zwischen SmartKomm GmbH Rudolf-Breitscheid-Straße 42, Potsdam ( SmartKomm ) und ( Kunde ) (einzeln oder gemeinsam Partei oder Parteien )

Transkript

1 V e r s i o n : V e r e i n b a r u n g ü b e r d e n D a t e n s c h u t z u n d d i e A u f t r a g s d a t e n v e r a r b e i t u n g ( V e r e i n b a r u n g ) zwischen SmartKomm GmbH Rudolf-Breitscheid-Straße 42, Potsdam ( SmartKomm ) und Einrichtung: Strasse, Hausnummer: PLZ / Ort: Schulleiter(in) (Anrede, Titel, Name, Vorname):... ( Kunde ) (einzeln oder gemeinsam Partei oder Parteien ) Präambel Die SmartKomm hat mit dem Kunden einen Vertrag über die Erbringung von Leistungen im Zusammenhang mit dem Betrieb des Schul-Webportals ( SWP ) abgeschlossen. Gegenstand des Vertrags ist nicht die originäre Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch die SmartKomm. Es kann jedoch nicht ausgeschlossen werden, dass im Zuge der Leistungserbringung eine Verarbeitung personenbezogener Daten durch die SmartKomm stattfindet, die eine Auftragsdatenverarbeitung durch die SmartKomm für den Kunden darstellt. Deshalb dient diese Vereinbarung der Beachtung der jeweils einschlägigen gesetzlichen Vorgaben für den Datenschutz und die Auftragsdatenverarbeitung. 1. B e g r i f f e 1.1 Auftragsdatenverarbeitung ist zusammenfassend die Datenverarbeitung der SmartKomm für den Kunden (vgl. 11 Abs. 1 BDSG) und/oder die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch die SmartKomm im Auftrag des Kunden (vgl. 11 Abs. 5 BDSG). 1.2 Datenverarbeitung ist zusammenfassend das Erheben (vgl. 3 Abs. 3 BDSG), Verarbeiten (vgl. 3 Abs. 4 BDSG) und/oder Nutzen (vgl. 3 Abs. 5 BDSG) personenbezogener Daten (vgl. 3 Abs. 1 BDSG) durch die SmartKomm. 1.3 Erstkontrolle ist die zu dokumentierende erstmalige Überprüfung vor Beginn der Auftragsdatenverarbeitung, ob SmartKomm die erforderlichen technischen und organisatorischen Maßnahmen für die Auftragsdatenverarbeitung im Auftrag des Kunden getroffen hat (vgl. 11 Abs. 2 S. 4, S. 5 BDSG). 1.4 Vertrag ist der zwischen SmartKomm und dem Kunden abgeschlossene Vertrag, einschließlich der Allgemeinen Geschäftsbedingungen der SmartKomm GmbH zum Betrieb des Schul-Webportals und sonstigen Anlagen mit Ausnahme dieser Vereinbarung. 1.5 Regelmäßige Kontrolle ist die zu dokumentierende, in regelmäßigen Abständen nach der Erstkontrolle erfolgende Überprüfung, ob SmartKomm die erforderlichen technischen und organisatorischen Maßnahmen für die Auftragsdatenverarbeitung im Auftrag des Kunden getroffen hat (vgl. 11 Abs. 2 S. 4, S. 5 BDSG).

