projekt-wahl
Wählen

Auftragsverarbeitungsvertrag

Stand: 22. Mai 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die Verarbeitung personenbezogener Daten durch projekt-wahl im Auftrag der Schule oder sonstigen Bildungseinrichtung ("Auftraggeber"). Er ergänzt den Nutzungsvertrag über projekt-wahl. Mit Registrierung, Freischaltung oder Nutzung des Dienstes durch eine vertretungsberechtigte oder hierfür bevollmächtigte Person der Einrichtung wird dieser AVV Bestandteil des Vertragsverhältnisses.

projekt-wahl ist darauf ausgelegt, Projektwochen datensparsam und schulnah zu organisieren: keine Werbenutzung, kein Verkauf von Daten, kein Drittanbieter-Tracking, selbst gehostete Anwendungskomponenten und Hetzner als einziger externer Unterauftragnehmer für Infrastrukturleistungen.

1. Parteien und Rollen

(1) Auftraggeber ist die Schule oder Bildungseinrichtung, die projekt-wahl zur Organisation einer Projektwoche nutzt. Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten, die er in projekt-wahl verarbeitet oder verarbeiten lässt.

(2) Auftragnehmer ist:

Mika Kruschel
Brucknerstraße 1a
53115 Bonn
Deutschland

Kontakt für Datenschutzfragen: datenschutz@projekt-wahl.de

(3) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO, soweit er Daten des Auftraggebers im Rahmen von projekt-wahl verarbeitet.

2. Gegenstand, Dauer, Art und Zweck der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung einer webbasierten Software zur Organisation, Durchführung und Auswertung von Projektwochen und Projektwahlen.

(2) Art, Zweck, Datenarten, Kategorien betroffener Personen und Verarbeitungsvorgänge sind in Anlage 1 beschrieben.

(3) Die Verarbeitung beginnt mit Einrichtung oder Nutzung von projekt-wahl durch den Auftraggeber und läuft für die Dauer des Nutzungsvertrags. Nach Vertragsende gelten die Regelungen in Abschnitt 13.

(4) Der Auftragnehmer verarbeitet die Daten nicht für eigene Werbezwecke, nicht zur Profilbildung für fremde Zwecke, nicht zum Verkauf und nicht für Zwecke außerhalb dieses AVV, soweit keine gesetzliche Pflicht besteht.

3. Weisungen des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch Unionsrecht oder deutsches Recht zu einer anderen Verarbeitung verpflichtet ist. In einem solchen Fall informiert der Auftragnehmer den Auftraggeber vor der Verarbeitung über diese rechtliche Pflicht, soweit das betreffende Recht dies zulässt.

(2) Weisungen ergeben sich aus diesem AVV, dem Nutzungsvertrag, den Einstellungen und Eingaben des Auftraggebers in projekt-wahl sowie ergänzenden Weisungen in Textform.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt. Der Auftragnehmer darf die Ausführung einer offensichtlich rechtswidrigen Weisung bis zur Klärung aussetzen.

(4) Der Auftraggeber benennt auf Anfrage weisungsberechtigte Personen. Änderungen der Weisungsberechtigung teilt der Auftraggeber dem Auftragnehmer in Textform mit.

4. Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung, die Information der betroffenen Personen, die Wahrung der Betroffenenrechte und die Festlegung der Zwecke und Mittel der schulischen Datenverarbeitung verantwortlich.

(2) Der Auftraggeber stellt sicher, dass nur Daten in projekt-wahl eingetragen oder hochgeladen werden, die für die jeweilige Projektwoche erforderlich sind. Dies gilt insbesondere für Freitextfelder, Projektbeschreibungen, Planungsnotizen, CSV-Importe und Bild-Uploads.

(3) Der Auftraggeber ist für die Vergabe und Pflege der Zugriffsrechte seiner Nutzer verantwortlich, soweit diese Rechte durch ihn eingerichtet oder verwaltet werden.

(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich über Fehler, Unregelmäßigkeiten, unbefugte Nutzungen oder sonstige Risiken, die ihm im Zusammenhang mit der Auftragsverarbeitung bekannt werden.

5. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen dieses AVV, des Nutzungsvertrags und der dokumentierten Weisungen des Auftraggebers.

(2) Der Auftragnehmer gestaltet seine Organisation und Systeme so, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitung im angemessenen Umfang geschützt werden. Die technischen und organisatorischen Maßnahmen sind in Anlage 3 beschrieben.

