Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfs:

Umsetzung der Datenschutz-Grundverordnung

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), beschlossen. Die DSGVO ist am 25. Mai 2016 in Kraft getreten, kommt ab 25. Mai 2018 zur Anwendung und hebt ebenfalls mit 25. Mai 2018 die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, auf. Trotz unmittelbarer Geltung der DSGVO in den Mitgliedstaaten bedarf sie in zahlreichen Bereichen der Durchführung in innerstaatliches Recht. So enthält die DSGVO – unbeschadet des Transformationsverbots und der damit verbundenen mangelnden Rechtssetzungskompetenz der Mitgliedstaaten – zahlreiche Regelungsspielräume bzw. „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten oder berechtigen, im Rahmen der Vorgaben des Art. 6 Abs. 2 und 3 iVm Art. 6 Abs. 1 lit. c und e DSGVO bestimmte Angelegenheiten näher zu regeln. Soweit in der Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, ist es zudem zulässig, dass die Mitgliedstaaten – zur Wahrung der Kohärenz und um nationale Vorschriften verständlicher zu machen – Teile dieser Verordnung in ihr nationales Recht aufnehmen (vgl. ErwGr 8 zur DSGVO).

Die notwendige Durchführung bzw. Umsetzung der unionsrechtlichen Vorgaben hinsichtlich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten erfolgte durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und die darin vorgesehenen Anpassungen im Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999. Gemäß § 69 Abs. 8 DSG sind – im Rahmen der Vorgaben durch die DSGVO – in Bundes- und Landesgesetzes besondere Bestimmungen über die Verarbeitung von personenbezogenen Daten, die vom DSG abweichen, zulässig.

Materienspezifische Datenschutzregelungen können im Rahmen der Vorgaben der DSGVO auch weiterhin auf die Kompetenztatbestände der jeweiligen Materie gestützt werden (Annexmaterie). Im Bereich des Schul- und Hochschulwesens bestehen spezifische datenschutzrechtlich relevante Regelungen vor allem im Bildungsdokumentationsgesetz, BGBl. I Nr. 12/2002, aber auch im Schulunterrichtsgesetz, BGBl. Nr. 472/1986, im Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, BGBl. I Nr. 33/1997, im Schulpflichtgesetz 1985, BGBl. Nr. 76/1985, im BIFIE-Gesetz 2008, BGBl. I Nr. 25/2008, im Hochschulgesetz 2005, BGBl. I Nr. BGBl. I Nr. 30/2006, sowie im Schülerbeihilfengesetz 1983. Diese Regelungen sind auf ihre Vereinbarkeit mit der DSGVO zu überprüfen und gegebenenfalls anzupassen. Die erforderlichen Adaptierungen erfolgen im Rahmen des als Entwurf vorliegenden Gesetzespaketes.

Da das Datenschutzregime der DSGVO neue Begrifflichkeiten vorsieht, sind in den materienspezifischen Bestimmungen zahlreiche terminologische Anpassungen erforderlich. Diesen folgen vor allem im Bildungbsdokumentationsgesetz zum Teil nicht unerhebliche inhaltliche Änderungen, die den Datenverbund der Universitäten und Pädagogischen Hochschulen, der nach der bis 25. Mai 2018 geltenden Rechtslage als Informationsverbundsystem im Sinne des § 4 Z 13 iVm § 50 DSG 2000 ausgestaltet ist, betreffen. Da der DSGVO das Informationsverbundsystem im Sinne des (durch die Novelle BGBl. I Nr. 120/2017 außer Kraft tretenden) § 4 Z 13 DSG 2000 fremd ist, sind hier Anpassungen vorzunehmen. Ein Informationsverbundsystem lag nach bisheriger Rechtslage vor, wenn mehrere Auftraggeber die von ihnen verarbeiteten Daten in ein gemeinsames System einspeisten und jeder Auftraggeber Zugriff auf sämtliche in diesem System verarbeiteten Daten hatte. Die Weiterführung des bewährten Datenverbundes der Universitäten und Pädagogischen Hochschulen, erweitert um die Fachhochschulen und Fachhochschul-Studiengänge sowie die Privatuniversitäten, soll nunmehr über die in Art. 26 DSGVO geschaffene „gemeinsame Veantwortlichkeit“ der beteiligten Bildungseinrichtungen ermöglicht werden. Neben den Regelungen des Datenverbundes gemäß § 7a des Bildungsdokumentationsgesetzes soll mit der Verankerung des „Austrian Education Systems Network“ (§ 7b des Bildungsdokumentationsgesetzes in der Fassung der vorliegenden Entwurfs) für den universitären und hochschulischen Bereich ausschließlich zum Zweck der Gewährleistung der ordentlichen Verwaltung und Durchführung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien eine eigene gesetzliche Grundlage geschaffen werden. Im Gegensatz zum Datenverbund soll beim AESN keine eigene Datenbank befüllt werden, sondern eine Verarbeitung bzw. Übermittlung der für die Verwaltung und Durchführung eines gemeinsamen Studienprogramms oder eines gemeinsam eingerichteten Studiums erforderlichen Daten „nur“ zwischen den an einem gemeinsamen Studienprogramm oder an einem gemeinsam eingerichteten Studium beteiligten Bildungseinrichtungen erfolgen („Peer-to-Peer“-Architektur“).

Die notwendigen Änderungen des Bildungsdokumentationsgesetzes werden weiters zum Anlass genommen, auch im Bereich der Schulen einen dem universitären und hochschulischen Bereich nachgebildeten Datenverbund der Schulen (§ 7c sowie Anlage 4 in der vorliegenden Enwurfsfassung) zu implementieren. Dieser soll zur Vollziehung der mit der Aufnahme von Schülerinnen und Schülern in Zusammenhang stehenden Rechtsvorschriften eingerichtet werden, dient dem Zweck der Vollständigkeit und der Richtigkeit der bei einem Schulwechsel in den lokalen Evidenzen zu verarbeitenden Schülerdaten und soll den derzeit nicht unerheblichen Verwaltungsaufwand an den Schulstandorten bei der Aufnahme von Schülerinnen und Schülern verringern.

Kompetenzrechtliche Grundlage:

Ein dem Entwurf entsprechendes Bundesgesetz gründet sich kompetenzrechtlich

- hinsichtlich Art. 1 des Entwurfs (Bildungsdokumentationsgesetz) auf Art. 10 Abs. 1 Z 13 B-VG, Art. 14 Abs. 1 B-VG und Art. 14a Abs. 2 B-VG,

- hinsichtlich Art. 5 des Entwurfs (BIFIE-Gesetz 2008) auf Art. 10 Abs. 1 Z 13 B-VG, Art. 14 Abs. 1 B-VG und Art. 14a Abs. 2 B-VG,

- im Übrigen auf Art. 14 Abs. 1 B-VG (Schulwesen).

Besonderheiten des Normerzeugungsverfahrens:

Der Gesetzesentwurf unterliegt der Vereinbarung zwischen dem Bund, den Ländern und den Gemeinden über einen Konsultationsmechanismus und einen künftigen Stabilitätspakt der Gebietskörperschaften, BGBl. I Nr. 35/1999.

Besonderer Teil

Zu Artikel 1 (Änderung des Bildungsdokumentationsgesetzes):

Zu Z 1, 2 und 3 (Inhaltsverzeichnis zu den §§ 7a, 7b, 7c und 10a sowie zur Anlage 4):

Hier erfolgt eine Anpassung des Inhaltsverzeichnisses betreffend den Datenverbund der Universitäten und Hochschulen (§ 7a), das gesetzlich neu verankerte „Austrian Education Systems Network“ (§ 7b), den ebenfalls gesetzlich neu verankerten Datenverbund der Schulen (§ 7c sowie die zugehörige Anlage 4) sowie die Änderung der Überschrift des § 10a.

Zu Z 4 (§ 1 Z 1):

Hier wird hinsichtlich der Verarbeitung personenbezogener Daten auf die unmittelbar anwendbare DSGVO verwiesen.

Zu Z 5 (§ 1 Z 3, Einleitungssatz des § 8 Abs. 2, § 8 Abs. 2 Z 3):

Der Begriff „Verwendung“ im Sinne des § 4 DSG 2000 in der Fassung vor dem Datenschutz-Anpassungsgesetz 2018 soll durch den Begriff „Verarbeitung“ (Art. 4 Z 2 DSGVO) ersetzt werden.

Zu Z 6 (§ 1 Z 3 und 4):

Hier soll die Anwendbarkeit des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, auch im Anwendungsbereich des Bildungsdokumentationsgesetzes vorgesehen werden, soweit dieses keine abweichenden Bestimmungen enthält. Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 1 Z 1 des Forschungsorganisationsgesetzes in der Fassung des zugleich in Begutachtung befindlichen Entwurfs eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung, wonach „allgemeine Angelegenheiten […] der Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 [DSGVO] sowie […] der Verarbeitung von Daten, soweit diese für Zwecke gemäß Art. 89 DSGVO erfolgt“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 3 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für die vom Bildungsdokumentationsgesetz umfassten und in Frage kommenden Einrichtungen gelten. Hinsichtlich näherer Ausführungen zum Forschungsorganisationsgesetz sei auf die Erläuterungen zum Entwurf eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung verwiesen.

