Vereinbarung zur Datenverarbeitung

Version 1.2 November 2023

Diese Verarbeitungsvereinbarung ist Teil der Vereinbarung zwischen Pluvo B.V. („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“) und tritt an dem Tag in Kraft, an dem Sie diese Verarbeitungsvereinbarung akzeptiert haben. Sie garantieren, dass Sie diese Verarbeitungsvereinbarung abschließen dürfen. Wenn Sie nicht über diese Befugnis verfügen, akzeptieren Sie diese Vereinbarung bitte nicht.“

Die Parteien sind der Ansicht, dass Folgendes zutrifft:

  • Der Verantwortliche arbeitet im Bereich Schulungen/Kurse und verwendet in diesem Zusammenhang den Prozessor;
  • Der Prozessor stellt dem für die Verarbeitung Verantwortlichen den in der Vereinbarung beschriebenen Dienst zur Verfügung und verarbeitet in dieser Eigenschaft (spezielle) personenbezogene Daten für den für die Verarbeitung Verantwortlichen;
  • In Bezug auf die Verarbeitung personenbezogener Daten gilt der für die Verarbeitung Verantwortliche als der für die Verarbeitung Verantwortliche im Sinne von Artikel 4 einleitender Worte und unter 7 der Allgemeinen Datenschutzverordnung („DSGVO“);
  • Die Parteien möchten — auch in Umsetzung der Bestimmungen von Artikel 28 Absatz 3 der DSGVO — in dieser Verarbeitungsvereinbarung eine Reihe von Bedingungen festlegen, die für ihre Beziehung in Bezug auf die (Verarbeitung personenbezogener Daten im Zusammenhang mit) den genannten Aktivitäten für und im Namen des für die Verarbeitung Verantwortlichen gelten.
  • In Bezug auf die Speicherung und Verarbeitung der personenbezogenen Daten für den für die Verarbeitung Verantwortlichen gilt der Auftragsverarbeiter als Auftragsverarbeiter im Sinne von Artikel 4 einleitender Worte und unter 8 der DSGVO;

Stimme wie folgt zu:

Artikel 1. Definitionen

  1. In dieser Datenverarbeitungsvereinbarung haben die folgenden Begriffe, die immer mit einem Großbuchstaben geschrieben sind, die folgende Bedeutung, unabhängig davon, ob sie im Plural oder Singular verwendet werden:
    Anlage
    : Anlage zur Prozessorvereinbarung, die integraler Bestandteil der Prozessorvereinbarung ist.
    Vereinbarung: der Pluvo-Kundenvertrag, der zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter geschlossen wurde;
    Personenbezogene Daten
    : alle Daten, die direkt oder indirekt auf eine natürliche Person im Sinne von Artikel 4 einleitenden Worten und unter 1 DSGVO zurückgeführt werden können;
    Subprozessor
    : der vom Auftragsverarbeiter beauftragte Unterauftragnehmer, der personenbezogene Daten im Rahmen dieser Verarbeitungsvereinbarung im Namen des für die Verarbeitung Verantwortlichen gemäß Artikel 28 Absatz 4 der DSGVO verarbeitet;
    Bearbeitung
    : Verarbeitung personenbezogener Daten gemäß Artikel 4 einleitender Worte und unter 2 der DSGVO;
    Vereinbarung zur Datenverarbeitung
    : die vorliegende Vereinbarung, die Teil der Vereinbarung ist.
  2. Die Bestimmungen der Vereinbarung gelten in vollem Umfang für die Verarbeitungsvereinbarung. Soweit die Vereinbarung Bestimmungen zur Verarbeitung personenbezogener Daten enthält, haben die Bestimmungen dieser Verarbeitungsvereinbarung Vorrang.

