eID wird für Lehrende Pflicht: Muster zum Widerspruch!

Muster für einen Widerspruch gegen die ID Austria für Lehrerinnen und Lehrer, die der eID kritisch gegenüberstehen

Seit 1. März 2025 benötigen Bedienstete an weiterführenden mittleren und höheren Schulen für den Zugang zu manchen digitalen Diensten (Sokrates, SARI-Bestätigung von Rechnungen, Anbringen digitaler Amtssignaturen auf Zeugnissen und Urkunden) eine ID Austria – ob sie es möchten oder nicht. (Quelle: Bundesministerium Bildung) Diese Pflicht wurde eingeführt, obwohl aus der Politik stets zu hören war, die ID Austria werde auf Freiwilligkeit beruhen. Uns ist bekannt, dass diese neue Pflicht nicht alle Lehrerinnen und Lehrer überzeugt. Und das aus guten Gründen: Die eID-Pflicht nutzt besonders sensible Daten, widerspricht wichtigen rechtlichen Grundsätzen der Datenverarbeitung, eröffnet Datenschutzrisiken, und lässt Haftungsfragen offen.

Deswegen haben wir eine rechtlich fundierte Vorlage für ein Schreiben erstellt, mit dem Sie sich als Betroffene(r) gegenüber der Schulleitung zu Wort melden und wehren können – als Word-Dokument zum Download!

Die Pflicht, die ID Austria über ihr Smartphone für dienstliche Zwecke zu nutzen, wird Bediensteten weiterführender mittlerer und höherer Schulen per Weisung auferlegt. Gegen Weisungen können Bedienstete widersprechen, wenn sie deren Rechtmäßigkeit anzweifeln. Der korrekte rechtliche Begriff für einen solchen Widerspruch nach § 44 Absatz 3 BDG (für Beamten) bzw § 5a Absatz 3 VBG (für Vertragsbedienstete) lautet „Remonstration“. Nach einer Remonstration muss der Weisungsgeber (Vorgesetzter) seine Weisung schriftlich erteilen, anderenfalls gilt sie als zurückgezogen. In unserem Musterschreiben wird nicht nur eine schriftliche Weisung verlangt, sondern auch die Angabe von Rechtsgrundlagen für die Weisung, mit der man zur eID verpflichtet wird.

Hier unser Brief zum Download – weiter unten im Beitrag finden Sie den Text zum Nachlesen eingefügt!

Ergänzende Erklärung vom 14.3.2025:

Weisungen können allen Lehrpersonen erteilt werden, unabhängig davon, ob sie Beamte oder Vertragsbedienstete sind. In beiden Fällen bestehen inhaltsgleiche Regelungen, die ganz klar vorgeben, wie mit Weisungen umzugehen ist, nämlich für Beamte in § 44 Beamten-Dienstrechtsgesetz 1979 (https://www.ris.bka.gv.at/NormDokument.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10008470&FassungVom=2025-03-11&Artikel=&Paragraf=44&Anlage=&Uebergangsrecht=):

Dienstpflichten gegenüber Vorgesetzten

§ 44

·  (1) Der Beamte hat seine Vorgesetzten zu unterstützen und ihre Weisungen, soweit verfassungsgesetzlich nicht anderes bestimmt ist, zu befolgen. Vorgesetzter ist jeder Organwalter, der mit der Dienst- oder Fachaufsicht über den Beamten betraut ist.

·  (2) Der Beamte kann die Befolgung einer Weisung ablehnen, wenn die Weisung entweder von einem unzuständigen Organ erteilt worden ist oder die Befolgung gegen strafgesetzliche Vorschriften verstoßen würde.

·  (3) Hält der Beamte eine Weisung eines Vorgesetzten aus einem anderen Grund für rechtswidrig, so hat er, wenn es sich nicht wegen Gefahr im Verzug um eine unaufschiebbare Maßnahme handelt, vor Befolgung der Weisung seine Bedenken dem Vorgesetzten mitzuteilen. Der Vorgesetzte hat eine solche Weisung schriftlich zu erteilen, widrigenfalls sie als zurückgezogen gilt.