Zu Z 7, 8, 9, 10 und 11 (§ 2 Abs. 1 Z 1 lit. a und c, Z 2 lit. b, e und f; Entfall des § 2 Abs. 1 Z 2 lit. g; § 2 Abs. 1 Z 3):

Hier sollen rein redaktionelle Anpassungen aufgrund geänderter schul- und hochschulrechtlicher Regelungen erfolgen.

Zu Z 12 (§ 2 Abs. 1 Z 6):

Im Bildungsdokumentationsgesetz wird die „Verarbeitung“ unterschiedlicher Kategorien von Daten geregelt. Zum einen handelt es sich dabei um personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO, worunter „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen, zu verstehen sind. Zum anderen wird auch die Verarbeitung von Informationen geregelt, die nicht oder nicht mehr in den Anwendungsbereich der DSGVO fallen, da sie nur (mehr) in (absolut oder relativ) anonymer bzw. anonymisierter Form vorliegen. Darunter fallen zB Informationen, die sich nie auf eine natürliche Person bezogen haben (vgl. auch § 4 des Bildungsdokumentationsgesetzes) oder Informationen hinsichtlich derer eine natürliche Person nicht identifiziert oder nicht bzw. nicht mehr identifizierbar ist oder bei denen es nach allgemeinem Ermessen unter Berücksichtigung aller Mittel als unwahrscheinlich erachtet wird, dass ein Personenbezug tatsächlich hergestellt wird (ErwGr 26).

Nunmehr soll eine Begriffsbestimmung zum Begriff „Daten“ in § 2 verankert werden, die – nach Maßgabe der DSGVO – sämtliche Daten und Informationen, die aufgrund des Bildungsdokumentationsgesetzes verarbeitet werden, umfasst.

Zu Z 13 (§ 2 Abs. 3):

Der bisher in § 4 Z 4 DSG 2000 definierte Begriff des Auftraggebers ist in sämtlichen Bestimmungen des Bildungsdokumentationsgesetzes durch den Begriff des Verantwortlichen im Sinne des Art. 4 Z 7 DSGVO zu ersetzen. Mit der Novelle BGBl. I Nr. 24/2008 wurden die Leiter bzw. Leiterinnen (wie sie in § 2 Abs. 1 Z 5 definiert sind) der vom Bildungsdokumentationsgesetz umfassten Bildungseinrichtungen als Auftraggeber im Sinne des DSG 2000 definiert. Dies deshalb, da davor bezüglich der Schulen zum Teil Unklarheit darüber bestanden hat, ob deren Leiter oder die Schulbehörde als „Auftraggeber“ für die gesetzlich angeordneten Datenverarbeitungen anzusehen sind.

Die Erläuterungen zur RV 259 BlgNr 23. GP führen dazu aus.

„Schulen sind nach allgemein anerkannter Rechtsauffassung „unselbständige Anstalten“, denen (grundsätzlich) keine Rechtspersönlichkeit zukommt. Dennoch ist der „bescheidähnliche Charakter“ schulischer Entscheidungen rechtlich unbestritten. Dazu kommt, dass Schulen zumeint ohne Rechtsakt mit Außenwirkung errichtet werden und somit ein Errichtungsakt nicht auf eine konkrete Norm (Gesetz, Verordnung, Bescheid) zurückgeführt werden kann. Tatsächlich entspricht das Handeln der Leiter von Schulen in Vollziehung des Bildungsdokumentationsgesetzes aber dem eines Auftraggebers im Sinne des DSG 2000. Es erscheint daher zweckmäßig und im Sinne der Rechtsklarheit geboten, die Leiter von Bildungseinrichtungen (wie sie in § 2 Abs. 1 Z 5 definiert sind) ausdrücklich per Gesetz als Auftraggeber im Sinne des § 4 Z 4 DSG 2000 zu definieren. Dies erfolgt der Vollständigkeit und Rechtssicherheit halber in umfassender Form sowohl für die Bildungseinrichtungen des Schulbereichs als auch für jene des Wissenschaftsbereichs. Eine Ausnahme besteht für die Fachhochschulen, hier gelten die Fachhochschul-Erhalter an Stelle der Studiengangsleiter, die für die Zulassung zum Studium zuständig sind, als Auftraggeber, da diese für die Datenverwaltung verantwortlich sind.“

Im Sinne dieser Ausführungen soll die datenschutzrechtliche Verantwortlichkeit auch nach den Bestimmungen der DSGVO bei den Leiterinnen und Leitern der Bildungseinrichtungen verbleiben.

Die Zulässigkeit für die gesetzliche Verankerung der Leiterinnen und Leiter der Bildungseinrichtungen als Verantwortliche ergibt sich aus der (fakultativen) Öffnungsklausel des Art. 4 Z 7 2. Halbsatz DSGVO.

Zu Z 14 (§ 2 Abs. 4):

Grundsätzlich soll, wie zu § 2 Abs. 3 bereits ausgeführt, die datenschutzrechtliche Verantwortlichkeit alleine bei der Leiterin oder beim Leiter einer Bildungseinrichtung verankert sein. Daraus ergibt sich eine Vielzahl an Pflichten und Aufgaben unmittelbar aus der DSGVO (Vorkehrungen zu Datenschutz und Datensicherheit; Auswahl von und Vereinbarungen mit Auftragsverarbeitern; Führung von Verarbeitungsverzeichnissen; Wahrung von Betroffenenrechten; ev. Datenschutz-Folgenabschätzungen; uvm.), die von jedem Leiter bzw. jeder Leiterin zu beachten und wahrzunehmen sind. Da gerade im Bundesschulbereich Datenverarbeitungen im Rahmen zentral vorgegebener Anwendungen (Sokrates, Web-Untis etc.) erfolgen, soll in solchen Fällen und unter bestimmten Umständen eine gemeinsame Verantwortlichkeit der „verantwortlichen“ Leiterinnen und Leiter“ sowie des zuständigen Bundesministers oder der zuständigen Bundesministerin vorgesehen sein.

Die Legaldefinition des für die Verarbeitung Verantwortlichen in Art. 4 Z 7 DSGVO sieht vor, dass Zweck und Mittel einer Verarbeitung nicht nur von einem Verantwortlichen bestimmt werden können, sondern dies auch mehreren Verantwortlichen gemeinsam möglich ist. Art. 26 Abs. 1 DSGVO führt dazu Folgendes aus: „[…] Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche […]“. Dies ist nicht so zu verstehen, dass die Verantwortlichen im gleichen Verhältnis mitzuwirken haben, sondern es kann eine gemeinsame Verantwortlichkeit auch dann begründet werden, wenn ein Verantwortlicher nur über einen Zweck oder nur über bestimmte Mittel der Verarbeitung entscheidet. Die Einführung einer elektronischen Schülerverwaltung im Bundesschulbereich, durch die eine administrative Entlastung an den Schulstandorten sowie der Einsatz modernster Technologie und einer zeitgemäßen IT-Systemsstruktur ermöglicht wurde, stellt eine solche Entscheidung (im Sinne einer gemeinsamen Festlegung) über Mittel der Datenverarbeitung durch den zuständigen Bundesminister bzw. die zuständige Bundesministerin dar. Liegt eine gemeinsame Verantwortlichkeit der Schulleiterinnen und Schulleiter und des zuständigen Bundesministers oder der zuständigen Bundesministerin vor, sind die jeweiligen (sich aus der DSGVO ergebenden) Verpflichtungen der gemeinsam Verantwortlichen gemäß Art. 26 Abs. 1 zweiter Satz DSGVO in transparenter Form in einer Vereinbarung festzulegen. Die jeweiligen Verpflichtungen bedürfen keiner Vereinbarung, „[…] sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. […]“. Von dieser in der DSGVO vorgesehen Möglichkeit, eine Aufgabenfestlegung schon im Gesetz festzulegen, soll bei einer gemeinsamen Verantwortlichkeit dahingehend Gebrauch gemacht werden, dass in all jenen Fällen, in denen Verarbeitungen oder Verarbeitungsschritte von Gesetzes wegen oder vom zuständigen Bundesminister oder von der zuständigen Bundesministerin vorgegeben werden, diesem bzw. dieser jedenfalls die Führung von Verzeichnissen von Verarbeitungstätigkeiten (Art. 30 DSGVO) und die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), sofern solche notwendig sind, zukommen soll. Hinsichtlich der übrigen nicht zugewiesenen Verpflichtungen wird eine transparente Vereinbarung abzuschließen sein.

Zu Z 15 (§ 3 Abs. 1):

Die Änderung des § 3 Abs. 1 stellt keine inhaltliche Neuerung dar, sondern nur eine Konkretisierung des Begriffes „hochschulrechtliche Vorschriften“, indem explizit die in § 2 Abs. 2 aufgelisteten Materiengesetze in die Aufzählung in diesem Absatz aufgenommen werden.

Zu Z 16 (§ 3 Abs. 3 Z 8):

Hier erfolgt die Bereinigung eines redaktionellen Versehens.

Zu Z 17 (§ 5 Abs. 1):

Die vorgeschlagene Änderung stellt eine notwendige Anpassung an die Terminologie der DSGVO dar.

