Zum Inhalt springen

Wir sind GDPR-konform

Wir erfüllen die Anforderungen für alle unsere Dienstleistungen vollständig.
Systeme und Politiken
Diese Richtlinie beschreibt, warum wir personenbezogene Daten verarbeiten und wie wir sie schützen.
Unterauftragsverarbeiter
itslearning nutzt Drittanbieter zur Unterstützung bei der Erbringung von Dienstleistungen.
Sicherheitsmaßnahmen
Wir haben sowohl organisatorische als auch technische Sicherheitsmaßnahmen getroffen.
Daten anfordern
Wir halten uns an die internationalen Vorschriften zum Schutz der Privatsphäre von Personen.

Informationen für unsere Kunden über GDPR

DieAllgemeine Datenschutzverordnung (GDPR) der EU, die 2016 vom Europäischen Parlament verabschiedet wurde, ist die wichtigste Änderung der Datenschutzvorschriften seit 20 Jahren. Sie ersetzt die Datenschutzrichtlinie 95/46/EG und lokale Gesetze und Vorschriften in der EU/im EWR. Die neue Verordnung soll die Rechte des Einzelnen auf Privatsphäre stärken und die Datenschutzgesetze in ganz Europa harmonisieren.

itslearning hat sich seit seiner Gründung im Jahr 1999 für den Datenschutz eingesetzt und begrüßt die neue Verordnung. Wir werden weiterhin unseren Teil dazu beitragen, dass alle unsere Kunden GDPR-konform sind. Es gibt ein großes, ungenutztes Potenzial bei der Nutzung von Technologie und Cloud-Diensten zur Verbesserung von Lehrmethoden und Lernergebnissen. Einer der Schlüssel zur Freisetzung dieses Potenzials ist es, das Vertrauen von Lehrern, Schülern und Eltern zu gewinnen. In diesem Sinne ist der verstärkte Fokus auf Datenschutz und Privatsphäre aufgrund der DSGVO für alle Parteien von Vorteil.

 

itslearning GDPR-Verpflichtung

Wir erfüllen die Anforderungen für alle unsere Dienste, einschließlich itslearning, Fronter und SkoleIntra, um GDPR-bereit zu sein. Wir arbeiten seit langem an der GDPR, um die neue Verordnung zu analysieren und die notwendigen Änderungen an unseren Diensten, Verfahren und unserer Organisation vorzunehmen. In den vergangenen Monaten haben wir alle Unterlagen, Vertragszusätze und Verfahren zur Verfügung gestellt, die für den Nachweis Ihrer GDPR-Konformität erforderlich sind.

Es ist wichtig zu sagen, dass itslearning für die Cloud-Dienste, die wir unseren Kunden und deren Endnutzern zur Verfügung stellen, das ist, was sowohl die bestehende als auch die neue EU-Verordnung als Auftragsverarbeiter definiert. Als Auftragsverarbeiter entscheiden wir nicht über den Zweck oder die Rechtmäßigkeit der Verarbeitung, wir verarbeiten lediglich Daten im Auftrag unserer Kunden. Die GDPR-Verordnung stellt strengere Anforderungen an alle Datenverarbeiter.

Unser Engagement für die GDPR erfordert, dass wir daran arbeiten:

  • Gewährleistung der organisatorischen und technischen Sicherheit für alle Dienste.
  • Wir helfen Ihnen bei der Dokumentation, die Sie benötigen, um die Einhaltung der Vorschriften nachzuweisen und Ihre Nutzer zu informieren.
  • Bereitstellung neuer Vertragszusätze, die den Anforderungen der Datenschutzgrundverordnung (DSGVO) für Datenverarbeitungsverträge (DPA) entsprechen
  • Wir bieten Ihnen die notwendige Unterstützung, wenn Ihre Nutzer ihre Rechte als Betroffene wahrnehmen. Weitere Informationen finden Sie auf derSeite GDPR Data Request auf unserer Support-Seite.

itslearning hat einen Datenschutzbeauftragten (DSB) im Sinne der Datenschutz-Grundverordnung. Neben der Überwachung unserer eigenen Compliance und der Beratung und Schulung unserer eigenen Mitarbeiter steht unser DSB unseren Kunden und deren Datenschutzbeauftragten zur Verfügung, um Datenschutzfragen zu besprechen.

