itslearning erfüllt die DSGVO bereits vor Mai 2018

Bei den meisten unserer Kunden ist dies nicht erforderlich. Unter der DSGVO ist das Einverständnis lediglich einer von sechs gesetzmäßigen Gründen für die Verarbeitung von Daten. Unsere Kunden müssen die gesetzmäßige Grundlage wählen, die die Natur der Beziehung zwischen ihnen und ihren Nutzern am besten widerspiegelt. Bei den meisten unserer Kunden ist ein Einverständnis keine angemessene gesetzmäßige Grundlage für die Verarbeitung. Bei vielen unserer Kunden dürfte die gesetzmäßige Grundlage die sein, Aufgaben von öffentlichem Interesse oder mit Bezug zu rechtlichen Pflichten wahrzunehmen.

Nein, sowohl unter der gegenwärtigen als auch der neuen DSGVO-Richtlinie können wir Daten ausschließlich auf direkte Instruktion von Seiten unserer Kunden verarbeiten. Die Daten gehören Ihnen und nur eine geringe Anzahl an itslearning-Mitarbeitern hat unter strikter Einhaltung von Vertraulichkeit und Sicherheit Zugriff auf persönliche Daten. Wir können Personendaten nur dann unabhängig davon verarbeiten, falls dies für die Integrität oder Sicherheit unserer Dienstleistung unerlässlich sein sollte oder, um die Qualität unseres Services zu analysieren oder zu evaluieren.

Das Recht auf Transparenz und Information gegenüber dem Nutzer (oder deren Eltern) ist unter der DSGVO stark. Informationen, die Sie leicht zugänglich machen müssen, umfassen:

• die Identität und Kontaktdetails des Kontrolleurs / des Kontrolleurrepräsentanten
• die Kontaktdetails des Datenschutzbeauftragten
• den Zweck der Verarbeitung und die rechtliche Basis, diese Daten zu verarbeiten
• jegliche Absichten, Personendaten in ein Drittland (außerhalb des EU-/EW-Raumes) zu transferieren sowie welche Sicherheitsvorkehrungen getroffen wurden einschließlich der Möglichkeit, hiervon eine Kopie zu erhalten
• den Zeitraum, für den persönliche Daten gespeichert werden oder Kriterien, diesen Zeitraum zu bestimmen
• die Datensubjektrechte (Zugang, Berichtigung, Löschung etc.)
• das Recht, eine Beschwerde bei der überwachende Authorität einzulegen
• woher die Daten stammen
• jede Verwendung von automatischer Entscheidungsfindung/von Profiling

Wahrscheinlich nicht. Nutzer können die Löschung von persönlichen Daten nur dann verlangen, wenn die rechtliche Basis der Verarbeitung das Einverständnis (siehe oben) oder der originäre Zweck bzw. die Gesetzmäßigkeit nicht länger gültig ist. Unsere Kunden werden Abläufe definiert haben müssen, die es erlauben, Anträge auf die Löschung von Personendaten sorgsam zu prüfen. In schwierigen Fällen können Sie unseren Datenschutzbeauftragten kontaktieren. Falls einem Datensubjekt die Löschung von persönlichen Daten zugesagt wird, wird itslearning entweder in Form von unserer Software oder unseres Unterstützungsservices zur Verfügung stehen, um die Rechte eines Datensubjekts auszuführen.

Bis zu einem gewissen Grad ja. Alle unsere Nutzer haben nun starke Rechte auf Transparenz, Information und Datenzugriff. Jedes Datensubjekt kann Gebrauch von seinen/ihren Rechten machen und eine Kopie von sämtlichen gespeicherten persönlichen Daten einfordern, so lange dies andere nicht nachteilig beeinflusst oder falls diese Daten ihm/ihr nicht bereits zugänglich sind. Allerdings ist dies kein absolutes Recht; andere Gesetze könnten von Ihnen verlangen, das Datensubjekt oder andere davon abzuhalten, Zugriff auf bestimmte Arten von Informationen zu erhalten. Sie müssen diese DSGVO-Anfragen sorgfältig gegen andere Rechten und Pflichten in anderen Vorschriften abwägen. Sie können unseren Datenschutzbeauftragten um Rat in schwierigen Fällen bitten. Falls einem Datensubjekt die Löschung von persönlichen Daten zugesagt wird, wird itslearning entweder in Form von unserer Software oder unseres Unterstützungsservices zur Verfügung stehen, um die Rechte eines Datensubjekts auszuführen.

