Datenschutz und Datensicherheit Die Schule sorgt durch technische und organisatorische Maßnahmen für den Schutz und die Sicherheit der im pädagogischen Netz verarbeiteten personenbezogenen Daten. Mit Microsoft wurde zur Nutzung von Office 365 ein Vertrag abgeschlossen, welcher gewährleistet, dass personenbezogene Daten von Benutzern nur entsprechend der Vertragsbestimmungen verarbeitet werden. Microsoft verpflichtet sich, die personenbezogenen Daten von Benutzern in Office 365 nicht zur Erstellung von Profilen zur Anzeige von Werbung oder Direkt Marketing zu nutzen. Ziel unserer Schule ist es, durch eine Minimierung von personenbezogenen Daten bei der Nutzung von Office 365 auf das maximal erforderliche Maß, das Recht auf informationelle Selbstbestimmung unserer Xxxxxxx und Lehrkräfte bestmöglich zu schützen. Dieses ist nur möglich, wenn die Benutzer selbst durch verantwortungsvolles Handeln zum Schutz und zur Sicherheit ihrer personenbezogenen Daten beizutragen und auch das Recht anderer Personen an der Schule auf informationelle Selbstbestimmung respektieren. An erster Stelle gilt dieses für die Nutzung von personenbezogenen Daten in der Cloud von Office 365. Es gilt jedoch auch für das pädagogische Netzwerk der Schule. Personenbezogene Daten gehören grundsätzlich nicht in die Microsoft Cloud, weder die eigenen noch die von anderen! Jeder Benutzer hat dafür zu sorgen, dass Sicherheit und Schutz von personenbezogenen Daten nicht durch leichtsinniges, fahrlässiges oder vorsätzliches Handeln gefährdet werden. Verantwortungsvolles und sicheres Handeln bedeutet: Passwörter ● müssen sicher sein und dürfen nicht erratbar sein. Sie müssen aus mindestens 6 Zeichen bestehen, worunter sich eine Zahl, ein Großbuchstabe und ein Sonderzeichen befinden müssen. ● sollten zumindest einmal im Schuljahr gewechselt werden.
Geheimhaltung und Datenschutz 35.1 Die Vertragspartner verpflichten sich, alle im Rahmen der Vertragsanbahnung und -durchführung erlangten Kenntnisse von vertraulichen Informationen und Betriebsgeheimnissen (,,Betriebsgeheimnisse“) des jeweils anderen Vertragspartners zeitlich unbegrenzt vertraulich zu behandeln und nur für Zwecke der Durchführung des jeweiligen Vertrages / Auftrages zu verwenden. Zu den Betriebsgeheimnissen von ergosoft gehören sämtliche Lieferungen und Leistungen nach dem jeweiligen Vertrag / Auftrag. 35.2 Der Kunde wird die Lieferungen und Leistungen von ergosoft Mitarbeitern und sonstigen Dritten nur zugänglich machen, soweit dies zur Ausübung der ihm eingeräumten Nutzungsbefugnisse erforderlich ist. Er wird alle Personen, denen er Zugang zu den Lieferungen und Leistungen von ergosoft gewährt, über die Rechte von ergosoft und die Pflicht zur Geheimhaltung belehren und diese Personen schriftlich zur Geheimhaltung und Nutzung der Informationen nur im Umfang nach Ziffer 1 verpflichten, soweit die betreffenden Personen nicht aus anderen Rechtsgründen zur Geheimhaltung mindestens in vorstehendem Umfang verpflichtet sind. 35.3 Die vorstehenden Verpflichtungen gelten nicht für Betriebsgeheimnisse, die (I) zur Zeit ihrer Übermittlung durch den Vertragspartner bereits offenkundig oder der anderen Vertragspartei bekannt waren; (II) nach ihrer Übermittlung durch den Vertragspartner ohne Verschulden der anderen Vertragspartei offenkundig geworden sind; (III) nach ihrer Übermittlung durch den Vertragspartner der anderen Vertragspartei von dritter Seite auf nicht rechtswidrige Weise und ohne Einschränkung in Bezug auf Geheimhaltung oder Verwertung zugänglich gemacht worden sind; (IV) die von einer Vertragspartei eigenständig, ohne Nutzung der Betriebsgeheimnisse des Vertragspartners, entwickelt worden sind; (V) die gemäß Gesetz, behördlicher Verfügung oder gerichtlicher Entscheidung veröffentlicht werden müssen - vorausgesetzt, die veröffentlichende Partei informiert den Vertragspartner hierüber unverzüglich und unterstützt ihn in der Abwehr derartiger Verfügungen bzw. Entscheidungen; oder (VI) soweit dem Vertragspartner die Nutzung oder Weitergabe der Betriebsgeheimnisse auf Grund zwingender gesetzlicher Bestimmungen oder auf Grund dieses Vertrages gestattet ist. 35.4 ergosoft hält die Regeln des Datenschutzes ein, insbesondere