Agenda:
1. Bildungsportal
2. IT-Standardisierung / IT-Security
3. Rechtlicher Rahmen
Im Rahmen der IT Security Tagung 2026 wurden aktuelle Maßnahmen, Empfehlungen und organisatorische Standards für den sicheren IT-Betrieb im schulischen Umfeld vorgestellt.
→ Präsentationsunterlagen zur IT Security Tagung 2026 (PDF)
1. Bildungsportal
Die bereitgestellten Informationen behandeln zentrale Anwendungen und Verwaltungsprozesse des Bildungsportals. Dazu zählen organisatorische Abläufe rund um den Datenverbund Schulen und die digitale Schulaufnahme, Informations- und Unterstützungsangebote über die BiP.Infobox sowie digitale Signaturprozesse im Rahmen des Amtssignaturservice.
BiP.Infobox
Die BiP.Infobox stellt zentrale Informationen und Hilfestellungen zu digitalen Verwaltungsprozessen, Anwendungen und organisatorischen Abläufen im Bildungsbereich bereit.
→ BiP.Infobox
Datenverbund Schulen & Digitale Schulaufnahme
Die beiden Themenbereiche „Datenverbund Schulen“ sowie „Digitale Schulaufnahme“ werden im Foliensatz „Big Picture“ zusammenfassend dargestellt. Der Foliensatz enthält organisatorische Grundlagen, technische Zusammenhänge sowie Informationen zu digitalen Verwaltungsprozessen im schulischen Umfeld.
→ Foliensatz „Big Picture“
Amtssignaturservice
Der bereitgestellte Foliensatz enthält detaillierte Informationen zum Amtssignaturservice, insbesondere zu organisatorischen Voraussetzungen, Einsatzmöglichkeiten und digitalen Signaturprozessen im Bildungsbereich.
→ Informationen zum Amtssignaturservice
Elektronisches Zeugnis
Weiterführende Informationen zum elektronischen Zeugnis, technische Hinweise sowie organisatorische Handreichungen stehen auf der Informationsseite des Bundesministeriums zur Verfügung. Insbesondere die bereitgestellten Handreichungen unterstützen Schulen bei der praktischen Umsetzung und Anwendung.
→ Informationen zum elektronischen Zeugnis
2. IT-Standardisierung / IT-Security
Die Vorgaben des Bundesministeriums für Bildung zur Standardisierung der IT-Infrastruktur an Bundesschulen behandeln organisatorische, technische und sicherheitsrelevante Anforderungen für den sicheren und standardisierten Betrieb schulischer IT-Systeme.
Offizielle Informationen des BMB:
→ Vorlage zur Standardisierung der IT-Infrastruktur an Bundesschulen
→ Vorlage zum IT-Sicherheitskonzept (Version 1.0)
→ Vorlage zur IT-Dokumentation (Version 1.0)
→ Vorlage zur IT-Nutzungsordnung
3. Rechtlicher Rahmen
Datenschutz im Bereich des Bundesministeriums für Bildung
Informationen zu datenschutzrechtlichen Grundlagen, organisatorischen Maßnahmen sowie zur Verarbeitung personenbezogener Daten im Bildungsbereich finden Sie auf der offiziellen Datenschutzseite des Bundesministeriums für Bildung.
→ Datenschutz im Bereich des Bundesministeriums für Bildung
FAQ zur IT Security Tagung 2026
Wir drucken unsere Sokrates-Zeugnisse aus und binden physisch weitere Blätter zu einem Buch dazu – eben die schriftlichen Erläuterungen. Wie kann man das Zeugnis aus Sokrates mit den schriftlichen Erläuterungen aus Word verbinden?
Antwort:
Wird geprüft
Wer haftet, wenn von Microsoftkonten sensible Daten, wie KJH-Protokolle oder Diagnosen, abgesaugt werden? Das ist insofern auch relevant, weil oftmals über private Handys kommuniziert wird.
Antwort:
Den datenschutzrechtlichen Verantwortlichen stellt die Schulleitung dar. Sie entscheidet über den Zweck und die Mittel der Verarbeitung.