(3) Der Auftragnehmer stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO.

(5) Der Auftragnehmer führt die Verarbeitung grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums durch. Eine Übermittlung in ein Drittland erfolgt nur auf dokumentierte Weisung des Auftraggebers oder wenn die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind.

6. Datenschutzkontakt des Auftragnehmers

(1) Der Auftragnehmer hat derzeit keinen Datenschutzbeauftragten benannt. Nach aktueller Einschätzung besteht für den Auftragnehmer keine Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO.

(2) Datenschutzfragen, Kontrollanfragen und Meldungen im Zusammenhang mit diesem AVV können an datenschutz@projekt-wahl.de gerichtet werden.

(3) Sollte zukünftig eine Pflicht zur Benennung eines Datenschutzbeauftragten entstehen oder ein Datenschutzbeauftragter freiwillig benannt werden, stellt der Auftragnehmer dem Auftraggeber die entsprechenden Kontaktdaten zur Verfügung.

7. Unterauftragnehmer

(1) Der Auftragnehmer setzt für die Verarbeitung im Auftrag nur die in Anlage 2 genannten Unterauftragnehmer ein. Zum Zeitpunkt dieses AVV ist Hetzner Online GmbH der einzige externe Unterauftragnehmer.

(2) Anwendung, Datenbankbetrieb, PDF-Erstellung, Bild-Upload, WebSocket-Echtzeitaktualisierung, technische Auswertung, selbst gehostete Fehleranalyse mit Sentry, selbst gehostete Statistik mit Umami und Mailverarbeitung werden von projekt-wahl als eigene, selbst betriebene Infrastrukturkomponenten administriert. Diese internen Komponenten sind keine separaten externen Unterauftragnehmer.

(3) Der Auftragnehmer hat mit jedem Unterauftragnehmer einen Vertrag geschlossen oder schließt einen Vertrag, der den Anforderungen des Art. 28 DSGVO entspricht und dem Unterauftragnehmer angemessene Datenschutzpflichten auferlegt.

(4) Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass ein Unterauftragnehmer seinen Datenschutzpflichten nachkommt.

(5) Neue oder ersetzende Unterauftragnehmer werden dem Auftraggeber vorab in Textform oder durch eine geeignete Benachrichtigung im Dienst mitgeteilt. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Kann der Widerspruch nicht angemessen ausgeräumt werden, kann der Auftraggeber den betroffenen Dienst kündigen.

8. Unterstützung bei Betroffenenrechten

(1) Der Auftraggeber ist für die Bearbeitung von Anträgen betroffener Personen nach Art. 12 bis 23 DSGVO verantwortlich.

(2) Geht ein Antrag betroffener Personen beim Auftragnehmer ein und betrifft er offensichtlich Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter oder weist die betroffene Person auf den Auftraggeber als Verantwortlichen hin.

(3) Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen technischen und organisatorischen Maßnahmen bei Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, soweit dies für die Verarbeitung in projekt-wahl erforderlich und möglich ist.

9. Sicherheit und technische Maßnahmen

(1) Der Auftragnehmer trifft technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Die bei Vertragsschluss geltenden Maßnahmen sind in Anlage 3 beschrieben.

(2) Die Maßnahmen berücksichtigen insbesondere das Risiko für Schülerinnen und Schüler sowie die Schutzbedürftigkeit schulischer Organisationsdaten.

(3) Der Auftragnehmer überprüft die Wirksamkeit der Maßnahmen regelmäßig und anlassbezogen. Änderungen, die das Schutzniveau nicht wesentlich verschlechtern, kann der Auftragnehmer im Rahmen der technischen Weiterentwicklung vornehmen.

(4) Wesentliche Änderungen, die Vertraulichkeit, Integrität oder Verfügbarkeit der Auftragsdaten erheblich beeinträchtigen können, teilt der Auftragnehmer dem Auftraggeber rechtzeitig mit.

10. Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, über eine Verletzung des Schutzes personenbezogener Daten, soweit diese Auftragsdaten des Auftraggebers betrifft.

(2) Die Meldung enthält, soweit zu diesem Zeitpunkt bekannt:

  • eine Beschreibung der Art der Verletzung,
  • die betroffenen Daten- und Personenkategorien,
  • die ungefähre Zahl betroffener Personen und Datensätze, soweit einschätzbar,
  • die bekannten oder wahrscheinlichen Folgen,
  • die bereits ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Eindämmung,
  • eine Kontaktmöglichkeit für Rückfragen.