Artikel 2. Datenverantwortlicher und Datenverarbeiter

  1. Gemäß dieser Verarbeitungsvereinbarung verpflichtet sich der Auftragsverarbeiter, personenbezogene Daten im Namen des für die Verarbeitung Verantwortlichen zu verarbeiten. Eine Übersicht über die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Zwecke, für die die Verarbeitung personenbezogener Daten erfolgt, ist in Anhang 1 enthalten.
  2. Der Verantwortliche haftet für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung und garantiert, dass der Auftrag zur Verarbeitung dieser personenbezogenen Daten allen geltenden Gesetzen und Vorschriften entspricht. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter, insbesondere des Vorgesetzten, frei, die sich in irgendeiner Weise aus der Nichteinhaltung dieser Garantie ergeben.
  3. Der Verarbeiter verpflichtet sich, personenbezogene Daten nur für die in dieser Prozessorvereinbarung und/oder der Vereinbarung genannten Aktivitäten zu verarbeiten. Der Prozessor garantiert, dass er die im Rahmen dieser Prozessorvereinbarung verarbeiteten personenbezogenen Daten ohne die ausdrückliche schriftliche Zustimmung des für die Verarbeitung Verantwortlichen nicht verwendet, es sei denn, eine für den Verarbeiter geltende gesetzliche Bestimmung schreibt eine Verarbeitung vor. In diesem Fall wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.

Artikel 3. Technische und organisatorische Bestimmungen

  1. Der Auftragsverarbeiter wird den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflichten gemäß der DSGVO unterstützen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik und der Kosten der Umsetzung gewährleisten diese Maßnahmen ein angemessenes Sicherheitsniveau, wobei die mit der Verarbeitung verbundenen Risiken und die Art der zu schützenden Daten berücksichtigt werden. In jedem Fall ergreift der Verarbeiter Maßnahmen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, versehentlichem und vorsätzlichem Verlust, Verfälschung, unbefugter Weitergabe oder unbefugtem Zugriff oder jeder anderen Form der rechtswidrigen Verarbeitung zu schützen.
  2. Die vom Verarbeiter ergriffenen technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben. Der für die Verarbeitung Verantwortliche bestätigt, die betreffenden Maßnahmen zur Kenntnis genommen zu haben, und mit der Unterzeichnung dieser Verarbeitungsvereinbarung stimmt der für die Verarbeitung Verantwortliche den vom Prozessor ergriffenen Maßnahmen zu.

Artikel 4. Vertraulichkeit

  1. Der Verarbeiter lässt seine Mitarbeiter, die an der Ausführung des Vertrags beteiligt sind, eine Vertraulichkeitsvereinbarung unterzeichnen — unabhängig davon, ob sie im Arbeitsvertrag mit diesen Mitarbeitern enthalten ist oder nicht —, in der zumindest festgelegt ist, dass diese Mitarbeiter die Vertraulichkeit der personenbezogenen Daten wahren müssen.

Artikel 5. Datenverarbeitung außerhalb der Niederlande

  1. Die Übertragung personenbezogener Daten durch den Verarbeiter außerhalb des Europäischen Wirtschaftsraums ist nur unter Einhaltung der geltenden gesetzlichen Verpflichtungen zulässig.

Artikel 6. Dritte und Subunternehmer

  1. Der Prozessor darf im Rahmen dieser Prozessorvereinbarung und der Vereinbarung Unterauftragsverarbeiter einsetzen, wie in Anhang 3 aufgeführt. Wenn der Prozessor einen anderen Unterauftragsverarbeiter beauftragen möchte, informiert der Prozessor den für die Verarbeitung Verantwortlichen über die geplanten Änderungen. Der für die Verarbeitung Verantwortliche muss diesen Änderungen innerhalb von 5 Arbeitstagen widersprechen. Der Prozessor wird innerhalb von 4 Arbeitstagen auf den Einspruch des für die Verarbeitung Verantwortlichen antworten.
  2. Der Verarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zur Einhaltung der Vertraulichkeitsverpflichtungen, Berichtspflichten und Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten, wobei diese Verpflichtungen und Maßnahmen mindestens den Bestimmungen dieser Prozessorvereinbarung entsprechen müssen.