Es wird dringend empfohlen, für dienstliche Belange eigens dafür vorgesehene IT-Systeme bzw. Dienstgeräte zu nutzen.
Wie schaut es rechtlich bei folgendem Fall aus: Ein selbsterstelltes Bild aus der Klasse – im Hintergrund sieht man Flashcards aus einem Lehrwerk – muss man dann das Lehrwerk anführen bzw. die Einverständniserklärung des Verlags einholen?
Antwort:
Grundsätzlich wird empfohlen: Erstellen Sie Fotos, die keine urheberrechtlich geschützten Inhalte abbilden.
Wenn das Lehrwerk nur beiläufig fotografiert wird, sollte keine Zustimmung des Verlags/Autors nötig sein. Anders dagegen verhält es sich, wenn das Lehrwerk zentral platziert wird oder Markenrechte betroffen sind. Von daher ist die abschließende Empfehlung, im Zweifel die Zustimmung des Verlags/Autors einzuholen oder die Publikation solcher Fotos zu vermeiden.
Reicht © und Name beim Foto nicht aus?
Antwort:
Diese Frage ist sehr unpräzise formuliert.
Für die Aufnahme und Veröffentlichung von Fotos von Personen ist eine vollinformierte Einverständniserklärung mit Widerrufshinweis einzuholen. Die Veröffentlichung/Darstellung erfordert zudem den Quellenbeleg nach den gängigen Zitierregeln.
Müssen oder sollen Gäste bei Schulveranstaltungen darauf hingewiesen werden, nicht zu filmen oder zu fotografieren?
Antwort:
Ja, empfehlen wir, weil immer die Gefahr besteht, dass Fotos in Social-Media-Kanälen veröffentlicht werden und dabei die notwendigen Zustimmungen der abgebildeten Personen „vergessen“ werden.
Überarbeiten wir die Homepage und nehmen alle Inhalte herunter, die nicht diesen Vorschriften entsprechen?
Antwort:
Auf die Schulhomepage sollten Sie nur jene Inhalte abbilden, für die Sie die jeweiligen Rechte besitzen. Zum Beispiel:
- selbst erstellte Inhalte wie zum Beispiel PowerPoint-Präsentationen oder selbst erstellte Fotos: Angaben des Autors/Fotografen nach den gängigen Zitierregeln
- Fotos, die SchülerInnen, Lehrpersonen etc. darstellen:
vollinformierte Einverständniserklärung mit Widerrufshinweis der Abgebildeten inklusive Quellenangabe
- Fotos des Schulfotografen:
Werknutzungsbewilligung des Fotografen inklusive Quellenangabe – und sofern Personen dargestellt werden sollten – deren Einverständniserklärung mit Widerrufshinweis der Abgebildeten
Wenn Kolleginnen in der Schule fotografieren, reicht es, wenn beim Foto als Quellenangabe „Schule XY“ steht, oder muss jeder Lehrer bzw. jede Lehrerin namentlich angeführt werden?
Antwort:
Sofern Personen (Lehrpersonen/ SchülerInnen etc.) erkennbar abgebildet werden, braucht es deren vollinformierte Einverständniserklärung mit Widerrufshinweis. Die Einverständniserklärung der Erziehungsberechtigten sollte stets eingeholt werden. Jene der SchülerInnen nur ab Erreichung des 14. Lebensjahrs. Darüber hinaus sollten Sie das Foto mit einem Quellenbeleg nach den gängigen Zitierregeln versehen und dabei den Namen jener Person angeben, die das Foto erstellt hat.
Gibt es für das amtsignierte Zeugnis eine Schritt-für-Schritt-Anleitung für Lehrer:innen?
Antwort:
Informationen dazu finden Sie hier → Amtssigniertes Zeugnis | BiP.Infobox unter Amtssigniertes Zeugnis
Ist es datenschutzrechtlich möglich, in Teams bzw. OneDrive einen Ordner mit Schülerdaten anzulegen, in dem die Daten unserer Schüler verwaltet werden, zum Beispiel Anmeldungen, Semesterzeugnisse mit Stempel zur Anmeldung, Religionsabmeldungen usw.?
