Technische und organisatorische Maßnahmen#

Die für dieses Verfahren eingesetzte Technik ist in die Netzwerkinfrastruktur der Schule eingebunden. In der Schule werden technische und organisatorische Maßnahmen getroffen um die Datensicherheit und den Datenschutz sicherzustellen. Sie orientieren sich an den sechs Datensicherheits- und Datenschutz-Schutzzielen, die nachfolgend mit den für dieses Verfahren wichtigsten Maßnahmen aufgeführt werden.

Verfügbarkeit#

Innerhalb einer bestimmten Zeit ist sichergestellt, dass auf die Daten zugegriffen werden kann:

  • IServ läuft im Dauerbetrieb 24/7. Es gibt keine zeitlichen Zugriffsbeschränkungen

  • Es erfolgt eine tägliche Datensicherung. Diese erfolgt auf einem separaten Backupserver im Netzwerk der Schule und kann von dort wiederhergestellt werden.

Vertraulichkeit#

Es können nur Personen auf die entsprechenden Daten zugreifen, die auch die Berechtigung dafür haben:

  • Es gelten die allgemeinen Zutritts, Zugangs- und Zugriffsregelungen der Schule.

  • Durch eine dokumentierte Berechtigungsvergabe wird sichergestellt, dass nur berechtigte Personen auf die Datenbestände zugreifen können. Der Server ist über einen DSL-Anschluss erreichbar und beinhaltet eine Firewall. Die Anmeldung erfolgt ausschließlich durch Benutzeraccount und Passwort

Integrität#

Innerhalb einer bestimmten Zeit ist sichergestellt, dass die Daten nicht verändert wurden:

  • Auf Server und Backupserver haben nur die technischen Administratoren dieses Systems bzw. die Fernwartungsauftragsdatennehmer Zugriff. Sie stellen sicher, dass das Betriebssystem regelmäßig aktualisiert wird (Schutz vor Veränderung der Daten durch Angriffe oder unberechtigten Zugriff).

  • Innerhalb des Verfahrens haben nur die fachliche Administration dieses Verfahrens und die Personen, die die Datenpflege betreiben, Zugriff auf die Datenbestände (Schutz vor Veränderung durch unberechtigten Zugriff).

Transparenz#

Die automatisierte Verarbeitung von Daten kann mit zumutbarem Aufwand geplant, nachvollzogen, überprüft und bewertet werden:

  • Die Dokumentation des IServ-Portalservers mit Weboberfläche, des Benutzerbereiches und der Administratoren, die Beschreibung der Module, die Einbindung der Windowsrechner sowie die Installation und Konfiguration ist unter https://iserv.eu/doc/ einzusehen.

Intervenierbarkeit#

Die Daten verarbeitende Stelle kann nachweisen, dass sie den Betrieb ihrer informationstechnischen Systeme steuernd beherrscht:

  • Der in der Schule ansässige Systemadministrator kann sämtliche Einlogmöglichkeiten für Teilnehmer und Fernwartungsauftragsdatennehmer jederzeit von jedem Ort sperren.

  • Die zuständigen Systemadministratoren sind in der Verwendung des Verfahrens geschult.

Nicht-Verkettbarkeit#

Es kann sichergestellt werden, dass Daten nur zu dem Zweck automatisiert verarbeitet werden, zu dem sie erhoben wurden:

  • Die Anwendung wird auf einem dedizierten Server betrieben, der nur zu diesem Zweck betrieben wird.