Technische und organisatorische Maßnahmen

Die für dieses Verfahren eingesetzte Technik ist in die Netzwerkinfrastruktur der Schule eingebunden. In der Schule werden technische und organisatorische Maßnahmen getroffen um die Datensicherheit und den Datenschutz sicherzustellen. Sie orientieren sich an den sechs Datensicherheits- und Datenschutz-Schutzzielen, die nachfolgend mit den für dieses Verfahren wichtigsten Maßnahmen aufgeführt werden.

Verfügbarkeit

Innerhalb einer bestimmten Zeit ist sichergestellt, dass auf die Daten zugegriffen werden kann:

  • IServ läuft im Dauerbetrieb 24/7. Es gibt keine zeitlichen Zugriffsbeschränkungen

  • Es erfolgt eine tägliche Datensicherung. Diese erfolgt auf einem separaten Backupserver im Netzwerk der Schule und kann von dort wiederhergestellt werden.

Vertraulichkeit

Es können nur Personen auf die entsprechenden Daten zugreifen, die auch die Berechtigung dafür haben:

  • Es gelten die allgemeinen Zutritts, Zugangs- und Zugriffsregelungen der Schule.

  • Durch eine dokumentierte Berechtigungsvergabe wird sichergestellt, dass nur berechtigte Personen auf die Datenbestände zugreifen können. Der Server ist über einen DSL-Anschluss erreichbar und beinhaltet eine Firewall. Die Anmeldung erfolgt ausschließlich durch Benutzeraccount und Passwort

Integrität

Innerhalb einer bestimmten Zeit ist sichergestellt, dass die Daten nicht verändert wurden:

  • Auf Server und Backupserver haben nur die technischen Administratoren dieses Systems bzw. die Fernwartungsauftragsdatennehmer Zugriff. Sie stellen sicher, dass das Betriebssystem regelmäßig aktualisiert wird (Schutz vor Veränderung der Daten durch Angriffe oder unberechtigten Zugriff).

  • Innerhalb des Verfahrens haben nur die fachliche Administration dieses Verfahrens und die Personen, die die Datenpflege betreiben, Zugriff auf die Datenbestände (Schutz vor Veränderung durch unberechtigten Zugriff).

Transparenz

Die automatisierte Verarbeitung von Daten kann mit zumutbarem Aufwand geplant, nachvollzogen, überprüft und bewertet werden:

  • Die Dokumentation des IServ-Portalservers mit Weboberfläche, des Benutzerbereiches und der Administratoren, die Beschreibung der Module, die Einbindung der Windowsrechner sowie die Installation und Konfiguration ist unter https://iserv.eu/doc/ einzusehen.

Intervenierbarkeit

Die Daten verarbeitende Stelle kann nachweisen, dass sie den Betrieb ihrer informationstechnischen Systeme steuernd beherrscht:

  • Der in der Schule ansässige Systemadministrator kann sämtliche Einlogmöglichkeiten für Teilnehmer und Fernwartungsauftragsdatennehmer jederzeit von jedem Ort sperren.

  • Die zuständigen Systemadministratoren sind in der Verwendung des Verfahrens geschult.

Nicht-Verkettbarkeit

Es kann sichergestellt werden, dass Daten nur zu dem Zweck automatisiert verarbeitet werden, zu dem sie erhoben wurden:

  • Die Anwendung wird auf einem dedizierten Server betrieben, der nur zu diesem Zweck betrieben wird.