Zu diesem Ordner hätten alle Kolleginnen und Kollegen Zugriff. Dort würde auch ein laufendes Protokoll über diverse Gespräche mit Eltern, Beratungslehrern usw. gespeichert werden.
Antwort:
Für die Verarbeitung personenbezogener Daten sollten Sie nur jene IT-Systeme verwenden, die den bundesweit einheitlichen Standards entsprechen. Gerade Religionsabmeldungen sind sensible Daten, die keinesfalls über Teams bzw. OneDrive abgelegt werden sollen.
Fall 1 – Nikolausbesuch / Fotografieren in der Schule
Der Nikolaus besucht auf Wunsch der Eltern die Schule. Vereinbart war ursprünglich, dass er nach Unterrichtsschluss im Schulhof wartet und die Kinder sich jeweils eine kleine Süßigkeit holen dürfen.
Mit Eintreffen des Nikolaus wurde seitens des Elternvereins jedoch kurzfristig beschlossen, dass die Verteilung der Süßigkeiten in der Eingangshalle stattfinden solle und die Klassen vorbeikommen würden. Nicht vereinbart war allerdings, dass daraus ein regelrechtes „Fotoshooting“ entstehen würde. Einige Elternvertreter, die dem Nikolaus beim Umkleiden halfen, fotografierten mit ihren privaten Handys zahlreiche Situationen und teilten diese teilweise direkt über WhatsApp mit anderen Eltern. Auf den Bildern waren selbstverständlich nicht nur die eigenen Kinder zu sehen, sondern häufig Gruppen von Schülern. Auch einzelne KVs machten Fotos mit ihren Handys, um diese weiterzuverwenden. Eine Elternvertreterin bestand zudem darauf, dass der Nikolaus einzelne Klassen besucht, um dort Gruppenfotos anzufertigen. Ob dabei personenbezogene Daten, zum Beispiel personalisierte Schulsachen oder Namensschilder, sichtbar waren, wurde meines Wissens nicht überprüft. Zwar liegen in den Klassen allgemeine Fotoeinverständniserklärungen vor, diese waren jedenfalls nicht konkret auf dieses Ereignis abgestimmt. Als ich auf die datenschutzrechtliche Problematik hinwies, wurde mir vorgeworfen, regionale Traditionen abzulehnen und „alles päpstlicher als der Papst“ zu sehen.
Frage 10a
Reichen allgemeine Fotoeinverständniserklärungen für solche Situationen aus? (ungeklärte Rechtsituation)
Antwort: Jede Abbildung von Personen erfordert – wie immer - deren vollinformierte Einverständniserklärung mit Widerrufshinweis.
Frage 10b
Wie ist die Verwendung privater Mobiltelefone durch Lehrpersonen bzw. Elternvertreter datenschutzrechtlich zu beurteilen?
Antwort: Siehe obigen Ausführungen:
Jede Abbildung von Personen erfordert deren vollinformierte Einverständniserklärung mit Widerrufshinweis. Unabhängig davon, mit welchen Gerätschaften diese abgenommen wurden, gilt: Wenn Sie diese Fotos auf Ihrer Schulhomepage veröffentlichen, sollten Sie sie mit einer Quellenangabe nach den gängigen Zitierregeln versehen.
Frage 10c
Ist das Teilen solcher Bilder über WhatsApp zulässig?
Antwort: Die Nutzung sozialer Medien wie Whatsapp etc. kann nicht empfohlen werden.
Frage 10d
Welche Verantwortung trägt die Schule – also ich - in solchen Fällen?
Antwort: Nach § 56 Abs 4 SchUG hat der Schulleiter - außer den ihm obliegenden unterrichtlichen, erzieherischen und administrativen Aufgaben - für die Einhaltung aller Rechtsvorschriften und schulbehördlichen Weisungen sowie für die Führung der Amtsschriften der Schule und die Ordnung in der Schule zu sorgen. Als Schulleitung sollten Sie die unzulässige Verarbeitung personenbezogener in Ihrem Wirkungs- und Zuständigkeitsbereich jedenfalls untersagen.
