Datenschutz und Datensicherheit Die Schule sorgt durch technische und organisatorische Maßnahmen für den Schutz und die Sicherheit der im pädagogischen Netz verarbeiteten personenbezogenen Daten. Mit Microsoft wurde zur Nutzung von Office 365 ein Vertrag abgeschlossen, welcher gewährleistet, dass personenbezogene Daten von Benutzern nur entsprechend der Vertragsbestimmungen verarbeitet werden. Microsoft verpflichtet sich, die personenbezogenen Daten von Benutzern in Office 365 nicht zur Erstellung von Profilen zur Anzeige von Werbung oder Direkt Marketing zu nutzen. Ziel unserer Schule ist es, durch eine Minimierung von personenbezogenen Daten bei der Nutzung von Office 365 auf das maximal erforderliche Maß, das Recht auf informationelle Selbstbestimmung unserer Xxxxxxx und Lehrkräfte bestmöglich zu schützen. Dieses ist nur möglich, wenn die Benutzer selbst durch verantwortungsvolles Handeln zum Schutz und zur Sicherheit ihrer personenbezogenen Daten beizutragen und auch das Recht anderer Personen an der Schule auf informationelle Selbstbestimmung respektieren. An erster Stelle gilt dieses für die Nutzung von personenbezogenen Daten in der Cloud von Office 365. Es gilt jedoch auch für das pädagogische Netzwerk der Schule. Personenbezogene Daten gehören grundsätzlich nicht in die Microsoft Cloud, weder die eigenen noch die von anderen! Jeder Benutzer hat dafür zu sorgen, dass Sicherheit und Schutz von personenbezogenen Daten nicht durch leichtsinniges, fahrlässiges oder vorsätzliches Handeln gefährdet werden. Verantwortungsvolles und sicheres Handeln bedeutet: Passwörter ● müssen sicher sein und dürfen nicht erratbar sein. Sie müssen aus mindestens 6 Zeichen bestehen, worunter sich eine Zahl, ein Großbuchstabe und ein Sonderzeichen befinden müssen. ● sollten zumindest einmal im Schuljahr gewechselt werden.
Sicherheit von EDI-Nachrichten 4.1 Die Parteien verpflichten sich, Sicherheitsverfahren und -maßnahmen durchzuführen und aufrechtzuerhalten, um EDI-Nachrichten vor unbefugtem Zugriff, Veränderungen, Verzögerung, Zerstörung oder Verlust zu schützen.
4.2 Zu den Sicherheitsverfahren und -maßnahmen gehören die Überprüfung des Ursprungs, die Überprüfung der Integrität, die Nichtabstreitbarkeit von Ursprung und Empfang sowie die Gewährleistung der Vertraulichkeit von EDI-Nachrichten. Sicherheitsverfahren und -maßnahmen zur Überprüfung des Ursprungs und der Integrität, um den Sender einer EDI-Nachricht zu identifizieren und sicherzustellen, dass jede empfangene EDI-Nachricht vollständig ist und nicht verstümmelt wurde, sind für alle Nachrichten obligatorisch. Bei Bedarf können im Technischen Anhang zusätzliche Sicherheitsverfahren und -maßnahmen festgelegt werden.
4.3 Führen die Sicherheitsverfahren und -maßnahmen zur Zurückweisung einer EDI- Nachricht informiert der Empfänger den Sender darüber unverzüglich. Der Empfänger einer EDI-Nachricht, die zurückgewiesen wurde oder einen Fehler enthält, reagiert erst dann auf die Nachricht, wenn er Anweisungen des Senders empfängt.
Sicherheit der Verarbeitung (a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann.
Bestellung oder Verstärkung von Sicherheiten (1) Anspruch der Bank auf Bestellung von Sicherheiten
(2) Veränderung des Risikos
(3) Fristsetzung für die Bestellung oder Verstärkung von Sicherheiten
Datensicherheit 1. Die auf unseren Systemen gespeicherten Daten werden täglich gesichert. Die Sicherungen werden redundant auf verschiedenen Rechnern abgelegt. Es werden Sicherungskopien der letzten 14 Tage aufbewahrt. Diese Sicherungen sind Systemsicherung zu verstehen und dienen nicht zur Versionierung der Kundendaten. Insbesondere ist es nicht möglich, gezielt eine Wiederherstellung für einen Kunden auf einen bestimmten Datenbestand in der Vergangenheit durchzuführen.