Artikel 7. Haftung

  1. In Bezug auf die Haftung des Verarbeiters gemäß der Prozessorvereinbarung und in Bezug auf die in der Prozessorvereinbarung enthaltenen Schadensersatzverpflichtungen für den Verarbeiter gilt die unter anderem in Artikel 9 der Vereinbarung enthaltene Regelung zur Haftungsbeschränkung in vollem Umfang.
  2. Unbeschadet des Artikels 7.1 dieser Verarbeitungsvereinbarung haftet der Auftragsverarbeiter nur für Schäden, die durch die Verarbeitung verursacht werden, wenn diese Verarbeitung nicht den Verpflichtungen entspricht, die speziell an den Auftragsverarbeiter gemäß der DSGVO gerichtet sind, oder wenn die rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen unter Verletzung der rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen gehandelt wurden.

Artikel 8. Vorfälle

  1. Wenn der Auftragsverarbeiter Kenntnis von einem Vorfall erlangt, der (wesentliche) Auswirkungen auf die Sicherheit personenbezogener Daten haben kann, wird er i) den für die Verarbeitung Verantwortlichen unverzüglich informieren und ii) alle angemessenen Maßnahmen ergreifen, um (weitere) Verstöße gegen die DSGVO zu verhindern oder einzuschränken.
  2. Der Auftragsverarbeiter wird, soweit angemessen, mit dem für die Verarbeitung Verantwortlichen zusammenarbeiten und den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner rechtlichen Verpflichtungen in Bezug auf den festgestellten Vorfall unterstützen.
  3. Der Auftragsverarbeiter wird, soweit angemessen, den für die Verarbeitung Verantwortlichen bei seiner Verpflichtung unterstützen, die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde („AP“) und/oder der betroffenen Person gemäß den Artikeln 33 Absätze 3 und 34 Absatz 1 der DSGVO zu melden. Der Auftragsverarbeiter ist niemals verpflichtet, eine Verletzung des Schutzes personenbezogener Daten eigenständig dem AP und/oder der betroffenen Person zu melden.
  4. Der Auftragsverarbeiter haftet niemals für die (korrekte und/oder rechtzeitige Erfüllung) der Berichtspflicht gegenüber dem für die Verarbeitung Verantwortlichen gemäß den Artikeln 33 und 34 der DSGVO.

Artikel 9. Unterstützung des für die Datenverarbeitung Verantwortlichen

  1. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflichten gemäß der DSGVO, Anfragen zur Ausübung der Rechte der betroffenen Person, insbesondere des Auskunftsrechts (Art. 15 DSGVO), des Rechts auf Berichtigung (Art. 16 DS-GVO), des Rechts auf Datenlöschung (Art. 17 DSGVO), des Rechts auf Einschränkung (Art. 18 DSGVO), der Übertragbarkeit (Art. 20 DSGVO) und des Widerspruchsrechts (Art. 21 und 22 DSGVO). Der Verarbeiter leitet eine Beschwerde oder Anfrage einer betroffenen Person bezüglich der Verarbeitung personenbezogener Daten so schnell wie möglich an den für die Verarbeitung Verantwortlichen weiter, der für die Bearbeitung der Anfrage verantwortlich ist. Der Auftragsverarbeiter ist berechtigt, dem für die Verarbeitung Verantwortlichen alle mit der Zusammenarbeit verbundenen Kosten in Rechnung zu stellen.
  2. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflicht gemäß der DSGVO, eine Datenschutzfolgenabschätzung durchzuführen (Artikel 35 und 36 DSGVO).
  3. Der Prozessor stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die nach vernünftigem Ermessen erforderlich sind, um nachzuweisen, dass der Prozessor seinen Verpflichtungen gemäß der DSGVO nachkommt. Darüber hinaus ermöglicht der Auftragsverarbeiter auf Anfrage des für die Verarbeitung Verantwortlichen Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen vom für die Verarbeitung Verantwortlichen autorisierten Auditor und trägt zu diesen bei. Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Anweisung im Zusammenhang mit den Bestimmungen dieses Absatzes gegen die DSGVO oder andere für ihn geltende Datenschutzgesetze verstößt, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen.
  4. Der Verarbeiter ist berechtigt, dem für die Verarbeitung Verantwortlichen alle mit den Bestimmungen von Artikel 9.3 verbundenen Kosten in Rechnung zu stellen.

