Datenschutz

Website
Product

1. Data Protection at a Glance

General information

The following information provides a simple overview of what happens to your personal data when you visit this website. Personal data is any data that can be used to identify you personally. For detailed information on the subject of data protection, please refer to our data protection declaration listed below this text.

Data collection on this website

Who is responsible for data collection on this website?
Data processing on this website is carried out by the website operator. You can find their contact details in the "Information on the controller" section of this privacy policy.

How do we collect your data?
On the one hand, your data is collected when you provide it to us. This may, for example, be data that you enter in a contact form; other data is collected automatically or with your consent by our IT systems when you visit the website. This is primarily technical data (e.g. internet browser, operating system or time of page view). This data is collected automatically as soon as you enter this website.

What do we use your data for?
Some of the data is collected to ensure that the website is provided without errors. Other data may be used to analyse your user behaviour.

What rights do you have regarding your data?
You have the right to receive information about the origin, recipient and purpose of your stored personal data free of charge at any time. You also have the right to request the correction or deletion of this data. If you have given your consent to data processing, you can revoke this consent at any time for the future. You also have the right, under certain circumstances, to request the restriction of the processing of your personal data.

Application procedure

In the course of handling application procedures in our company, we work together with the application platform of the service provider Workwise GmbH, Imprint (https://www.workwise.io/impressum). Recruitment on behalf of job seekers or employers is not order processing, but the use of a third-party specialist service provided by an independent controller (LDA-Bayern, FAQ list dated 20 July 2018). Further information on the data protection of the service provider Workwise GmbH can be found in the privacy policy (https://www.workwise.io/datenschutz).

Analysis tools and tools from third-party providers

When you visit this website, your surfing behaviour may be statistically analysed. This is mainly done using so-called analysis programmes, detailed information on these analysis programmes can be found in the following privacy policy.

Copyright

The content and works created by the site operators on these pages are subject to German copyright law. Duplication, processing, distribution and any form of commercialisation of such material beyond the scope of the copyright law shall require the prior written consent of its respective author or creator. Downloads and copies of this site are only permitted for private, non-commercial use and, insofar as the content on this site was not created by the operator, the copyrights of third parties are respected. In particular, third-party content is labelled as such. Should you nevertheless become aware of a copyright infringement, please inform us accordingly. If we become aware of any infringements, we will remove such content immediately.

2. Hosting and content delivery networks (CDN)

External hosting

This website is hosted by an external service provider (hoster). The personal data collected on this website is stored on the hoster's servers. This may include IP addresses, contact requests, meta and communication data, contract data, contact details, names, website accesses and other data generated via a website. the hoster is used for the purpose of fulfilling the contract with our potential and existing customers (Art. 6 para. 1 lit. b GDPR) and in the interest of a secure, fast and efficient provision of our online offer by a professional provider (Art. 6 para. 1 lit. f GDPR) Our hoster will only process your data to the extent necessary to fulfil its performance obligations and follow our instructions with regard to this data.

We use the following hoster:

Webflow, Inc.
398 11th Street, 2nd Floor
San Francisco, CA 94103

Conclusion of an order processing contract

In order to ensure data protection-compliant processing, we have concluded an order processing contract with our hoster.

3. General notes and mandatory information

Data protection

The operators of these pages take the protection of your personal data very seriously. We treat your personal data confidentially and in accordance with the statutory data protection regulations and this data protection declaration. Personal data is data that can be used to identify you personally. This privacy policy explains what data we collect and what we use it for. It also explains how and for what purpose this is done and points out that data transmission over the Internet (e.g. when communicating by email) may be subject to security vulnerabilities. Complete protection of data against access by third parties is not possible.

Note on the responsible body

The controller responsible for data processing on this website is

doinstruct Software GmbH

Rheinstrasse 10

49090 Osnabrück

Phone: 054193935391

E-mail: post@doinstruct.com

The controller is the natural or legal person who alone or jointly with others determines the purposes and means of the processing of personal data (e.g. names, e-mail addresses, etc.).

