Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag wird abgeschlossen zwischen EasyLMS B.V. („Auftragsverarbeiter“) und seinen Kunden (der Kunde ist der „Verantwortliche“), für den es personenbezogene Daten als Auftragsverarbeiter verarbeitet;

Im Folgenden jeweils eine „Partei“ und gemeinsam die „Parteien“;

Präambel:

A. Dieser Auftragsverarbeitungsvertrag bildet einen integralen Bestandteil der Geschäftsbedingungen von Easy LMS („Geschäftsbedingungen“) sowie der Vereinbarung zwischen Auftragsverarbeiter und dem Verantwortlichen in Bezug auf das vom Auftragsverarbeiter dem Verantwortlichen angebotene Online-Lernmanagementsystem (der „Dienste“ bzw. die „Dienste“);

B. Damit der Verantwortliche und seine Teilnehmer die Dienste nutzen können, muss der Auftragsverarbeiter die personenbezogenen Daten („personenbezogene Daten“) der Mitarbeiter des Verantwortlichen und/oder anderer Teilnehmer verarbeiten (gemeinsam: „betroffene Personen“), die den vom Verantwortlichen in den Diensten erstellten Inhalt nutzen;

C. Die Kategorien personenbezogener Daten sowie weitere Einzelheiten zur Verarbeitung der personenbezogenen Daten sind in Anhang 1 zu diesem Auftragsverarbeitungsvertrag beschrieben;

D. Die Datenschutz-Grundverordnung (VERORDNUNG [EU 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) („DSGVO“) gilt für die Verarbeitung der personenbezogenen Daten;

E. Auf der Grundlage der DSGVO sind die Parteien verpflichtet, diesen Auftragsverarbeitungsvertrag abzuschließen.

1. Begriffserklärungen

1.1. Neben den oben definierten Begriffen haben die folgenden Begriffe die folgenden Bedeutungen:

1.2. „Datenschutzbehörde“: eine zuständige Datenschutzbehörde.

1.3. „EWR“: der Europäische Wirtschaftsraum.

1.4. „Verletzung des Schutzes personenbezogener Daten“: ein Sicherheitsverstoß, der zur unbeabsichtigten oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, unbefugten Offenlegung oder zum Zugriff auf die personenbezogenen Daten führt.

1.5. „Verarbeitung“: Diese Verarbeitungshandlungen werden mit den personenbezogenen Daten gemäß der DSGVO durchgeführt, einschließlich, jedoch nicht beschränkt auf das Speichern, Anzeigen, Abtrennen, Löschen, Ändern, Weiterleiten der Daten.

1.6. „Anhang“: ein Anhang zu diesem Auftragsverarbeitungsvertrag.

1.7. „Dienstleistungsvereinbarung“: die Vereinbarung, auf deren Grundlage die Dienstleistungen erbracht werden, die aus den Geschäftsbedingungen und/oder einer anderen Art von Vereinbarung bestehen können.

1.8. „Unterauftragsverarbeiter“: ein Dritter, an den der Auftragsverarbeiter die Verarbeitung der personenbezogenen Daten ganz oder teilweise auslagert.

2. Allgemeine Verpflichtungen

2.1. In Bezug auf die personenbezogenen Daten ergreift der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen, um die Einhaltung der DSGVO und den Schutz der Rechte der betroffenen Personen sicherzustellen.

2.2. Der Verantwortliche erklärt, dass er die DSGVO in Bezug auf die personenbezogenen Daten, die vom Auftragsverarbeiter verarbeitet werden, einhält. Es liegt in der Verantwortung des Verantwortlichen, die geltenden Gesetze zum Schutz personenbezogener Daten in Bezug auf die im Dienst erstellten oder hochgeladenen personenbezogenen Daten einzuhalten. Dies umfasst unter anderem die Verfügung über die rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten (z. B. gültige Einwilligung, wenn erforderlich), das Informieren der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten und die Sicherstellung, dass die betroffenen Personen das gesetzliche Mindestalter für die Übermittlung ihrer personenbezogenen Daten erreicht haben, falls zutreffend.

3. Verarbeitung ausschließlich nach den Anweisungen des Verantwortlichen

3.1. Der Zweck der Verarbeitung durch den Auftragsverarbeiter besteht darin, dem Auftragsverarbeiter die Erbringung der Dienste zu ermöglichen.

