12. Mai 2025

ddbnews.org

Neuigkeiten / Berichte / Informationen

Irritierende Begründungen des Bildungsministeriums zum ID-Austria-Zwang für Lehrer

Esther 12. Mai 2025 9 min read

 

Mit der Einführung der ID Austria hat die österreichische Regierung eine digitale Identitätsplattform geschaffen, die weit über eine einfache Digitalversion des Personalausweises hinausgeht. Sie vereint verschiedene behördliche Register und Sicherheitsdaten und ermöglicht zahlreiche Anwendungen im digitalen Verwaltungsbereich.

Doch während die Politik anfänglich die Freiwilligkeit der Nutzung versprach, zeigt die Realität ein anderes Bild: Immer mehr Bereiche des öffentlichen Lebens setzen die ID Austria mittlerweile verpflichtend voraus, so die Liste Madeleine Petrovic in einer Aussendung.

Seit dem regulären Betriebsstart im Jahr 2023 wurde die ID Austria sukzessive zur einzigen Zugangsoption in verschiedenen Bereichen wie der Österreichischen Gesundheitskasse (ÖGK), dem Unternehmensserviceportal (USP) oder den Sozialversicherungen. Mit dem 1. März 2025 ist nun auch der Bildungssektor betroffen: Lehrkräfte können zentrale Anwendungen wie die Amtssignatur oder das Sokrates-Login nur noch über die ID Austria in der Vollversion nutzen.

Das Bildungsministerium empfiehlt zudem explizit die Verwendung der ID Austria mit privaten Smartphones. Alternativ steht ein Token als Zugangsoption zur Verfügung – doch auch dieser löst nicht die grundsätzliche Problematik, denn das eigentliche Problem liegt nicht in der Wahl des Endgeräts, sondern im Zwang zur Nutzung der ID Austria selbst.

Datenschutzrechtliche Bedenken

Eine Datenschutz-Folgenabschätzung (DSFA) aus dem Jahr 2022 bewertet diesen Zwang als problematisch. Besonders das Risiko des „sozialen Drucks zur Nutzung der ID Austria“ wurde als hoch eingestuft. Laut der DSFA dürfen Verwaltungsprozesse nicht ausschließlich digital angeboten werden, sondern müssen auch analog zur Verfügung stehen. Doch genau dies wurde im Bildungsbereich missachtet.

Ein weiteres gravierendes Datenschutzrisiko betrifft die Abhängigkeit von US-amerikanischen IT-Konzernen wie Google und Apple. Die staatliche App „Digitales Amt“, die für die Vollversion der ID Austria notwendig ist, nutzt deren Infrastruktur. Dadurch besteht die Gefahr eines transatlantischen Datentransfers, der laut der DSFA als unvertretbar hoch eingestuft wurde. Das Bildungsministerium empfiehlt die Nutzung dieser unsicheren Infrastruktur dennoch weiter. Auch die vermeintliche Alternative – die Token-Verwendung – birgt Risiken, da hier der Browser als zwischengeschaltete Instanz potenziell Daten einsehen und weiterleiten könnte.

Irritierende Informationen zur ID Austria Verpflichtung

Das Bildungsministerium informiert auf seiner offiziellen Homepage und in seinem am 15. April 2025 an alle Bildungsdirektionen versandten Schreiben in derart irreführender Weise, dass dass die Liste Madeleine Petrovic dazu eine detaillierte Stellungnahme ausgearbeitet hat..

1. Zum Schreiben des Bundesministeriums für Bildung an alle Bildungsdirektionen vom 15.4.2025, das über die dienstrechtlichen Folgen bei Weigerung der Verwendung der ID Austria aufklären soll:

„Gem. § 1c E-GovG sind Verantwortliche des öffentlichen Bereichs, die durch Bundesgesetz eingerichtet sind, zur Teilnahme am elektronischen Verkehr verpflichtet“

  • Das E-Government-Gesetz dient der Förderung „rechtserheblicher elektronischer Kommunikation […] mit öffentlichen Stellen“. Eine Berufung auf dieses Gesetz in Bezug auf die schulinterne Verwaltung von Schülerdaten ohne genaue Begründung, warum man die
    schulinterne Verwaltung als rechtserhebliche Kommunikation mit öffentlichen Stellen betrachten muss, ist unsachlich und irreführend.

  • Selbst wenn das Gesetz relevant wäre, bezieht es sich auf Verantwortliche, die in Formen des öffentlichen Rechts eingerichtet wurden, insbesondere auch Organe einer Gebietskörperschaft, und ihre Pflicht, die oben genannte Kommunikation mit öffentlichen
    Stellen zu ermöglichen. Es bezieht sich nicht auf Lehrpersonal.