Storage period

Unless a more specific storage period has been specified in this privacy policy, your personal data will remain with us until the purpose for data processing no longer applies. If you assert a justified request for deletion or revoke your consent to data processing, your data will be deleted unless we have other legally permissible reasons for storing your personal data (e.g. retention periods under tax or commercial law); in the latter case, the deletion will take place after these reasons no longer apply.

Note on data transfer to the USA and other third countries

Among other things, we use tools from companies based in the USA or other third countries that are not secure under data protection law. If these tools are active, your personal data may be transferred to these third countries and processed there. We would like to point out that a level of data protection comparable to that in the EU cannot be guaranteed in these countries. For example, US companies are obliged to hand over personal data to security authorities without you as the data subject being able to take legal action against this. It can therefore not be ruled out that US authorities (e.g. secret services) may process, analyse and permanently store your data on US servers for surveillance purposes. We have no influence on these processing activities.

Revocation of your consent to data processing

Many data processing operations are only possible with your express consent. You can withdraw your consent at any time. The legality of the data processing carried out until the revocation remains unaffected by the revocation.

Right to object to data collection in special cases and to direct advertising (Art. 21 GDPR)

IF THE DATA PROCESSING IS BASED ON ART. 6 ABS. 1 LIT. E OR F GDPR, YOU HAVE THE RIGHT TO OBJECT TO THE PROCESSING OF YOUR PERSONAL DATA AT ANY TIME ON GROUNDS RELATING TO YOUR PARTICULAR SITUATION; THIS ALSO APPLIES TO PROFILING BASED ON THESE PROVISIONS. THE RESPECTIVE LEGAL BASIS ON WHICH PROCESSING IS BASED CAN BE FOUND IN THIS PRIVACY POLICY. IF YOU OBJECT, WE WILL NO LONGER PROCESS YOUR PERSONAL DATA CONCERNED UNLESS WE CAN DEMONSTRATE COMPELLING LEGITIMATE GROUNDS FOR THE PROCESSING WHICH OVERRIDE YOUR INTERESTS, RIGHTS AND FREEDOMS OR THE PROCESSING SERVES THE ESTABLISHMENT, EXERCISE OR DEFENCE OF LEGAL CLAIMS (OBJECTION PURSUANT TO ART. 21 PARA. 1 GDPR). IF YOUR PERSONAL DATA ARE PROCESSED FOR DIRECT MARKETING PURPOSES, YOU HAVE THE RIGHT TO OBJECT AT ANY TIME TO THE PROCESSING OF PERSONAL DATA CONCERNING YOU FOR THE PURPOSE OF SUCH MARKETING, WHICH INCLUDES PROFILING TO THE EXTENT THAT IT IS RELATED TO SUCH DIRECT MARKETING.

Right to lodge a complaint with the competent supervisory authority

In the event of violations of the GDPR, data subjects have the right to lodge a complaint with a supervisory authority, in particular in the Member State of their habitual residence, place of work or place of the alleged violation. The right to lodge a complaint is without prejudice to any other administrative or judicial remedy.

Right to data portability

You have the right to have data that we process automatically on the basis of your consent or in fulfilment of a contract handed over to you or to a third party in a commonly used, machine-readable format. If you request the direct transfer of the data to another controller, this will only take place if it is technically feasible.

SSL or TLS encryption

This site uses SSL or TLS encryption for security reasons and to protect the transmission of confidential content, such as orders or enquiries that you send to us as the site operator. You can recognise an encrypted connection by the fact that the address line of the browser changes from "http://" to "https://" and by the lock symbol in your browser line. If SSL or TLS encryption is activated, the data you transmit to us cannot be read by third parties.

Information, erasure and rectification

Within the framework of the applicable legal provisions, you have the right at any time to request information free of charge.

Right to restriction of processing

You have the right to request the restriction of the processing of your personal data. You can contact us at any time to do this. The right to restriction of processing exists in the following cases:

- If you dispute the accuracy of your personal data stored by us, we generally need time to verify this. For the duration of the review, you have the right to request that the processing of your personal data be restricted.