3.2. Der Auftragsverarbeiter wird die personenbezogenen Daten nur gemäß den schriftlichen Anweisungen des Verantwortlichen verarbeiten. Diese Anweisungen sind die in Anhang 1 festgelegten Verarbeitungstätigkeiten oder andere angemessene schriftliche Anweisungen des Verantwortlichen (die auch per E-Mail erfolgen können). Der Auftragsverarbeiter kann die personenbezogenen Daten nur außerhalb der Anweisungen des Verantwortlichen verarbeiten, wenn dies erforderlich ist, um einer anwendbaren rechtlichen Verpflichtung nachzukommen. In diesem Fall gilt Artikel 3.3.

3.3. Sollte der Auftragsverarbeiter gesetzlich verpflichtet sein, gemäß europäischem Recht personenbezogene Daten offenzulegen, so wird der Auftragsverarbeiter den Verantwortlichen umgehend benachrichtigen und die entsprechende rechtliche Anforderung mitteilen, es sei denn, die rechtliche Anforderung verbietet dem Auftragsverarbeiter aus wichtigen Gründen des öffentlichen Interesses eine solche Benachrichtigung. Wenn es dem Auftragsverarbeiter nicht untersagt ist, den Verantwortlichen zu benachrichtigen, wird der Auftragsverarbeiter davon absehen, personenbezogene Daten offenzulegen, bis der Verantwortliche Schritte unternommen hat, um eine Schutzanordnung oder andere geeignete Maßnahme zu erhalten. Wird eine solche Schutzanordnung nicht eingeholt, so hat der Auftragsverarbeiter nur die personenbezogenen Daten zu übermitteln, von denen er durch rechtzeitige schriftliche Mitteilung an den Verantwortlichen in Kenntnis gesetzt wird, oder, falls eine solche rechtzeitige Mitteilung nicht erfolgt, hat der Auftragsverarbeiter die personenbezogenen Daten zu übermitteln, von denen er annimmt, dass sie gemäß den gesetzlichen Anforderungen erforderlich sind.

3.4. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn seiner Meinung nach eine Anweisung des Verantwortlichen gegen die DSGVO verstößt. In diesem Fall muss der Auftragsverarbeiter der Anweisung nicht nachkommen.

4. Unterstützung des Verantwortlichen

4.1. Der Auftragsverarbeiter soll die vom Verantwortlichen in angemessener Weise angeforderte Unterstützung bereitstellen, um:

(i) unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies möglich ist, um die Verpflichtungen des Verantwortlichen zu erfüllen, auf die Anträge der betroffenen Personen auf Ausübung ihrer Rechte zu reagieren, soweit der Auftragsverarbeiter dies angesichts der Dienstleistungen tatsächlich tun kann. Falls der Auftragsverarbeiter eine Anfrage von einer betroffenen Person erhält, leitet er diese Anfrage an den Verantwortlichen weiter und der Verantwortliche wird die Anfrage weiter bearbeiten;

(ii) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen den Verantwortlichen bei der Erfüllung seiner Verpflichtungen in Bezug auf Sicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten (siehe Artikel 5.4), Untersuchungen der Datenschutzbehörden, Datenschutz-Folgenabschätzungen und vorherige Konsultationen zu unterstützen, sofern dies erforderlich ist.

5. Sicherheitsmaßnahmen und Verletzungen des Schutzes personenbezogener Daten

5.1. Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen setzt der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen um, um ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung verbundenen Risiko angemessen ist.

5.2. Der Verantwortliche versichert und garantiert, dass er betroffene Personen nicht auffordern wird, personenbezogene Daten an den Dienst zu übermitteln, die nach geltendem Recht als besondere Kategorien oder sensible personenbezogene Daten gelten. Dies betrifft beispielsweise: Daten im Zusammenhang mit Gesundheit, religiösen Überzeugungen, politischen Meinungen, ethnischer Herkunft, sexueller Vorliebe oder sexuellem Verhalten, Mitgliedschaft in Gewerkschaften, Vorstrafen, biometrische Daten zur Identifizierungszwecken, genetische Daten. Die Sicherheitsmaßnahmen des Dienstes sind für diese Arten von personenbezogenen Daten ungeeignet.

5.3. Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen ergriffen, um sicherzustellen, dass nur diejenigen Personen innerhalb seiner Organisation auf die personenbezogenen Daten zugreifen können, die für die Erbringung der Dienstleistungen Zugriff darauf haben müssen, zum Beispiel durch Begrenzung der Anzahl der Personen mit Zugriffsrechten.