„Gemäß Erwägungsgrund 83 bezieht sich dies jedenfalls auf den Schutz vor unbefugtem Zugang zu diesen Daten“

  • Dieser Erwägungsgrund zur DSGVO bezieht sich generell auf personenbezogene Daten, nicht nur auf die Daten der Schülerverwaltung.

  • Er hat die „Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung“ zum Ziel. Die relevante Datenschutzfolgenabschätzung zur ID Austria stellt ganz klar, was in Bezug auf die ID Austria eine Verarbeitung ist, die gegen die DSGVO verstößt: „Aufgrund einer eingeschränkten, mangelhaften bzw. fehlenden Freiwilligkeit der Einwilligung kommt es zu einer ungewollten bzw. unrechtmäßigen Datenverarbeitung.“

  • Diesen Erwägungsgrund mit dem Ziel anzuführen, Lehrpersonal zum unfreiwilligen Besitz der ID Austria zu verpflichten, ist gegen die Intention der DSGVO gerichtet und somit stark irreführend.

„Diesbezügliche technische Maßnahmen zur elektronischen Identifizierung sind in Form der ID Austria (E-ID) in der EIDAS-Verordnung sowie in § 9 E-Government-Gesetz für die österreichische Verwaltung eindeutig definiert“

  • Die eIDAS-Verordnung erleichtert sichere grenzüberschreitende Transaktionen durch die Schaffung eines Rahmens für die digitale Identität und Authentifizierung. Ziel ist es, Vertrauen in elektronische Interaktionen zu schaffen und nahtlose digitale Dienste in der EU
    zu fördern.

  • Die eIDAS-Verordnung bezieht sich nicht auf schulinterne Verwaltungstätigkeiten und verbietet nicht, dafür eine alternative Mehr-Faktor-Authentifizierung zu verwenden.

  • Der genannte § 9 des E-Government-Gesetzes bezieht sich nur auf die oben genannte Kommunikation mit öffentlichen Stellen und handelt auch nur von der bereichsspezifischen Trennung der Daten. Er sagt nichts über eine Verpflichtung, an der ID Austria teilnehmen zu
    müssen, sondern er beschreibt nur, was im Fall der Verwendung der ID Austria technisch zu beachten ist.

 „Für den Bereich der IT-Sicherheit in der Bildungsverwaltung wird dies in § 5 Abs. IKTSchulVO umgesetzt“

• Hier wird für bestimmte Situationen eine Mehr-Faktor-Authentifizierung vorgeschrieben, jedoch ausdrücklich die konkrete Umsetzung offengelassen! Der Hinweis auf diese Rechtsvorschrift in Bezug auf die Verpflichtung, eine ID Austria zu haben oder zu verwenden, ist irreführend.

„Es besteht demnach keine Wahlmöglichkeit der Bediensteten zur Teilnahme an der ID Austria“

  • Der erwähnte Erlass besagt nur, dass das Ministerium für den Zugang zu Sokrates keine weitere Möglichkeit zur Mehr-Faktor-Authentifizierung neben der ID Austria eingerichtet hat. Er beschreibt damit einen grundlegenden Umsetzungsmangel.

  • Im Erlass findet man keine Anweisung, eine private ID Austria beantragen und haben zu müssen. Das wäre auch unrechtmäßig, weil dann eine eingeschränkte, mangelhafte bzw. fehlenden Freiwilligkeit der Einwilligung vorliegt!

  • Durch die gewählte Formulierung „keine Wahlmöglichkeit […] zur Teilnahme an der ID Austria“ werden zwei nicht zusammengehörende Sachverhalte kombiniert und damit eine stark irreführende Botschaft vermittelt. Der erste Sachverhalt ist keine Wahlmöglichkeit beim Einstieg in Sokrates und der zweite Sachverhalt ist die völlig private und freie Entscheidung jeder Person „zur Teilnahme an der ID Austria“.

„…sind Bedienstete verpflichtet, ihre dienstlichen Aufgaben […} mit den ihnen zur Verfügung stehenden Mitteln […] zu besorgen und die Weisungen der Vorgesetzten, soweit verfassungsgesetzlich nicht anderes bestimmt ist, zu befolgen“

  • Laut DSGVO und der relevanten Datenschutz-Folgenabschätzung zur ID Austria ist eine erzwungene Teilnahme an der ID Austria rechtswidrig. Bedienstete sind somit nicht verpflichtet, die Weisung, „an der ID Austria teilzunehmen“, zu befolgen.

  • Es geht um Mittel, die den Bediensteten zur Verfügung stehen. Eine Lehrperson, die nicht an der ID Austria teilnimmt, hat das Mittel „ID Austria“ nicht zur Verfügung. Somit ergibt sich für den Dienstgeber eine Bringschuld, die nötigen Mittel zum Erfüllen der dienstlichen Aufgaben zur Verfügung zu stellen.