- If the processing of your personal data was/is unlawful, you can request the restriction of data processing instead of erasure.

- If we no longer need your personal data, but you need it for the exercise, defence or assertion of legal claims, you have the right to request the restriction of the processing of your personal data instead of its erasure.

- If you have lodged an objection in accordance with Art. 21 para. 1 GDPR, a balance must be struck between your interests and ours. As long as it has not yet been determined whose interests prevail, you have the right to request the restriction of the processing of your personal data.

If you have restricted the processing of your personal data, this data - apart from its storage - may only be processed with your consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the European Union or of a Member State.

4. Data collection on this website

Cookies

Our Internet pages use so-called "cookies". Cookies are small text files and do not cause any damage to your end device. They are stored on your device either temporarily for the duration of a session (session cookies) or permanently (permanent cookies). Session cookies are automatically deleted at the end of your visit. Permanent cookies remain stored on your end device until you delete them yourself or they are automatically deleted by your web browser.

In some cases, cookies from third-party companies may also be stored on your device when you visit our website (third-party cookies). These enable us or you to use certain services of the third-party company (e.g. cookies for processing payment services).

Cookies have various functions. Many cookies are technically necessary, as certain website functions would not work without them (e.g. the shopping basket function or the display of videos). Other cookies are used to evaluate user behaviour or display advertising.

Cookies that are required to carry out the electronic communication process (necessary cookies) or to provide certain functions that you have requested (functional cookies, e.g. for the shopping basket function) or to optimise the website (e.g. cookies to measure the web audience) are stored on the basis of Art. 6 para. 1 lit. f GDPR, unless another legal basis is specified. The website operator has a legitimate interest in the storage of cookies for the technically error-free and optimised provision of its services. If consent to the storage of cookies has been requested, the cookies in question are stored exclusively on the basis of this consent (Art. 6 para. 1 lit. a GDPR); consent can be revoked at any time.

You can set your browser so that you are informed about the setting of cookies and only allow cookies in individual cases, exclude the acceptance of cookies for certain cases or in general and activate the automatic deletion of cookies when closing the browser. If cookies are deactivated, the functionality of this website may be restricted.

If cookies are used by third-party companies or for analysis purposes, we will inform you about this separately in this privacy policy and, if necessary, request your consent.

This website uses cookies. We use cookies to optimise content and advertisements.

By law, we can store cookies on your device if they are absolutely necessary for the operation of this site. We need your permission for all other types of cookies.

This site uses different types of cookies. Some cookies are placed by third parties that appear on our pages.

You can change or withdraw your consent at any time from the cookie statement on our website.

Find out more about who we are, how you can contact us and how we process personal data in our Privacy Policy.

Please provide your consent ID and date if you wish to contact us regarding your consent.

Cookie consent with Usercentrics

This website uses Usercentrics' cookie consent technology to obtain your consent to the storage of certain cookies on your device or to the use of certain technologies and to document this in compliance with data protection regulations. The provider of this technology is Usercentrics GmbH, Rosental 4, 80331 Munich, Germany, website: https://usercentrics.com/de/ (hereinafter referred to as "Usercentrics").

When you visit our website, the following personal data is transmitted to Usercentrics:

- Your consent(s) or the revocation of your consent(s)

- your IP address

- Information about your browser

- Information about your end device

- Time of your visit to the website

In addition, Usercentrics stores a cookie in your browser in order to be able to assign the consents given or their revocation to you. The data collected in this way is stored until you ask us to delete it, delete the Usercentrics cookie yourself or the purpose for storing the data no longer applies. Mandatory statutory retention obligations remain unaffected.

Usercentrics is used to obtain the legally required consent for the use of certain technologies. The legal basis for this is Art. 6 para. 1 lit. c GDPR.

Contract on order processing

We have concluded an order processing contract with Usercentrics. This is a contract required by data protection law, which ensures that Usercentrics processes the personal data of our website visitors only in accordance with our instructions and in compliance with the GDPR.