2 Vereinbarung über die Auftragsdatenverarbeitung S. 2/9 2. G e l t u n g d e r v e r t r a g l i c h e n V e r e i n b a r u n g e n 2.1 Die Bestimmungen dieser Vereinbarung gehen den weiteren vertraglichen Vereinbarungen der Parteien vor, sofern und soweit die Bestimmungen in den weiteren vertraglichen Vereinbarungen von denjenigen dieser Vereinbarung zum Nachteil des Kunden abweichen. 2.2 Die Ziff. bis Ziff. gelten nur, sofern und soweit die Erbringung der Leistungen durch die SmartKomm unter dem Vertrag eine Auftragsdatenverarbeitung ist. Dies werden die Parteien im Vertrag ausdrücklich festhalten. 3. A l l g e m e i n e P f l i c h t e n d e r S m a r t K o m m 3.1 Die Datenverarbeitung durch die SmartKomm findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Datenverarbeitung in ein Drittland bedarf der vorherigen Zustimmung durch den Kunden und darf nur erfolgen, wenn die Voraussetzungen der 4b, 4c BDSG erfüllt sind. 3.2 Die SmartKomm setzt für die Datenverarbeitung nur solche Beschäftigten oder sonstigen Personen ein, die auf das Fernmeldegeheimnis nach 88 TKG sowie das Datengeheimnis nach 5 BDSG bzw. unter Hinweis auf die ordnungswidrigkeits- und strafrechtlichen Folgen auf das Datengeheimnis schriftlich verpflichtet worden sind, und überwacht die Einhaltung datenschutzrechtlicher Vorschriften durch die eingesetzten Beschäftigten und sonstigen Personen. 3.3 Verarbeitet die SmartKomm auch andere Daten als solche des Kunden, stellt die SmartKomm vor Aufnahme der Datenverarbeitung sicher, dass diese Daten durch geeignete technische und organisatorische Maßnahmen von denen des Kunden getrennt sind. Art und Weise der Datentrennung ergibt sich aus dem Datensicherheitskonzept der SmartKomm in der Anlage. 3.4 Die SmartKomm versichert, ihre Verfahren bei der zuständigen Aufsichtsbehörde gem. 4d, 4e BDSG gemeldet oder einen Datenschutzbeauftragten bestellt zu haben, sofern hierdurch eine Meldepflicht nach 4d, 4e BDSG entfällt. 3.5 Nicht mehr erforderliche personenbezogene Daten sind von der SmartKomm nach Maßgabe des Vertrags bzw., soweit der Vertrag hierzu keine abweichende Regelungen enthält, unverzüglich nach vollständiger Leistungserbringung, an den Kunden herauszugeben oder zu löschen. Auf jederzeitiges Verlangen des Kunden, spätestens aber mit Beendigung des Vertrags, wird die SmartKomm alle ihr insoweit vom Kunden übergebenen und bis dahin noch nicht gelöschten Daten zurückgeben bzw. den Nachweis einer Vernichtung nach Ziff. führen, soweit nicht ausnahmsweise berechtigte Gründe der SmartKomm im Sinne von 35 Abs. 3 BDSG einer Löschung entgegenstehen. 3.6 Zu vernichtende Unterlagen mit personenbezogenen Daten werden von SmartKomm datenschutzgerecht entsorgt, ohne dass unbefugte Dritte hierbei von den zu vernichtenden Daten Kenntnis erlangen können. Dies gilt auch für bei der Datenverarbeitung durch SmartKomm entstandene Zwischendaten, Arbeitsdateien und sonstiges Ausschussmaterial. 4. I n f o r m a t i o n s p f l i c h t e n u n d V e r h a l t e n b e i S t ö r u n g e n 4.1 Über Maßnahmen der Aufsichtsbehörde nach 38 Abs. 5 BDSG sowie über Ermittlungsmaßnahmen nach 43, 44 BDSG wird die SmartKomm den Kunden unaufgefordert in Kenntnis setzen, sofern hierdurch die Datenverarbeitung wegen personenbezogener Daten aus dem Geschäftsbereich des Kunden betroffen ist. Der SmartKomm ist bekannt, dass nach 42a BDSG Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte bestehen können. Stellt die SmartKomm fest, dass die Voraussetzungen einer solchen Informationspflicht wegen der Datenverarbeitung für den Kunden vorliegen könnten, teilt die SmartKomm dies dem Kunden unverzüglich mit. 4.2 Über bei der Datenverarbeitung auftretende wesentliche technische oder organisatorische Störungen sowie beim Verdacht auf Datenschutzverletzungen ist der Kunde von der SmartKomm unverzüglich zu benachrichtigen und die weitere Behandlung der betroffenen Daten mit dem Kunden abzustimmen, sofern hiervon personenbezogene Daten aus dem Geschäftsbereich des Kunden betroffen sind oder betroffen sein könnten. 5. G e g e n s t a n d d e r A u f t r a g s d a t e n v e r a r b e i t u n g 5.1 Die Auftragsdatenverarbeitung erfolgt durch SmartKomm im Auftrag des Kunden (vgl. 11 BDSG). Der Kunde bleibt die für die Auftragsdatenverarbeitung verantwortliche Stelle im Sinne der einschlägigen Datenschutzvorschriften. Die Pflichten der SmartKomm aus Ziff. und Ziff. dieser Vereinbarung gelten auch für die Auftragsdatenverarbeitung.