„Vorauszuschicken ist, dass eine dienstrechtlich relevante Weigerung der Anwendung der ID Austria nur dann vorliegt, wenn hierdurch die (teilweise) Erfüllung der Dienstpflichten erschwert oder unmöglich gemacht wird.“

  • Hier wird nur deutlich gemacht, dass die „Weigerung der Anwendung“ dienstrechtlich relevant ist. Falls jemand an der ID Austria bereits teilnimmt und die Teilnahme rechtmäßig, weil vollkommen freiwillig, ist, dann ist er/sie auch zur Anwendung verpflichtet.

  • Falls die Erfüllung der Dienstpflichten nicht aufgrund einer Weigerung der Anwendung, sondern aufgrund eines nicht vorhandenen Mittels unmöglich ist, trifft den/die Bedienstete kein Verschulden. Der Dienstgeber ist in der Pflicht, die nötigen Mittel zur Verfügung zu stellen.

„Für den Fall, dass die/der Bedienstete die Weisung missachtet und beharrlich die Authentifizierung mittels ID Austria verweigert, ist von einer gröblichen Dienstpflichtverletzung auszugehen.“

  • Hier wird wie oben der falsche Eindruck erweckt, dass eine Dienstpflichtverletzung bereits vorliegt, wenn die Anmeldung mit ID Austria aufgrund der Nicht-Verfügbarkeit einer solchen trotz guten Willens der Bediensteten scheitert.

  • Gleichzeitig wird nicht davor gewarnt, dass das Risiko einer Dienstpflichtverletzung aus anderem Grund gegeben ist: „Hält der Bedienstete eine Weisung eines Vorgesetzten für rechtswidrig, so hat (!) er, wenn es sich nicht wegen Gefahr im Verzug um eine unaufschiebbare Maßnahme handelt, vor Befolgung der Weisung seine Bedenken dem Vorgesetzten mitzuteilen. Der Vorgesetzte hat eine solche Weisung schriftlich zu erteilen, widrigenfalls sie als zurückgezogen gilt.“

  • Auch unerwähnt bleibt die reale Gefahr einer Dienstpflichtverletzung durch die jeweiligen Schulleiter. Sie und nicht das Ministerium sind datenschutzrechtlich Verantwortliche im Sinne der DSGVO und für eine rechtmäßige Verwendung der ID Austria verantwortlich!

 

2. Zu den Veröffentlichungen auf der offiziellen Webseite des Bildungsministeriums:

Auf der regelmäßig revidierten Webseite des Ministeriums stehen seit längerem fehlerhafte oder irreführende Informationen, die zu Missverständnissen führen können.

„Die Datenschutzbehörde führt im Zuge ihrer amtswegigen Prüfung am 27. Jänner 2025 aus, dass mit der verpflichtenden Einführung der ID Austria als 2. Faktor … eine notwendige und wichtige Maßnahme getroffen wird“

  • Dieser Satz kann zur Meinung verleiten, dass laut Datenschutzbehörde eine Verpflichtung zur Teilnahme an der ID Austria gegeben wäre. Richtig ist jedenfalls, dass ein verpflichtender zweiter Faktor notwendig und wichtig ist. Ein zweiter Faktor kann mit marktüblichen Mitteln ohne jeden Bezug zur ID Austria realisiert werden.

  • In der veröffentlichten Aussage der Datenschutzbehörde findet sich keine Erlaubnis, Lehrpersonal zur Teilnahme an der ID Austria verpflichten zu dürfen. Die Aussage lautet nur: „Aufgrund dieser Ausführungen [des Ministeriums] scheint es der Datenschutzbehörde schlüssig, dass alle notwendigen Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten von betroffenen Personen zu gewährleisten.“

„Bedenken, dass eine verpflichtende Nutzung der ID Austria durch den Dienstgeber/die Dienstgeberin ein erhöhtes Risiko darstellen könnte, werden im Bericht [gemeint ist die Datenschutz-Folgenabschätzung] nicht behandelt, weil diese Frage nicht Teil der Analyse war. Das bedeutet: Für die Nutzung in der Schulverwaltung gibt es keine Hinweise auf ein zusätzliches Risiko.“

  • Die konkrete Situation, also eine verpflichtende Nutzung der ID Austria, war damals nicht angedacht und daher nicht Teil der damaligen Analyse. Wenn der aktuelle Fall damals nicht gesondert behandelt wurde, gelten die allgemeinen Aussagen der Datenschutz-Folgenabschätzung zwangsläufig auch für den aktuellen Fall.