Für Vertragsbedienstete nach dem Vertragsbedienstetengesetz 1948 ist eine inhaltsgleiche Regelung in § 5a Vertragsbedienstetengesetz 1948 (https://www.ris.bka.gv.at/NormDokument.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10008115&FassungVom=2025-03-11&Artikel=&Paragraf=5a&Anlage=&Uebergangsrecht=) enthalten:

Dienstpflichten gegenüber Vorgesetzten

§ 5a.

·  (1) Der Vertragsbedienstete hat seine Vorgesetzten zu unterstützen und ihre Weisungen, soweit verfassungsgesetzlich nicht anderes bestimmt ist, zu befolgen. Vorgesetzter ist jeder Organwalter, der mit der Dienst- oder Fachaufsicht über den Vertragsbediensteten betraut ist.

·  (2) Der Vertragsbedienstete kann die Befolgung einer Weisung ablehnen, wenn die Weisung entweder von einem unzuständigen Organ erteilt worden ist oder die Befolgung gegen strafgesetzliche Vorschriften verstoßen würde.

·  (3) Hält der Vertragsbedienstete eine Weisung eines Vorgesetzten aus einem anderen Grund für rechtswidrig, hat er, wenn es sich nicht wegen Gefahr im Verzug um eine unaufschiebbare Maßnahme handelt, vor Befolgung der Weisung seine Bedenken dem Vorgesetzten mitzuteilen. Der Vorgesetzte hat eine solche Weisung schriftlich zu erteilen, widrigenfalls sie als zurückgezogen gilt.

Die Pflicht zur Remonstration gegen eine Weisung, die man aus einem anderen Grund als den jeweils in Absatz 2 genannten Gründen für rechtswidrig hält, ergibt sich somit aus Absatz 3 der jeweiligen gesetzlichen Bestimmung, die, wie man sieht, inhaltsgleich sind und daher sowohl für Beamte nach dem Beamten-Dienstrechtsgesetz 1979, als auch für Vertragsbedienstete nach dem Vertragsbedienstetengesetz 1948 gilt.

Das Schreiben der Rechtsanwälte für Grundrechte – Anwälte für Aufklärung als Muster für einen Widerspruch gegen die ID Austria kann daher als Grundlage für eine Remonstration sowohl von Lehrern herangezogen werden, die Beamte nach dem Beamten-Dienstrechtsgesetz 1979 sind, als auch von Lehrern, die Vertragsbedienstete nach dem Vertragsbedienstetengesetz 1948 sind.

Unser Text, der die aus unserer Sicht drängendsten Bedenken benennt:

Sehr geehrter Herr Direktor! / Sehr geehrte Frau Direktorin!

Kürzlich wurde mir mitgeteilt, dass ab 01. März 2025 von allen Bediensteten die ID-Austria im Bildungsbereich zu verwenden ist. Seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung steht auf dessen Webseite wortwörtlich: „Ab 1. März 2025 ist der Zugang zu Sokrates und die SARI-Bestätigung von Rechnungen für Bedienstete an weiterführenden mittleren und höheren Schulen nur mehr mittels ID Austria möglich.“ Es wird auch kommuniziert, dass für die Nutzung der ID-Austria das eigene Smartphone verwendet werden soll. Seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung steht auf dessen Webseite wortwörtlich: „Für einen hochsicheren und bequemen Login empfehlen wir die Nutzung der ID Austria mit Ihrem eigenen Smartphone.“ (Abfragen vom 01. März 2025, https://www.bmbwf.gv.at/Themen/schule/zrp/dibi/pods/ida.html).