3 Vereinbarung über die Auftragsdatenverarbeitung S. 3/9 5.2 Gegenstand des Auftragsverhältnisses ist der zwischen den Parteien getroffene Vertrag. In diesem Vertrag, insbesondere der Leistungsbeschreibung zu SWP, sind die Angaben nach 11 Abs. 2 S. 2 Nr. 1 BDSG (Gegenstand und Dauer des Auftrags) sowie 11 Abs. 2 S. 2 Nr. 2 BDSG (Umgang, Art und Zweck der vorgesehenen Auftragsdatenverarbeitung, Art der Daten und Kreis der Betroffenen) enthalten. Eine hiervon abweichende Auftragsdatenverarbeitung der SmartKomm von dem Kunden überlassenen personenbezogenen Daten ist ausdrücklich ausgeschlossen. 6. B e a u f t r a g u n g v o n S u b u n t e r n e h m e r n / V o r l i e f e r a n t e n Die SmartKomm ist zur Beauftragung eines Subunternehmers/Vorlieferanten für die Auftragsdatenverarbeitung berechtigt, wenn (a) die Verträge von SmartKomm mit seinen Subunternehmer/Vorlieferanten derart gestaltet sind, dass sie den Anforderungen der jeweils anwendbaren gesetzlichen Bestimmungen über den Datenschutz genügen und die Subunternehmer/Vorlieferanten gegenüber SmartKomm vergleichbare Verpflichtungen übernehmen, die SmartKomm gemäß dieser Vereinbarung obliegen sowie (b) der Subunternehmer/Vorlieferant seinen Sitz im Gebiet der EU/des EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant der SmartKomm nur innerhalb der EU/des EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt. Die SmartKomm wird auf Verlangen des Kunden diesem die für die Auftragsdatenverarbeitung beauftragten Subunternehmer/Vorlieferanten benennen. Etwaige im Vertrag getroffene Regelungen zur Beauftragung von Subunternehmern/Vorlieferanten bleiben von dieser Ziff. unberührt. 7. W e i s u n g s r e c h t d e s K u n d e n 7.1 SmartKomm verpflichtet sich, die Auftragsdatenverarbeitung ausschließlich im Rahmen des Vertrags und der Weisungen des Kunden durchzuführen. 7.2 Weisungen für die Auftragsdatenverarbeitung hat der Kunde der SmartKomm schriftlich mitzuteilen. Mündlich durch den Kunden erteilte Weisungen bedürfen der späteren schriftlichen Bestätigung. SmartKomm hat den Kunden unverzüglich darauf hinzuweisen, wenn eine Weisung des Kunden nach Ansicht von SmartKomm gegen das BDSG oder andere einschlägige gesetzliche Vorschriften verstößt. SmartKomm ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis der Kunde die Weisung überprüft und gegenüber SmartKomm als auszuführende Weisung bestätigt hat. 7.3 Entstehen der SmartKomm durch die Weisung des Kunden Kosten oder Aufwendungen für die Erbringung von Leistungen, die nicht mehr Gegenstand des Vertrags sind und über diesen vergütet werden, kann die SmartKomm diese Kosten oder Aufwendungen dem Kunden entsprechend der Regelungen im Vertrag, im Übrigen nach Maßgabe des im Zeitpunkt der Leistungserbringung gültigen Preisverzeichnisses der SmartKomm, in Rechnung stellen. 