(3) Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

11. Nachweise, Auskunft und Kontrollen

(1) Der Auftragnehmer stellt dem Auftraggeber die zur Prüfung der Einhaltung dieses AVV erforderlichen Informationen in angemessenem Umfang zur Verfügung. Dazu gehören insbesondere dieser AVV, die Anlagen, Informationen zu Unterauftragnehmern und eine Beschreibung der technischen und organisatorischen Maßnahmen.

(2) Der Auftraggeber kann Kontrollen durchführen oder durch einen fachkundigen, zur Vertraulichkeit verpflichteten Prüfer durchführen lassen, soweit dies zur Prüfung der Auftragsverarbeitung erforderlich ist. Kontrollen sind mit angemessener Frist anzukündigen und so durchzuführen, dass Betriebsabläufe, Sicherheit und Rechte anderer Auftraggeber nicht unverhältnismäßig beeinträchtigt werden.

(3) Soweit eine Vor-Ort-Kontrolle nicht erforderlich oder wegen geteilter Infrastruktur nicht angemessen ist, können geeignete Nachweise, Auskünfte, technische Beschreibungen oder Bestätigungen an ihre Stelle treten.

(4) Aufsichtsbehördliche Anfragen oder Prüfungen, die die Auftragsverarbeitung betreffen, unterstützt der Auftragnehmer im erforderlichen Umfang.

12. Löschung, Berichtigung und Rückgabe während der Laufzeit

(1) Der Auftraggeber kann Daten innerhalb der vorgesehenen Funktionen von projekt-wahl löschen, berichtigen, exportieren oder aktualisieren, soweit die jeweilige Funktion dies vorsieht.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei darüber hinausgehenden Lösch-, Berichtigungs- oder Exportanfragen in angemessenem Umfang, soweit dies technisch möglich und für die Auftragsverarbeitung erforderlich ist.

(3) Gesetzliche Aufbewahrungspflichten und berechtigte Nachweisinteressen bleiben unberührt. Daten, die aus solchen Gründen weiter aufbewahrt werden müssen, werden nur für diese Zwecke verarbeitet.

13. Beendigung der Auftragsverarbeitung

(1) Nach Beendigung des Nutzungsvertrags oder nach dokumentierter Weisung des Auftraggebers löscht der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Der Auftraggeber kann während der Laufzeit verfügbare Exportfunktionen nutzen, um Daten vor Löschung oder Vertragsende zu sichern.

(3) Daten in Sicherungen werden im Rahmen der regulären Sicherungs- und Überschreibzyklen entfernt. Bis zur Entfernung aus Sicherungen bleiben sie vor unbefugtem Zugriff geschützt und werden nicht für andere Zwecke verarbeitet.

(4) Ein Zurückbehaltungsrecht an Auftragsdaten wird ausgeschlossen, soweit dem keine zwingenden gesetzlichen Rechte entgegenstehen.

14. Vergütung und Zusatzaufwand

Die Vergütung für die Nutzung von projekt-wahl richtet sich nach dem Nutzungsvertrag. Ein erheblicher Mehraufwand durch besondere Weisungen, zusätzliche Prüfungen oder außergewöhnliche Unterstützungsleistungen kann gesondert vereinbart werden.

15. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit nicht eine strengere Form gesetzlich vorgeschrieben ist.

(2) Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV für die Verarbeitung personenbezogener Daten im Auftrag vor.

Anlage 1 - Beschreibung der Auftragsverarbeitung

1. Gegenstand der Verarbeitung

Bereitstellung, Betrieb, Wartung und Support einer webbasierten Software zur Organisation von Projektwochen, zur Online-Wahl von Projekten, zur Auswertung und Einteilung von Schülerinnen und Schülern sowie zur Erstellung von Exporten und Aushängen.

2. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags sowie für die Dauer gesetzlicher Aufbewahrungspflichten, notwendiger Sicherungszyklen und berechtigter Nachweisfristen. Auftragsdaten werden nach Vertragsende oder dokumentierter Weisung nach Abschnitt 13 gelöscht oder zurückgegeben.

