Betriebsführung und Datenspeicherung
Das Landesamt für Schule und Bildung hat mit der Digionline GmbH (Köln) einen Partner damit beauftragt, den gesamten Betrieb für LernSax zu organisieren und Support dafür zu leisten.
LernSax baut auf einer Lizenz von WebWeaver® School der DigiOnline GmbH (Köln) auf.
Im Auftrag des Landesamtes für Schule und Bildung übernimmt DigiOnline den technischen Betrieb von LernSax. Im Rahmen des Hostings bietet DigiOnline die komplette Infrastruktur und alle Serviceleistungen für das Webhosting an (Full Service) und greift hierfür auf Leistungen eines zertifizierten Hosting-Dienstleister mit Firmen- und Serverstandort in Deutschland zurück (ISO 27001:2022, ISO 27017 und ISO 27018, Erfüllung von 23 Kriterien gemäß BSI C5:2020 mit erhöhten Sicherheitsanforderungen).
Neben der Internetanbindung gehören hierzu auch alle notwendigen Hard- und Softwarekomponenten für den Betrieb der Webapplikation. Das Hosting umfasst den Betrieb der Plattform inkl. Backup, Spam- und Virenschutz sowie die Überwachung der Systeme, 24 Stunden täglich, 7 Tage die Woche.
Alle Daten der LernSax-Nutzer befinden sich auf Servern der IBH IT-Service GmbH in Dresden.
Zur Gewährleistung aller Bestimmungen des Datenschutzes wurde zwischen dem Landesamt für Schule und Bildung und der DigiOnline GmbH ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen, der neben generellen Regelungen ein Verfahrensverzeichnis inkl. Sicherheitskonzept umfasst. Dieses regelt neben technischen Sicherheitsmaßnahmen insbesondere auch namentlich und zweckgebunden die Zugriffsberechtigungen auf die Daten beim Dienstleister.
DigiOnline/WebWeaver folgt den Empfehlungen des BSI für Hosting sowie Internetsoftware und hat intern ein drei Schichtenmodell implementiert. Dieses Schichtenmodell, bestehend aus der Darstellungsschicht (Weboberfläche), der Verarbeitungsschicht (Objektlayer) und dem Backend (DB und Fileserver) verhindert den Durchgriff oder Angriff eines Users aus der Weboberfläche auf das Backend. Wichtige Logindaten werden in der Userdatenbank verschlüsselt abgelegt. Jeglicher Datenverkehr erfolgt verschlüsselt per SSL.
Den Anforderungen der VwV Schuldatenschutz, insbesondere deren Absatz III/12 "Nutzung von Cloud-Computing-Diensten" werden damit in vollem Umfang erfüllt.