8. D a t e n s i c h e r h e i t s k o n z e p t d e r S m a r t K o m m 8.1 Die SmartKomm stellt sicher, bei der Auftragsdatenverarbeitung die gemäß 9 BDSG und Anlage erforderlichen technischen und organisatorischen Maßnahmen auf ihre Kosten zu treffen. Diese Maßnahmen sind in einem Datensicherheitskonzept der SmartKomm festgeschrieben, das dieser Vereinbarung als Anlage beigefügt ist. 8.2 Das Datensicherheitskonzept der SmartKomm ist wegen Änderungen der gesetzlichen Rahmenbedingungen sowie zwingender gerichtlicher oder behördlicher Vorgaben gegenüber einer der Parteien fortzuschreiben. SmartKomm sichert zu, dass durch derartige Fortschreibungen das im Zeitpunkt der Unterzeichnung dieser Vereinbarung bestehende Sicherheitsniveau nicht unterschritten, sondern zumindest aufrechterhalten wird. 9. P r ü f -, Z u t r i t t s u n d A u s k u n f t s r e c h t e d e s K u n d e n 9.1 Der Kunde, dessen Datenschutzbeauftragter oder ein sonst von dem Kunden beauftragter und von Berufs wegen zur Verschwiegenheit Verpflichteter nehmen bei SmartKomm die Erstkontrolle und die regelmäßigen Kontrollen vor. Die Kontrolldichte für die regelmäßige Kontrolle bestimmt der Kunde nach pflichtgemäßem Ermessen unter Berücksichtigung der Interessen von SmartKomm sowie der Bedeutung der durch SmartKomm zu verarbeitenden personenbezogenen Daten; die Parteien gehen übereinstimmend davon aus, dass die regelmäßige Kontrolle nicht mehr als einmal in zwei Jahren erforderlich ist. 9.2 SmartKomm verpflichtet sich, Erstkontrolle und regelmäßige Kontrollen zu dulden. SmartKomm räumt dem Kunden zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung zu Prüfzwecken in den Betriebsräumen von SmartKomm ohne Störung des Betriebsablaufes von der Angemessenheit der von SmartKomm getroffenen organisatorischen und technischen Maßnahmen zur Einhaltung der Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Bestimmungen zu überzeugen sowie geschäftliche

4 Vereinbarung über die Auftragsdatenverarbeitung S. 4/9 Unterlagen, für den Kunden verarbeitete personenbezogene Daten sowie die Datenverarbeitungseinrichtungen von SmartKomm einzusehen und die zu diesem Zweck erforderlichen Auskünfte in einem SmartKomm zumutbaren Umfang bei SmartKomm einzuholen. 9.3 Erstkontrolle und regelmäßige Kontrollen können nach billigem Ermessen des Kunden ( 315 BGB) durch eine Selbstauskunft der SmartKomm oder von der SmartKomm nachgewiesene Testate und Zertifizierungen Dritter (z.b. Datenschutzaudit, TÜV-Zertifizierung) ersetzt werden E r t e i l u n g v o n A u s k ü n f t e n 10.1 Ist der Kunde aufgrund geltender Datenschutzgesetze gegenüber einer natürlichen Person verpflichtet, dieser Person Auskünfte zur Auftragsdatenverarbeitung zu erteilen, wird die SmartKomm den Kunden bei der Ermittlung der zu diesem Zweck benötigten Informationen unterstützen, soweit dies der SmartKomm zumutbar ist. Die Kosten