2. Der Kunde hat deshalb dafür Sorge zu tragen, dass alle Daten, insbesondere solche, die auf unseren Servern gespeichert werden, mindestens einmal täglich durch Kopien auf den eigenen Systemen gesichert werden, da diese zum Beispiel bei Schulungen, Reparatur-, Installations- und sonstigen Eingriffen verloren gehen können. Datensicherung auf unseren Servern ist nicht ausreichend, um diese Obliegenheit zu erfüllen.
3. Auf Anforderung des Kunden werden wir während der Vertragslaufzeit eine Kopie der von ihm auf dem ihm zugewiesenen Speicherplatz abgelegten Daten jederzeit, spätestens jedoch mit Beendigung des Vertragsverhältnisses unverzüglich herausgeben. Die Herausgabe der Daten erfolgt per Datenfernübertragung in dem Datenformat, in dem die Daten auf unserem Datenserver abgelegt sind, abweichend hiervon in einem zwischen uns und dem Kunden vereinbarten Datenformat.
4. Nach Vertragsbeendigung – gleich aus welchem Grund – werden wir die gespeicherten Daten im Interesse des Kunden noch ein Jahr lang speichern (»Karenzzeit«), damit der Kunde die Möglichkeit der Übernahme der Daten auf ein anderes System hat. Nach Ablauf dieser Karenzzeit werden die Daten automatisch gelöscht. Hierauf wird der Provider bei Vertragsbeendigung besonders hinweisen.
5. Wir weisen den Kunden ausdrücklich darauf hin, dass bei Datenübertragungen in offenen Netzen wie dem Internet nach dem derzeitigen Stand der Technik Vertraulichkeit nicht umfassend gewährleistet werden kann. Der Kunde weiß, dass wir auf die Inhalte der Dienste und unter Umständen auch weitere dort abgelegte Daten jederzeit einsehen könnten. Wir verpflichten uns jedoch, dies nur zu tun, wenn der Kunde uns hierzu schriftlich auffordert und dies zur Sicherung der technischen Funktion unserer Dienste erforderlich ist. Datenschutzbestimmungen werden durch uns unbedingt eingehalten. Soweit aber auch andere Nutzer des Internets unter Umständen technisch in der Lage sind, unbefugt in die Netzsicherheit einzugreifen, auf Kundendaten zuzugreifen und den Nachrichtenverkehr zu kontrollieren, liegt dies außerhalb unserer Verantwortung.
6. Für die Sicherheit, der von ihm ins Internet übermittelten und bei uns gespeicherten Daten trägt der Kunde vollumfänglich selbst Sorge. Gegen Aufpreis, der individual vereinbart werden muss, können wir gesicherte Verbindungen zur Verfügung stellen.
Gegenstand und Dauer des Auftrags Gegenstand und Xxxxx des Auftrags bestimmen sich vollumfänglich nach den im jeweiligen Vertragsverhältnis gemachten Angaben. Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber i.S.v. Art.4 Nr.2 und Art.28 DS-GVO auf Grundlage dieses Auftrags.
Qualitätssicherung und sonstige Pflichten des Auftragnehmers Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: • Als Datenschutzbeauftragte ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxx, Head of Data Protection, +00 (0)0000 000-000, xxxx-xxxxxxxxxx@xxxxxxx.xxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS- GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. • Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DS- GVO und Anlage 2. • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. • Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. • Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber, die gemäß Ziffer 3 unter xxxxx://xxx.xxxxxxx.xxx/ AV/TOM.pdf abrufbar sind.
Rechte und Pflichten des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
(5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
Angebote und Preise 2.1 Angebote sind stets freibleibend. Ein Vertrag kommt mangels schriftlichen Vertrages erst durch schriftliche Auftragsbestätigung seitens des Anbieters zustande. Erfolgt die Leistung durch den Anbieter ohne dass dem Kunden vorher eine Auftragsbestätigung zuging, so kommt der Vertrag mit Beginn der Ausführung der Leistung zustande.
2.2 Der Kunde vergütet, soweit im Einzelfall nichts anderes vereinbart ist, die Leistungen durch ein im Servicevertrag ggf. nebst Leistungsschein festgelegtes laufendes jährliches Serviceentgelt zzgl. der jeweils gesetzlich geschuldeten Umsatzsteuer von z. Z. 19 %. Grundsätzlich ist Abrechnungszeitraum das Kalenderjahr. Beim Vertragsbeginn innerhalb eines Abrechnungszeitraumes wird die Vergütung zeitanteilig in Rechnung gestellt.