Nein, unter der SDGVO liegen die Datensubjektrechte zwischen den Nutzern und dem Kontrolleur (unseren Kunden). Jede Datensubjektanfrage von Endnutzern bei itslearning wird an den Kunden übergeben. itslearning wird in gutem Glauben mit Kunden kooperieren, um sicherzustellen, dass diese den Rechten der Datensubjekte schnell nachkommen können.

itslearning löscht Personendaten auf Instruktion von Kundenseite oder falls der Vertrag zwischen uns und dem Kunden endet. Die Prozeduren zur Löschung von Kundendaten bei Vertragsende der Dienstleistung sollten schriftlich oder in einer Datenauftragssvereinbarung vorliegen.

Die Instruktion, einen Nutzer in unserem Service zu löschen kann händisch von einem Kundenrepräsentanten auf der Plattform vorgenommen werden, automatisch mittels Integration mit einem Schulverwaltungssystem (o.ä.) erfolgen oder auf Anfrage hin von unserer nationalen Niederlassung vorgenommen werden.

Wenn Nutzer aus unseren Systemen entfernt werden, gibt es Sicherheitsvorkehrungen, die einem fehlerhaften irreversiblen Datenverlust vorbeugen. In vielen Fällen werden Kunden die Löschung von Kundendaten, einschließlich persönlicher Daten, händisch bestätigen müssen.

In Abhängigkeit von der Natur der Datenlücke, könnten Kunden gefordert sein, unverzüglich sowohl die betroffenen Nutzer als auch die überwachenden Authoritäten zu informieren. itslearning ist es vorgeschrieben, Kunden bei Bewusstwerdung einer Datenlücke zu informieren und sie bei ihrer Verpflichtung, ihre Nutzer zu informieren, zu unterstützen.

In vielen Fällen ja. Sie sind dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen, falls Sie:

a) eine öffentliche/staatliche Institution sind
b) gewisse sensible Daten im großen Stil verarbeiten
c) die Verarbeitung großräumige Kontrolle oder Überwachung einschließt

Bitte nehmen Sie zur Kenntnis, dass die Organisation und nicht das System einen Datenschutzbeauftragten benötigt. In vielen Fällen könnte Ihre Organisation bereits über einen Datenschutzbeauftragten verfügen. Der Datenschutzbeauftragte kann eine vertraglich vereinbare Rolle sein. Viele staatliche Institutionen bieten anderen Institutionen Datenschutzdienste an.

Eines der Hauptziele der neuen DSGVO ist der freie Fluss von Personendaten innerhalb des Europäischen Wirtschaftsraumes (EWR) unter einer gemeinsamen Richtlinie. In den meisten Fällen wird es unter DSGVO nicht zulässig sein, die Anbieter bei der Verarbeitung in dem EWR einzuschränken.

DSGVO verbietet den Fluss von Personendaten außerhalb des EWR nicht, aber stellt starke Schutzmaßnahmen auf, um sicherzustellen, dass jegliche Datenverarbeitung außerhalb des EWR den DSGVO-Prinzipien folgt. Zudem müssen Kontrolleure oder Auftragsverarbeiter, welche die Daten außerhalb des EWR verarbeiten, detaillierte Informationen über die Natur der Verarbeitung bereitstellen und, in einigen Fällen, Kunden oder Nutzern erlauben, der Verarbeitung zu widersprechen.

Für die meisten unserer europäischen Kunden verarbeitet itslearning sämtliche Personendaten innerhalb des EWR. Es gibt einige Ausnahmen in Fällen, in denen itslearning optionale Integrationen mit Drittanbieteranwendungen/-dienstleistungen unterstützt. In diesen Fällen müssen sowohl itslearning als auch unsere Kunden den vorgegebenen Anforderungen der DSGVO entsprechen.

Die DSGVO legt keine detailierten Voraussetzungen für "sichere" cloud-basierte Dienstleistungen fest. Es ist die gemeinsame Verantwortung unserer Kunden (Kontrolleure) und itslearning (dem Prozessor), angemessene organisatorische und technische Sicherheit für verarbeitete Personendaten bereitzustellen und in der Lage zu sein, dies zu demonstrieren. Die große Änderung von den aktuellen Vorschriften zur DSGVO ist eine verstärkte Verantwortung für Organisationen, die keine angemessene Sicherheit bieten.

