Eingelangt am 04.03.2015
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Niko Alm, Nikolaus Scherak, Kollegin und Kollegen

an die Bundesministerin für Bildung und Frauen

 

betreffend HEAT-Anfrage zur Bildungsdokumentation

 

Entsprechend dem Bildungsdokumentationsgesetz (BGBl. I Nr. 12/2002) werden Daten von Schülerinnen und Schülern in den Schulen erhoben und an das Bundesministerium für Bildung und Frauen bzw. an die Bundesanstalt "Statistik Österreich" (Statisik Austria) übermittelt. Diese analysieren die auf Individualebene anonymisierten Statistikdaten, um ein umfassendes, objektives Bild des österreichischen Bildungswesens zu erhalten und dadurch eine Grundlage für bildungspolitische Planungen zu bekommen. Es handelt sich hierbei also - trotz Anonymisierung - um sensible Daten von Schülerinnen und Schülern. Ein Höchstmaß an Datensicherheit ist daher geboten.

Diese Anfrage ist in Kooperation mit dem Arbeitskreis Vorratsdatenspeicherung (AKVorrat) entstanden. Nach der erfolgreichen Abschaffung der Vorratsdatenspeicherung adressiert AKVorrat die Abschaffung der übrigen Massenüberwachungsgesetze in Österreich. Mit dem Projekt „Handlungskatalog zur Evaluierung von Anti-Terror-Gesetzen“ (kurz: HEAT) wird ein annähernd vollständiges Bild der Überwachungsgesetzgebung und –technik in Österreich gezeichnet. Das Ziel ist eine verhältnismäßige und faktenbasierte Sicherheitspolitik. Aktuelle Informationen zum Projekt auf https://akvorrat.at/heat

Aus diesem Grund stellen die unterfertigten Abgeordneten nachstehende

Anfrage

 

1.    Welche Stellen haben abgesehen von den Ausbildungseinrichtungen Zugriff auf die Bildungsdokumentation (im folgenden Datenbank(en) genannt)?

2.    Welche dieser Stellen können unter Eingabe der Sozialversicherungsnummer die betreffenden Daten zu einer Person abfragen?

3.    Ist der Name Teil dieser abfragbaren Daten?

4.    Welche dieser Stellen können Daten verändern?

5.    Kann eine Stelle/Bildungseinrichtung Abfragen zu einer Person durchführen, von welcher diese Bildungseinrichtung niemals besucht wurde?

6.    Unter welchen Bezeichnungen bzw. Nummern sind die Datenbanken zur Bildungsevidenz (insbesondere die Gesamtevidenz der Schüler) im Verzeichnis der Informationsverbundsysteme (https://dvr.dsb.gv.at/at.gv.bka.dvr.public/IVSRecherche.aspx) zu finden?

7.    Wann erfolgte die Registrierung dieser Datenanwendungen?

8.    Wann erfolgte die Aufnahme des Betriebs dieser Datenanwendung?

9.    Mit welchen anderen Datenbanken werden die Datenbanken der Bildungsevidenz abgeglichen, ausgetauscht oder verknüpft und geschieht dies jeweils manuell oder automatisiert?

10. Durch welche Stellen und zu welchen Zwecken erfolgt eine Auswertung der Daten?

11. Welcher technische Mechanismus wird zur „nicht rückführbaren Verschlüsselung“ (vgl. Bildungsdokumentationsgesetz § 5, bzw. Bildungsdokumentationsverordnung § 8) der Sozialversicherungsnummer zur Berechnung der Bildungsevidenzkennzahl benutzt?

12. Falls als Mechanismus eine „public-key-Verschlüsselung“ (asymmetrische Verschlüsselung) zum Einsatz kommt, welche Stelle ist im Besitz des zugehörigen „privaten Schlüssels“ und berechtigt, diesen anzuwenden?

a.    Unter welchen Voraussetzungen darf dieser private Schlüssel angewendet werden?

b.    Welche Protokollierung erfolgt bei der Anwendung des privaten Schlüssels?

c.    Werden die betroffenen Personen darüber in irgendeiner Form informiert?

                                  i.    Wenn ja, wie genau?

13. Wird durch die „nicht rückführbare Verschlüsselung“ der Sozialversicherungsnummer ausgeschlossen, dass die Daten zu einer bestimmten Person, deren Sozialversicherungsnummer bekannt ist, abgefragt werden können?

a.    Wenn ja, durch welchen technischen Mechanismus?

14. Wird auf andere Weise ausgeschlossen, dass die Daten zu einer bestimmten Person, deren Sozialversicherungsnummer bekannt ist, abgefragt werden können?

a.    Wenn ja, wie genau?

15. Nach welchen Sicherheitsvorgaben und Standards (z. B. Österreichisches IT-Sicherheitshandbuch, IT Grundschutzhandbuch, ISO 270xx) wurden die Datensicherheitsmaßnahmen (vgl. §14 DSG 2000) gestaltet und umgesetzt insbesondere hinsichtlich der Absicherung der

a.    zentralen Dankenbanken?

b.    dezentralen Stellen, von welchen auf die Datenbank lesend oder schreibend zugegriffen werden kann?

c.    Absicherung der Verbindungen zwischen den Datenbanken und den dezentralen Stellen?

d.    des Backups?

16. Wurde die Datensicherheit von unabhängiger Stelle evaluiert?

a.    Wenn ja, von welcher Stelle und mit welchem konkreten Ergebnis?

b.    Wenn nein, wieso nicht?

c.    Wenn nein, ist dies für die Zukunft geplant und wenn ja, wann?

17. Wie werden Zugriffe auf diese Datenbanken protokolliert und ausgewertet?

18. Welche konkreten Maßnahmen sollen Missbrauchsfälle in Zusammenhang mit diesen Datenbanken verhindern?

19. Gab es seit der Einführung Missbrauchsfälle in Zusammenhang mit diesen Datenbanken?

a.    Wenn ja, wie viele?

b.    Wenn ja, wurden die betroffenen Personen darüber informiert?

c.    Wenn ja, welche Maßnahmen zur Verhinderung von Missbrauchsfällen wurden danach getroffen?

20. Wie hoch sind die Kosten für den laufenden Betrieb der Datenbanken und ihrer Absicherung seit der Einführung? (Bitte um Aufschlüsselung nach Jahren)

21. Welche Ziele der Bildungsevidenz wurden bereits erreicht?

22. Welche Ziele der Bildungsevidenz wurden noch nicht erreicht?

23. Bis wann ist zu erwarten, dass die Ziele erreicht werden können?

24. Welche Kosten sind bis zur Erreichung aller Ziele noch zu erwarten?