Contact form

If you send us enquiries via the contact form, your details from the enquiry form, including the contact details you provide there, will be stored by us for the purpose of processing the enquiry and in the event of follow-up questions. We will not pass on this data without your consent.

This data is processed on the basis of Art. 6 para. 1 lit. b GDPR if your enquiry is related to the fulfilment of a contract or is necessary for the implementation of pre-contractual measures. In all other cases, the processing is based on our legitimate interest in the effective processing of the enquiries addressed to us (Art. 6 para. 1 lit. f GDPR) or on your consent (Art. 6 para. 1 lit. a GDPR) if this has been requested.

We will retain the data you provide on the contact form until you request its deletion, revoke your consent for its storage, or the purpose for its storage no longer pertains (e.g. after fulfilling your request). Mandatory statutory provisions - in particular retention periods - remain unaffected.

Enquiry by e-mail, telephone or fax

If you contact us by e-mail, telephone or fax, your enquiry including all personal data (name, enquiry) will be stored and processed by us for the purpose of processing your request. We will not pass on this data without your consent.

This data is processed on the basis of Art. 6 para. 1 lit. b GDPR if your enquiry is related to the fulfilment of a contract or is necessary for the implementation of pre-contractual measures. In all other cases, the processing is based on our legitimate interest in the effective processing of the enquiries addressed to us (Art. 6 para. 1 lit. f GDPR) or on your consent (Art. 6 para. 1 lit. a GDPR) if this has been requested.

The data you send to us via contact requests will remain with us until you ask us to delete it, revoke your consent to storage or the purpose for data storage no longer applies (e.g. after your request has been processed). Mandatory statutory provisions - in particular statutory retention periods - remain unaffected.

5. analysis tools and advertising

Google Analytics

This website uses functions of the web analysis service Google Analytics. The provider is Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Ireland.

Google Analytics enables the website operator to analyse the behaviour of website visitors. In doing so, the website operator receives various usage data, such as page views, length of visit, operating systems used and origin of the user. This data may be summarised by Google in a profile that is assigned to the respective user or their end device.

We can also use Google Analytics to record your mouse and scroll movements and clicks, among other things. Google Analytics also uses various modelling approaches to supplement the data records collected and uses machine learning technologies for data analysis.

Google Analytics uses technologies that enable the recognition of the user for the purpose of analysing user behaviour (e.g. cookies or device fingerprinting). The information collected by Google about the use of this website is generally transmitted to a Google server in the USA and stored there.

The use of this analysis tool is based on Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in analysing user behaviour in order to optimise both its website and its advertising. If a corresponding consent has been requested (e.g. consent to the storage of cookies), the processing is carried out exclusively on the basis of Art. 6 para. 1 lit. a GDPR; the consent can be revoked at any time.

Data transfer to the USA is based on the standard contractual clauses of the EU Commission. You can find details here: https://privacy.google.com/businesses/controllerterms/mccs/.

IP anonymisation

We have activated the IP anonymisation function on this website. This means that your IP address will be truncated by Google within member states of the European Union or in other signatory states to the Agreement on the European Economic Area before being transmitted to the USA. Only in exceptional cases will the full IP address be transmitted to a Google server in the USA and truncated there. On behalf of the operator of this website, Google will use this information to analyse your use of the website, to compile reports on website activity and to provide the website operator with other services relating to website activity and internet usage. The IP address transmitted by your browser as part of Google Analytics will not be merged with other Google data.

Browser plugin

You can prevent the collection and processing of your data by Google by downloading and installing the browser plugin available at the following link: https://tools.google.com/dlpage/gaoptout?hl=de. You can find more information on how Google Analytics handles user data in Google's privacy policy: https://support.google.com/analytics/answer/6004245?hl=de.

Order processing

We have concluded an order processing contract with Google and fully implement the strict requirements of the German data protection authorities when using Google Analytics.