Verantwortlicher (vormals Auftraggeber) der Gesamtevidenzen ist der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung.

Zu Z 18 (§ 5 Abs. 2):

In § 5 Abs. 2 sollen vorwiegend notwendige terminologische Anpassungen in Zusammenhang mit dem neuen Datenschutzregime der DSGVO erfolgen. Der erste Satz des Abs. 2, wonach in den Gesamtevidenzen der Schülerinnen und Schüler bzw. Studierenden nur indirekt personenbezogene Daten iSd § 4 Z 1 DSG 2000 (die Identität des Betroffenen lässt sich mit rechtlich zulässigen Mitteln nicht bestimmen) gespeichert werden dürfen, soll entfallen, da sich der Begriff „indirekt personenbezogene Daten“ in der DSGVO nicht findet.

Hinsichtlich der in der Gesamtevidenz der Schülerinnen und Schüler, die direkt beim zuständigen Bundesminister bzw. bei der zuständigen Bundesministerin geführt wird, gespeicherten Daten lässt sich grob folgender Übermittlungsweg skizzieren: Schulen übermitteln aus ihrer lokalen Evidenz (§ 3) personenbezogene Daten (bereinigt um Name, Teile der Adresse, Religionsbekenntnis etc.) an die Bundesanstalt Statistik Österreich. Diese verschlüsselt nicht rückführbar die Sozialversicherungsnummer in das Bildungsevidenzkennzeichen (BEKZ) und übermittelt, wiederum bereinigt um den Tag der Geburt und das allfällige bildungseinrichtungsspezifische Personenkennzeichen, den Datensatz an den zuständigen Bundesminister bzw. die zuständige Bundesministerin. Für den zuständigen Bundesminister bzw. die zuständige Bundesministerin handelt es sich dabei um anonyme Daten, da ohne massive rechtsmissbräuchliche Handlungen sowohl seitens des Bundesministeriums als auch seitens der Bundesanstalt Statistik Österreich kein Personenbezug mehr hergestellt werden kann. Daher war die Zuordnung in der Systematik des DSG 2000 als indirekt personenbezogene Daten zutreffend. Ein Personenbezug im Sinne der DSGVO wird vor allem im Hinblick auf die indirekte Identifizierbarkeit von Personen, die, wenn auch unter großem Aufwand, vor allem für Dritte möglich sein wird, vorliegen. Diesbezüglich sei auf den Erwägungsgrund 26 zu Art. 4 Z 1 DSGVO verwiesen, der bei der Prüfung, ob eine natürliche Person identifizierbar ist, vorsieht, dass „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.

Die Übermittlung an die Gesamtevidenzen durch andere geeignete Einrichtungen (zB die BRZ GmbH) als die Bundesanstalt Statistik Österreich ist derzeit nur für die in § 2 Abs. 1 Z 2 lit. a, c und f genannten postsekundären Bildungseinrichtungen vorgesehen. Dies soll künftig auch für die Pädagogischen Hochschulen (§ 2 Abs. 1 Z 2 lit. b) möglich sein. Der Verweis auf Anforderungen an die Datensicherheit, die solche Einrichtungen erfüllen müssen, soll sich künftig auf die hiefür einschlägige Bestimmung des Art. 32 DSGVO beziehen.

Zu Z 19 (§ 7 Abs. 1):

Die vorgeschlagene Änderung stellt einerseits eine notwendige Anpassung an die Terminologie der Datenschutz-Grundverordnung dar und bildet andererseits die Grundlage für die Verarbeitung von personenbezogenen Daten und sonstigen Informationen in den Gesamtevidenzen der Studierenden durch die Bundesministerin oder den Bundesminister.

Zu Z 20 (§ 7 Abs. 2):

Aufgenommen wird in die Aufzählung jener Daten, welche von den Leiterinnen und Leitern einer Bildungseinrichtung gemäß Abs. 1 an die Bundesministerin oder den Bundesminister zu übermitteln sind, auch das bereichsspezifische Personenkennzeichen BF. Das bereichsspezifische Personenkennzeichen BF soll in Hinkunft das „führende“ Datum in der Verarbeitung von Studierendendaten in den Gesamtevidenzen der Studierenden darstellen. Einerseits ist sowohl die Eindeutigkeit der Identität gewährleistet (§ 2 Z 8 E-GovG), andererseits wird damit auch eine Pseudonymisierung gemäß Art. 4 Z 5 DSGVO vorgenommen (vormals sogenannte indirekt personenbezogene Daten, DSK 22.05.2013, K202.1126/0012-DSK/2013).

Zu Z 21 (§ 7 Abs. 4):

Aufgenommen wird eine Bestimmung, welche die Datenübermittlung der Privatuniversitäten an die Bundesministerin oder den Bundesminister regelt.

Zu Z 22, 23, 24, 25, 26, 27, 28, 29, 30, 31 und 49 (Überschrift des § 7a sowie § 7a Abs. 1, 2, 3, 4, 5, 8, 8a, 9, 10 und 11, Anlage 3 – Datenverbund der Universitäten und Hochschulen):

Die vorgeschlagenen Änderungen in § 7a stellen überwiegend notwendige Anpassungen an die Terminologie der DSGVO dar.

1. Anpassungen im Zusammenhang mit der DSGVO:

Abs. 1, 2 und 10:

Da der DSGVO ein Informationsverbundsystem im Sinne des § 4 Z 13 iVm § 50 DSG 2000 fremd ist, sind hier Anpassungen vorzunehmen. Ein Informationsverbundsystem lag nach bisheriger Rechtslage vor, wenn mehrere Auftraggeber die von ihnen verarbeiteten Daten in ein gemeinsames System einspeisten und jeder Auftraggeber Zugriff auf sämtliche in diesem System verarbeiteten Daten hatte. Die Weiterführung des Datenverbundes der Universitäten und Pädagogischen Hochschulen, erweitert um die Fachhochschulen und Fachhochschul-Studiengänge sowie die Privatuniversitäten, soll nunmehr über die in Art. 26 DSGVO vorgesehene „gemeinsame Verantwortlichkeit“ der beteiligten postsekundären Bildungseinrichtungen ermöglicht werden. Im Sinne der Rechtssicherheit soll – wie bereits in § 2 Abs. 3 in der Fassung des vorliegenden Entwurfs festgelegt – nicht die Bildungseinrichtung selbst, sondern ausdrücklich die jeweilige Leiterin oder der jeweilige Leiter (bei Fachhochschulen der Erhalter) gemäß § 2 Abs. 1 Z 5 als Verantwortlicher im Sinne der DSGVO festgelegt werden. Für diese gelten sämtliche Pflichten aufgrund der DSGVO, wie auch solche hinsichtlich des Datenschutzes durch Technikgestaltung (Art. 25) und der Datensicherheit (Art. 32) unmittelbar. Die Pflichtenzuweisung an die jeweiligen gemeinsam Verantwortlichen hat in transparenter Form in einer Vereinbarung zwischen den Verantwortlichen zu erfolgen. Als Auftragsverarbeiter (bisher Dienstleister) des Datenverbundes im Sinne des Art. 4 Z8 DSGVO ist weiterhin die BRZ vorgesehen. Auch für die BRZ gelten sämtliche Pflichten aufgrund der DSGVO, wie auch solche hinsichtlich des Datenschutzes durch Technikgestaltung (Art. 25) und der Datensicherheit (Art. 32), unmittelbar.

Abs. 4 und 11:

Der Begriff des „Überlassens“ von Daten im Sinne des § 4 Z 12 DSG 2000 ist an die Begrifflichkeit der DSGVO anzupassen und soll daher durch den Begriff „Übermittlung“ ersetzt werden.

2. Erweiterung des Datenverbundes der Universitäten und der Pädagogischen Hochschulen um Fachhochschul-Studiengänge und Fachhochschulen sowie Privatuniversitäten:

Die zweite große Änderung des § 7a ist bedingt durch die geplante Einbindung der Erhalter von Fachhochschul-Studiengängen und der Privatuniversitäten in den Datenverbund, aufgrund der Ausweitung des Matrikelnummernsystems von den Universitäten und Pädagogischen Hochschulen auf die Erhalter von Fachhochschul-Studiengängen und die Privatuniversitäten.

Universitäten und Pädagogische Hochschulen verwenden schon derzeit das gleiche Matrikelnummernsystem. Ausgelöst durch die gemeinsam eingerichteten Lehramtsstudien mussten die Matrikelnummern gegenseitig übernommen werden. Voraussetzung dafür war eine eindeutige „Personen-ID“ und damit auch die Anbindung der Pädagogischen Hochschulen an den Datenverbund der Universitäten. Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten verwenden derzeit andere Personen-ID-Systeme. Durch die parallel zur Begutachtung stehenden Änderungen des Universitätsgesetzes 2002, des Hochschulgesetzes 2005, des Fachhochschul-Studiengesetzes und des Privatuniversitätengesetzes sollen nunmehr explizit die Vergabe von Matrikelnummern durch die Erhalter von Fachhochschul-Studiengängen und durch die Privatuniversitäten in die beiden Materiengesetze aufgenommen werden und eine verpflichtende Übernahme einer einmal vergebenen Matrikelnummer durch andere Universitäten, Pädagogische Hochschulen, Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten vorgesehen werden. Damit die ordentliche Vergabe einer Matrikelnummer durch die vorhin aufgezählten Bildungseinrichtungen gewährleistet ist, ist es für diese notwendig in Erfahrung zu bringen, ob die Studienwerberin oder der Studienwerber bereits über eine Matrikelnummer verfügt. Die Prüfung des Vorhandenseins einer Matrikelnummer soll aus verwaltungsökonomischen Gründen durch eine Abfrage aus dem Datenverbund erfolgen. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet auch die Grundlage für die Administration von gemeinsam eingerichteten Studien und fördert die Durchlässigkeit, Administrierbarkeit und Praktikabilität.