wenn der Kunde ergosoft Zugang zu seinem Betrieb oder zu seiner Hard- und Software gewährt. ergosoft stellt sicher, dass eigene Erfüllungsgehilfen diese Bestimmungen ebenfalls einhalten, insbesondere verpflichtet ergosoft sie vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis. ergosoft bezweckt keine Verarbeitung oder Nutzung personenbezogener Daten im Auftrag des Kunden. Vielmehr geschieht ein Transfer personenbezogener Daten nur in Ausnahmefällen als Nebenfolge der vertragsgemäßen Leistungen von ergosoft. Die personenbezogenen Daten werden ergosoft in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen behandelt. 35.5 Soweit ergosoft im Rahmen der vertraglich geschuldeten Leistungen (I) Zugriff auf personenbezogene Daten erhält, die vom Kunden genutzt oder verarbeitet werden (im Folgenden „Partnerdaten“ genannt), und / oder (II) die Partnerdaten im Rahmen der Erfüllung der vertraglichen Pflichten von ergosoft anderweitig verarbeiten oder nutzen muss, geschieht dies im Auftrag des Kunden gemäß Art. 28 Datenschutz- Grundverordnung (DS-GVO). Dies gilt auch im Rahmen von bloßen Prüfungs- oder Wartungsarbeiten an IT-Anlagen oder an auf IT-Anlagen befindlicher Software (siehe § 11 Abs. 5 BDSG). In diesem Fall gilt ergänzend die ANLAGE AUFTRAGSDATENVERARBEITUNG.
Dauer der Datenspeicherung Wir löschen Ihre personenbezogenen Daten sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind. Dabei kann es vorkommen, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können (gesetzliche Verjährungsfrist von drei oder bis zu dreißig Jahren). Zudem speichern wir Ihre personenbezogenen Daten, soweit wir dazu gesetzlich verpflichtet sind. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich unter anderem aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz. Die Speicherfristen betragen danach bis zu zehn Jahren.
Qualitätssicherung und sonstige Pflichten des Auftragnehmers Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: • Als Datenschutzbeauftragte ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxx, Head of Data Protection, +00 (0)0000 000-000, xxxx-xxxxxxxxxx@xxxxxxx.xxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS- GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. • Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DS- GVO und Anlage 2. • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. • Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. • Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber, die gemäß Ziffer 3 unter xxxxx://xxx.xxxxxxx.xxx/ AV/TOM.pdf abrufbar sind.
Einleitung Und Warnhinweise Punkt Beschreibung Geforderte Angaben
Überprüfung der Rechtmäßigkeit und Datenminimierung (a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe (e). (b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.
Berichtigung, Einschränkung und Löschung von Daten (1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer xxxxxx, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. (2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
Zielsetzung und Geltungsbereich 1.1 Die "EDI-Vereinbarung", nachfolgend "die Vereinbarung" genannt, legt die rechtlichen Bedingungen und Vorschriften fest, denen die Parteien bei der Abwicklung von Transaktionen im Rahmen des Geschäftsprozesses Netznutzungsabrechnung mit Hilfe des elektronischen Datenaustausches (EDI) unterliegen. Hinsichtlich des automatisierten Datenaustauschs hat die Bundesnetzagentur verbindliche Festlegungen zu einheitlichen Geschäftsprozessen und Datenformaten für Strom (GPKE) und Gas (GeLi Gas) getroffen. Der Datenaustausch erfolgt auf der Grundlage dieser Festlegungen in ihrer jeweils gültigen Fassung in Verbindung mit den entsprechenden Mitteilungen der BNetzA und den gültigen Nachrichten- und Prozessbeschreibungen zu den festgelegten Formaten. Der Lieferantenwechselprozess ist ausschließlich im Lieferantenrahmenvertrag geregelt. 1.2 Die Vereinbarung besteht aus den nachfolgenden Rechtlichen Bestimmungen und wird durch einen Technischen Anhang ergänzt. 1.3 Sofern die Parteien nicht anderweitig übereinkommen, regeln die Bestimmungen der Vereinbarung nicht die vertraglichen Verpflichtungen, die sich aus den über EDI abgewickelten Transaktionen ergeben.