hierfür trägt der Kunde Wendet sich eine auskunftsberechtigte Person unmittelbar an die SmartKomm zwecks Beauskunftung, Berichtigung, Sperrung oder Löschung der bei der Auftragsdatenverarbeitung bei der SmartKomm über diese Person verarbeiteten personenbezogenen Daten, wird die SmartKomm diese Anfrage unverzüglich an den Kunden weiterleiten. Ohne vorherige Zustimmung und eine entsprechende Weisung des Kunden nach Ziff. wird die SmartKomm die Anfrage nicht bearbeiten H i n w e i s p f l i c h t d e s K u n d e n Der Kunde informiert die SmartKomm unverzüglich, wenn der Kunde Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsdatenverarbeitung oder der regelmäßigen Kontrolle nach Ziff. feststellt H a f t u n g d e r P a r t e i e n 12.1 Die Haftung der Parteien richtet sich nach dem Vertrag Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Auftragsdatenverarbeitung durch die SmartKomm erleidet, bleibt der Kunde gegenüber dem Betroffenen als verantwortliche Stelle im Sinne des BDSG bzw anderer Vorschriften verantwortlich. Soweit der Kunde zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf die SmartKomm nach Maßgabe des Vertrags, hilfsweise nach den gesetzlichen Bestimmungen, vorbehalten K o s t e n Kosten, die der SmartKomm durch die Erfüllung ihrer Pflichten aus dieser Vereinbarung entstehen, trägt die SmartKomm vorbehaltlich einer abweichenden Regelung in dieser Vereinbarung selbst. Die Kosten sind im Zweifelsfall mit der im Vertrag vereinbarten Vergütung vom Kunden abgegolten L a u f z e i t d i e s e r V e r e i n b a r u n g Diese Vereinbarung bleibt von einer Beendigung des Vertrags, gleich wann und aus welchem Grund, unberührt. Sie gilt weiter, solange die SmartKomm nicht sämtliche Gegenstände mit personenbezogenen Daten des Kunden herausgegeben bzw. alle personenbezogenen Daten gelöscht hat S o n d e r r e g e l u n g e n f ü r S c h u l e n u n d a n d e r w e i t i g e n E i n r i c h t u n g e n u n t e r ö f f e n t l i c h e r o d e r k i r c h l i c h e r T r ä g e r s c h a f t 15.1 Soweit es sich beim Kunden um eine Schulbehörde, Schule in öffentlicher Trägerschaft oder eine Schule oder anderweitige Einrichtung in der Trägerschaft der evangelischen oder katholischen Kirche handelt, finden die Regelungen des Bundesdatenschutzes ganz oder teilweise keine Anwendung Soweit bei einer Nichtanwendbarkeit von Vorschriften des Bundesdatenschutzgesetzes nach Abs. 1 in der Vereinbarung und der Anlage auf das Bundesdatenschutzgesetz Bezug genommen wird, erfolgt die Bezugnahme entsprechend auf die anwendbare landes- oder kirchenrechtliche Regelung, die den jeweiligen Vorschriften des Bundesdatenschutzgesetzes entspricht. Etwaige Regelungen in dieser Vereinbarung und der Anlage, die zu Gunsten des Kunden über die jeweils anwendbaren landes- oder kirchenrechtlichen Regelungen hinausgehen, bleiben zu Gunsten des Kunden hiervon unberührt Ist der Kunde eine Schulbehörde oder Schule in öffentlicher Trägerschaft, finden auf diese Vereinbarung, abhängig vom jeweiligen Bundesland, insbesondere die folgenden landesdatenschutzrechtlichen Vorschriften zur Auftragsdatenverarbeitung Anwendung: Baden-Württemberg: 7 LDSG BW