Seit zwei Dekaden sichert itslearning die Datenverarbeitung von persönlichen Daten von Millionen von Nutzern. Zurückliegende Leistung ist allerdings nicht immer für zukünftige Resultate hinweisend. Deshalb investieren wir kontinuierlich in organisatorische Sicherheit, Netzwerk-, Infrastruktur- sowie Anwendungssicherheit, um sicherzustellen, unseren Endnutzern eine mehr als angemessene Sicherheit zu bieten. Wir erlauben Drittanbietern auch regelmäßig, unsere Sicherheit zu prüfen und begrüßen eigene Überprüfungen unserer Kunden.

Wie die meisten Software-Unternehmen geht itslearning bzgl. der Sicherheitsmaßnahmen nicht ins Detail. Zu den Sicherheitsvorkehrungen und -prozessen gegen bekannte Gefahren gehören unter anderem:

• Anwendungssicherheit, wie die Verwendung von Verschlüsselung in sämtlichem Datenverkehr, stark zerlegte Passwörter, Sicherheitsmaßnahmen gegen Schwächen wie Cross Site Scripting, SQL Injections, Phishing und andere.
• Netzwerksicherheit, Firewalls und Systeme, die auffälliges Verhalten aufspüren oder böswillige Zugriffversuche stoppen oder die Widerstandsfähigkeit unseres Service (z.B. DDOS-Attacken) beeinträchtigten.
• organisatorische Sicherheit wie Zugangsrichtlinien, Überprüfungsprotokolle und vertrauliche Vereinbarungen.
• physische Sicherheit, um die Vorbeugung von unbefugtem Zugang zur Personendaten bearbeitenden Infrastruktur zu gewährleisten.
• verfahrensorientierte Sicherheit - IT-Management-Prozesse, um das Risiko menschlicher Fehler zu minimieren oder Testroutinen, um Software-Schwächen zu identifizieren, bevor neue Merkmale für unsere Cloud-Dienstleistungen veröffentlicht werden oder Richtlinien, die sicherstellen, dass Daten nur auf Anweisung seitens unserer Kunden verarbeitet werden.

itslearning bezieht Nutzerdatennicht eigenständig für unsere Dienstleistungen. Nutzerdaten können auf der Plattform entweder händisch durch einen Kundenrepräsentanten, mittels Integration mit einem Drittanbietersystem oder in Einzelfällen auch durch die Nutzer selbst eingereicht werden.

Üblicherweise stammen die Personendaten in itslearning aus von unseren Kunden kontrollierten Schülerverwaltungssystemen. Wir importieren Daten von Drittanbietersystemen ausschließlich  auf Anweisung unserer Kunden.

itslearning sendet nicht eigenmächtig Daten an Drittanbieter ohne Anweisung von unseren Kunden oder einer rechtlichen Verpflichtung. Die Anweisung eines Kunden sollte in Form einer Vereinbarung über die Integration mit einem Drittanbieter-Tool/-Service gestellt werden oder Kundenrepräsentanten richten die Integration mit einem Drittanbieter-Tool/-Service selbst ein. itslearning unternimmt Schritte, um Kunden davor zu bewahren, Daten an Drittanbieter ohne konforme Datenschutzvorschriften zu übermitteln. Allerdings ist es wichtig, dass unsere Kunden Sicherheitsmaßnahmen implementieren, um sicherzustellen, dass Daten an Drittanbieter nicht ohne befolgte rechtliche Verpflichtungen transferiert werden.

Nicht rechtsgültig. Die EU hat keine legislative Gewalt auf US-amerikanischen Boden. Die DSGVO bietet Datensubjekten mit Aufenthaltsort in den USA keine Rechte oder Freiheiten. Die DSGVO legt US-amerikanischen Kunden, die keine Daten von Datensubjekten der EU/des EWR verarbeiten, keine Verpflichtungen auf. Rechte und Verpflichtungen US-amerikanischer Datensubjekte und Organisationen werden in föderalistischen Vorschriften oder durch vertragliche und freiwillige Vereinbarungen sichergestellt.

itslearning bietet unseren US-amerikanischen Kunden zum größten Teil jedoch die selben Dienstleistungen und das selbe Maß an Sicherheit wie europäischen Kunden. US-amerikanische Kunden werden von der Herangehensweise von itslearning, Personendatenschutz unter der DSGVO zu kultuivieren, profitieren. Die fundamentalen Prinzipien europäischen Datenschutzes ist Teil unserer grundlegenden vertraglichen Verbindlichkeit, die wir unseren US-amerikanischen Kunden bieten.