Durch das Bundesgesetz, mit dem das Hochschulgesetz 2005, das Schulorganisationsgesetz und das Land- und forstwirtschaftliche Bundesschulgesetz geändert werden sowie das Hochschul-Studienberechtigungsgesetz aufgehoben wird und das Universitätsgesetz 2002, das Fachhochschul-Studiengesetz, das Privatuniversitätengesetz und das Hochschul-Qualitätssicherungsgesetz geändert werden, BGBl. I Nr. 129/2017, wurden einheitliche Bestimmungen bezüglich der Einrichtung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien in das Universitätsgesetz 2002, das Hochschulgesetz 2005, das Fachhochschul-Studiengesetz und das Privatuniversitätengesetz aufgenommen. In den Inkrafttretensbestimmungen dieser Novellierung des Fachhochschul-Studiengesetzes und des Privatuniversitätengesetzes ist vorgesehen, dass die Teilnahme an einem gemeinsam eingerichteten Studium mit einer Universität und bzw. oder Pädagogischen Hochschule als gleichberechtigter Partner für einen Erhalter eines Fachhochschul-Studienganges oder eine Privatuniversität nur unter den Voraussetzungen des Vorliegens eines einheitlichen Matrikelnummernsystems und der Möglichkeit des Austausches der für die Durchführung eines gemeinsam eingerichteten Studiums erforderlichen Daten möglich ist. Dadurch soll gewährleistet sein, dass eine ordnungsgemäße Verwaltung der Studierenden möglich ist. Die Daten, die an den Datenverbund für die Administration von gemeinsamen Studienprogrammen und von gemeinsam eingerichteten Studien übermittelt werden sollen, werden in der Anlage 3 explizit aufgeschlüsselt.

Aufgenommen wird ein neuer Absatz 8a, der eine Abfrageberechtigung für öffentliche Einrichtungen und Anbieter von Dienstleistungen, die Studierenden Vergünstigungen oder Ermäßigungen gewähren, vorsieht. Diese sollen die Möglichkeit erhalten, bei Vorliegen eines Antrages einer oder eines Studierenden auf eine Vergünstigung oder Ermäßigung, beim Datenverbund abzufragen, ob der Status „Studierende“ oder „Studierender“ vorliegt. Eine solche Abfrageberechtigung ist vom Auftragsverarbeiter des Datenverbundes nur dann zu erteilen, wenn die Einhaltung der Datensicherheitsmaßnahmen gemäß § 8 Abs. 2 durch die öffentliche Einrichtung oder den Anbieter von Dienstleistungen nachgewiesen wird. Zur Einhaltung der Datensicherheitsmaßnahmen hat die öffentliche Einrichtung oder der Anbieter von Dienstleistungen Folgendes nachzuweisen:

- Festlegung, wer (Identität des Abfragenden) unter welchen Voraussetzungen (Bekanntgabe des Abfragezwecks) eine Abfrage durchführen darf;

- durchgeführte Belehrung der abfrageberechtigten Mitarbeiter über ihre Pflichten;

- Regelungen über die Abfrageberechtigungen und den Schutz vor Einsicht und Verwendung der Daten durch Unbefugte;

- technische oder programmgesteuerte Vorkehrungen gegen unbefugte Abfragen;

- die Vornahme von Aufzeichnungen, damit tatsächlich durchgeführte Verwendungsvorgänge im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können (Protokollierung);

- Maßnahmen zum Schutz vor unberechtigtem Zutritt zu Räumlichkeiten, von denen aus Abfragen durchgeführt werden können.

In diesem Absatz ist auch vorgesehen, dass neben den oben aufgezählten Datenschutzmaßnahmen auch ein begründetes Interesse der öffentlichen Einrichtung oder des Anbieters von Dienstleistungen an der Abfrage bestehen muss, damit diese erteilt werden kann. Ein begründetes Interesse liegt insbesondere vor, wenn zur Überprüfung einer Fahrtkostenvergünstigung eine Abfrage durch einen Verkehrsbetrieb oder zur Überprüfung eines Fahrtkostenzuschusses eine Abfrage durch eine Gebietskörperschaft vorgenommen werden soll.

Zu Z 32 und 50 (§ 7b, 7c, Anlage 4 ):

§ 7b: Austrian Education Systems Network (AESN)

Bei gemeinsam eingerichteten Studien haben die beteiligten österreichischen postsekundären Bildungseinrichtungen eine Vereinbarung insbesondere über die Durchführung sowie die Arbeits- und die Ressourcenaufteilung zu schließen. Die Zulassung zu einem gemeinsam eingerichteten Studium darf nur an einer der beteiligten Bildungseinrichtungen nach Wahl der oder des Studierenden erfolgen. Die Rektorate der beteiligten Universitäten und öffentlichen Pädagogischen Hochschulen können durch gleichlautend zu erlassende Verordnungen bzw. die zuständigen Organe von anerkannten privaten Pädagogischen Hochschulen, Einrichtungen zur Durchführung von Fachhochschul-Studiengängen und Privatuniversitäten können durch zu veröffentlichende gleichlautende Vereinbarungen jene Bildungseinrichtung bestimmen, welche die Zulassung durchzuführen hat. Mit der Zulassung wird die oder der Studierende auch Angehörige oder Angehöriger aller am gemeinsam eingerichteten Studium beteiligten Bildungseinrichtungen.

Mit dieser Bestimmung soll nunmehr eine, für die an einem gemeinsamen Studienprogramm oder an einem gemeinsamen eingerichteten Studium beteiligten Bildungseinrichtungen praktikable Bestimmung für die Verarbeitung von Studierendendaten und sonstigen Informationen geschaffen werden. Neben der Bestimmung des § 7a (Datenverbund) soll daher für den Bereich der Universitäten, der Universität für Weiterbildung Krems, der Pädagogischen Hochschulen, der Erhalter von Fachhochschul-Studiengängen und der Privatuniversitäten zum Zweck der Gewährleistung der ordentlichen Verwaltung und Durchführung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien eine eigene gesetzliche Grundlage geschaffen werden. Zur Abgrenzung bezüglich des Zweckes des Datenverbundes gemäß § 7a ist auf Folgendes hinzuweisen:

- Im „Austrian Education Systems Network“ (AESN) werden, aufgrund des Grundsatzes der Datenminimierung gemäß Artikel 5 Z 1 lit. c, mit Ausnahme der für die eindeutige Identifizierung erforderlichen Daten, nur solche Kategorien von personenbezogenen Daten und sonstigen Informationen verarbeitet, die nicht im Datenverbund gemäß § 7a verarbeitet werden.

- Die konkreten, für die Verwaltung und Durchführung eines gemeinsamen Studienprogramms oder eines gemeinsam eingerichteten Studiums erforderlichen personenbezogenen Daten und sonstigen Informationen sind von den Verantwortlichen gemeinsam festzulegen, weshalb auf eine abschließende Aufzählung der Daten in dieser Bestimmung verzichtet wird. Der Zweck der Datenverarbeitung ist klar definiert und beschränkt sich auf die Verwaltung und Durchführung von gemeinsamen Studienprogrammen und von gemeinsam eingerichteten Studien.

- Im Gegensatz zum Datenverbund gemäß § 7a wird beim AESN keine eigene Datenbank befüllt, sondern personenbezogene Daten und sonstige Informationen „nur“ zwischen den an einem gemeinsamen Studienprogramm oder an einem gemeinsam eingerichteten Studium beteiligten Bildungseinrichtungen ausgetauscht und verarbeitet („Peer-to-Peer“-Architektur“).

§ 7c: Datenverbund der Schulen

Nach derzeit geltender Rechtslage ist ein direkter Austausch schülerbezogener Daten zwischen Schulen nicht möglich. Derzeit werden bei Schulwechsel daher die Daten an der aufnehmenden Schule auf Grund vorgelegter Zeugnisse und anderer papierbasierter Unterlagen, wie etwa des ZMR-Auszugs, jeweils neu erfasst. Diese manuelle Neuerfassung der bereits in den lokalen Evidenzen (§ 3) elektronisch vorhandenen Daten führt insbesondere beim regelmäßigen Schulwechsel zwischen 4. und 5. sowie 8. und 9. Schulstufe, aber auch beim unterjährigen Wechsel zu hohem Administrationsaufwand in den Schulen. Zugleich wird damit ein ordnungs- und gesetzmäßiger Vollzug schulrechtlicher Vorschriften erschwert.