Die Kontaktdaten unseres Datenschutzbeauftragten:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR-Kundenanforderungen

Im Allgemeinen verlangt die GDPR von Ihnen:

  • Dokumentieren und bewerten Sie die gesamte Verarbeitung personenbezogener Daten und die verwendeten Systeme. Der Zweck und die Rechtmäßigkeit der Verarbeitung sollten festgelegt werden, und Sie sollten sicherstellen, dass Sie keine personenbezogenen Daten verarbeiten, die nicht für den festgelegten Zweck benötigt werden.
  • Gewährleisten Sie die organisatorische und technische Sicherheit der Verarbeitung und können Sie diese nachweisen. Bewerten Sie Ihre internen Prozesse zur Datenaufbewahrung und -sicherheit und dokumentieren Sie diese. Stellen Sie sicher, dass Ihre eigene Technologie ausreichende technische Sicherheit bieten kann, und dokumentieren Sie dies.
  • Wenn Sie die Dienste Dritter, wie unsere, zur Verarbeitung personenbezogener Daten nutzen, müssen Sie sicherstellen, dass die Anforderungen an die Datenverarbeitung mit der DSGVO übereinstimmen.
  • Wenn Sie eine neue Technologie erwerben, die wahrscheinlich ein hohes Risiko für personenbezogene Daten mit sich bringt, müssen Sie eine Risikoanalyse durchführen - eine Datenschutz-Folgenabschätzung (DPIA). Als bestehender Kunde sind unsere Dienste für Sie keine neue Technologie. Eine Datenschutz-Folgenabschätzung kann aber dennoch eine gute Idee sein und hilft Ihnen bei der Dokumentation der Einhaltung der Vorschriften.
  • Nutzer (betroffene Personen) haben nach der DSGVO stärkere Rechte. Unsere Kunden müssen über ein Verfahren für die Entgegennahme von Anfragen der betroffenen Personen und für die Bewertung der Gültigkeit der Anfragen verfügen.
  • Ein besonders wichtiges Recht der betroffenen Personen ist Transparenz und Information. Stellen Sie sicher, dass die Informationen für Ihre Nutzer über alles, was nach der DSGVO erforderlich ist, leicht zugänglich sind, einschließlich der Frage, wie sie ihre Rechte ausüben können. Wenn Ihre Nutzer jung sind, sollten Sie sicherstellen, dass diese Informationen auch den Eltern zugänglich sind.
  • Überprüfen Sie die itslearning Datenverarbeitungsvereinbarung, deren Zweck es ist, die Rechte und Pflichten gemäß der europäischen Datenschutzgesetzgebung, einschließlich der GDPR-Vorschriften, zu regeln, die für den Datenverantwortlichen in Verbindung mit dem Standard-Service-Abonnementvertrag gelten.

Laden Sie die itslearning Vereinbarung mit dem Datenverarbeiter herunter.

Bei allgemeinen Fragen zu den Produkten und Dienstleistungen von itslearning können Sie sich wie immer an unsere Supportorganisation wenden. Bei vertraglichen oder kommerziellen Fragen wenden Sie sich bitte an Ihren Kundenbetreuer.

Bei spezifischen Fragen unserer Kunden im Zusammenhang mit der DSGVO wenden Sie sich bitte an unseren Datenschutzbeauftragten per E-Mail privacy@itslearning.com oder telefonisch unter +35 89 122 4791. Jegliche Kommunikation mit unserem Datenschutzbeauftragten muss in englischer Sprache erfolgen.

Müssen wir nach der DSGVO die Zustimmung aller unserer Nutzer (oder ihrer Eltern) einholen?

Für die meisten unserer Kunden, nein. Nach der Datenschutz-Grundverordnung ist die Einwilligung nur einer von sechs rechtmäßigen Gründen für die Verarbeitung von Daten. Unsere Kunden müssen die Rechtsgrundlage wählen, die der wahren Natur der Beziehung zwischen Ihnen und Ihren Nutzern am ehesten entspricht. Für die meisten unserer Kunden wäre die Einwilligung nicht die am besten geeignete Rechtsgrundlage für die Verarbeitung. Für viele unserer Kunden wäre die Rechtsgrundlage für die Verarbeitung die Erfüllung von Aufgaben im öffentlichen Interesse oder im Zusammenhang mit Ihren rechtlichen Verpflichtungen.

Kann itslearning personenbezogene Daten für eigene Zwecke verwenden?

Nein. Sowohl derzeit als auch nach der neuen GDPR-Verordnung können wir Daten nur auf direkte Anweisung unserer Kunden verarbeiten. Die Daten gehören Ihnen, und nur eine Handvoll Mitarbeiter von itslearning hat unter strenger Vertraulichkeit und Sicherheit Zugang zu personenbezogenen Daten. Wir können personenbezogene Daten nur dann unabhängig verarbeiten, wenn dies für die Integrität oder Sicherheit des Dienstes oder für die Analyse oder Bewertung der Qualität des erbrachten Dienstes unerlässlich ist.

