Im Rahmen unserer Aufgabe als Bundesamt werden die von uns verarbeiteten Daten im Bedarfsfall an vorgesetzte Stellen in der Bildungsdirektion und im Bundesministerium weitergegeben. Dies kann im Rahmen der Bildungsdokumentation anonymisiert erfolgen, oder wie im Rahmen des Aufnahmeverfahrens oder bei finanziellen Unterstützungen auch nicht anonymisiert.
Um den Schulbetrieb im Sinne der österreichischen Gesetze zu gewährleisten, muss eine Vielzahl personenbezogener Daten verarbeitet werden.
Von den Mitarbeiter*innen werden Name, Geburtsdatum, Wohnort, Kontaktdaten, Ausbildungen, Sozialversicherungsnummer, Diensteinteilungen, Dienstverhinderungen, gegebenenfalls Gewerkschaftszugehörigkeiten, abrechnungsrelevante Daten sowie persönliche und berufliche Werdegänge verarbeitet.
Die Erziehungsberechtigten werden mit Namen, Wohnort, Geburtsdatum, Beziehung zum Kind und Kontaktdaten erfasst.
Von den Schüler*innen werden Name, Geburtsdatum, Wohnort, Religionszugehörigkeit, Sozialversicherungsnummer, Schullaufbahn, Schulerfolg, Leistungsbeurteilungen, Muttersprache und weitere gesprochene Sprachen, Staatsbürgerschaft, gesundheitliche Daten und gegebenenfalls bildliche Darstellungen erfasst.
Diese Daten sind erforderlich, um den regulären und gesetzeskonformen Betrieb als österreichische Schule aufrechtzuerhalten. Die Menge an Daten ist notwendig, um diverse öffentliche und staatsgültige Dokumente wie Zeugnisse, Schulbesuchsbestätigungen u. ä. ausstellen zu können.
Auf die gespeicherten Daten der Schüler*innen sowie Eltern können die jeweiligen Erziehungsberechtigten sowie die Lehrer*innen des GRG23 zugreifen. Auf die Daten der Mitarbeiter*innen können nur Direktion sowie Administration zugreifen.
Im Rahmen unserer Aufgabe als Bundesamt werden die von uns verarbeiteten Daten im Bedarfsfall an vorgesetzte Stellen in der Bildungsdirektion und im Bundesministerium weitergegeben. Dies kann im Rahmen der Bildungsdokumentation anonymisiert erfolgen, oder wie im Rahmen des Aufnahmeverfahrens oder bei finanziellen Unterstützungen auch nicht anonymisiert.
Im Rahmen der Schulfotografie werden die Namen und Klassen sowie Wohnorte der Schüler*innen an einen Vertragspartner weitergegeben.
Im Sinne einer guten Schulpartnerschaft werden Namen und Emailadressen der Eltern an den Elternverein des GRG23 übermittelt.
Die Dauer der Datenspeicherung ist gesetzlich vorgegeben und beträgt je nach Kategorie bis zu 90 Jahre.
Zur Verwaltung der Daten werden Programme verwendet, welche von Bildungsdirektion bzw. Bundesministerium vorgegeben werden. Über die Sicherheit dieser Programme kann die zuständige Stelle Auskunft geben.
Für administrative Zwecke werden manche Daten in Excel-Tabellen zusammengefasst. Diese sind in der Schule gespeichert und von außen nicht zugänglich. Innerhalb der Schule werden diese Daten durch technische Maßnahmen vor Diebstahl geschützt. Zusätzlich gibt es eine zentrale Datenbank mit allen erhobenen Schüler*innen- sowie Elterndaten. Der Zugriff auf diese Daten ist nur mittels Authentifizierung (entweder durch Benutzername und Passwort oder SMS-Code) zugänglich. Die Computer, auf denen diese Daten gespeichert sind, sind durch technische Maßnahmen vor Diebstahl geschützt.
Für die Einhaltung der Datenschutzgrundverordnung in der Netzwerk-Infrastruktur des GRG23 sind die IT-Manager im Namen der Direktion verantwortlich. Zu diesen kann im Bedarfsfall einfach der Kontakt über das Sekretariat des GRG23 hergestellt werden.
Von den Schüler*innen sowie Lehrer*innen werden Vor- und Nachname sowie gegebenenfalls die besuchte Klasse gespeichert. Während der Benutzung der Netzwerkdienste werden Logdaten generiert. Zusätzlich wird im Druckersystem erfasst, wann welche Art und Anzahl von Seiten gedruckt, kopiert oder gescannt wurden. Auch Einzahlungen werden erfasst. Im Rahmen des elektronischen Klassenbuchs werden von den Schüler*innen Anwesenheitsdaten, Abwesenheitsgründe, besondere Ereignisse (“Klassenbucheinträge”, Hausübungen, Schularbeiten und Tests), gegebenenfalls grafische Bildnisse und Diensteinteilungen erfasst. Von den Eltern sind der Name und die Emailadresse zum Betrieb notwendig. Während der Benutzung fallen dabei Logdaten an.
Die Daten der Benutzer*innen werden benötigt, um den Zugriff auf die IT-Infrastruktur des GRG23 zu ermöglichen. Dazu zählen Computer, das WLAN, das Internet, die Kopiergeräte, Office 365 und das elektronische Klassenbuch. Dieses übernimmt die Aufgabe der Amtsschrift des GRG23 und muss den entsprechenden Gesetzen genügen.
Im Rahmen der zentralen Benutzerauthentifizierung haben alle Benutzer*innen Zugriff auf die Liste der Vor- und Nachnamen sowie Klassen (“Active Directory”). Im elektronischen Klassenbuch können Eltern auf die Daten der eigenen Kinder zugreifen und Abwesenheiten verwalten. Die Lehrer*innen haben Zugriff auf Daten, welche ihren Unterricht betreffen. Klassenbetreuer*innen können die Daten der Kinder ihrer Klasse aus allen Gegenständen einsehen und verwalten. Das Sekretariat des GRG23 hat aus abrechnungstechnischen Gründen Zugriff auf die Kopierdaten der einzelnen Schüler*innen.
Der Name und die Klasse der Schüler*innen und Lehrer*innen werden ihm Rahmen der Bereitstellung von Office 365 an Microsoft übermittelt. Ebenso werden diese Daten und gegebenenfalls ein Bild an Gruber Petters GmbH übermittelt, welche das elektronische Klassenbuch verwaltet. Anonymisierte Daten über die Anzahl der gedruckten und kopierten Seiten werden an jene Firma übermittelt, welche die Kopiergeräte bereitstellt. Um eine Lernplattform betreiben zu können, werden Namen und Emailadressen von Schüler*innen bzw. Lehrer*innen an die Betreiber der Plattform weitergeleitet.
Alle Daten werden spätestens zwei Jahre nach dem Ausscheiden einer Person aus dem GRG23 gelöscht.
Die schulinternen Geräte sind durch mehrere Firewalls und technischen Zugriffsschutz vor unbefugtem Zugriff geschützt. Für die Anwendungen von Drittanbietern (Office 365, elektronisches Klassenbuch) ist diese Information bei den Auftragsnehmern ersichtlich.
Für die im Rahmen des Unterrichts erstellten Dateien kann von Seiten des GRG23 keine Auskunft über relevante Daten im Sinne der Datenschutzgrundverordnung gegeben werden. Für alle derartig erstellten und verarbeiteten Daten übernimmt der Ersteller die entsprechenden Pflichten im Sinne der DSGVO.