5.4. Auf seiner Website stellt der Auftragsverarbeiter Informationen über seine Sicherheitsmaßnahmen zur Verfügung. Zusätzlich wird der Auftragsverarbeiter auf Anfrage des Verantwortlichen eine Übersicht der zum Zeitpunkt der Anfrage vorhandenen Sicherheitsmaßnahmen vorlegen. Der Verantwortliche kann eine solche Anfrage einmal pro Kalenderjahr stellen, es sei denn, es gibt einen triftigen Grund, die Anfrage häufiger zu stellen, zum Beispiel im Falle einer Verletzung des Schutzes personenbezogener Daten.

5.5. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Diese Mitteilung muss:

(i) die verfügbaren Informationen in Bezug auf die Verletzung des Schutzes personenbezogener Daten enthalten, einschließlich, aber nicht beschränkt auf eine Beschreibung der Verletzung des Schutzes personenbezogener Daten, deren Ursache, die Kategorien, die Art und die (geschätzte) Menge der betroffenen personenbezogenen Daten und betroffenen Personen sowie den Umfang der Verletzung des Schutzes personenbezogener Daten;

(ii) die Auswirkungen der Verletzung des Schutzes personenbezogener Daten auf den Verantwortlichen und die betroffenen Personen erläutern;

(iii) die vom Auftragsverarbeiter, dem Verantwortlichen und/oder den betroffenen Personen ergriffenen oder zu ergreifenden Abhilfemaßnahmen sowie den Zeitplan für den Abschluss dieser Maßnahmen erläutern.

5.6. Der Auftragsverarbeiter wird die von dem Verantwortlichen in angemessener Weise geforderte Zusammenarbeit leisten und die in seiner Verfügungsgewalt befindlichen Informationen im Zusammenhang mit der Meldung der Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde und ggf. an die betroffenen Personen übermitteln.

5.7. Der Auftragsverarbeiter kann nicht verpflichtet werden, eine Verletzung des Schutzes personenbezogener Daten an eine Datenschutzaufsichtsbehörde oder an die betroffenen Personen zu melden, es sei denn, der Auftragsverarbeiter stimmt ausdrücklich schriftlich der Meldung im Falle einer bestimmten Verletzung des Schutzes personenbezogener Daten zu.

5.8. Um die Dienste nutzen zu können, muss der Verantwortliche sich mit seinen Anmeldedaten in sein Konto einloggen. Der Verantwortliche muss diese Anmeldedaten sicher und vertraulich aufbewahren, da sie Zugriff auf die personenbezogenen Daten ermöglichen. Es liegt auch in der Verantwortlichkeit des Verantwortlichen sicherzustellen, dass die betroffenen Personen, die den Dienst nutzen, ihre eigenen Anmeldeinformationen sicher und vertraulich aufbewahren, da dies Zugriff auf ihre eigenen personenbezogenen Daten ermöglicht.

6. Vertraulichkeit

6.1. Der Auftragsverarbeiter muss die Vertraulichkeit in Bezug auf die personenbezogenen Daten berücksichtigen.

6.2. Im Hinblick auf das Vorstehende:

(i) darf der Auftragsverarbeiter die personenbezogenen Daten nicht an Dritte weitergeben, es sei denn, dies ist ausdrücklich in diesem Auftragsverarbeitungsvertrag gestattet;

(ii) hat der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umgesetzt, um sicherzustellen, dass jede Person, die Zugriff auf die personenbezogenen Daten hat, über die Vertraulichkeit informiert wird und daran gebunden ist.