Diese Weisung zur verpflichtenden Nutzung der ID-Austria mit Empfehlung zur Nutzung des eigenen Smartphones ist aus meiner Sicht aus mehreren Gründen rechtswidrig und betrifft neben meiner dienstlichen Tätigkeit auch mein Privatleben. Sie sind datenschutzrechtlich Verantwortlicher (nach Artikel 4 Ziffer 7 Datenschutz-Grundverordnung) an unserer Schule gemäß § 4 Absatz 1 Bildungsdokumentationsgesetz 2020 und daher teile ich Ihnen nachfolgend meine Bedenken gegen diese Weisung mit:

1. Unzulässigkeit der Nutzung der ID-Austria mit Biometrie („Fingerabdruck oder Gesichtserkennung/Iriserkennung“):

Artikel 9 Absatz 1 Datenschutz-Grundverordnung definiert besondere Kategorien personenbezogener Daten und nennt unter anderem „biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person“ als solche. Im Sinne der Grundsätze der Datenverarbeitung sowie Kontrollmaßnahmen dürfen nach § 79e Absatz 2a Beamten-Dienstrechtsgesetz 1979 „solche besonderen Kategorien personenbezogener Daten“ „ausschließlich zu Kontrollzwecken verarbeitet werden, sofern dies unbedingt erforderlich ist und sind unverzüglich dokumentiert zu löschen, sobald eine weitere Verarbeitung zu Kontrollzwecken nicht mehr unbedingt erforderlich ist.“

Unbedingt erforderlich ist nach den Erläuterungen zu dieser Gesetzesbestimmung eine Verarbeitung zu Kontrollzwecken dann, „wenn mit der Verarbeitung personenbezogener Daten alleine nicht das Auslangen gefunden werden kann, um Schäden an der IKT-Infrastruktur abzuwehren, ihre korrekte Funktionsfähigkeit zu gewährleisten oder um einem begründeten Verdacht einer gröblichen Dienstpflichtverletzung nachzugehen“. Die Weisung zur verpflichtenden Nutzung der ID-Austria betrifft die Kontrolle der Identität der Bediensteten im Rahmen einer Mehr-Faktor-Authentifizierung zur Gewährleistung der korrekten Funktionsfähigkeit der IT-Systeme und Dienste im Bildungsbereich, vor allem im Hinblick darauf, dass nur berechtigte Personen Zugang zu diesen IT-Systemen und Diensten erlangen.

In Zusammenschau mit § 5 Absatz 2 IKT-Schulverordnung bedeutet das, dass die dort genannten „biometrischen Merkmale“ als besondere Kategorien personenbezogener Daten nur dann für eine Datenverarbeitung herangezogen werden dürfen, wenn es keine andere Möglichkeit gibt als die Nutzung biometrischer Daten. § 5 Absatz 2 IKT-Schulverordnung führt jedoch sogar selbst mehrere alternative Möglichkeiten an: „Bei IT-Systemen und Diensten für Datenverarbeitungen gemäß § 4 Z 1 und 2 ist zusätzlich eine Mehr-Faktor-Authentifizierung erforderlich (etwa mittels Technologien wie Handysignatur, TANs über dienstliche Mail-Adresse, biometrische Merkmale oder gleichwertige Maßnahmen“.

Eine (verpflichtende) dienstliche Nutzung der ID-Austria unter Heranziehung von biometrischen Daten ist dementsprechend unzulässig, da auch ohne eine Verarbeitung von besonderen Kategorien personenbezogener Daten das Auslangen gefunden werden kann. Dies ergibt sich auch schon aus dem Grundsatz der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c Datenschutz-Grundverordnung.