Storage duration

Data stored by Google at user and event level that is linked to cookies, user IDs or advertising IDs (e.g. DoubleClick cookies, Android advertising ID) is anonymised or deleted after 2 months. For details, please see the following link: https://support.google.com/analytics/answer/7667196?hl=de

6. plugins and tools

Adobe Fonts

This website uses web fonts from Adobe for the standardised display of certain fonts. The provider is Adobe Systems Incorporated, 345 Park Avenue, San Jose, CA 95110-2704, USA (Adobe).

When you access this website, your browser loads the required fonts directly from Adobe in order to display them correctly on your device. In doing so, your browser establishes a connection to Adobe's servers in the USA. This gives Adobe knowledge that this website has been accessed via your IP address. According to Adobe, no cookies are stored when the fonts are provided.

The data is stored and analysed on the basis of Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in the uniform presentation of the typeface on its website. If a corresponding consent has been requested (e.g. consent to the storage of cookies), the processing is carried out exclusively on the basis of Art. 6 para. 1 lit. a GDPR; the consent can be revoked at any time.

Data transfer to the USA is based on the standard contractual clauses of the EU Commission.

Details can be found here: https://www.adobe.com/de/privacy/eudatatransfers.html.

You can find more information about Adobe Fonts at: https://www.adobe.com/de/privacy/policies/adobe-fonts.html.

You can find Adobe's privacy policy at: https://www.adobe.com/de/privacy/policy.html

Produkt Auftragsverarbeitungsvereinbarung

Zwischen dem Kunden (als Verantwortliche/r nachfolgend „Auftraggeber“) und doinstruct software GmbH, Rheinstraße 10, 49090 Osnabrück (als Auftragsverarbeiterin nachfolgend „Auftragnehmerin“, Auftraggeber und Auftragnehmerin nachfolgend jeweils auch „PARTEI“ und zusammen kurz „PARTEIEN“) wird folgende Auftragsverarbeitungsvereinbarung Art. 28 Datenschutz-Grundverordnung (DS-GVO) abgeschlossen.

Präambel

A) Die Auftragnehmerin bietet eine video-basierte, digitale Plattform für das Onboarding und die Schulung von Mitarbeitern des Auftraggebers an, welche es diesem ermöglicht, themenbezogene Inhalte und Tests mittels einer Web-App über das Internet, internetfähige Fernseher, Computer, Smartphones und andere Geräte abzurufen und zu absolvieren („Hauptvertrag/AGB“).


B) Im Rahmen der Durchführung des Hauptvertrages werden personenbezogene Daten im Sinne der Datenschutz-Grundverordnung („DS-GVO“) verarbeitet. Aus diesem Grund schließen die Parteien zur Erfüllung der Anforderungen der DS-GVO, nach Ausverhandlung, die nachfolgende Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO.

1.  Allgemeines

1.1 Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass die Auftragnehmerin Zugriff auf personenbezogene Daten des Auftraggebers, insbesondere von dessen Mitarbeitern, erhält und diese ausschließlich im Auf-trag und nach Weisung des Auftraggebers im Sinne des Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.

1.2 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzgesetzes, insbesondere für die Rechtsmäßigkeit der Datenweitergabe an die Auftragnehmerin sowie für die Rechtsmäßigkeit der Datenverarbeitung allein verantwortlich im Sinne des Art. 4 Nr. 7 DS-GVO.

1.3 Für die in dieser Vereinbarung benutzten Begriffe, für die Art. 4 DS-GVO eine Begriffsbestimmung vorsieht, gilt diese gesetzliche Definition in der im Zeitpunkt des Vertragsschlusses geltenden Fassung.

2.  Gegenstand/Umfang der Beauftragung

2.1 Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus dem Hauptvertrag sowie aus der Anlage 2.1.

2.2 Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrages vor.

2.3 Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht über die Laufzeit des Hauptvertrages hinausgehende Verpflichtungen ergeben. Eine Kündigung des Hauptvertrages gilt im Zweifel auch als Kündigung dieser Vereinbarung.