7. Unterauftragnehmer

7.1. Auftragsverarbeiter verwendet Unterauftragsverarbeiter, die die personenbezogenen Daten verarbeiten. Auf Anforderung des Verantwortlichen wird der Auftragsverarbeiter die Namen und Standorte der Unterauftragsverarbeiter vorlegen. Wenn der Auftragsverarbeiter beabsichtigt, einen weiteren oder zusätzlichen Unterauftragsverarbeiter zur Verarbeitung der personenbezogenen Daten einzustellen, muss er den Verantwortlichen im Voraus darüber informieren, einschließlich des Datums, an der Unterauftragsverarbeiter die Verarbeitungstätigkeiten aufnimmt. Der Verantwortliche kann der Änderung oder Ergänzung innerhalb von sieben (7) Arbeitstagen nach der Mitteilung widersprechen. Wenn die Verarbeitung der personenbezogenen Daten durch eine solche Änderung oder Ergänzung nicht nachteilig beeinflusst wird, wird der Verantwortliche keine angemessenen Einwände erheben, so dass der Auftragsverarbeiter die Dienste weiterhin anbieten kann. Wenn der Verantwortliche rechtzeitig widerspricht und der Auftragsverarbeiter die Dienste nicht innerhalb von vierzehn (14) Tagen nach dem Widerspruch des Verantwortlichen ändern kann, können der Verantwortliche und/oder der Auftragsverarbeiter die Dienste und die Dienstleistungsvereinbarung kündigen, und der Auftragsverarbeiter erstattet dem Verantwortlichen gegebenenfalls die im Voraus gezahlten Gebühren für den verbleibenden Abonnementzeitraum, in dem der Dienst eingestellt wird. Gemäß dem Startdatum der neuen Verarbeitungstätigkeiten des Unterauftragsverarbeiters wird Anhang 2 aktualisiert (oder als aktualisiert angesehen) mit den benachrichtigten Informationen über den neuen Unterauftragsverarbeiter; falls es sich um einen Unterauftragsverarbeiter handelt, der personenbezogene Daten außerhalb des EWR verarbeitet, gilt außerdem Artikel 8.

7.2. Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter:

(i) erklären, angemessene technische und organisatorische Maßnahmen implementiert zu haben, um die Einhaltung der DSGVO und den Schutz der Rechte der betroffenen Personen sicherzustellen;

(ii) schriftlich verpflichtet sind, die gleichen Verpflichtungen zu erfüllen, die in diesem Auftragsverarbeitungsvertrag festgelegt sind und die für die Verarbeitungstätigkeiten des Unterauftragsverarbeiters relevant sind.

7.3. Zur Vermeidung von Zweifeln: Wenn der Verantwortliche über die Dienste Funktionen nutzt, bei denen eine Verbindung mit Diensten hergestellt wird, die dem Verantwortlichen von Dritten angeboten werden, sind diese Dritten keine Unterauftragsverarbeiter des Auftragsverarbeiters; vielmehr steht der Verantwortliche in einem direkten Rechtsverhältnis zu diesen Dritten. Zum Beispiel können diese Drittanbieter soziale Medienplattformen, E-Mail-Anbieter und Dienstleister des Verantwortlichen sein, bei denen der Verantwortliche über ein eigenes Konto verfügt, das Daten über Integrationen in der Plattform empfängt.

8. Datenexport (Übertragungen außerhalb des EWR)

8.1. Der Auftragsverarbeiter überträgt personenbezogene Daten in das Land oder die Länder (falls vorhanden), die in Anhang 2 aufgeführt sind.

8.2. Der Auftragsverarbeiter stellt sicher, dass die Länder oder Parteien, an die die personenbezogenen Daten übermittelt werden, ein angemessenes Schutzniveau bieten. Ist dies nicht der Fall und ist die Mitwirkung des Verantwortlichen erforderlich, erklärt sich der Verantwortliche bereit, die vom Auftragsverarbeiter geforderte Mitwirkung zu leisten, um einen der in der DSGVO vorgesehenen Übermittlungsmechanismen für die Übermittlung in ein solches Land ohne angemessenes Schutzniveau zu veranlassen, wobei der Auftragsverarbeiter und/oder der Unterauftragsverarbeiter, falls erforderlich, zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten ergreift.

9. Berichterstattung, Prüfungsrechte

9.1. Der Auftragsverarbeiter wird dem Verantwortlichen unter den in diesem Artikel festgelegten Geschäftsbedingungen Zugang zu seiner Verwaltung gewähren, damit der Verantwortliche den Auftragsverarbeiter auf die Einhaltung der Geschäftsbedingungen dieses Auftragsverarbeitungsvertrags überprüfen kann. Der Auftragsverarbeiter gewährt dem Verantwortlichen keinen Zugriff auf personenbezogene Daten außer der Daten der betroffenen Personen.

9.2. Der Verantwortliche kann einen Dritten mit der Durchführung der Prüfung beauftragen. Der Verantwortliche wird in diesem Fall sicherstellen, dass die dritte Partei verpflichtet ist, die Informationen des Auftragsverarbeiters, auf die die dritte Partei im Zusammenhang mit der Prüfung Zugriff hat, vertraulich zu behandeln und diese nicht an Dritte weiterzugeben.