Welche Art von Informationen müssen wir den Nutzern über die Verarbeitung personenbezogener Daten zur Verfügung stellen?

Das Recht auf Transparenz und Information der Nutzer (oder ihrer Eltern) ist im Rahmen der Datenschutz-Grundverordnung stark ausgeprägt. Zu den Informationen, die Sie leicht zugänglich machen müssen, können gehören:

  • Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen/Vertreters des für die Verarbeitung Verantwortlichen
  • Die Kontaktdaten des Datenschutzbeauftragten
  • Der Zweck der Verarbeitung und die Rechtsgrundlage für die Verarbeitung der Daten
  • Jegliche Absicht, personenbezogene Daten in ein Drittland (außerhalb der EU/des EWR) zu übermitteln, und welche Sicherheitsvorkehrungen getroffen wurden, sowie Möglichkeiten, eine Kopie davon zu erhalten.
  • Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder Kriterien, die diesen Zeitraum bestimmen.
  • Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, usw.)
  • Das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen
  • Woher die Daten stammen
  • Jegliche Nutzung der automatischen Entscheidungsfindung/Profilierung.
Kann jeder unserer Nutzer von uns verlangen, dass wir seine Daten löschen ("Recht auf Vergessenwerden")?

Wahrscheinlich nicht. Ein Nutzer kann nur dann die Löschung seiner Daten verlangen, wenn die rechtmäßige Grundlage der Verarbeitung die Einwilligung ist (siehe oben) oder wenn der ursprüngliche Zweck oder die Rechtmäßigkeit nicht mehr gegeben ist. Unsere Kunden müssen über Verfahren verfügen, um die Anträge der betroffenen Personen auf Löschung ihrer Daten sorgfältig zu prüfen. Sie können sich in schwierigen Fällen an unseren Datenschutzbeauftragten wenden, um sich beraten zu lassen. Wird einer betroffenen Person das Recht auf Löschung zugestanden, steht itslearning entweder über unsere Software oder unsere Unterstützungsdienste zur Verfügung, um bei der Ausübung der Rechte der betroffenen Person zu helfen.

Können unsere Nutzer jetzt von uns verlangen, dass wir ihnen eine Kopie aller ihrer personenbezogenen Daten aushändigen?

Bis zu einem gewissen Grad, ja. Alle Ihre Nutzer haben jetzt ein starkes Recht auf Transparenz, Information und Datenzugang. Jede betroffene Person kann von ihrem Recht Gebrauch machen, eine Kopie aller ihrer personenbezogenen Daten zu verlangen, sofern dies nicht andere Personen beeinträchtigt oder diese Daten ihr noch nicht zur Verfügung stehen. Dies ist jedoch kein absolutes Recht; andere Gesetze könnten Sie dazu verpflichten, die betroffene Person oder andere Personen vor dem Zugriff auf bestimmte Arten von Informationen zu schützen. Sie müssen diese Anfragen im Rahmen der Datenschutz-Grundverordnung sorgfältig mit den Rechten und Pflichten in anderen Vorschriften abgleichen. In schwierigen Fällen können Sie unseren Datenschutzbeauftragten um Rat fragen. Wenn einer betroffenen Person das Recht auf Auskunft gewährt wird, steht itslearning entweder über unsere Software oder unsere Unterstützungsdienste zur Verfügung, um bei der Ausübung der Rechte der betroffenen Person zu helfen.

Kann sich ein Nutzer (z. B. ein Schüler, ein Elternteil, ein Lehrer) direkt an itslearning wenden, um seine Rechte nach der DSGVO geltend zu machen?

Nein. Gemäß GDPR liegen die Rechte der betroffenen Person (Nutzer) zwischen ihr und dem für die Verarbeitung Verantwortlichen (unseren Kunden). Alle Anfragen von Endnutzern an itslearning werden an den Kunden weitergeleitet. itslearning arbeitet nach Treu und Glauben mit den Kunden zusammen, um sicherzustellen, dass sie die Rechte der betroffenen Personen unverzüglich wahrnehmen können.

Wann werden personenbezogene Daten von itslearning gelöscht?

itslearning löscht personenbezogene Daten auf Anweisung unserer Kunden oder wenn der Vertrag zwischen uns und dem Kunden gekündigt wird. Die Verfahren zur Löschung von Kundendaten bei Beendigung des Dienstes sollten schriftlich oder in einer Vereinbarung mit dem Datenverarbeiter festgelegt werden.

