirektionen
Personenkreis: Direktor/innen, IT-Verantwortliche, Datenschutzbeauftragte im Bildungsbereich
Geltung: unbefristet
Rechtsgrundlage: § 6 IKT-SchulVO
Kernaussagen/Ziele: Datenschutzrechtliche Verantwortlichkeit des BMBWF für schulübergreifende Register im Schulrechtsvollzug, Identity Management und Single Sign On in der Schulverwaltung
Ort und Zeitpunkt der Genehmigung: Wien, 24.04.2023
Veröffentlichende Stelle: BMBWF, Präs/13

Seitens des BMBWF wird folgende Interpretation der Bestimmungen der IKT-SchulVO BGBl. II Nr. 382/2021 allen datenschutzrechtlichen Verantwortlichen und Datenschutzbeauftragten in den Bildungsdirektionen sowie den weiterführenden höheren Schulen mit vom Bund besoldeten Personal übermittelt:

Im Sinne der Verantwortlichkeit nach § 15 Z 2 IKT-SchulVO, die für weiterführende höhere Schulen mit vom Bund besoldeten Personal federführend beim BMBWF liegt, wird klargestellt, dass IT-Systeme und Dienste 2 im Bereich der Schulverwaltung, Endgeräteverwaltung sowie Unterrichtsdokumentation gemäß den Anforderungen der DSGVO in Verbindung mit den schulrechtlichen Bestimmungen sowie der IKT-SchulVO betrieben werden müssen. Das BMBWF und die Schulleitungen haben daher sicherzustellen, dass alle diesbezüglichen Auftragsverarbeiter 3 Schüler-, Erziehungsberechtigten- und Bedienstetendaten nur auf Weisung / bzw. Auftrag (etwa im zugrundeliegenden Lizenzerwerbs-, Wartungs- und Betriebsvertrag festgelegt) zu den schulgesetzlich vorgesehenen Zwecken verarbeitet werden. Die Heranziehung von Subauftragnehmern zur Verarbeitung jeglicher personenbezogener Daten bzw. die Weiterleitung von Schülerdaten an Dritte durch Auftragsverarbeiter ist daher grundsätzlich unzulässig.

Es wird weiter ausdrücklich darauf hingewiesen, dass gem. § 6 IKT-SchulVO vom BMBWF ein Bildungsstammportal für alle öffentlichen und privaten Schulen zu betreiben ist. Ausschließlich dieses bzw die zugrundeliegenden, hoheitlichen Register edu.IDAM, IDM-Bund bzw. SV-Reg sind als Identity und Access Management System für alle IT-Systeme und Dienste im Bereich der Schulverwaltung, Endgeräteverwaltung sowie Unterrichtsdokumentation einzusetzen.

Soweit einzelne Fachanwendungen 4 bis zur flächendeckenden Verfügbarkeit von edu.IDAM und IDM-Bund (portal.at, Dienststellenportal) ein vom Auftragsverarbeiter betreutes IDM 5 verwenden, darf dies nicht zum Login an weiteren Fachanwendungen 6 mitverwendet werden. Hierfür erforderliche Schüler- und Bedienstetendaten werden dem Auftragsverarbeiter durch die Verantwortlichen nach § 15 IKT-SchulVO (Schulleitung, BD bzw. BMBWF) ausschließlich für Zwecke des Logins in der jeweiligen Fachanwendung zur Verfügung gestellt.

Seitens des BMBWF wird zeitnah eine diesbezügliche SingleSignOn-Implementierung, die auch schulbezogene E-Government-Services 7 ermöglicht, allen Schulen mit gesetzlich geregelter Schulartbezeichnung kostenfrei zur Verfügung gestellt.

Wien, 24. April 2023

Für den Bundesminister:
Mag. Martin Netzer, MBA

1 Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung über IKT-gestützten Unterricht und Datensicherheitsmaßnahmen im Schulwesen (IKT-Schulverordnung), BGBl. II Nr. 382/2021 in der geltenden Fassung

2 Das sind grundsätzlich alle Software Lösungen, die zur Unterrichtsverwaltung und Unterrichtsdokumentation eingesetzt werden. Beispiele sind etwa: Schülerverwaltung (Sokrates Bund etc), Stundenplan (EduPage, Web-Untis etc), Mitteilungshefte (eduflow, Schoolfox, Schoolupdate), Lernplattformen (eduvidual, lms.at etc), Contentverwaltung und –bereitstellung (digi4school, SBA etc) und ähnliche Dienste.

3 Das sind primär Anbieter von Fachanwendungen, Programmen oder Webanwendungen (siehe FN 1), die an Schulen zum Einsatz kommen

4 Das sind jedenfalls alle IT-Systeme und Dienste im Sinne der IKT-SchulVO (siehe FN 1).

5 Gemeint ist damit, dass das Login unmittelbar in der Fachanwendung erfolgt, also in der Fachanwendung eine eigene Benutzerverwaltung und Authentifizierung verwendet wird.

6 Im Sinne eines SingleSignOn über eine Fachanwendung und Weiterleitung der Benutzer/innen an andere Anwendungen (Portalfunktionalität).

7 Etwa: elektronische Schulbesuchsbestätigung an Finanzamt (FABIAN), elektronischer Schülerausweis (edu.digicard), elektronisches (amtssigniertes) Zeugnis. Schulische elektronische Zustellungen in Mein Postkorb (oesterreich.gv.at) etc

Zugeordnete/s Sachgebiet/e

Sonstige Rechtsangelegenheiten