2.4 Die Vereinbarung bleibt über das Ende des Hauptvertrages so lange gültig, wie die Auftragnehmerin über personenbezogene Daten verfügt, die ihr vom Auftraggeber zugeleitet wurden oder die sie für diesen erhoben hat.  

2.5 Die Verarbeitung der im Auftrag des Auftraggebers verarbeiteten Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Bei einer Verarbeitung der im Auftrag des Auftraggebers verarbeiteten Daten in einem Drittland, hat die Auftragnehmerin in der ihr zumutbaren Weise sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln).

3.  Weisungsbefugnisse des Auftraggebers

3.1 Die Auftragnehmerin verarbeitet die im Auftrag des Auftraggebers verarbeiteten Daten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und entsprechend den dokumentieren Weisungen des Auftraggebers iSv Art. 28 DS-GVO. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern sie nicht durch das Recht der Union oder der Mitgliedstaaten, dem die Auftragnehmerin unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt die Auftragnehmerin dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in einem elektronischen Format („Textform“) erteilt; mündlich erteilte Weisungen sind unverzüglich schriftlich zu bestätigen.

3.3 Ist die Auftragnehmerin der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat sie den Auftraggeber unverzüglich darauf hinzuweisen. Die Auftragnehmerin ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

4.  Pflichten

4.1 Die Auftragnehmerin ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

4.2 Ferner wird die Auftragnehmerin alle Personen, die von ihr mit der Bearbeitung und der Erfüllung dieser Vereinbarung betraut werden, in Schriftform zur Vertraulichkeit verpflichten und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen.

4.3 Die Auftragnehmerin wird ihre innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der im Auftrag des Auftraggebers verarbeiteten Daten gem. Art. 32 DS-GVO, insbesondere die in Anlage 4.3 zu dieser Vereinbarung aufgeführten Maß-nahmen, zu ergreifen und diese für die Dauer der Verarbeitung der im Auftrag des Auftraggebers verarbeiteten Daten aufrecht zu erhalten. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwor-tung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

4.4 Eine Änderung der in der Anlage 4.3 getroffenen technischen und organisatorischen Maßnahmen bleibt der Auftragnehmerin vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

5.  Informations- und Unterstützungspflichten

5.1 Die Auftragnehmerin unterstützt den Auftraggeber im Rahmen ihrer Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten.

5.2 Die Auftragnehmerin unterrichtet den Auftraggeber unverzüglich, wenn ihr Verlet-zungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Die Auftragnehmerin trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

5.3 Der Auftraggeber hat die Auftragnehmerin unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

5.4 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich die Auftragnehmerin den Auftraggeber bei der Abwehr des Anspruches im Rahmen ihrer Möglichkeiten zu unterstützen. Entsprechendes gilt für den Auftraggeber im Falle ei-ner Inanspruchnahme der Auftragnehmerin durch eine betroffene Person.

6.  Sonstige Verpflichtungen der Auftragnehmerin

Sollten die im Auftrag des Auftraggebers verarbeiteten Daten bei der Auftragnehme-rin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsver-fahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragnehmerin den Auftraggeber unverzüglich darüber zu informieren, so-fern ihr dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Die Auftragnehmerin wird in diesem Zusammenhang alle zuständigen Stellen unverzüg-lich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DS-GVO liegt.

7.  Subunternehmerverhältnisse (weitere Auftragsverarbeiter)

7.1 Die Auftragnehmerin setzt die in der Anlage 7.1 aufgeführten Subunternehmer ein. Im Übrigen bedarf die Einschaltung weiterer Subunternehmer der schriftlichen Zustimmung des Auftraggebers. Der Auftraggeber darf seine Zustimmung nicht ohne wichtigen datenschutzrechtlichen Grund verweigern. Die Auftragnehmerin hat dafür Sorge zu tragen, dass die in dieser Vereinbarung vereinbarten Regelungen auch gegenüber den von ihr beauftragten Subunternehmen gelten, wobei dem Auftraggeber gegenüber dem Subunternehmer sämtliche Kontrollrechte gemäß der folgenden Ziffer 8. dieser Vereinbarung einzuräumen sind. Die Beauftragung von Subunternehmern in Drittstaaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums setzt die Einhaltung der Art. 44 ff. DS-GVO voraus.

