Vereinbarung zur Datenverarbeitung

Version 1.3 October 2025

Diese Verarbeitungsvereinbarung ist Teil der Vereinbarung zwischen Pluvo B.V. („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“) und tritt an dem Tag in Kraft, an dem Sie diese Verarbeitungsvereinbarung akzeptiert haben. Sie garantieren, dass Sie diese Verarbeitungsvereinbarung abschließen dürfen. Wenn Sie nicht über diese Befugnis verfügen, akzeptieren Sie diese Vereinbarung bitte nicht.“

Die Parteien sind der Ansicht, dass Folgendes zutrifft:

  • Der Verantwortliche arbeitet im Bereich Schulungen/Kurse und verwendet in diesem Zusammenhang den Prozessor;
  • Der Prozessor stellt dem für die Verarbeitung Verantwortlichen den in der Vereinbarung beschriebenen Dienst zur Verfügung und verarbeitet in dieser Eigenschaft (spezielle) personenbezogene Daten für den für die Verarbeitung Verantwortlichen;
  • In Bezug auf die Verarbeitung personenbezogener Daten gilt der für die Verarbeitung Verantwortliche als der für die Verarbeitung Verantwortliche im Sinne von Artikel 4 einleitender Worte und unter 7 der Allgemeinen Datenschutzverordnung („DSGVO“);
  • Die Parteien möchten — auch in Umsetzung der Bestimmungen von Artikel 28 Absatz 3 der DSGVO — in dieser Verarbeitungsvereinbarung eine Reihe von Bedingungen festlegen, die für ihre Beziehung in Bezug auf die (Verarbeitung personenbezogener Daten im Zusammenhang mit) den genannten Aktivitäten für und im Namen des für die Verarbeitung Verantwortlichen gelten.
  • In Bezug auf die Speicherung und Verarbeitung der personenbezogenen Daten für den für die Verarbeitung Verantwortlichen gilt der Auftragsverarbeiter als Auftragsverarbeiter im Sinne von Artikel 4 einleitender Worte und unter 8 der DSGVO;

Stimme wie folgt zu:

Artikel 1. Definitionen

  1. In dieser Datenverarbeitungsvereinbarung haben die folgenden Begriffe, die immer mit einem Großbuchstaben geschrieben sind, die folgende Bedeutung, unabhängig davon, ob sie im Plural oder Singular verwendet werden:
    Anlage    : Anlage zur Prozessorvereinbarung, die integraler Bestandteil der Prozessorvereinbarung ist.
    Vereinbarung: der Pluvo-Kundenvertrag, der zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter geschlossen wurde;
    Personenbezogene Daten    : alle Daten, die direkt oder indirekt auf eine natürliche Person im Sinne von Artikel 4 einleitenden Worten und unter 1 DSGVO zurückgeführt werden können;
    Subprozessor    : der vom Auftragsverarbeiter beauftragte Unterauftragnehmer, der personenbezogene Daten im Rahmen dieser Verarbeitungsvereinbarung im Namen des für die Verarbeitung Verantwortlichen gemäß Artikel 28 Absatz 4 der DSGVO verarbeitet;
    Bearbeitung    : Verarbeitung personenbezogener Daten gemäß Artikel 4 einleitender Worte und unter 2 der DSGVO;
    Vereinbarung zur Datenverarbeitung    : die vorliegende Vereinbarung, die Teil der Vereinbarung ist.
  2. Die Bestimmungen der Vereinbarung gelten in vollem Umfang für die Verarbeitungsvereinbarung. Soweit die Vereinbarung Bestimmungen zur Verarbeitung personenbezogener Daten enthält, haben die Bestimmungen dieser Verarbeitungsvereinbarung Vorrang.