Artikel 10. Kündigung und Verschiedenes

  1. In Bezug auf die Kündigung und/oder Auflösung dieser Verarbeitungsvereinbarung gelten die spezifischen Bestimmungen der Vereinbarung. Unbeschadet der spezifischen Bestimmungen der Vereinbarung löscht der Verarbeiter alle personenbezogenen Daten auf erste Anfrage des für die Verarbeitung Verantwortlichen oder gibt sie an ihn zurück und löscht vorhandene Kopien, es sei denn, der Verarbeiter ist gesetzlich verpflichtet, die personenbezogenen Daten (Teile davon) weiterhin zu speichern.
  2. Der Verantwortliche wird den Auftragsverarbeiter angemessen über die (gesetzlichen) Aufbewahrungsfristen informieren, die für die Verarbeitung personenbezogener Daten für den Verarbeiter gelten.
  3. Der für die Verarbeitung Verantwortliche erklärt, dass er berechtigt ist, diese Datenverarbeitungsvereinbarung abzuschließen.
  4. Die Verpflichtungen aus dieser Datenverarbeitungsvereinbarung, die ihrer Natur nach eine Kündigung überdauern sollen, bleiben auch nach Beendigung dieser Datenverarbeitungsvereinbarung in Kraft.
  5. Die Rechtswahl und das zuständige Gericht entsprechen den Bestimmungen der Vereinbarung.

----------------------------

Anlage 1. Überblick über personenbezogene Daten

Art der personenbezogenen Daten

Die folgenden Kategorien personenbezogener Daten können vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden:

  1. Grundlegende Identifikationsinformationen:
    Name
    E-mail-Adresse
    Profilbild
  2. Benutzerdefinierte Benutzerfelder:
    Felder, die vom Datenverantwortlichen hinzugefügt wurden und speziell auf seine betrieblichen Anforderungen zugeschnitten sind. Diese können variieren und beinhalten unter anderem Beruf, Organisation, Kontaktinformationen und andere relevante Informationen.
  3. Pädagogische Daten:
    Fortschritte beim Kursmaterial
    Bewertung und Testergebnisse und Ergebnisse

Dynamischer Charakter von Daten

  • Der für die Verarbeitung Verantwortliche behält sich die Autonomie vor, zu bestimmen, welche personenbezogenen Daten über die Software des Prozessors verarbeitet werden. Dies umfasst sowohl die grundlegenden Identifikationsinformationen als auch die spezifischen benutzerdefinierten Felder, die für ihre Zwecke relevant sind.
  • Angesichts der Möglichkeit, dass der für die Verarbeitung Verantwortliche benutzerdefinierte Felder hinzufügen kann, haben die Arten der verarbeiteten personenbezogenen Daten von Natur aus einen dynamischen Aspekt.

Zugriff auf Daten

  • Eine aktuelle und vollständige Übersicht der verarbeiteten personenbezogenen Daten ist für den für die Verarbeitung Verantwortlichen zugänglich, nachdem er sich in seinem Konto in der vom Prozessor bereitgestellten Software des Prozessors angemeldet hat.
  • Dieser Zugriff ermöglicht es dem für die Datenverarbeitung Verantwortlichen, die Arten der gesammelten Daten regelmäßig zu überprüfen und sie gegebenenfalls zu aktualisieren, um Richtigkeit und Relevanz sicherzustellen.

Transparenz und Compliance

  • Diese Spezifikation personenbezogener Daten erfolgt im Geiste der Transparenz und der Einhaltung der DSGVO, wobei der Datenschutz und der Schutz der Benutzerdaten von größter Bedeutung sind.

Zwecke der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Verarbeiter erfolgt für bestimmte Zwecke, die vom für die Verarbeitung Verantwortlichen festgelegt werden. Diese Zwecke betreffen die Daten natürlicher Personen (betroffene Personen), die:

  1. Beziehung zum Datenverantwortlichen: Dazu gehören unter anderem Kunden, Mitglieder, Studierende, Interessenten, Spender, Gäste, Mitarbeiter, Verbraucher und Bürger, die eine Beziehung zum für die Verarbeitung Verantwortlichen haben.
  2. Teilnahme an Schulungen: Personen, die sich für Schulungen oder Kurse angemeldet haben, die vom Datenverantwortlichen angeboten werden.