3. Art und Zweck der Verarbeitung

  • Einrichtung und Verwaltung von Schulen und Benutzerkonten,
  • Anlage und Verwaltung von Projektwochen, Projekten, Einstellungen und Berechtigungen,
  • Import, Anzeige, Bearbeitung und Löschung von Schülerdaten,
  • Prüfung von Wahlberechtigungen über Schul-, Klassen- oder Schülercodes,
  • Erfassung, Speicherung und Auswertung von Wahlwünschen,
  • Unterstützung der Projektzuteilung anhand von Wünschen, Kapazitäten, Klassenregeln und Einstellungen,
  • Veröffentlichung und Anzeige von Projektinformationen und, wenn vom Auftraggeber aktiviert, Ergebnissen,
  • Erstellung von PDF- und CSV-Exporten, Listen, Aushängen, Codezetteln und Anwesenheitslisten,
  • Bild-Upload für Schullogos und Projektbilder,
  • Echtzeitaktualisierung der Verwaltungsoberfläche,
  • Support, Kontakt- und Feedbackbearbeitung,
  • technische Protokollierung, Fehleranalyse, Statistik, Rate Limiting und Missbrauchsschutz.

4. Kategorien personenbezogener Daten

  • Schul- und Organisationsdaten: Schulname, Adresse, Schulkennung, Logo, Farbeinstellungen, Lizenzstatus, Verwaltungsnotizen.
  • Benutzerkontodaten: Name, E-Mail-Adresse, Benutzername, Rollen, Schulzuordnung, Passwort-Hash, Sitzungsdaten, IP-Adresse, User-Agent, Erstellungs- und Änderungszeitpunkte.
  • Projektwochendaten: Titel, Zeitraum, Wahlstatus, Veröffentlichungsstatus, Wahl- und Auswertungseinstellungen, Klassenregeln, Zugangscodes.
  • Projektdaten: Titel, Kurzbezeichnung, Beschreibung, Kosten, betreuende Lehrkräfte, zulässige Klassen, Kapazitäten, Planungsnotizen, Projektbilder.
  • Schülerdaten: Vorname, Nachname, Klasse, Wahlstatus, Zugangscode, abgegebene Projektwünsche, zugewiesenes Projekt, Status für erneute Wahl und sonstige durch den Auftraggeber eingepflegte Organisationsdaten.
  • Export- und Importdaten: Inhalte aus CSV-Importen, erzeugte PDF-/CSV-Inhalte, Listen und Aushänge.
  • Support- und Kontaktdaten: Name, Schule, E-Mail-Adresse, Nachricht, Rolle, Seitenadresse, Konto- oder Benutzerkennung.
  • Technische Daten: IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, Browser-/Geräteinformationen, Logdaten, Fehlerdaten, Rate-Limit-Ereignisse.

5. Kategorien betroffener Personen

  • Schülerinnen und Schüler des Auftraggebers,
  • Lehrkräfte, Projektleitungen, schulische Administratoren und sonstige Nutzer des Auftraggebers,
  • Ansprechpartner des Auftraggebers,
  • Personen, die Support-, Kontakt- oder Feedbackanfragen stellen.

6. Interne Verarbeitungskomponenten

Die folgenden Komponenten werden von projekt-wahl selbst betrieben und gelten nicht als externe Unterauftragnehmer: Webanwendung, Datenbank, PDF-Erstellung, Bild-Upload, WebSocket-Echtzeitaktualisierung, technische Auswertung, selbst gehostete Fehleranalyse mit Sentry, selbst gehostete Statistik mit Umami und Mailverarbeitung.

Anlage 2 - Unterauftragnehmer

Der Auftragnehmer setzt zum Zeitpunkt dieses AVV ausschließlich folgenden externen Unterauftragnehmer ein:

Hetzner Online GmbH

Anschrift:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Leistung: Bereitstellung von Rechenzentrums-, Server-, Speicher-, Netzwerk- und Infrastrukturleistungen für den Betrieb von projekt-wahl.

Ort der Verarbeitung: Deutschland bzw. Europäische Union, soweit für produktive Schul- und Schülerdaten eingesetzt.

Datenschutzinformationen: https://www.hetzner.com/de/legal/privacy-policy/

Informationen zur Auftragsverarbeitung bei Hetzner: https://docs.hetzner.com/de/general/company-and-policy/data-protection-at-hetzner/

Neue Unterauftragnehmer oder wesentliche Änderungen werden nach Abschnitt 7 angekündigt. Ohne vorherige Information und Möglichkeit zum Widerspruch werden keine weiteren externen Unterauftragnehmer für Auftragsdaten des Auftraggebers eingesetzt.