Aus diesem Grund soll zum Zweck der Vollständigkeit und der Richtigkeit der bei der Aufnahme von Schülerinnen und Schülern in den lokalen Evidenzen zu verarbeitenden Schülerdaten ein Datenverbund der Schulen eingerichtet werden. Im Hinblick auf die unterschiedliche technische Ausstattung sowie Ausstattung mit Software im Bereich der Pflichtschulen sowie der Privatschulen soll die automationsunterstützte Dateneingabe im Schuljahr 2018/19 nur nach Maßgabe der technischen Möglichkeiten erfolgen. Wie beim Datenverbund der Universitäten und Hochschulen (§ 7a) ist datenschutzrechtlich eine „gemeinsame Verantwortlichkeit“ der Leiter bzw. Leiterinnen der beteiligten Schulen im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO vorgesehen. Auch beim Datenverbund der Schulen fungiert die BRZ als Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO.

Die im Falle eines Schulwechsels zu verarbeitenden schülerbezogenen Daten sind in Anlage 4 taxativ aufgezählt. In allen Fällen, in denen es zu einer Beendigung der Schülereigenschaft eines Schülers oder einer Schülerin an der betreffenden Schule kommt, hat die Schulleitung den Schülerdatensatz von sich aus, jedenfalls jedoch bei Anfrage durch die Schulleitung einer den betreffenden Schüler oder die betreffende Schülerin aufnehmenden Schule, dem Datenverbund zu übermitteln. Eine Abfrageberechtigung ist für Schulleitungen nur hinsichtlich der an der betreffenden Schule aufgenommenen Schülerinnen und Schüler vorgesehen. Ungeachtet des Umstandes, dass die Schulleitungen als datenschutzrechtlich Verantwortliche ausreichende Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO zu treffen haben, darf eine Abfrageberechtigung durch die BRZ nur bei Nachweis der in § 8 Abs. 2 vorgesehen Datensicherheitsmaßnahmen erteilt werden. Weiters ist die Abfrage seitens der BRZ so einzurichten, dass nur unter der Verwendung von Antragsdaten nach den jeweiligen gesetzlichen Bestimmungen auf die Daten von Schülerinnen und Schülern zugegriffen werden kann. Nach erfolgter Abfrage des Schülerdatensatzes ist dieser aus dem Datenverbund zu löschen. Durch geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO ist sicherzustellen, dass der Datenverbund der Schulen ausschließlich als „Datendrehscheibe“ unmittelbar im Zuge des Schulwechsels verwendet werden kann. Wie auch beim Datenverbund im Universitäts- und Hochschulbereich sind die näheren Bestimmungen zu den Stichtagen, Verfahren und Formaten der Datenübermittlung, zum Verfahren der Übermittlung von Daten an die abfrageberechtigten Einrichtungen sowie zu den Datensicherheitsmaßnahmen durch Verordnung der zuständigen Bundesministerin bzw. des zuständigen Bundesministers zu regeln.

Zu Z 33 (§ 8 Abs. 1 und 2):

Hier erfolgen Anpassungen an die geänderten Ressortbezeichnungen gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Z 34, 35 und 36 (§ 8 Abs. 1, Abs. 2 Z 5 und Abs. 3 Z 2):

Die vorgenommenen Änderungen betreffen terminologische Anpassungen an die DSGVO. Hinsichtlich der Datensicherheitsmaßnahmen in § 8 Abs. 1 soll künftig auf Art. 32 DSGVO verwiesen werden. Die Pflichten Verantwortlicher und Auftragsverarbeiter hinsichtlich zu treffender Datenschutz- und Datensicherheitsmaßnahmen ergeben sich unmittelbar aus den Bestimmungen der DSGVO (neben Art. 32 sind dies Art. 24 und 25 für Verantwortliche bzw. Art 25 für Auftragsverarbeiter). Diese Pflichten sollen jedoch ebenso für Abfragewerber aus den Gesamtevidenzen als Voraussetzung für die Erteilung einer Abfrageberechtigung vorgesehen sein. Die gesonderte Aufzählung von Datensicherheitsmaßnahmen, die durch Verordnung des zuständigen Bundesministers oder der zuständigen Bundesministerin näher auszugestalten sind, soll bestehen bleiben. Dies ist weder als Einschränkung noch als Ausgestaltung der unmittelbar anzuwendenden Bestimmungen der DSGVO zu verstehen.

Zu Z 37 (Entfall des § 8 Abs. 4):

Die Nennung von Auskunftsrechten bei der Verarbeitung personenbezogener Daten in den lokalen Evidenzen soll im Hinblick auf die unmittelbare Geltung der DSGVO bezüglich der Rechte betroffener Personen (ua. Art. 15, 16 DSGVO) entfallen.

Zu Z 38 (§ 9 Abs. 2 Z 1 lit. b):

Hier erfolgt die Bereinigung eines redaktionellen Versehens.

Zu Z 39 (§ 10 Abs. 3 Z 2):

Der Verweis auf das Anerkennungs- und Bewertungsgesetz soll entfallen, da er in der Praxis bei der Erhebung zu Interpretationsschwierigkeiten hinsichtlich der Meldungen von Anerkennungen der Bildungsabschlüsse von Elementarpädagoginnen und –pädagogen aus der EU führt.

Zu Z 40 und 41 (Überschrift zu § 10a und § 10a Abs. 2):

Es sollen notwendige Anpassungen an die Terminologie der DSGVO vorgenommen werden.

Zu Z 42 (§ 10a Abs. 3):

Nach Erstellung der Bundesstatistik zum Bildungswesen und der Bildungsstandstatistik sind die Sozialversicherungsnummern von der Bundesanstalt „Statistik Österreich“ gemäß § 15 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, zu verschlüsseln. Da in § 15 des Bundesstatistikgesetzes 2000 von der Öffnungsklausel des Art. 89 Abs. 2 DSGVO, wonach bei der Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken die Betroffenenrechte gemäß Art. 15, 16, 18 und 21 ausgeschlossen werden können, Gebrauch gemacht werden soll, wird diese Änderung auch hier nachvollzogen.

Zu Z 43 (§ 11 Abs. 5):

Der Verweis auf § 4 Z 1 DSG 2000 betreffend die Begriffsbestimmung personenbezogener Daten soll durch einen Verweis auf Art. 4 Z 1 DSGVO ersetzt werden.

Zu Z 44 (§ 12 Abs. 19 – Inkrafttreten):

Diese Bestimmung regelt das Inkrafttreten wie folgt:

Hinsichtlich der Änderungen der Ressortbezeichnung aufgrund der Bundesministeriengesetz-Novelle 2017, der Regelungen zum Datenverbund der Universitäten und Hochschulen, die sich auf die Einbeziehung der Fachhochschulen und Fachhochschul-Studiengänge sowie der Privatuniversitäten beziehen, der gesetzlichen Verankerung des „Austrian Education Systems Network“ sowie hinsichtlich sonstiger rein redaktioneller Änderungen ist das Inkrafttreten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt vorgesehen. Die datenschutzrechtlich relevanten Änderungen sollen in Übereinstimmung mit dem Wirksamwerden der DSGVO mit 25. Mai 2018 in Kraft treten. Schließlich sollen die Regelungen zum Datenverbund der Schulen mit 1. September 2018 in Kraft gesetzt werden, um im Schuljahr 2018/2019 zur Anwendung gelangen zu können.

Zu Z 45 (§ 14 Abs. 7):

An dieser Stelle soll eine Übergangsbestimmung betreffend die Fachhochschulen und Fachhochschul-Studiengänge sowie die Privatuniversitäten im Hinblick auf die Einbeziehung in den Datenverbund der Universitäten und Hochschulen eingefügt werden.

Die Fachhochschulen und Fachhochschul-Studiengänge sowie die Privatuniversitäten haben sicherzustellen, dass die Teilnahme am Datenverbund im Bereich der Studierendendaten und der Vergabe von Matrikelnummern für das Wintersemester 2018/19 umgesetzt wird. Die Integration der Studiendaten hat für Fachhochschulen und Fachhochschul-Studiengänge beginnend ab dem Wintersemester 2019/20 zu erfolgen.

Zu Z 46 (§ 15):

Hier erfolgt eine Neufassung der Vollzugsbestimmung aufgrund der geänderten Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Z 47 (Anlage 1 Z 1 und 1a):

In den lokalen Evidenzen (§ 3) sind nach Maßgabe der Anlage 1 auch Daten über den Bildungsverlauf der Schülerinnen und Schüler zu verarbeiten. Diese Informationen finden gemäß § 6 Abs. 2 Z 2 auch in die Gesamtevidenzen der Schülerinnen und Schüler Eingang. Der Z 1 (diese wird in Z 1a umbenannt) soll eine neue Ziffer vorangestellt werden, dergemäß auch Daten über den Bildungsverlauf vor Beginn der allgemeinen Schulpflicht zu erfassen sind. Im Besonderen (näher auszuführen in der Anlage zur Bildungsdokumentationsverordnung) wird es um die Zahl der Kindergartenjahre und um besondere (Sprach)Förderungen im Vorschulalter gehen, die gemäß der neuen Z 1 zu verarbeiten sind. Diese Informationen werden gemäß § 6 Abs. 1a Schulpflichtgesetz 1985 von den Erziehungsberechtigten zur Verfügung gestellt oder – siehe die genannte Bestimmung im vorliegenden Entwurf – nach Maßgabe landesgesetzlicher Bestimmungen vom Kindergarten automationsunterstützt übermittelt.