Klärung und Korrektur fehlerhafter Bilanzierungsdaten 4.1 Beide Vertragsparteien haben das Recht, Einwände gegen die zur Durchführung der Bilanzkreisabrechnung übermittelten VNB-Daten zu erheben und entsprechende Änderungen zu verlangen. Dabei ist insbesondere die Bindungswirkung der Datenlage nach Ziffer 1.1. der Anlage 1 der MaBiS zu beachten, die Ausgangspunkt für den finanziellen Ausgleich von weiterhin bestehenden Einwänden ist. 4.2 Sind die Daten spätestens bis zum Ende des 7. Monats nach dem Liefermonat korrigierbar, so erfolgt die Berücksichtigung im Rahmen der Korrektur- Bilanzkreisabrechnung. Ein finanzieller Ausgleich zwischen den Parteien findet nicht statt. 4.3 Nach Ende des 7. Monats nach dem Liefermonat erfolgt der Ausgleich für fehlerhafte VNB-Daten, deren Korrektur im Rahmen der Korrektur-Bilanzkreisabrechnung keine Berücksichtigung mehr finden konnte, in finanzieller Form. 4.3.1 Der VNB bildet hierzu unverzüglich eine Abweichungszeitreihe zwischen der in die Korrektur-Bilanzkreisabrechnung eingegangenen Zeitreihe (Zeitreihe mit Datenstatus „Abgerechnete Daten KBKA“) und der korrigierten Zeitreihe und übermittelt diese zur Prüfung an den BKV. Der BKV wird innerhalb von 15 Werktagen (WT) eine positive oder negative Rückmeldung auf die Abweichungszeitreihe geben. Über die Details der operativen Abwicklung werden sich die Vertragsparteien rechtzeitig vorher verständigen. 4.3.2 Basis für die Höhe des finanziellen Ausgleichs zwischen VNB und BKV ist der ¼-h- Ausgleichsenergiepreis des Bilanzkoordinators (BIKO) und der ¼-h-Energiewert dieser Abweichungszeitreihe. Der VNB sendet die Rechnungen bzw. Gutschriften innerhalb von 15 WT nach Erhalt der positiven Rückmeldung des BKV an den BKV. Rechnungen werden frühestens zwei Wochen nach Zugang fällig. Gutschriften sind abweichend vom vorstehenden Satz spätestens zwei Wochen nach dem Ausstellungsdatum der Gutschrift auszuzahlen. Maßgeblich für die Einhaltung der Frist ist der Eingang des Geldbetrages auf dem Konto der Vertragspartei. 4.4 Die Geltendmachung eines weiteren Schadensersatzes bleibt unberührt.