7.2 Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn die Auftragnehmerin Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die die Auftragnehmerin für den Auftraggeber er-bringt, sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht der Auftragnehmerin, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

8.  Kontrollrechte

8.1 Die Auftragnehmerin weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten mit geeigneten Mitteln nach.

8.2 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Die Auftragnehmerin darf die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragten Prüfer in einem Wettbewerbsverhältnis zu der Auftragnehmerin stehen, hat die Auftragnehmerin gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf die Auftragnehmerin eine angemessene Vergütung verlangen.

8.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Ziffern 8.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

9.  Rechte Betroffener

9.1 Die Auftragnehmerin unterstützt den Auftraggeber im Rahmen ihrer Möglichkeiten auf Weisung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO.

9.2 Macht eine betroffene Person ihre Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist die Auftragnehmerin dazu verpflichtet, die im Auftrag des Auftraggebers verarbeiteten Daten auf schriftliche Weisung des Auftraggebers unverzüglich, zu berichtigen, löschen oder einzuschränken.

9.3 Macht eine betroffene Person ihre Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich ihrer Daten, unmittelbar gegenüber der Auftragnehmerin geltend, wird die Auftragnehmerin dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen schriftlichen Weisungen ab. Ohne entsprechende schriftliche Einzelweisung wird die Auftragnehmerin nicht mit der betroffenen Per-son in Kontakt treten.

9.4 Die Auftragnehmerin haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

10. Löschung und Rückgabe nach Vertragsende

10.1 Die Auftragnehmerin wird dem Auftraggeber nach Beendigung des Hauptvertrags nach dessen Wahl alle ihr überlassenen Unterlagen, Daten und Datenträger zurückgeben oder, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der im Auftrag des Auftraggebers verarbeiteten Daten bei der Auftragnehmerin, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der im Auftrag des Auftraggebers verarbeiteten Daten dienen.

10.2 Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt die Auftragnehmerin die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht in dieser Vereinbarung anders vereinbart. Die hier-durch entstehenden Kosten sind von dem Auftraggeber zu tragen.

11. Schlussbestimmungen

11.1 Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise nichtig, unwirksam oder undurchsetzbar sein oder werden, wird die Wirksamkeit und Durchsetzbarkeit aller übrigen verbleibenden Bestimmungen davon nicht berührt. Die nichtige, unwirksame oder undurchsetzbare Bestimmung ist, soweit gesetzlich zulässig, als durch diejenige wirksame und durchsetzbare Bestimmung ersetzt anzusehen, die dem mit der nichtigen, unwirksamen oder nicht durchsetzbaren Bestimmung verfolgten wirtschaftlichen Zweck nach Gegenstand, Maß, Zeit, Ort und Geltungsbereich am nächsten kommt. Entsprechendes gilt für die Füllung etwaiger Lücken in dieser Vereinbarung. Den Parteien ist das Urteil des Bundesgerichtshofs vom 14. September 2002 (AZ KZR 10/01) bekannt. Es entspricht trotzdem der Absicht der Parteien, dass diese salvatorische Klausel nicht wesentlich eine Beweislastumkehr bewirkt, sondern § 139 BGB insgesamt – soweit wie rechtlich möglich – abbedungen sein soll.

11.2 Mündliche oder schriftliche Nebenabreden zu dieser Vereinbarung bestehen nicht. Änderungen dieser Vereinbarung und seiner Anlagen bedürfen der Schriftform.

11.3 Diese Vereinbarung unterliegt deutschem Recht.

11.4 Die Parteien vereinbaren für alle aus oder im Zusammenhang mit dieser Vereinbarung entstehenden Streitigkeiten Osnabrück als Gerichtsstand.