5 Vereinbarung über die Auftragsdatenverarbeitung S. 5/9 Bayern: Art. 6 BayDSG Berlin: 3 BlnDSG Brandenburg: 11 BbgDSG Bremen: 9 BremDSG Hamburg: 3 HmbDSG Hessen: 4 HDSG Mecklenburg-Vorpommern: 4 DSG M-V Niedersachsen: 6 NDSG Nordrhein-Westfalen: 11 DSG NRW Rheinland-Pfalz: 4 LDSG RP Saarland: 5 SDSG Sachsen: 7 SächsDSG Sachsen-Anhalt: 8 DSG LSA Schleswig-Holstein: 17 LDSG SH Thüringen: 8 ThürDSG 15.4 Handelt es sich bei dem Kunden um eine Schule oder anderweitige Einrichtung in der Trägerschaft der evangelischen Kirche, finden insbesondere die kirchenrechtlichen Vorschriften zur Auftragsdatenverarbeitung nach 11 DSG-EKD Anwendung. Hinsichtlich Schulen oder anderweitigen Einrichtungen in der Trägerschaft der katholischen Kirche finden insbesondere die kirchenrechtlichen Vorschriften zur Auftragsdatenverarbeitung nach 8 KDO Anwendung S c h l u s s b e s t i m m u n g e n 16.1 Auf diese Vereinbarung findet deutsches Recht Anwendung Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist ausschließlicher, auch internationaler Gerichtsstand für alle sich aus dieser Vereinbarung unmittelbar oder mittelbar ergebenden Streitigkeiten das sachlich zuständige Gericht am Sitz der SmartKomm. Dasselbe gilt, wenn der Kunde keinen allgemeinen Gerichtsstand in Deutschland hat oder Wohnsitz oder gewöhnlicher Aufenthalt im Zeitpunkt der Klageerhebung nicht bekannt sind. Diese Ziff. findet keine Anwendung, wenn die Streitigkeit andere als vermögensrechtliche Ansprüche betrifft oder wenn für die Streitigkeit ein ausschließlicher Gerichtsstand nach dem Gesetz begründet ist. Der SmartKomm steht es zudem frei, den Kunden an seinem allgemeinen Gerichtsstand gerichtlich in Anspruch zu nehmen Mündliche Nebenabreden wurden nicht getroffen. Änderungen oder Ergänzungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Das gilt auch für die Aufhebung der Schriftform. Die Ersetzung der Schriftform durch die Textform ( 126b BGB) oder die elektronische Form ( 126 Abs. 3, 126a BGB) ist ausgeschlossen. Für vertragsbezogene Erklärungen der Parteien genügt die Textform ( 126b BGB) Sollten eine oder mehrere Bestimmungen dieser Vereinbarung gegen geltendes oder künftig geltendes Recht verstoßen oder aus anderem Grund unwirksam sein oder zukünftig werden, so bleibt hiervon die Gültigkeit der übrigen Bestimmungen unberührt. Dasselbe gilt im Fall einer von beiden Parteien übereinstimmend festgestellten Lücke in dieser Vereinbarung. Anstelle der unwirksamen oder ergänzend zu den lückenhaften Bestimmungen gelten die gesetzlichen Regelungen.