Vertraulichkeit und Datenschutz 1.7.1 Der Kunde und NCS verpflichten sich gegenseitig zur Vertraulichkeit gem. der nachfolgenden Bestimmungen. 1.7.2 Der Empfänger hat die Geschäftsgeheimnisse der offenbarenden Partei im Sinne des § 2 Nr. 1 GeschGehG sowie sonstige vertrauliche Informationen, insbesondere wirtschaftlich, rechtlich, steuerlich und technisch sensible Daten (gemeinsam nicht - geheim zu halten, nicht bekannt zu geben oder offenzulegen. Keine Vertraulichen Informationen sind solche Informationen, die der Öffentlichkeit vor der Mitteilung oder Übergabe an den Empfänger bekannt oder allgemein zugänglich waren oder dies zu einem späteren Zeitpunkt ohne Verstoß gegen eine Geheimhaltungspflicht werden; die dem Empfänger bereits vor der Offenlegung und ohne Verstoß gegen eine Geheimhaltungspflicht nachweislich bekannt waren; die vom Empfänger ohne Nutzung oder Bezugnahme auf die Vertrauliche Informationen selbst gewonnen wurden oder die dem Empfänger von einem berechtigten Dritten ohne Verstoß gegen eine Geheimhaltungspflicht übergeben oder zugänglich gemacht werden. Diese Verpflichtung gilt auch für einen Zeitraum von fünf (5) Jahren nach Beendigung des Vertrages. Auch der Inhalt des Vertrages selbst ist von dieser Verpflichtung erfasst. 1.7.3 Der Empfänger darf Vertrauliche Informationen intern nur beschränkt auf das erforderliche Maß und den erforderlichen Personenkreis („need-to-know“) offenlegen. Vertrauliche Informationen dürfen vom Empfänger insbesondere nur dessen zur Verschwiegenheit verpflichteten Mitarbeitern oder seinen der beruflichen Verschwiegenheit unterliegenden Beratern zugänglich gemacht werden, soweit diese mit den vertraglichen Beziehungen befasst sind und die Informationen vernünftigerweise benötigen. Die Mitarbeiter sind vorab auf diese Vereinbarung hinzuweisen. Der Empfänger wird alle notwendigen Maßnahmen ergreifen, um zu gewährleisten, dass alle Personen, denen Vertrauliche Informationen mitgeteilt oder zugänglich gemacht werden, mit diesen in gleicher Weise verfahren, wie der Empfänger dies zu tun verpflichtet ist. 1.7.4 Der Empfänger ist nicht berechtigt, die Vertraulichen Informationen für andere als die vertraglich vereinbarten Zwecke selbst oder durch Dritte zu nutzen, zu verwerten oder sich anzueignen. Insbesondere bei Produkten und Gegenständen ist der Empfänger nicht berechtigt, Vertrauliche Informationen im Wege des sog. „reverse engineering“ durch Beobachten, Untersuchen, Rückbauen oder Testen zu erlangen. 1.7.5 Auf Aufforderung der offenbarenden Partei sowie ohne Aufforderung spätestens nach Beendigung des Vertrages verpflichtet sich der Empfänger, alle ihm zur Verfügung gestellten Vertraulichen Informationen sowie alle davon angefertigten Kopien und Abschriften unverzüglich an die offenbarende Partei zurückzugeben oder in Abstimmung mit ihr zu vernichten. Soweit Unterlagen, die Vertrauliche Informationen spätestens bei Beendigung dieses Vertrages zu löschen oder – soweit dies technisch nicht möglich ist – dauerhaft zu sperren. 1.7.6 Der Empfänger wird die Vertraulichen Informationen ebenfalls durch angemessene Geheimhaltungsmaßnahmen gegen den unbefugten Zugriff durch Dritte sichern und bei der Verarbeitung der Vertraulichen Informationen die gesetzlichen und vertraglichen Vorschriften zum Datenschutz einhalten. Dies beinhaltet auch dem aktuellen Stand der Technik angepasste technische Sicherheitsmaßnahmen (Art. 32 DS-GVO) und die Verpflichtung der Mitarbeiter auf die Vertraulichkeit und die Beachtung des Datenschutzes (Art. 28 Abs. 3 lit. b DS-GVO). 1.7.7 Verstößt der Empfänger vorsätzlich oder fahrlässig gegen die vorgenannten Pflichten zur Geheimhaltung, verpflichtet er sich zur Zahlung einer angemessenen Vertragsstrafe, deren Höhe durch die offenbarende Partei nach billigem Ermessen festzusetzen und im Streitfall vom zuständigen Gericht zu überprüfen ist. Die Höhe der konkret verwirkten Vertragsstrafe richtet sich insbesondere nach dem Grad der Vertraulichkeit des betroffenen Geschäftsgeheimnisses oder der sonstigen vertraulichen Information, dem Grad des Verschuldens, dem Umfang der offengelegten Information sowie der Anzahl der unberechtigten Personen, deren gegenüber die Information pflichtwidrig offengelegt wird. 1.7.8 Weitergehende Schadensersatzansprüche bleiben hiervon unberührt. Eine gezahlte Vertragsstrafe wird auf etwaige Schadensersatzansprüche angerechnet. Die Vertragsstrafe stellt den Mindestschaden dar.