9.3. Der Verantwortliche darf sein Prüfungsrecht gemäß dieser Klausel nicht öfter als einmal pro Kalenderjahr in Anspruch nehmen. Der Verantwortliche wird den Auftragsverarbeiter mindestens zwei Wochen im Voraus über die Prüfung informieren, um dem Auftragsverarbeiter die Vorbereitung darauf zu ermöglichen.

9.4. Wenn die Prüfung ergibt, dass der Auftragsverarbeiter seinen Verpflichtungen gemäß dieses Auftragsverarbeitungsvertrags nicht nachkommt, ergreift der Auftragsverarbeiter die vom Verantwortlichen in angemessenem Maße geforderten Maßnahmen, um diesen Verpflichtungen nachzukommen.

10. Laufzeit und Beendigung

10.1. Dieser Auftragsverarbeitungsvertrag hat die gleiche Laufzeit wie die Dienstleistungsvereinbarung. Dieser Auftragsverarbeitungsvertrag endet daher mit der Beendigung der Dienstleistungsvereinbarung.

10.2. Wenn die Dienstleistungsvereinbarung keine Bestimmungen zur Beendigung vorsieht – und somit auch nicht für diesen Auftragsverarbeitungsvertrag – gelten die folgenden Kündigungsgründe: Jede Partei ist berechtigt, diesen Auftragsverarbeitungsvertrag für die Zukunft ohne Verpflichtung zur Zahlung von Schadenersatz zu kündigen, falls:

(i) die andere Partei einen Antrag auf Insolvenzschutz stellt oder dies von einer dritten Partei beantragt wird;

(ii) die andere Partei einen Antrag auf oder die Gewährung von Zahlungsaufschub beantragt;

(iii) die andere Partei ein Insolvenz- oder ähnliches Verfahren nach dem anwendbaren Recht beantragt oder ein Insolvenzverwalter für sie bestellt wird;

(iv) die andere Partei ihren Geschäftsbetrieb einstellt.

10.3. Die Parteien können jederzeit gemeinsam beschließen, diesen Auftragsverarbeitungsvertrag durch schriftliche Vereinbarung zu beenden.

11. Hilfe bei Vertragsbeendigung

11.1. Der Auftragsverarbeiter wird die personenbezogenen Daten während der Nutzung der Dienste durch den Verantwortlichen verarbeiten.

11.2. Der Verantwortliche muss sicherstellen, dass er die personenbezogenen Daten aus seinem Konto extrahiert und gelöscht hat, bevor er die Dienstleistungsvereinbarung beendet. Wenn der Auftragsverarbeiter das Konto des Verantwortlichen aufgrund der Nichteinhaltung der Dienstleistungsvereinbarung sperrt wird der Auftragsverarbeiter auf Antrag des Verantwortlichen, der innerhalb einer Frist von zehn (10) Tagen nach der Sperrung des Kontos gestellt werden muss, und nach Zahlung aller im Rahmen des Dienstleistungsvertrags noch fälligen Gebühren, dem Verantwortlichen die personenbezogenen Daten übergeben oder, nach Ermessen des Auftragsverarbeiters, dem Verantwortlichen während eines Zeitraums von drei (3) Tagen Zugang zu seinem Konto gewähren, ausschließlich um die personenbezogenen Daten zu extrahieren und zu löschen. Wenn der Verantwortliche nach Ablauf dieser Fristen die personenbezogenen Daten nicht gelöscht hat, behält sich der Auftragsverarbeiter das Recht vor, dies einseitig zu tun, und wird die personenbezogenen Daten nach zwei (2) Jahren löschen, es sei denn, der Auftragsverarbeiter ist gesetzlich verpflichtet, bestimmte personenbezogene Daten aufzubewahren. In letzterem Fall wird der Auftragsverarbeiter die personenbezogenen Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist löschen.

12. Sonstiges

12.1. Die Bestimmungen der Dienstleistungsvereinbarung gelten für die Verarbeitung der personenbezogenen Daten und haben Vorrang hinsichtlich der Klauseln, die nicht den Datenschutz betreffen, wie beispielsweise Haftung. Wenn die Dienstleistungsvereinbarung Datenschutzmaßnahmen enthält, hat dieser Auftragsverarbeitungsvertrag Vorrang vor solchen Maßnahmen.