  • In der Aussage des Ministeriums werden zwei Sachverhalte stark irreführend vermischt: Der Sachverhalt, dass Sokrates ohne ID Austria nicht verwendbar ist, und der Sachverhalt, eine ID Austria zu haben oder an der ID Austria teilzunehmen. Die Datenschutz-Folgenabschätzung stellt klar, dass die Teilnahme an der ID Austria im Allgemeinen ein hohes persönliches Risiko für die Rechte und Freiheiten der eigenen Person bringt und dass dieses Risiko nur dann akzeptabel ist, wenn die Teilnahme gut informiert und vollkommen freiwillig erfolgt, also keine eingeschränkte, mangelhafte bzw. fehlenden Freiwilligkeit der Einwilligung vorliegt!

„Der Login mit der ID Austria, zum Beispiel in der Schulverwaltungssoftware Sokrates, erfolgt unter höchsten Sicherheitsstandards. Hierbei entsteht kein sogenannter „sozialer Druck“, da eine alternative Option zum Einsatz eines Smartphones – der FIDO2 Token – zur Verfügung steht“

  • Die Datenschutz-Folgenabschätzung spricht von „sozialem Druck“, wenn man zur Teilnahme an der ID Austria gedrängt oder gezwungen wird. Das Ministerium stellt diese Aussage falsch dar und verleitet die Leser damit, den „sozialen Druck“ auf die Verwendung eines Smartphones zu beziehen. Damit wird der irreführende Eindruck erweckt, dass den Forderungen der Datenschutz-Folgenabschätzung bereits durch alternative Verwendung des Tokens entsprochen werden würde. Tatsächlich bezieht die Datenschutz-Folgenabschätzung den „sozialen Druck“ jedoch nicht auf die Smartphone-, sondern auf die ID Austria-Nutzung. Aus diesem Grund darf laut Datenschutz-Folgenabschätzung, an welche das Bildungsministerium gebunden ist, niemand zur ID Austria-Nutzung verpflichtet werden!

„Die Nutzung der ID Austria in der Schulverwaltung ist sicher und entspricht höchsten EU-Datenschutzstandards. Es gibt keine Hinweise auf hohe Risiken, weder für persönliche Daten noch für den Schutz der Schulverwaltungsanwendungen.“

  • Diese Aussage ignoriert die große Anzahl der hohen Risiken bei der Teilnahme an der ID Austria, die laut Datenschutz-Folgenabschätzung systemimmanent sind und nur dadurch auf ein rechtlich akzeptables Maß reduziert werden, dass die Betreiber der ID Austria und die angebundenen Service Provider bestimmte Zusatzmaßnahmen konsequent umsetzen, wie eben die vollkommene Freiwilligkeit der Teilnahme zu ermöglichen und aus diesem Grund zwingend eine Alternative anzubieten!

„Für einen hochsicheren und bequemen Login empfehlen wir die Nutzung der ID Austria mit Ihrem Smartphone“

  • Bei einer Anmeldung mittels Smartphone müssen biometrische Daten aktiviert sein und werden daher sehr wahrscheinlich auch verarbeitet.

  • Aufgrund der strengen Kriterien der DSGVO bezüglich sensibler Daten, wie z.B. biometrischer Daten, dürfen diese nur verarbeitet werden, wenn unbedingt notwendig. Eine (verpflichtende) dienstliche Nutzung der ID Austria für den Zugang zu Sokrates gehört nicht zu den Anwendungen, bei denen diese Daten laut DSGVO verarbeitet werden dürfen. Daher erscheint die ausdrückliche Empfehlung für diesen Weg problematisch. Indem das Bildungsministerium die Smartphonenutzung ausdrücklich empfiehlt, empfiehlt es den Anwendern, jenes Risiko einzugehen, das die Datenschutz-Folgenabschätzung als unverantwortbar hoch bestimmt!

 

Verantwortung der Aufsichtsbehörde und des Ministers

Laut Datenschutz-Folgenabschätzung der ID Austria muss jeder Service Provider, so auch das Bundesministerium für Bildung, bei der Registrierung für die Anbindung an die ID Austria verbindlich zusagen, die Bestimmungen der DSGVO einzuhalten. Wie oben ersichtlich drängt das Ministerium auf die unfreiwillige und somit unrechtmäßige Teilnahme an der ID Austria und erfüllt damit die Bedingungen für Service Provider unseres Erachtens nach nicht mehr. Die Aufsichtsbehörde kann und sollte daher einschreiten und notfalls auch die Verarbeitungsvorgänge untersagen, wenn es keinen anderen Weg gibt, die Rechte und Freiheiten der Lehrpersonen ausreichend zu schützen! Die oben genannten Aussagen des Bundesministeriums für Bildung führen auch zur Frage, ob es sich um vorsätzliche Täuschung der Arbeitnehmer handelt und ob Amtsmissbrauch vorliegt.

Irritierende Begründungen des Bildungsministeriums zum ID-Austria-Zwnag für Lehrer