Zu diesen Zwecken gehören:

  • Kommunikation mit Stakeholdern.
  • Durchführung von Recherchen.
  • Einhaltung gesetzlicher Verpflichtungen.
  • Umsetzung von Vereinbarungen mit den Beteiligten.

Verarbeitungstätigkeiten

Die Verarbeitung erfolgt unabhängig vom für die Verarbeitung Verantwortlichen oder von der betroffenen Person unter Verwendung der Systeme des Auftragsverarbeiters. Diese Verarbeitungstätigkeiten umfassen, sind aber nicht beschränkt auf:

  • Datenerfassung, Erfassung, Organisation, Segmentierung, Filter und Struktur.
  • Speicherung von Daten, einschließlich E-Mail-Kommunikation und Chat-Protokollen.
  • Daten aktualisieren, ändern, synchronisieren, anreichern und analysieren.
  • Daten anfordern, einsehen, verwenden, teilen, verteilen oder anderweitig zur Verfügung stellen.
  • Daten ausrichten, kombinieren, schützen, löschen oder vernichten.

Diese Liste der Verarbeitungstätigkeiten bietet ein umfassenderes Bild der möglichen Interaktionen mit personenbezogenen Daten in den Systemen des Auftragsverarbeiters und der Vielfalt der Verarbeitungsvorgänge.

----------------------------

Anlage 2. Sicherheitsspezifikation

Allgemeine Verpflichtungen

Der Auftragsverarbeiter verpflichtet sich, alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gemäß der Allgemeinen Datenschutzverordnung (DSGVO) zu ergreifen, wobei die Anforderungen in Artikel 32 der DSGVO besonders zu berücksichtigen sind. Diese Maßnahmen sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.

Einhaltung der Norm ISO 27001:2017

Zusätzlich zu den DSGVO-Anforderungen wird der Verarbeiter gemäß den Standards und bewährten Verfahren handeln, die im ISO/IEC 27001:2017 Standard für Informationssicherheitsmanagement festgelegt sind. Das bedeutet:

  1. Risikomanagement: Regelmäßige Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.
  2. Sicherheitspolitik: Umsetzung und Pflege einer dokumentierten Informationssicherheitspolitik.
  3. Organisation der Informationssicherheit: Aufbau einer Managementstruktur für Informationssicherheit und Definition von Rollen und Verantwortlichkeiten.
  4. Sicherheit der Humanressourcen: Stellen Sie sicher, dass sich die Mitarbeiter ihrer Sicherheitsverantwortung bewusst sind.
  5. Verwaltung von Vermögenswerten: Identifizierung und Klassifizierung von Informationsressourcen.
  6. Zutrittskontrolle: Beschränkung des Zugangs zu Informations- und Verarbeitungssystemen.
  7. Kryptographie: Verwendung von Kryptografie zum Schutz der Vertraulichkeit und Integrität von Informationen.
  8. Physische und ökologische Sicherheit: Schutz physischer Standorte und Ausrüstung.
  9. Betrieb und Sicherheit: Sicherheit betrieblicher Prozesse und Verfahren.
  10. Sicherheit der Kommunikation: Schutz von Informationen in Netzwerken.
  11. Anschaffung, Entwicklung und Wartung von Systemen: Sicherstellung, dass die Informationssicherheit ein integraler Bestandteil der IT-Systeme ist.
  12. Beziehungen zu Lieferanten: Datensicherheit in Bezug auf externe Lieferanten.
  13. Management von Informationssicherheitsvorfällen: Effektive Reaktion auf Vorfälle im Bereich der Informationssicherheit.
  14. Kontinuitätsmanagement: Schutz der Kontinuität von Geschäftsprozessen.
  15. Einhaltung: Bewertung anhand gesetzlicher, gesetzlicher, regulatorischer und vertraglicher Anforderungen.