Eine Anweisung zur Löschung eines Nutzers in unseren Diensten kann entweder manuell in der Plattform durch einen Kundenvertreter, automatisch durch eine Integration mit einem Studentenverwaltungssystem (oder ähnlichem) oder auf Anfrage bei unserer Support-Organisation durchgeführt werden.

Bei der Löschung von Nutzern in unseren Systemen gibt es Sicherheitsvorkehrungen, die verhindern, dass Fehler zu einem unersetzlichen Datenverlust führen. In vielen Fällen müssen die Kunden die Löschung von Kundendaten, einschließlich personenbezogener Daten, manuell bestätigen.

Muss itslearning die Nutzer benachrichtigen, wenn sie von einer Datenschutzverletzung betroffen sind?

Je nach Art der Datenschutzverletzung sind unsere Kunden möglicherweise verpflichtet, sowohl die betroffenen Nutzer als auch die Aufsichtsbehörden unverzüglich zu benachrichtigen. itslearning ist verpflichtet, seine Kunden ordnungsgemäß zu benachrichtigen, wenn sie von einer Datenschutzverletzung erfahren, und sie bei der Erfüllung ihrer Pflichten zur Benachrichtigung der Nutzer zu unterstützen.

Muss ich einen Datenschutzbeauftragten ernennen?

In vielen Fällen: Ja. Sie sind verpflichtet, einen DSB zu bestellen, wenn Sie:
a) eine öffentliche/staatliche Einrichtung sind
b) bestimmte Arten sensibler Daten in großem Umfang verarbeiten
c) die Verarbeitung eine groß angelegte Kontrolle oder Überwachung beinhaltet

Bitte beachten Sie, dass die Organisation und nicht das System einen DSB benötigt. In vielen Fällen hat Ihre Organisation möglicherweise bereits einen DSB. Die Rolle des DSB kann vertraglich geregelt sein. Viele staatliche Einrichtungen bieten anderen Einrichtungen DSB-Dienste an.

 
Kann ich von einem Cloud-Anbieter wie itslearning verlangen, dass personenbezogene Daten nur in meinem Land gespeichert werden?

Eines der Hauptziele der neuen Datenschutz-Grundverordnung ist der freie Fluss personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums (EWR) im Rahmen einer gemeinsamen Verordnung. In den meisten Fällen wäre die Beschränkung von Anbietern bei der Verarbeitung von Daten innerhalb des EWR nach der DSGVO nicht zulässig.

Verarbeitet itslearning Daten außerhalb des EWR? Ist es erlaubt, Daten außerhalb des EWR zu verarbeiten?

Die DSGVO verbietet nicht, dass personenbezogene Daten in Länder außerhalb des EWR fließen, aber sie sieht strenge Sicherheitsvorkehrungen vor, um sicherzustellen, dass jede Verarbeitung von Daten außerhalb des EWR nach den Grundsätzen der DSGVO erfolgt. Darüber hinaus müssen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die Daten außerhalb des EWR verarbeiten, detaillierte Informationen über die Art der Verarbeitung bereitstellen und in einigen Fällen Kunden oder Nutzern die Möglichkeit geben, der Verarbeitung zu widersprechen.

Für die meisten unserer europäischen Kunden verarbeitet itslearning alle personenbezogenen Daten innerhalb des EWR. Es gibt einige Ausnahmen in Fällen, in denen itslearning die optionale Integration von Drittanbieter-Tools oder -Diensten außerhalb des EWR ermöglicht. In diesen Fällen müssen sowohl itslearning als auch unsere Kunden die in der GDPR festgelegten Anforderungen erfüllen.

Ich habe gehört, dass itslearning unter GDPR nicht sicher genug ist! Stimmt das?

Die Datenschutz-Grundverordnung enthält keine detaillierten Anforderungen an einen "sicheren" cloudbasierten Dienst. Es liegt in der gemeinsamen Verantwortung unserer Kunden (für die Verarbeitung Verantwortliche) und itslearning (Auftragsverarbeiter), für eine angemessene organisatorische und technische Sicherheit der verarbeiteten personenbezogenen Daten zu sorgen und dies auch nachweisen zu können. Die wichtigste Änderung im Vergleich zu den derzeitigen Vorschriften der Datenschutz-Grundverordnung ist die Verschärfung der Haftung für Organisationen, die keine angemessene Sicherheit bieten.
Seit zwei Jahrzehnten schützt itslearning erfolgreich die Verarbeitung personenbezogener Daten von Millionen von Nutzern. Allerdings ist die Leistung der Vergangenheit nicht immer ein Indikator für zukünftige Ergebnisse. Daher investieren wir kontinuierlich in die organisatorische Sicherheit, die Netzwerk- und Infrastruktursicherheit und die Anwendungssicherheit, um sicherzustellen, dass wir unseren Endnutzern mehr als nur angemessene Sicherheit bieten können. Darüber hinaus lassen wir unsere Sicherheit regelmäßig von Dritten überprüfen, und wir begrüßen es, wenn unsere Kunden ihre eigenen Prüfungen durchführen.

