Betriebsführung und Datenspeicherung
Das Landesamt für Schule und Bildung hat mit der Digionline GmbH (Köln) einen Partner damit beauftragt, den gesamten Betrieb für LernSax zu organisieren und Support dafür zu leisten.
LernSax baut auf einer Lizenz von WebWeaver® School der DigiOnline GmbH (Köln) auf.
Im Auftrag des Landesamtes für Schule und Bildung übernimmt DigiOnline den technischen Betrieb von LernSax. Im Rahmen des Hostings bietet DigiOnline die komplette Infrastruktur und alle Serviceleistungen für das Webhosting an (Full Service) und greift hierfür auf Leistungen eines zertifizierten Hosting-Dienstleister (zertifiziert nach ISO 27001) mit Firmen- und Serverstandort in Deutschland zurück. Neben der Internetanbindung gehören hierzu auch alle notwendigen Hard- und Softwarekomponenten für den Betrieb der Webapplikation. Das Hosting umfasst den Betrieb der Plattform inkl. Backup, Spam- und Virenschutz sowie die Überwachung der Systeme, 24 Stunden täglich, 7 Tage die Woche.
Alle Daten der LernSax-Nutzer befinden sich auf Servern der bringe GmbH in Karlsruhe.
Zur Gewährleistung aller Bestimmungen des Datenschutzes wurde zwischen dem Landesamt für Schule und Bildung und der DigiOnline GmbH ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen, der neben generellen Regelungen ein Verfahrensverzeichnis inkl. Sicherheitskonzept umfasst. Dieses regelt neben technischen Sicherheitsmaßnahmen insbesondere auch namentlich und zweckgebunden die Zugriffsberechtigungen auf die Daten beim Dienstleister.
DigiOnline/WebWeaver folgt den Empfehlungen des BSI für Hosting sowie Internetsoftware und hat intern ein drei Schichtenmodell implementiert. Dieses Schichtenmodell, bestehend aus der Darstellungsschicht (Weboberfläche), der Verarbeitungsschicht (Objektlayer) und dem Backend (DB und Fileserver) verhindert den Durchgriff oder Angriff eines Users aus der Weboberfläche auf das Backend. Wichtige Logindaten werden in der Userdatenbank verschlüsselt abgelegt. Jeglicher Datenverkehr erfolgt verschlüsselt per SSL.
Den Anforderungen der VwV Schuldatenschutz, insbesondere deren Absatz III/12 "Nutzung von Cloud-Computing-Diensten" werden damit in vollem Umfang erfüllt.