Anlage 3 - Technische und organisatorische Maßnahmen

Die nachfolgenden Maßnahmen beschreiben das bei Vertragsschluss bestehende Schutzniveau. Der Auftragnehmer darf gleichwertige oder stärkere Maßnahmen einsetzen, sofern das Schutzniveau nicht wesentlich abgesenkt wird.

1. Vertraulichkeit

  • Transportverschlüsselung: Zugriff auf die Anwendung erfolgt über HTTPS/TLS.
  • Datenbankverbindung: Verbindungen zwischen Anwendung und Datenbank werden geschützt betrieben.
  • Passwortschutz: Passwörter werden nicht im Klartext gespeichert, sondern als Passwort-Hash verarbeitet.
  • Rollen- und Berechtigungskonzept: Zugriff in der Verwaltungsoberfläche richtet sich nach Rolle, Schulzuordnung und Funktion.
  • Schultrennung: Daten werden logisch nach Schule und Projektwoche getrennt; Zugriff erfolgt über schulbezogene Berechtigungsprüfungen.
  • Least Privilege: Administrative Zugriffe werden auf Personen und Systeme beschränkt, die sie für Betrieb, Support oder Sicherheit benötigen.
  • Vertraulichkeitspflicht: Mit der Verarbeitung betraute Personen werden zur Vertraulichkeit verpflichtet.

2. Integrität

  • Eingabekontrolle: Änderungen an Schul-, Projekt-, Schüler- und Projektwochendaten erfolgen über authentifizierte Nutzer oder dokumentierte technische Prozesse.
  • Plausibilitäts- und Validierungsprüfungen: Formulare, CSV-Importe und Serveraktionen validieren Eingaben vor Verarbeitung.
  • Zugriffsbeschränkte Mutationen: Schreibende Funktionen werden serverseitig auf Berechtigung und Schulzuordnung geprüft.
  • Fehleranalyse: Technische Fehler werden erfasst, um fehlerhafte Verarbeitung und Störungen erkennen und beheben zu können.

3. Verfügbarkeit und Belastbarkeit

  • Betrieb auf professioneller Rechenzentrumsinfrastruktur von Hetzner.
  • Schutz vor Missbrauch durch Rate Limiting bei öffentlichen Wahl- und Codefunktionen.
  • Technische Protokollierung zur Erkennung von Störungen, Angriffen und Fehlverhalten.
  • Datensicherungen und Wiederherstellungsmöglichkeiten werden in angemessenem Umfang vorgehalten, ohne dass ein bestimmter Wiederherstellungszeitpunkt oder eine bestimmte Wiederherstellungsdauer zugesagt wird.
  • Sicherheits- und Wartungsmaßnahmen werden im Rahmen des laufenden Betriebs durchgeführt.

4. Trennung und Zweckbindung

  • Trennung nach Schulen, Projektwochen und Rollen im Anwendungscode und in Datenbankabfragen.
  • Getrennte Verarbeitung von schulischen Auftragsdaten und eigenen Vertrags-/Supportdaten, soweit dies technisch und organisatorisch erforderlich ist.
  • Keine Nutzung von Auftragsdaten für Werbung, Datenverkauf oder fremde Tracking-Netzwerke.
  • Interne Dienste wie PDF-Erstellung, Bild-Upload, Statistik und Fehleranalyse werden zweckgebunden für Betrieb und Funktionsbereitstellung eingesetzt.

5. Auftragskontrolle

  • Verarbeitung erfolgt auf Grundlage dieses AVV, des Nutzungsvertrags, der Einstellungen im Dienst und dokumentierter Weisungen.
  • Unterauftragnehmer werden nur nach Abschnitt 7 und Anlage 2 eingesetzt.
  • Anfragen von Betroffenen werden, soweit sie Auftragsdaten betreffen, an den Auftraggeber verwiesen oder weitergeleitet.
  • Löschungen und Exporte werden über vorgesehene Funktionen oder auf dokumentierte Weisung unterstützt.

6. Überprüfung und Verbesserung

  • Der Auftragnehmer überprüft die technischen und organisatorischen Maßnahmen regelmäßig und anlassbezogen.
  • Sicherheitsrelevante Ereignisse werden bewertet und, soweit erforderlich, mit Verbesserungsmaßnahmen beantwortet.
  • Änderungen an Infrastruktur, Unterauftragnehmern oder wesentlichen Sicherheitsmaßnahmen werden dokumentiert und bei Relevanz dem Auftraggeber mitgeteilt.