Wie die meisten Softwareunternehmen geht auch itslearning nicht im Detail auf die vorhandenen Sicherheitsmaßnahmen ein. Aber unter den Sicherheitsvorkehrungen und Prozessen, die zum Schutz vor bekannten Bedrohungen eingesetzt werden, sind auch:

  • Anwendungssicherheit, wie z. B. die Verschlüsselung des gesamten Datenverkehrs, stark gehashte Passwörter, Schutz vor Schwachstellen wie Cross-Site-Scripting, SQL-Injections, Phishing und anderen.
  • Netzsicherheit, Firewalls und Systeme zur Erkennung verdächtigen Verhaltens oder zur Unterbindung böswilliger Versuche, sich Zugang zu verschaffen oder die Ausfallsicherheit des Dienstes zu beeinträchtigen (z. B. DDOS-Angriffe).
  • Organisatorische Sicherheit, wie Zugangsrichtlinien, Prüfprotokolle und Vertraulichkeitsvereinbarungen.
  • Physische Sicherheit, um den unbefugten Zugriff auf die Infrastruktur zur Verarbeitung personenbezogener Daten zu verhindern.
  • Verfahrenssicherheit - IT-Verwaltungsprozesse zur Minimierung des Risikos menschlicher Fehler oder Testverfahren zur Ermittlung von Software-Schwachstellen vor der Freigabe neuer Funktionen für unsere Cloud-Dienste oder Richtlinien, die sicherstellen, dass Daten nur auf Anweisung unserer Kunden verarbeitet werden.
Woher erhält itslearning personenbezogene Daten über Nutzer?

itslearning erhebt nicht selbständig Nutzerdaten für unsere Dienste. Die Nutzerdaten können entweder manuell von den Vertretern der Kunden, durch eine Integration mit einem Drittsystem oder in einigen Fällen von den Nutzern selbst an die Plattform übermittelt werden.

In der Regel stammen die personenbezogenen Daten in itslearning aus "Studenteninformationssystemen", die von unseren Kunden kontrolliert werden. Wir importieren Daten aus Drittsystemen nur auf Anweisung unserer Kunden.

Sendet itslearning Daten an Dritte?

itslearning sendet nicht selbständig Daten an Dritte, ohne dass eine Anweisung unserer Kunden oder eine rechtliche Verpflichtung dazu besteht. Eine Anweisung eines Kunden kann in Form einer Vereinbarung über die Integration eines Tools oder Dienstes eines Drittanbieters erfolgen, oder die Kundenvertreter richten selbst eine Integration mit einem Tool oder Dienst eines Drittanbieters ein. itslearning unternimmt Schritte, um zu verhindern, dass Kunden Daten an Drittanbieter senden, ohne die Datenschutzbestimmungen einzuhalten. Es ist jedoch wichtig, dass unsere Kunden Sicherheitsvorkehrungen treffen, um sicherzustellen, dass Daten nicht an Dritte weitergegeben werden, ohne dass sie ihre gesetzlichen Verpflichtungen einhalten.

Hat GDPR Auswirkungen auf US-Kunden oder US-Endnutzer?

Nicht rechtlich. Die EU hat offensichtlich keine gesetzgeberische Macht auf amerikanischem Boden. Die Datenschutz-Grundverordnung bietet betroffenen Personen in den USA keinerlei Rechte oder Freiheiten. Und die DSGVO erlegt US-Kunden, die keine Daten von EU/EWR-Betroffenen verarbeiten, keine Verpflichtungen auf. Die Rechte und Pflichten der betroffenen Personen und Organisationen in den USA sind durch staatliche oder bundesstaatliche Vorschriften oder durch vertragliche oder freiwillige Vereinbarungen gesichert.

Aber itslearning bietet unseren US-Kunden im Großen und Ganzen die gleichen Dienstleistungen und das gleiche Sicherheitsniveau wie unseren europäischen Kunden. US-Kunden profitieren von itslearning's Ansatz und Kultur für den Schutz personenbezogener Daten gemäß GDPR. Die Grundprinzipien des europäischen Schutzes personenbezogener Daten sind Teil der Struktur und der vertraglichen Verpflichtung, die wir unseren US-Kunden anbieten.