Fall 2 – Fotos von Landschultagen / WhatsApp-Kommunikation
Dieser Fall ist ähnlich gelagert. Im Rahmen von Landschultagen halten sich manche Lehrpersonen strikt an die Vorgaben und verschicken keine Fotos über private Handys oder WhatsApp. Andere wiederum senden laufend aktuelle Bilder direkt an Eltern und sehen datenschutzrechtliche Bedenken als „kleinkariert“ an.
Frage 11a
Gibt es hierzu verbindliche Richtlinien oder Empfehlungen für ein einheitliches Vorgehen?
Antwort: Siehe obigen Ausführungen. Bildrechte gelten immer und überall, die Schule stellt da keinen „rechtsfreien“ Raum dar.
Von der Nutzung von Whatsapp, Instagram etc. zum Versand bzw. Veröffentlichung von Fotos wird daher dringend abgeraten.
Frage 11b
Unter welchen Voraussetzungen dürfen Schülerfotos digital an Eltern übermittelt werden?
Antwort: Für die elektronische Übermittlung von Schülerfotos an Erziehungsberechtigte sollten Sie jene IT-Systeme verwenden, die den bundesweit einheitlichen Standards entsprechen.
Frage 11c
Dürfen dafür private Geräte verwendet werden?
Antwort: Es wird empfohlen, dafür die zur Verfügung gestellten IT-Geräte zu verwenden.
Frage 11d
Wie lange dürfen solche Fotos auf den Geräten gespeichert bleiben und wann müssen sie gelöscht werden?
Antwort: Nur so solange es der Verarbeitungszweck erfordert. Sobald dieser entfällt, sind die Aufnahmen umgehend zu löschen.
Fall 3 – Umgang mit ChatGPT bzw. KI-Anwendungen
Zunehmend werden Schülerberichte oder andere Dokumente mithilfe von KI-Anwendungen strukturiert zusammengefasst oder sprachlich überarbeitet. Dabei stellt sich die Frage, wie mit den darin enthaltenen personenbezogenen Daten datenschutzrechtlich umzugehen ist – selbst dann, wenn die Daten anschließend wieder gelöscht werden. Besonders problematisch erscheint, dass viele Unterlagen lediglich als PDF vorliegen und personenbezogene Daten, zum Beispiel Namen, nicht ohne Weiteres zuverlässig anonymisiert oder geschwärzt werden können.
Frage 12a
Dürfen personenbezogene Schüler in KI-Systeme eingegeben werden?
Antwort: Sie sollten nur jene IT-Systeme und so auch KI-Systeme verwenden, die den bundesweit einheitlichen Standards entsprechen. Andernfalls wissen Sie nie, wo die eingegebenen Daten letztlich landen. Für Fragen betreffend zulässiger KI-Anwendungen, wenden Sie sich bitte an Ihren IT-Betreuer.
Frage 12b
Welche Voraussetzungen müssten dafür erfüllt sein?
Antwort: Siehe Ausführungen zur Frage 12a. Bitte wenden Sie sich diesbezüglich an Ihren IT-Betreuer.
Frage 12c
Gibt es dazu bereits Empfehlungen oder Vorgaben seitens der Bildungsdirektion bzw. Datenschutzbehörden?
Antwort: Siehe Ausführungen zur Frage 12a. Bitte wenden Sie sich diesbezüglich an Ihren IT-Betreuer.
Abschließend halten wir fest: Die künftige Handreichung des Bundes mit Leitlinien und Empfehlungen wird zu den aufgeworfenen Fragen Stellung nehmen. Bis diese vorliegen, empfehlen wir aus Sicherheitsgründen einen eher restriktiven Umgang mit Bildern, Urheberrechten bzw. Datenübermittlung sensibler Daten.