2. Die Bereitstellung von Zugängen zu dienstlichen Systemen hat durch den Dienstgeber zu erfolgen:

Bedienstete sind zum Beispiel nach § 43 Beamten-Dienstrechtsgesetz 1979 verpflichtet, die dienstlichen Aufgaben mit den zur Verfügung stehenden Mitteln zu besorgen. Fehlende dienstliche Mittel müssen demnach ohne eigene rechtliche Grundlage (zum Beispiel eine ausdrückliche gesetzliche Grundlage oder einen zusätzlichen Vertrag) nicht seitens der Bediensteten zur Verfügung gestellt werden. Ist daher in § 5 Absatz 2 IKT-Schulverordnung vorgesehen, dass „bei IT-Systemen und Diensten für Datenverarbeitungen gemäß § 4 Z 1 und 2“ zusätzlich „eine Mehr-Faktor-Authentifizierung erforderlich“ ist, so hat der Dienstgeber eine solche Mehr-Faktor-Authentifizierung in rechtskonformer Weise bereitzustellen und die dafür notwendigen (zum Beispiel zeitlichen) Ressourcen aufzuwenden bzw. die notwendigen Kosten (zum Beispiel für Hardware) zu tragen.

3. Offene Haftungsfragen und Recht auf elektronischen Verkehr und Wahlfreiheit zwischen Kommunikationsarten für Bürgerinnen und Bürger:

Die möglichen Haftungsfragen im Zusammenhang mit der ID-Austria erscheinen mir derzeit weitgehend ungeklärt, zum Beispiel wer im Falle eines Schadens für etwaige Ansprüche von Geschädigten haften soll (zum Beispiel in Folge einer Verletzung des Datenschutzes): Einerseits können durch die private Nutzung der ID-Austria möglicherweise Dritte Zugang zu dienstlichen Systemen erhalten und sodann beim Dienstgeber oder anderen betroffenen Personen (Schüler, Eltern, Bedienstete…) einen Schaden verursachen. Andererseits kann aber auch Bediensteten und damit mir selbst ein Schaden entstehen, zum Beispiel wenn durch die dienstliche Nutzung der ID-Austria Dritte ungewollt Zugang zu sonstigen privat über die ID-Austria genutzten Leistungen erhalten, die sehr umfangreich sein können.

Weder bin ich bereit, eine solche Haftung selbst zu übernehmen, noch habe ich seitens der Schule oder des Ministeriums eine Zusage erhalten, in einem solchen Fall schadlos und klaglos gehalten zu werden.

Im elektronischen Verkehr zwischen Privaten und Gerichten oder Behörden kann die ID-Austria zum Einsatz kommen. Insofern erachte ich mich als Privatperson auch im Recht auf elektronischen Verkehr und Wahlfreiheit zwischen Kommunikationsarten für Bürgerinnen und Bürger verletzt. § 1a E-Government-Gesetz verbrieft für jedermann „in Angelegenheiten, die in Gesetzgebung Bundessache sind, das Recht auf elektronischen Verkehr mit den Gerichten und Verwaltungsbehörden“. Gänzlich ausgenommen davon sind lediglich „Angelegenheiten, die nicht geeignet sind, elektronisch besorgt zu werden“.

Wenn die ID-Austria zusätzlich zu einer etwaigen privaten Nutzung jedoch auch verpflichtend dienstlich genutzt werden soll, besteht die Gefahr, dass aufgrund der privaten Nutzung der ID-Austria möglicherweise auch dem Dienstgeber oder Dritten ein Schaden entstehen kann (zum Beispiel im Falle des Verlustes oder Diebstahls des jeweiligen Geräts beziehungsweise einer Verkettung unglücklicher Umstände oder einem Hackerangriff). Eine Hintanhaltung einer etwaigen Haftung aus einem derartigen Grund wäre aus meiner Sicht für mich nur möglich, wenn ich meine ID-Austria nicht privat und auch nicht auf privaten Geräten nutze. Dies stellt aber Bedienstete in ihrem Privatleben ohne Rechtfertigung gegenüber anderen Bürgerinnen und Bürgern schlechter.

4. Augenscheinliche Verletzung datenschutzrechtlicher Verpflichtungen:

Artikel 5 Datenschutz-Grundverordnung sieht Grundsätze für die Verarbeitung personenbezogener Daten vor. Demnach müssen personenbezogene Daten insbesondere

• „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet“ werden,
• „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ und
• „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“.