Zu Z 48 (Anlage 1 Z 14):

Hier soll der ins Leere gehende Verweis auf § 24a des Schulpflichtgesetzes 1985 entfallen und die Ziffer neu gefasst werden. Diese Informationen sind gemäß § 7c und der Analge 4 des Entwurfs (siehe die Ausführungen zu Z 32 und 5) im Datenverbund der Schulen zur Verfügung zu stellen, damit im Fall des Schulwechsels der Leiter oder die Leiterin der aufnehmenden Schule über allfällige Maßnahmen im Zusammenhang mit Schulpflichtverletzungen Bescheid weiß (zB Verwarnungen wegen unentschuldigtem Fernbleiben oder Strafanzeigen wegen Schulpflichtvereltzungen).

Zu Artikel 2 (Änderung des Schulunterrichtsgesetzes):

Zu Z 1 (§ 57b Abs. 3):

Schülerinnen- bzw. Schülerkarten können freiwillig beantragt werden und dienen dem Nachweis der Eigenschaft als Schülerin oder Schüler an der betreffenden Schule. Sie können mit weiteren Funktionalitäten ausgestattet sein und elektronische Verknüpfungen zu anderen Dienstleistern aufweisen (zB für bargeldloses Zahlen). Dies erfordert die schriftliche Zustimmung der Schülerin oder des Schülers oder, bei fehlender Eigenberechtigung, gemäß § 67 SchUG deren bzw. dessen Erziehungsberechtigten. Sowohl die Beantragung der Schülerinnen- bzw. Schülerkarte als auch die Zustimmung zu weiteren Funktionalitäten und elektronischen Verknüpfungen stellen eine Zustimmung im Sinne des § 4 Z 14 DSG 2000 in der Fassung vor der Novelle BGBl. I Nr. 120/2017 dar. Der datenschutzrechtliche Begriff der „Zustimmung“ soll durch den ab 25. Mai 2018 maßgeblichen Begriff der „Einwilligung“ im Sinne des Art. 4 Z 11 DSGVO samt einer Anpassung des Verweises ersetzt werden.

Zu Z 2 (§ 77 Abs. 2):

In Klassenbüchern werden unter anderem zu Dokumentations- und Beweiszwecken (ordnungsgemäßer Unterricht, besondere Vorkommnisse usw.) diverse personenbezogene Daten vermerkt. Die Dokumentation besonders schutzwürdiger Daten („sensible“ Daten im Sinne des § 4 Z 2 DSG 2000) im Klassenbuch ist dann zulässig, wenn diese der Wahrung eines wichtigen öffentlichen Interesses im Sinne des § 9 Z 3 DSG 2000 dient. Diesbezüglich soll eine Anpassung an die DSGVO dahingehend erfolgen, dass die Begriffsbestimmung angepasst wird („Besondere Kategorien personenbezogener Daten“) und auf die betreffende Bestimmung der DSGVO verwiesen wird (Art. 9 Abs. 1). Weiters ist zu berücksichtigen, dass gemäß Art. 9 Abs. 2 lit. g DSGVO ein „erhebliches“ statt wie bisher „wichtiges“ öffentliches Interesse vorliegen muss.

Zu Z 3 (§ 77 Abs. 3):

Hinsichtlich der zu treffenden Datensicherheitsmaßnahmen wird aufgrund der unmittelbaren Geltung der DSGVO auf deren Art. 32 verwiesen. In der DSGVO wurden keine Regelungen zum Datengeheimnis vorgesehen, eine entsprechende Bestimmung findet sich jedoch weiterhin im DSG (§ 6 DSG – vormals § 15 DSG 2000), auf das daher verwiesen werden soll.

Zu Z 4 (§ 82 Abs. 11 – Inkrafttreten):

Zu Artikel 3 (Änderung des Schulunterrichtsgesetzes für Berufstätige, Kollegs und Vorbereitungslehrgänge):

Zu Z 1 (§ 55a Abs. 3):

Analog zur Änderung des § 57b Abs. 3 SchUG (siehe die Erläuterungen zu Art. 2 Z 1 des gegenständlichen Entwurfs) soll auch hier der datenschutzrechtliche Begriff der „Zustimmung“ durch den ab 25. Mai 2018 maßgeblichen Begriff der „Einwilligung“ im Sinne des Art. 4 Z 11 DSGVO samt einer Anpassung des Verweises ersetzt werden.

Zu Z 2 (§ 65 Abs. 2):

In Klassenbüchern werden unter anderem zu Dokumentations- und Beweiszwecken (ordnungsgemäßer Unterrichts, besondere Vorkommnisse usw.) diverse personenbezogene Daten vermerkt. Die Dokumentation besonders schutzwürdiger Daten („sensible“ Daten im Sinne des § 4 Z 2 DSG 2000) im Klassenbuch ist dann zulässig, wenn diese der Wahrung eines wichtigen öffentlichen Interesses im Sinne des § 9 Z 3 DSG 2000 dient. Diesbezüglich soll eine Anpassung an die DSGVO dahingehend erfolgen, dass die Begriffsbestimmung angepasst wird („Besondere Kategorien personenbezogener Daten“) und auf die betreffende Bestimmung der DSGVO verwiesen wird (Art. 9 Abs. 1). Weiters ist zu berücksichtigen, dass gemäß Art. 9 Abs. 2 lit. g DSGVO ein „erhebliches“ statt wie bisher „wichtiges“ öffentliches Interesse vorliegen muss.

Zu Z 3 (§ 65 Abs. 3):

Zu Z 4 (§ 69 Abs. 12 – Inkrafttreten):

Diese Bestimmung regelt das Inkrafttreten in Übereinstimmung mit dem Wirksamwerden der DSGVO sowie dem Inkrafttreten der maßgeblichen Änderungen des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, mit 25. Mai 2018. Die Änderungen hinsichtlich der Ressortbezeichnungen aufgrund der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, sollen sofort in Kraft treten.

Zu Z 5 (§ 70):

Hier erfolgen Anpassungen an die geänderten Ressortbezeichnungen gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Artikel 4 (Änderung des Schulpflichtgesetzes 1985):

Zu Z 1 (§ 6 Abs. 1a):

Bereits derzeit haben die Erziehungsberechtigten eines Kindes im Zuge dessen Aufnahme in die Volksschule sämtliche ihnen von der Kindergartenleitung zur Verfügung gestellten Unterlagen sowie Erhebungen und Förderergebnisse zur Dokumentation des Entwicklungsstandes, insbesondere des Sprachstandes, zur Verfügung gestellt wurden, vorzulegen. Zusätzlich soll mit vorliegendem Entwurf vorgesehen werden, dass im Fall der Zulässigkeit eines Datenaustausches nach langesgesetzlichen Bestimmungen über die Datenverarbeitung auch vom Kindergarten automationsunterstützt übermittelte Daten vom Schulleiter oder von der Schulleiterin erfasst und weiter verarbeitet werden dürfen. Datenverarbeitungen gemäß dieser Bestimmung (§ 6 Abs. 1a SchPflG) sind solche gemäß § 3 Abs. 2 Z 7 und Anlage 1 des Bildungsdokumentationsgesetzes (Daten über den Bildungsverlauf vor Beginn der allgemeinen Schulpflicht), sodass die Bestimmungen dieses Bundesgesetzes zur Anwendung kommen und vor allem die datenschutzrechtlichen Details dieser Verarbeitungen im Schulpflichtgesetz 1985 nicht nochmals geregelt werden müssen. Es handelt sich jedenfalls um personenbezogene Daten im Sinne des Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO). Auf die Ausführungen zu Z 47 des im Entwurf vorliegenden Bildungsdokumentationsgesetzes.

Zu Z 2 und 3 (§ 16 Abs. 1 und 5):

Mit dem Bildungsreformgesetz 2017, BGBl. I Nr. 138/2017, wurde die Schulpflichtmatrik, die der Überprüfung der Erfüllung der allgemeinen Schulpflicht dient, neu geregelt.

Die Begründung zum Initiativantrag 2254/A 25. GP führt dazu aus:

„Dies soll in der Weise geschehen, dass die Bundesrechenzentrum GmbH als IT-Dienstleisterin der Bildungsdirektionen bestimmte gemäß Bildungsdokumentationsgesetz verfügbare Daten (im Detail siehe den Entwurf) mit bestimmten Daten (im Detail siehe den Entwurf), die der Bundesminister für Inneres aus dem Datenbestand des zentralen Melderegisters zur Verfügung stellt, automationsunterstützt abgleicht. Übereinstimmende Datensätze sind unverzüglich zu löschen. Nur diejenigen Datensätze, denen zufolge nach Meldegesetz gemeldete Personen in schulischen Meldungen nicht aufscheinen, sind der Bildungsdirektion zu übermitteln. Diese hat sodann für die Erfüllung der Schulpflicht durch die betroffene Person Vorkehrungen zu treffen, allenfalls (als letzten Schritt) Strafverfahren einzuleiten.“

Bei den Änderungen handelt es sich um notwendige terminologische Anpassungen an die DSGVO. So soll der Begriff „IT-Dienstleister“ durch den Begriff „Auftragsverarbeiter“ ersetzt und auf Art. 4 Z 8 DSGVO verwiesen werden.