----------------------------

Anlage 3. Spezifikation der Subprozessoren

Der Verarbeiter kann für die Verarbeitung die folgenden Kategorien und Parteien von Unterauftragsverarbeitern verwenden:

Message Board

  • Identität:
    https://messagebird.com
  • Verarbeitete Daten:
    Vor- und Nachname
    E-mail-Adresse
    Informationen zum E-Mail-Inhalt
  • Zweck der Verarbeitung: Messagebird wird für den Versand von E-Mail-Kommunikation verwendet. Dazu gehören Transaktions-E-Mails und andere Formen der Kommunikation per E-Mail.
  • Verarbeitungstätigkeiten: Senden von E-Mails an Benutzer auf der Grundlage der bereitgestellten Listen.
    Verarbeitung von Antwortdaten wie E-Mail-Öffnungs- und Klickraten.
    Pflege von E-Mail-Listen und Abmeldeanfragen.
  • Ort der Verarbeitung: Die Daten werden in SparkPost-Rechenzentren in Europa verarbeitet.
  • Sicherheitsmaßnahmen: Messagebird implementiert branchenübliche Sicherheitsprotokolle und Verschlüsselungstechniken, um Datenintegrität und Vertraulichkeit zu gewährleisten.
  • Dauer der Verarbeitung: Die Daten werden so lange verarbeitet, wie es für die Erbringung der E-Mail-Dienste erforderlich ist, oder bis sich ein Benutzer abmeldet oder die Löschung seiner Daten beantragt.
  • Einhaltung von Gesetzen und Vorschriften: Messagebird hält sich an die DSGVO und andere relevante Datenschutzgesetze zum Schutz personenbezogener Daten.

Amazon AWS

  • Identität:
    https://aws.amazon.com
  • Verarbeitete Daten: Benutzernamen und E-Mail-Adressen.Benutzerprofilbilder.Zusätzliche Felder, die vom Controller hinzugefügt wurden und je nach Benutzeranforderungen variieren können.Fortschritte und Ergebnisse der Benutzer in den Kursmaterialien und Bewertungen.Protokolldateien, die Änderungen an der Datenbank aufzeichnen.Auf AWS S3 gespeicherte Dateien, einschließlich aller Benutzerdaten oder Kursmaterialien.
  • Zweck der Verarbeitung: AWS wird verwendet, um diese Daten zu hosten und zu verwalten, um eine skalierbare, zuverlässige und sichere Infrastruktur für unsere Dienste bereitzustellen.
  • Verarbeitungstätigkeiten:
    Speicherung und Verwaltung personenbezogener Daten und Benutzerprofile.
    Hosting von Bildungsinhalten und Überwachung der Benutzerleistung.
    Wartung und Verwaltung von Protokolldateien für Sicherheit und Überwachung.
    Dateispeicherung und -verwaltung auf AWS S3.
  • Ort der Verarbeitung: Daten werden in AWS-Rechenzentren in Frankfurt, Deutschland, verarbeitet und gespeichert.
  • Sicherheitsmaßnahmen: AWS implementiert umfassende Sicherheitsmaßnahmen, darunter Netzwerksicherheit, Verschlüsselung, Zugriffskontrolle und regelmäßige Sicherheitsüberprüfungen. Einhaltung relevanter Industriestandards und Zertifizierungen wie ISO 27001, SOC 1, SOC 2 und GDPR
  • Dauer der Verarbeitung: Die Daten werden so lange gespeichert und verarbeitet, wie es für die Erbringung der Dienste erforderlich ist.
  • Einhaltung von Gesetzen und Vorschriften: AWS hält sich an die DSGVO und andere relevante europäische und internationale Datenschutzgesetze zum Schutz personenbezogener Daten.

Rechte und Pflichten

  • Rechte prüfen: Wir behalten uns das Recht vor, die Datensicherheit und die Einhaltung der Datenschutzbestimmungen zu überprüfen.
  • Benachrichtigung über Datenschutzverstöße: Der Unterauftragsverarbeiter muss uns unverzüglich über Datenschutzverletzungen oder Sicherheitsvorfälle informieren.
  • Subprozessoren: Der Unterauftragsverarbeiter ist verpflichtet, alle weiteren Unterauftragsverarbeiter zu klären und muss bestätigen, ob die Datenverarbeitung innerhalb der Europäischen Union stattfindet.