Anlagen:

Anlage 2.1 Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen

Anlage 4.3 Geeignete technische und organisatorische Maßnahmen

Anlage 7.1 Eingesetzte Subunternehmer

 

Anlage 2.1  Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen
1.  Gegenstand und Zweck der Verarbeitung

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:

Erfassung von Informationen (z.B. Kleidergrößen) von Mitarbeitern im Zuge digitaler Schulungen in unserer Web-App. Für die Bereitstellung der digitalen Schulungen werden vom Auftraggeber folgende Daten zur Verfügung gestellt:

-   Vorname, Nachname
-   Telefonnummer
-   E-Mail Adresse
-   Status
-   Datum erster Arbeitstag
-   Kostenstelle
-   Sprache
-   Mitarbeiter Nummer, aus dem System des Auftraggebers

2.  Art(en) der personenbezogenen Daten

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

-   Vorname, Nachname
-   Telefonnummer
-   E-Mail Adresse
-   Status
-   Datum erster Arbeitstag
-   Kostenstelle
-   Sprache
-   Mitarbeiter Nummer, aus dem System des Auftraggebers

3.  Kategorien betroffener Person

Kreis der von der Datenverarbeitung betroffenen Personen:
Mitarbeiter des Auftraggebers oder sonstige Nutzer

Anlage 4.3  Geeignete technische und organisatorische Maßnahmen

Zutrittskontrolle

• Zutrittskontrollsystem: Zutritt zu den Büroräumen nur mit Zutrittschip

• Chipvergabe ist zentral und organisatorisch klar geregelt: Mitarbeiter erhält Chip, Ausgabe wird im Office dokumentiert

• Klare Zuweisung der Berechtigungen:
–   GF: Alle Räume (Büroräume + Netzwerkverteiler-Räume)
–   MA: zu allen Büroräumen

• Verschließen von Schränken und Büros bei Nichtanwesenheit: Schränke mit sensiblen Daten werden verschlossen

Zugangskontrolle

• Dezidiertes Kennwortverfahren zum Login, klare Passwortregelung (bestimmte Länge, Kombination aus Buchstaben und Zahlen, keine Trivialpasswörter. Voreingestellte Passwörter müssen umgehend geändert werden.

Zugriffskontrolle

• Differenzierte Berechtigungen (Profile, Rollen)
–   Berechtigungen werden vergeben

• Differenziertes Ordnerkonzept (alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können).

Datentrennungskontrolle

• Trennung von Daten verschiedener Auftraggeber

Weitergabekontrolle

• Verschlüsselung

• Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt).
–   Ausdrucke nicht frei zugänglich im Drucker liegen lassen, direkt mitnehmen

• Regelung zum Einsatz von USB-Sticks und CD-ROMs
–   Es werden keine externen Datenträger mit vertraulichem/sensiblem Material, z.B. DVD, externe Festplatten, USB-Sticks usw. bei der DV verwendet.

Eingabekontrolle
   •   Protokollierungs- und Protokollauswertungssysteme werden eingesetzt, bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar
–   Office 365

• Zugriff auf Datenverarbeitungssysteme nur nach Login möglich

• Keine Weitergabe von Passwörtern

• Sperrung: manuelle Abmeldung beim Verlassen des Büros

Auftragskontrolle

• Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber

• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Verfügbarkeitskontrolle

• Regelmäßige Backup-Verfahren ist sichergestellt, Software wird bei jedem Release gesichert

• Virenschutz/Firewall nach aktuellem Stand der Technik

• Notfallplan besteht

Sonstiges

• Checkliste für den Ein-/Austritt von Mitarbeitern (Berechtigung, Schlüssel, Unterweisung)

•   Home-Office-Vereinbarung

Anlage 7.1 Eingesetzte Subunternehmer

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy

L-1855, Luxemburg

Wir nutzen ausschließlich die Region „eu-central-1“ (Frankfurt am Main) und speichern alle Daten in verschlüsselter Form.