Zu Z 4 (§ 30 Abs. 23 – Inkrafttreten):

§ 6 Abs. 1b soll mit Beginn des Schuljahres 2018/19 in Kraft treten.

Da das Inkrafttreten des § 16 in der Fassung des Bildungsreformgesetzes 2017 erst mit 1. September 2019 vorgesehen ist, sollen auch die jetzigen Änderungen erst zu diesem Zeitpunkt in Kraft treten und an die Stelle der ursprünglichen Regelung treten (lex posterior derogat legi priori).

Zu Artikel 5 (Änderung des BIFIE-Gesetzes 2008):

Zu Z 1 (§ 3 Abs. 3):

Hier soll die Anwendbarkeit des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, auch im Anwendungsbereich des BIFIE-Gesetzes 2008 vorgesehen werden, soweit dieses keine abweichenden Bestimmungen enthält. Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 1 Z 1 des Forschungsorganisationsgesetzes in der Fassung des zugleich in Begutachtung befindlichen Entwurfs eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung, wonach „allgemeine Angelegenheiten […] der Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 [DSGVO] sowie […] der Verarbeitung von Daten, soweit diese für Zwecke gemäß Art. 89 DSGVO erfolgt“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 3 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für das BIFIE gelten. Hinsichtlich näherer Ausführungen zum Forschungsorganisationsgesetz sei auf die Erläuterungen zum Entwurf eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung verwiesen.

Zu Z 2 (§ 6 Abs. 2 und 3):

Gemäß § 6 Abs. 2 des BIFIE-Gesetzes 2008 in der Fassung vor der Novelle BGBl. I Nr. 138/2017, ist bzw. war die Mitwirkung an anderen Erhebungen als an Überprüfungen der Bildungsstandards sowie an nationalen und internationalen Surveys oder Assessments für Schülerinnen und Schüler nur dann verpflichtend, wenn dies durch Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung angeordnet wird bzw. wurde (sog. BIFIE-Erhebungsverordnungen: zuletzt mit BGBl. II Nr. 113/2017). Mit dem Bildungsreformgesetz 2017 wurde eine ab dem Jahr 2019 geltende eigene gesetzliche Grundlage in § 6 des BIFIE-Gesetzes 2008 für Kontexterhebungen und die Verpflichtung zur Teilnahme an diesen für die Schülerinnen und Schüler sowie nunmehr auch deren Erziehungsberechtigen geschaffen. Solche Kontexterhebungen über schulische und außerschulische Lern- und Lebensbedingungen (Herkunft, Berufsstand der Eltern, soziale Situation) erfolgen im öffentlichen Interesse zum Zweck der statistischen Auswertung der erhobenen Daten für mehrere Bereiche (angewandte Bildungsforschung, Bildungsmonitoring, Qualitätsentwicklung, Bildungsberichterstattung, Ressourcenbewirtschaftung etc.), aber auch zum Zweck der wissenschaftlichen Forschung. Nicht zuletzt soll die Verknüpfung und Interpretation der Testergebnisse mit schulischen (z.B. Schulklima, Schulzufriedenheit) und außerschulischen Rahmenbedingungen (Geschlecht, Migrationshintergrund, Bildungsabschlüsse der Eltern u.Ä.) die Ableitung qualitätssichernder und steuerungsrelevanter Schlussfolgerungen ermöglichen. Ein direkter Personenbezug der verarbeiteten Daten, außer hinsichtlich der Testungen durch die betroffenen Schülerinnen und Schüler selbst, durfte schon bisher nicht herstellbar sein. „Technisch“ erfolgt die Verknüpfung der eigentlichen Testungen sowie der Kontextfragebögen durch die Verwendung eines gemeinsamen Codes, sodass die verschiedenen Testteile und dazugehörigen Fragebögen als zu einer Person gehörig identifiziert werden können. Dem BIFIE ist es jedoch nicht möglich, einen Code mit einem bestimmten Schüler oder einer bestimmten Schülerin in Verbindung zu bringen. Den Schülerinnen und Schülern selbst steht ein Zugang zu ihren Testergebnissen mittels des Codes, den sie aus den Testunterlagen entfernen („heraustrennen“), zur Verfügung. Wenngleich das BIFIE als Verantwortlicher gemäß Art. 4 Z 7 DSGVO Schülerinnen und Schüler nicht mehr (direkt oder indirekt) identifizieren kann, so wird es sich unter Berücksichtigung des Erwägungsgrundes 26 bei den verarbeiteten Daten dennoch um personenbezogene, und damit vom Anwendungsbereich der DSGVO umfasste, Daten im Sinne des Art. 4 Z 1 DSGVO handeln, da die zumindest indirekte Identifizierung von Personen, wenn auch nicht mit rechtlich zulässigen Mitteln und unter großem Aufwand, vor allem für Dritte möglich sein wird. Der Erwägungsgrund 26 führt dazu Folgendes aus:

„[…] Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. […]“

Für das BIFIE gelten somit bei der Datenverarbeitung sämtliche Pflichten aufgrund der DSGVO, wie auch solche hinsichtlich des Datenschutzes durch Technikgestaltung (Art. 25) und der Datensicherheit (Art. 32) unmittelbar. Die Verpflichtung, bei den durchgeführten Testungen und Erhebungen Vorkehrungen und Maßnahmen (wie zB Zutrittsbeschränkung, räumliche Abgrenzungen, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) zu treffen, damit kein direkter Personenbezug hergestellt werden kann, bleibt davon unberührt und ist weder als Einschränkung noch als Ausgestaltung der Bestimmungen der DSGVO zu verstehen.

Spätestens nach Ablauf des dritten Jahres nach Durchführung der Erhebungen sind die erhobenen Daten dergestalt zu anonymisieren, dass betroffene Personen nicht mehr identifiziert werden können. Diese anonymisierten Daten unterliegen nicht mehr dem Anwendungsbereich der DSGVO.

Zu Z 3 (Entfall des § 7 Abs. 1a):

Die hier verwendete Begriffsbestimmung zu personenbezogenen und nicht personenbezogenen Daten, die jener des § 3 Z 15 des Bundestatistikgesetzes 2000 entspricht, weicht von der Begriffsbestimmung des Art. 4 Z 1 DSGVO ab. Da hiefür keine weitere Notwendigkeit gesehen wird und aus Gründen der Rechtssicherheit soll Abs. 1a entfallen.

Zu Z 4 (Entfall des § 7b Abs. 2):

Dieser Absatz kann im Sinne einer Rechtsbereinigung entfallen, da sich die Voraussetzungen für Zulässigkeit einer Datenübermittlung unmittelbar aus der DSGVO ergeben.

Zu Z 5 (§ 7b Abs. 3):

Die Änderung stellt eine notwendige terminologische Anpassung aufgrund der DSGVO („Dienstleister“ wird zum „Auftragsverarbeiter“) dar.

Zu Z 6 und 7 (§ 9 Abs. 4):

Mit den Zitatanpassungen soll ein redaktionelles Versehen behoben werden.

Zu Z 8, 9, 10, 11 und 12 (§ 9a Abs. 2 Z 3 und 5, § 11 Abs. 1 Z 3, § 12 Abs. 1, § 23 Abs. 3 sowie § 23a Abs. 2):

Hier erfolgen Anpassungen aufgrund der geänderten Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Z 13 (§ 27):

Hier erfolgt die Neufassung der Vollzugsbestimmung aufgrund der geänderten Ressortzuständigkeiten.

Zu Z 14 (§ 28 Abs. 6 – Inkrafttreten, Außerkrafttreten):

Diese Bestimmung regelt das In- bzw. Außerkrafttreten wie folgt:

Die geänderten Ressortbezeichnungen und die sonstigen rein redaktionellen Änderungen können mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft treten; hinsichtlich der datenschutzrechtlich relevanten Änderungen ist das In- bzw. Außerkrafttreten in Übereinstimmung mit dem Wirksamwerden der DSGVO mit 25. Mai 2018 vorgesehen. Da das Inkrafttreten des § 6 Abs. 2 und 3 in der Fassung des Bildungsreformgesetzes 2017 erst mit 1. Jänner 2019 erfolgen soll, sollen auch die jetzigen Änderungen erst zu diesem Zeitpunkt in Kraft treten und an die Stelle der ursprünglichen Regelung treten (lex posterior derogat legi priori).

Zu Artikel 6 (Änderung des Hochschulgesetzes 2005):

Zu Z 1 (§ 1 Abs. 3):

Hier soll die Anwendbarkeit des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, auch im Anwendungsbereich des Hochschulgesetzes 2005 vorgesehen werden, soweit dieses keine abweichenden Bestimmungen enthält. Die zukünftige Anwendbarkeit des wissenschaftlichen Sonderdatenschutzrechts ergibt sich zwar bereits aus § 1 Abs. 1 Z 1 des Forschungsorganisationsgesetzes in der Fassung des zugleich in Begutachtung befindlichen Entwurfs eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung, wonach „allgemeine Angelegenheiten […] der Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 [DSGVO] sowie […] der Verarbeitung von Daten, soweit diese für Zwecke gemäß Art. 89 DSGVO erfolgt“ Gegenstand des Forschungsorganisationsgesetzes sind. Allerdings soll aus Gründen der Rechtssicherheit durch den neu eingefügten Abs. 3 klargestellt werden, dass die Spezialbestimmungen des 1. und 2. Abschnitts des Forschungsorganisationsgesetzes jedenfalls auch für die Pädagogischen Hochschulen gelten. Hinsichtlich näherer Ausführungen zum Forschungsorganisationsgesetz sei auf die Erläuterungen zum Entwurf eines Datenschutz-Anpassungsgesetzes 2018 – Wissenschaft und Forschung verwiesen.