2.3 Die Zahlung der Vergütung ist auf eines der im Servicevertrag oder auf der Rechnung des Anbieters bezeichneten Konten des Anbieters zu zahlen. Eine Zahlung gilt erst dann als geleistet, wenn sie auf einem der Bankkonten des Anbieters gutgeschrieben ist. Der Anbieter ist berechtigt, bei Fälligkeit Zinsen in Höhe von 5 % zu berechnen. Bei Verzug ist der Anbieter berechtigt, Zinsen in Höhe von 9 Prozentpunkten über dem Basiszinssatz zu verlangen. Das Recht des Anbieters, einen höheren Schaden geltend zu machen, bleibt unberührt.
2.4 Bei wirtschaftlichem Unvermögen des Kunden seine Pflichten gegenüber dem Anbieter zu erfüllen, bzw. bei einem Insolvenzantrag des Kunden, kann der Anbieter den mit dem Kunden bestehenden Vertrag kündigen. § 321 BGB und § 112 InsO bleiben unberührt. Der Kunde wird den Anbieter frühzeitig über eine drohende Zahlungsunfähigkeit informieren.
2.5 Der Kunde kann soweit im Rahmen des Servicevertrages Verkäufe erbracht werden, wegen Mängeln nur aufrechnen oder Zahlungen zurückhalten, soweit ihm tatsächlich Ansprüche wegen Sach- und/oder Rechtsmängeln zustehen. Wegen Mängeln kann der Kunde Zahlungen nur zu einem unter Berücksichtigung des Mangels verhältnismäßigen Teil zurückbehalten und dies auch nur, wenn der Mangel zweifelsfrei vorliegt. Ziffer 6.3.2 gilt entsprechend. Der Kunde hat kein Zurückbehaltungsrecht, wenn sein Mangelanspruch verjährt ist. Der Kunde kann im Übrigen nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen oder ein Zurückbehaltungsrecht ausüben. Die Ausübung eines Zurückbehaltungsrechts durch den Kunden mit einem Gegenrecht, das nicht auf einem Recht aus dem diesen Allgemeinen Geschäftsbedingungen zu Grunde liegenden Vertrag beruht, ist ausgeschlossen.
2.6 Der Anbieter wird, das auf der Grundlage des Vertrages zu zahlende Entgelt nach billigem Ermessen der Entwicklung der Kosten, die für die Preisberechnung maßgeblich sind, anpassen. Eine Preiserhöhung kommt in Betracht und eine Preisermäßigung ist vorzunehmen, sofern und soweit sich z.B. seine für die Erhaltung des Vertragsgegenstandes anfallenden Miet-, Energie-, Personal- und Personalausstattungs-, Nutzungsrechtskosten erhöhen oder absenken. Steigerungen bei einer Kostenart, z.B. Energiekosten, dürfen nur in dem Umfang für eine Preiserhöhung herangezogen werden, in dem kein Ausgleich durch etwaige rückläufige Kosten in anderen Bereichen, etwa bei den Mietkosten, erfolgt. Bei Kostensenkungen sind vom Anbieter die Preise zu ermäßigen, soweit diese Kostensenkungen nicht durch Steigerungen in anderen Bereichen ganz oder teilweise ausgeglichen werden. Der Anbieter wird bei der Ausübung seines billigen Ermessens die jeweiligen Zeitpunkte einer Preisänderung so wählen, dass den Kostensenkungen nicht nach für den Kunden ungünstigeren Maßstäben Rechnung getragen wird als den Kostenerhöhungen, also Kostensenkungen mindestens in gleichem Umfang preiswirksam werden wie Kostenerhöhungen. Sobald sich die jährliche Vergütung um mehr als 5 % erhöht, ist der Kunde berechtigt, mit einer Frist von sechs Wochen nach Zugang des Erhöhungsverlangens den Vertrag außerordentlich zum Zeitpunkt des Wirksamwerdens der Erhöhung zu kündigen.
2.7 Der Anbieter kann eine über die in Ziffer 2.2 festgelegte hinausgehende Vergütung des geleisteten Aufwandes verlangen, soweit:
2.8 Verbrauchs- und Verschleißteile sind von der Pauschalvergütung nicht erfasst. Dies gilt auch für Ersatzteile, soweit sie nicht unter eine Gewährleistungsverpflichtung des Anbieters fallen.
Verwertung von Sicherheiten (1) Wahlrecht der Bank
(2) Erlösgutschrift nach dem Umsatzsteuerrecht