Der datenschutzrechtlich Verantwortliche ist für die Einhaltung aller und damit auch der drei genannten Grundsätze für die Datenverarbeitung verantwortlich und muss im Rahmen seiner Rechenschaftspflicht deren Einhaltung nachweisen können. Dass gerade die drei angeführten Grundsätze für die Verarbeitung personenbezogener Daten verletzt erscheinen, ergibt sich aus den vorangehenden Ausführungen.

Gemäß Artikel 35 Datenschutz-Grundverordnung hat der Verantwortliche für eine Datenverarbeitung vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine solche Datenschutz-Folgenabschätzung wurde zwar anscheinend 2022 für die freiwillige Nutzung der ID-Austria durchgeführt (https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf), eine Datenschutz-Folgenabschätzung für die nunmehr verpflichtende Nutzung der ID-Austria im Bildungsbereich scheint nicht vorhanden zu sein.

Seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung wird auf dessen Webseite wortwörtlich ausgeführt: „Bedenken, dass eine verpflichtende Nutzung der ID Austria durch den Dienstgeber/die Dienstgeberin ein erhöhtes Risiko darstellen könnte, werden im Bericht nicht behandelt, weil diese Frage nicht Teil der Analyse war. Das bedeutet: Für die Nutzung in der Schulverwaltung gibt es keine Hinweise auf ein zusätzliches Risiko.“ (https://www.bmbwf.gv.at/Themen/schule/zrp/dibi/pods/ida.html, Abfrage vom 01. März 2025). Diese Ausführungen sind für mich nicht nachvollziehbar, wird doch zum Beispiel die Anzahl der die ID-Austria nutzenden Personen durch die Verpflichtung im Bildungsbereich drastisch erhöht, ebenso werden neue Datenkategorien aus dem Bildungsbereich umfassend über die ID-Austria zugänglich und darüber hinaus Fälle wie jener einer, bei dem der verpflichtenden Nutzung der ID-Austria eine freiwillige Nutzung vorangeht, anscheinend einfach ignoriert. Gerade die seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung getätigte Aussage, dass der Aspekt einer verpflichtenden Nutzung der ID-Austria anscheinend nicht „im Bericht“ behandelt wird, sollte einem zu denken geben und Anlass für eine weitere Datenschutz-Folgenabschätzung sein. So sieht auch „der Bericht“ selbst auf Seite 171 eine Pflicht zur künftigen Überprüfung vor, wobei ich jedoch keine näheren Informationen zu einer solchen Überprüfung gefunden habe.

Aus Sicht des Datenschutzes halte ich fest, dass die Einführung einer 2-Faktoren-Authentifizierung gewiss eine sinnvolle Maßnahme sein kann, sofern sie rechtskonform umgesetzt wird. Eine solche sollte aber die Trennung von Dienstlichem und Privatem achten, ausschließlich dienstlich sein und konkrete Vorgaben für die rein dienstliche Nutzung vorsehen, die die Grundrechte, insbesondere das Grundrecht auf Datenschutz, achten.

Nach den Ausführungen zu den vielfältigen Gründen, wieso aus meiner Sicht die gegenständliche Weisung rechtswidrig ist, weise ich darauf hin, dass nach dem Dienstrecht die Führungskraft eine solche Weisung erneut schriftlich zu erteilen hat, widrigenfalls sie als zurückgezogen gilt. Bitte führen Sie im Falle der erneuten Erteilung einer Weisung auch die konkreten Rechtsgrundlagen an, auf die Sie diese Weisung stützen.

Sollte ich eine solche Weisung von Ihnen nicht erneut schriftlich erhalten und sollten Sie damit nicht die Verantwortung für den aus meiner Sicht rechtswidrigen Inhalt und die damit möglicherweise einhergehenden Folgen übernehmen wollen, ersuche ich um konkrete Vorgaben, wie ich künftig die schulischen IT-Systeme und Dienste ohne ID-Austria nutzen kann.

Mit freundlichen Grüßen!

Ort, Datum, Unterschrift
vollständiger Name, Personalnummer