6 Vereinbarung über die Auftragsdatenverarbeitung S. 6/9 Ort, Datum Ort, Datum Unterschrift zeichnungsberechtiger / Stempel SmartKomm GmbH Unterschrift zeichnungsberechtigter / Stempel Schulleiter(in)

7 Vereinbarung über die Auftragsdatenverarbeitung S. 7/9 Anlage: Datensicherheitskonzept der SmartKomm Die SmartKomm hat zum Schutz personenbezogener Daten des Kunden bei der Auftragsdatenverarbeitung das nachfolgende Datensicherheitskonzept erstellt: 1. A l l g e m e i n e o r g a n i s a t o r i s c h e u n d t e c h n i s c h e M a ß n a h m e n Die SmartKomm hat gemäß 9 BDSG und der Anlage zu 9 BDSG die folgenden organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten ergriffen: 1. Zutrittskontrolle (Maßnahmen, die Unbefugten den räumlichen Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden): SmartKomm arbeitet mit dem Hosting-Anbieter HostEurope zusammen, der TÜV Süd ISO zertifiziert ist. Alle Server mit denen personenbezogene Daten verarbeitet oder genutzt werden befinden sich in dem Rechenzentrum von HostEurope, welches wie folgt abgesichert ist: Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den Zutritt zum jeweiligen Data Center nur für autorisierte Personen. Es bestehen Sichtkontrollen und ein Besucherbuch am Empfang. Videokameras sowie Bewegungs-, Einbruch- und Kontaktmelder überwachen die Außenhaut des Gebäudes. Im Alarmfall werden die für das Gebäude verantwortlichen Mitarbeiter automatisch alarmiert. Zusätzlich ist das Hauptgebäude 24/7 durch Personal besetzt. Auch diesem Personal werden die Alarmmeldungen angezeigt. Es besteht eine restriktive Zutrittsregelung. (* aus Kontrollziele gemäß Anlage 9 BDSG und Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen von HostEurope) 2. Zugangskontrolle (Maßnahmen, die verhindern, dass die Datenverarbeitungssysteme von Unbefugten genutzt werden können): Benutzer-Accounts Einen Zugang zu dem Schul-Webportal erhalten nur offiziell mit der Schule assoziierte Personen und Mitarbeiter der SmartKomm GmbH. Passwörter Alle Passwörter werden per Zufallsgenerator erstellt und Lehrern, Eltern und Schülern in gedruckter Form persönlich überreicht, oder zugeschickt. Jeder Nutzer kann jederzeit sein Passwort selbst verändern. Eine strenge Passwort-Komplexitäts-Richtlinie sorgt dafür, daß das neu vergebene Passwörter wieder sicher sind. Wiederholte Zugriffsversuche mit falschen Zugangsdaten führen zu einer automatischen, zeitlich begrenzten, Sperrung des Zugangs. SSL Zertifikate Jeder Zugang in interne Bereiche erfolgt über mit SSL-Zertifikaten geschützte Verbindungen. So kann jederzeit überprüft werden das der Zugang direkt erfolgt und nicht über einen Man-in-the-Middle abgefangen wird. 3. Zugriffskontrolle (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können):

8 Vereinbarung über die Auftragsdatenverarbeitung S. 8/9 Berechtigungen Nur Administratoren wird die Möglichkeit eingeräumt, Berechtigungen zu verändern oder zu erstellen. Mechanismen Jeder einzelnen Seite werden sogenannte ACLs (Access-Control-Lists) zugeordnet, die für genau diese eine Seite festlegen, welche Gruppe und welcher Benutzer die hier dargebotenen Informationen lesen darf und wer diese Daten verändern darf. 4. Weitergabekontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist) Datenübertragung Alle sensitiven Daten werden ausnahmslos über Ende-zu-Ende SSL verschlüsselte Internet-Verbindungen übertragen. Sollte versucht werden, Daten unverschlüsselt abzurufen, so bricht das Schul-Webportal die Verbindung ab. Datenträger Die Datenträger mit personenbezogenen Daten liegen ausnahmslos in dem Rechenzentrum des Hosting- Partners HostEurope. SmartKomm verwendet ausschließlich dedizierte Produkte die nicht mit anderen Kunden von HostEurope geteilt werden. Die Host Europe GmbH hat bei dedizierten Produkten keinen Zugriff auf durch den Kunden verarbeitete personenbezogene Daten - außer der Kunde beauftragt die Host Europe GmbH mit administrativen Aufgaben auf seinen Systemen. (* aus Kontrollziele gemäß Anlage 9 BDSG und Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen von HostEurope) 5. Eingabekontrolle (Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind): Das Schul-Webportal führt ein fortlaufendes Änderungs-Logbuch das von Administratoren eingesehen werden kann. Es werden jede An- und Abmeldung am System sowie alle Datenverändernde Aufrufe mit Datum, Uhrzeit und Loginname des Benutzers protokolliert. 6. Auftragskontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können): Alle Änderungen werden durch den Kunden selber durchgeführt. Die SmartKomm kann auf ausdrücklichen Kundenwunsch entsprechend geschulte Mitarbeiter mit der Bearbeitung personenbezogener Daten beauftragen. 7. Verfügbarkeitskontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind): SmartKomm führt regelmäßige Backups durch, die verschlüsselt auf anderen Datenträgern vorgehalten werden. Maßnahmen die physische Verfügbarkeit betreffend obliegen dem Hosting-Partner HostEurope: Die autonome Stromversorgung der Data Center erfolgt über eine eigene Trafostation. Die Stromversorgung und Netzersatzanlage garantieren höchste Ausfallsicherheit. Jedes Serverrack wird über mindestens zwei separate Stromzuführungen versorgt, die je einzeln mit mindestens 16 Ampere abgesichert sind. Die unmittelbare Stromversorgung des Servers ist typenabhänig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet

9 Vereinbarung über die Auftragsdatenverarbeitung S. 9/9 ist. Der gesamte Energieverbrauch der Data Center wird über eine unterbrechungsfreie Stromversorgung (USV) sichergestellt. Im Falle eines Stromausfalls garantiert die USV-Anlage eine unterbrechungsfreie Umschaltung auf eines der Notstrom Dieselaggregate. Daneben filtert die USV vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes. Eine leistungsstarke Netzersatzanlage (Dieselaggregat) versorgt bei Stromausfall das gesamte jeweilige Data Center und die Kühlsysteme mit konstanter Energie. Der Kraftstoffvorrat ist für mindestens 48 Stunden bei Volllast ausreichend. Eine Auftankung ist während des laufenden Betriebs des Generators möglich. Ein flächendeckendes Wasser- und Brandfrühwarnsystem (VESDA) reagiert bereits bei geringer Überschreitung definierter Grenzwerte, um größere Schäden zu verhindern. Die Brandmeldeanlage verfügt daneben über eine direkte Aufschaltung bei der örtlichen Feuerwehr. Die Gebäudeaußenhaut ist zudem mittels Überspannungsschutz gegen Blitzschlag abgesichert. Sollte es wider Erwarten zu einer Rauchentwicklung oder gar einem Brand kommen, flutet die aufwendige Feuerbekämpfungsanlage mit 150fachen Luftdruck das Data Center innerhalb von nur 60 Sekunden vollständig mit dem Löschgas Argon bzw. Inergen. Hierbei bleibt das Equipment im Data Center vollkommen unbeschädigt. Die Host Europe GmbH bietet allen Dedicated Server Kunden standardmäßig Backup-Möglichkeiten für ihre Systeme an. Für die Einrichtung dieser Backups ist jedoch der Kunde selbst verantwortlich. Er kann dies über das KIS (Kundeninformationssystem) einrichten, verwalten und Restores ausführen. (* aus Kontrollziele gemäß Anlage 9 BDSG und Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen von HostEurope) 8. Trennungskontrolle (Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können): Jedes Schul-Webportal ist eine Einheit für sich mit einer eigenen Datenbank die nur für einen Zweck eingesetzt wird. Übergreifende Datenzugriffe zwischen unterschiedlichen Schul-Webportalen sind systembedingt ausgeschlossen. Es werden keine Daten für unterschiedliche Zwecke erhoben sondern dienen stets dem Zweck Informationen des Kunden für den Kunden selber abzuspeichern, zu strukturieren diese dann wiederum dem Kunden und dessen Personenkreis anzuzeigen. Dieser Personenkreis erstreckt sich je nach Produkt bis hin zu Schulleitung, Lehrern, Eltern, Schülern und Erziehungsberechtigten E N D E