12.2. Sollten die Aktivitäten des Auftragsverarbeiters im Zusammenhang mit diesem Auftragsverarbeitungsvertrag die normalen Aktivitäten des Auftragsverarbeiters für die Dienste überschreiten, hat der Auftragsverarbeiter Anspruch auf eine angemessene Vergütung, die auf der regulären Gebühr des Auftragsverarbeiters zu diesem Zeitpunkt basiert. Der Auftragsverarbeiter wird eine Spezifikation der in Rechnung gestellten Vergütung bereitstellen.

12.3. Dieser Auftragsverarbeitungsvertrag kann vom Auftragsverarbeiter gemäß den Bestimmungen in der Dienstleistungsvereinbarung geändert oder modifiziert werden.

12.4. Wenn eine Bestimmung dieses Auftragsverarbeitungsvertrags von einem zuständigen Gericht für ungültig oder nicht durchsetzbar erklärt wird, hat diese Entscheidung in keiner Weise Auswirkungen auf die Gültigkeit oder Durchsetzbarkeit einer anderen Bestimmung hierin, und dieser Auftragsverarbeitungsvertrag wird so interpretiert, als ob ein solcher Begriff oder eine solche Bestimmung nicht darin enthalten wären.

12.5. Die Erwägungen unter der Präambel sowie die Anhänge bilden einen integralen Bestandteil dieses Auftragsverarbeitungsvertrags.

13. Anwendbares Recht, Streitbeilegung

13.1. Dieser Auftragsverarbeitungsvertrag unterliegt ausschließlich den Gesetzen der Niederlande, unter Ausschluss ihres Kollisionsrechts.

13.2. Die Streitbeilegungsklausel in der Dienstleistungsvereinbarung gilt für alle Streitigkeiten, die zwischen den Parteien entstehen.

ANHANG 1 – Informationen zur Verarbeitung

1. Beschreibung der Dienste und Verarbeitungstätigkeiten:

Art des Dienstes: Online-Lernmanagementsystem.

Verarbeitungstätigkeiten: Speicherung, Zugriff, Änderung und Löschung auf Anforderung des Verantwortlichen.

2. Kategorien von personenbezogenen Daten:

Der Verantwortliche kann wählen, welche Art von personenbezogenen Daten von den betroffenen Personen angefordert werden, wie zum Beispiel:

• Name
• Telefonnummer
• Jobtitel
• Geschlecht
• Geburtsdatum
• Straße
• Postleitzahl
• Stadt oder Ort
• Land
• Mitarbeiter-ID
• Antworten der betroffenen Person zu Freitextfragen
• Antworten der betroffenen Person zu Dropdown-Fragen

Die betroffenen Personen können selbst auch personenbezogene Daten erstellen, indem sie auf die vom Verantwortlichen im Easy LMS-System erstellten Inhalte zugreifen und diese nutzen, wie zum Beispiel:

• Testergebnisse
• Prüfungsergebnisse
• Im System hinzugefügte Kommentare
• Zertifizierungsdokumente

Der Verantwortliche darf die betroffenen Personen nicht auffordern, besondere Kategorien von personenbezogenen Daten einzureichen oder solche personenbezogenen Daten hochzuladen, die sich auf Daten beziehen im Zusammenhang mit: Gesundheit, religiösen Überzeugungen, politischen Meinungen, ethnischer Herkunft, sexueller Vorliebe oder sexuellem Verhalten, Gewerkschaftszugehörigkeit, Vorstrafen, biometrische Daten zur Identifizierungszwecken oder genetische Daten.

ANHANG 2 – Unterauftragsverarbeiter

Die personenbezogenen Daten werden an die folgenden Unterauftragsverarbeiter übertragen:

Unterauftragsverarbeiter
Unterauftragsverarbeiter	Land	Land außerhalb des EWR ohne angemessenes Schutzniveau:	Mechanismus zur Übertragung / geeignete Garantien:
Amazon Web Dienste (AWS) (Hosting- und E-Mail-Dienste)	Deutschland	Nein, EWR-Land	Nicht zutreffend
Intercom (Support-Chat)	Irland	Nein, EWR-Land	Nicht zutreffend

Dieser Anhang gilt als aktualisiert, nachdem die Änderungen gemäß Artikel 7.1 gemeldet wurden.