Zu Z 1, 2 (§ 12 Abs. 1 Z 1 sowie Abs. 2 Z 1 und 2, § 17 Abs. 3):

Hier erfolgen Anpassungen aufgrund der geänderten Ressortbezeichnungen gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Z 4 und 6 (§ 21 Abs. 5, § 33 Abs. 3):

In § 21 Abs. 5 wird eine terminologische Anpassung an die DSGVO für die Begriffe „aufgezeichneten“, „Genehmigung“ und „Betroffene“ vorgenommen und diese in „verarbeiteten“ (Art. 4 Z 2), „Einwilligung“ (Art. 4 Z 11) und „betroffene Personen“ geändert. In § 33 Abs. 3 soll durch den Klammerausdruck klargestellt werden, dass sowohl personenbezogene Daten (Art. 4 Z 1 DSGVO) als auch nicht personenbezogene Daten umfasst sind.

Zu Z 5 (§ 24 Abs. 3):

Aufgrund der Änderung der Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, ist bei Ausübung des Aufsichtsrechts bei gemeinsam eingerichteten Studien unter Beteiligung von Universitäten und Pädagogischen Hochschulen mit einer Ausnahme kein Einvernehmen zwischen den zuständigen Bundesministerinnen bzw. Bundesministern notwendig. Die Ausnahme betrifft gemeinsam eingerichtete Studien unter Beteiligung der Hochschule für Agrar- und Umweltpädagogik Wien, wo weiterhin die Bundesministerin oder der Bundesminister für Nachhaltigkeit und Tourismus das Einvernehmen mit der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung herzustellen hat.

Zu Z 7, 8, 9, 10 und 11 (§ 52d Abs. 3, § 53 Abs. 1, § 65 Abs. 7, § 69 Abs. 6, § 71 Abs. 6):

Bei all jenen Bestimmungen, die eine gemeinsame Verordnung des Bundesministers oder der Bundesministerin für Bildung und des Bundesministers oder der Bundesministerin für Wissenschaft, Forschung und Wirtschaft vorsehen, ist infolge der geänderten Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, künftig eine Verordnung des Bundesministers oder der Bundesministerin für Bildung, Wissenschaft und Forschung zu erlassen.

Zu Z 8 (§ 53 Abs. 1):

Universitäten und Pädagogische Hochschulen verwenden das gleiche Matrikelnummernsystem. Ausgelöst durch die gemeinsam eingerichteten Lehramtsstudien mussten die Matrikelnummern gegenseitig übernommen werden. Voraussetzung dafür war eine eindeutige „Personen-ID“ und damit auch die Anbindung der Pädagogischen Hochschulen an den Datenverbund der Universitäten. Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten verwenden derzeit andere Personen-ID-Systeme. Durch die vorgeschlagene Änderung zu sollen nunmehr auch die Erhalter von Fachhochschul-Studiengängen und Privatuniversitäten in ein einheitliches Matrikelnummernsystem einbezogen werden. Dies bedingt auch die Einbeziehung in den Datenverbund der Universitäten und Pädagogischen Hochschulen (künftig als Datenverbund der Universitäten und Hochschulen), was durch eine Novellierung des Bildungsdokumentationsgesetzes (Art. 1 Z 22ff des vorliegenden Gesetzesentwurfs) erfolgen soll. Ein zukünftiges, einheitliches Matrikelnummernsystem bildet die Grundlage für die Administration von gemeinsam eingerichteten Studien und fördert die Durchlässigkeit, Administrierbarkeit und Praktikabilität.

Zu Z 12, 13, 14, 15 und 18 (§ 74a Abs. 1, 2, 6 und 8; Anlage zu § 74a Abs. 1 Z 4):

Für Angelegenheiten betreffend den Qualitätssicherungsrat ist nach der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung zuständig. In diesem Zusammenhang sind Anpassungen (Einrichtung, Bestellung von Mitgliedern etc.) vorzunehmen.

Zu Z 16 (§ 79):

Die Vollzugsbestimmung des § 79 soll aufgrund der geänderten Ressortzuständigkeiten gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, neu gefasst werden.

Zu Z 17 (§ 80 Abs. 14 – Inkrafttreten):

Diese Bestimmung regelt das Inkrafttreten, das hinsichtlich der datenschutzrechtlich relevanten Änderungen in Übereinstimmung mit dem Wirksamwerden der DSGVO mit 25. Mai 2018, hinsichtlich der geänderten Ressortbezeichnungen und sonstigen rein redaktionellen Änderungen mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt vorgesehen ist.

Zu Artikel 7 (Änderung des Schülerbeihilfengesetzes 1983):

Zu Z 1 (§ 1a Z 4):

Hier soll eine redaktionelle Ergänzung (in Anlehnung an die Begriffsbestimmung im Asylgesetz 2005) hinsichtlich der „Genfer Flüchtlingskonvention“ in der durch das Protokoll über die Rechtsstellung der Flüchtlinge vom 31. Jänner 1967, BGBl. Nr. 78/1974, geänderten Fassung erfolgen.

Zu Z 2 und 3 (§ 13 Z 1):

Hier erfolgt eine Anpassung aufgrund der geänderten Ressortbezeichnungen gemäß der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017.

Zu Z 4 (Schlusssatz des § 13):

Die in Beihilfenangelegenheiten von Schülerinnen und Schülern Zuständigen sollen auch als Verantwortliche im Sinne der DSGVO gelten.

Zu Z 5, 6 und 7 (Entfall des § 15 Abs. 5, 9 und 10; § 15 Abs. 6, 7 und 8):

Die bisher in Abs. 6 genannten Daten sollen in die neu eingefügte Anlage aufgenommen werden.

In Abs. 7 erfolgen Anpassungen der übermittelnden Einrichtungen und soll festgelegt werden, unter Angabe welcher Daten eine Anfrage durch die Schülerbeihilfenbehörden zu erfolgen hat. Weiters wird im neuen Abs. 8 eine Löschungsfrist für zum Zweck der Gewährung von Schülerbeihilfen verarbeitete Daten vorgesehen, die mit Ablauf des 31. Juli des der letzten Antragstellung siebtfolgenden Kalenderjahres festgelegt werden soll. Die Frist ist so gewählt, dass für einen späteren Beihilfenanspruch relevante Daten jedenfalls nicht neu zu erfassen sein sollen.

Abs. 9 hat zu entfallen, da die bisher durch Verordnung zu regelnde Beschreibung der Daten direkt in das Gesetz (Anlage) übernommen werden soll.

Zu Z 8 (§ 25):

Hier erfolgt die Neufassung der Vollzugsbestimmung aufgrund der geänderten Ressortzuständigkeiten.

Zu Z 9 (§ 26 Abs. 20 – Inkrafttreten):

Diese Bestimmung regelt das In- und Außerkrafttreten, das hinsichtlich der datenschutzrechtlich relevanten Änderungen in Übereinstimmung mit dem Wirksamwerden der DSGVO mit 25. Mai 2018, hinsichtlich der geänderten Ressortbezeichnungen und sonstigen rein redaktionellen Änderungen mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt vorgesehen ist.

Das Inkrafttreten des § 13 Z 1 in der Fassung des Bildungsreformgesetzes 2017 soll in Übereinstimmung mit dem dort festgelegten Zeitpunkt erst mit 1. Jänner 2019 erfolgen.

Zu Z 10 (Anlage):

In der Anlage zu § 15 Abs. 6 sind die bisher in Abs. 6 genannten Daten, zu deren Verarbeitung die Beihilfenbehörden berechtigt sind, angeführt.

Der Anlage umfasst infolge des Entfalls der Verordnungsermächtigung in § 15 Abs. 9 weiters die Verarbeitung der personenbezogenen Daten in Form ihrer Übermittlung durch die in § 15 Abs. 7 genannten Einrichtungen an die Schülerbeihilfenbehörden. Die Anlage enthält diesbezüglich die Beschreibung der Durchführung des automationsunterstützten Datenverkehrs im Detail, wie sie bereits mit der Verordnung der Bundesministerin für Bildung über die Durchführung des automationsunterstützten Datenverkehrs in Verfahren vor den Schülerbeihilfenbehörden (Schülerbeihilfen-ADV-Verordnung), BGBl. II Nr. 286/2017, kundgemacht wurde. Bei den personenbezogenen Daten, die von der automationsunterstützten Übermittlung betroffen sind, handelt es sich um Einkommensdaten, Personendaten sowie Daten über den Schulbesuch des Beihilfenwerbers oder der Beihilfenwerberin.