Artikel 2. Datenverantwortlicher und Datenverarbeiter

  1. Gemäß dieser Verarbeitungsvereinbarung verpflichtet sich der Auftragsverarbeiter, personenbezogene Daten im Namen des für die Verarbeitung Verantwortlichen zu verarbeiten. Eine Übersicht über die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Zwecke, für die die Verarbeitung personenbezogener Daten erfolgt, ist in Anhang 1 enthalten.
  2. Der Verantwortliche haftet für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung und garantiert, dass der Auftrag zur Verarbeitung dieser personenbezogenen Daten allen geltenden Gesetzen und Vorschriften entspricht. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter, insbesondere des Vorgesetzten, frei, die sich in irgendeiner Weise aus der Nichteinhaltung dieser Garantie ergeben.
  3. Der Verarbeiter verpflichtet sich, personenbezogene Daten nur für die in dieser Prozessorvereinbarung und/oder der Vereinbarung genannten Aktivitäten zu verarbeiten. Der Prozessor garantiert, dass er die im Rahmen dieser Prozessorvereinbarung verarbeiteten personenbezogenen Daten ohne die ausdrückliche schriftliche Zustimmung des für die Verarbeitung Verantwortlichen nicht verwendet, es sei denn, eine für den Auftragsverarbeiter geltende gesetzliche Bestimmung schreibt eine Verarbeitung vor. In diesem Fall wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
  4. Freie Eingabefelder und spezielle persönliche Daten
    1. Der Auftragsverarbeiter verarbeitet Daten, die über freie Eingabefelder eingegeben werden, ausschließlich zu dem Zweck, diese Daten technisch bereitzustellen, zu hosten, zu speichern, zu sichern, zu sichern und (zu löschen). Der Auftragsverarbeiter führt keine inhaltliche oder aktive Überprüfung der über freie Eingabefelder eingegebenen Inhalte durch.
    2. Sofern nicht ausdrücklich schriftlich vereinbart, ist es dem für die Verarbeitung Verantwortlichen nicht gestattet, besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO oder einer BSN über freie Eingabefelder zu verarbeiten. Wenn der für die Verarbeitung Verantwortliche dies tut, wird er für eine gültige Rechtsgrundlage und angemessene zusätzliche Schutzmaßnahmen sorgen und den Auftragsverarbeiter im Voraus schriftlich informieren.
    3. Daten, die im Rahmen von Systemaufgaben (wie Kontroll-, Export- oder Löschverfahren) vorübergehend gespeichert werden, werden verschlüsselt gespeichert, protokolliert und nach Abschluss der Aufgabe gemäß Anhang 2 automatisch gelöscht.
    4. Der Prozessor ermöglicht Konfigurationen und Benutzeroberflächenwarnungen, die den für die Verarbeitung Verantwortlichen auf das Verbot oder die Bedingungen für die Eingabe besonderer personenbezogener Daten über freie Felder aufmerksam machen.
    5. Der Verarbeiter erlegt diese Verpflichtungen vertraglich allen Unterauftragsverarbeitern auf, die Zugriff auf diese Daten haben.

Artikel 3. Technische und organisatorische Bestimmungen

  1. Der Auftragsverarbeiter wird den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflichten gemäß der DSGVO unterstützen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik und der Kosten der Umsetzung gewährleisten diese Maßnahmen ein angemessenes Sicherheitsniveau, wobei die mit der Verarbeitung verbundenen Risiken und die Art der zu schützenden Daten berücksichtigt werden. In jedem Fall ergreift der Verarbeiter Maßnahmen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, versehentlichem und vorsätzlichem Verlust, Verfälschung, unbefugter Weitergabe oder unbefugtem Zugriff oder jeder anderen Form der rechtswidrigen Verarbeitung zu schützen.
  2. Die vom Verarbeiter ergriffenen technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben. Der für die Verarbeitung Verantwortliche bestätigt, die betreffenden Maßnahmen zur Kenntnis genommen zu haben, und mit der Unterzeichnung dieser Verarbeitungsvereinbarung stimmt der für die Verarbeitung Verantwortliche den vom Prozessor ergriffenen Maßnahmen zu.

Artikel 4. Vertraulichkeit

  1. Der Verarbeiter lässt seine Mitarbeiter, die an der Ausführung des Vertrags beteiligt sind, eine Vertraulichkeitsvereinbarung unterzeichnen — unabhängig davon, ob sie im Arbeitsvertrag mit diesen Mitarbeitern enthalten ist oder nicht —, in der zumindest festgelegt ist, dass diese Mitarbeiter die Vertraulichkeit der personenbezogenen Daten wahren müssen.

Artikel 5. Datenverarbeitung außerhalb der Niederlande

  1. Die Übertragung personenbezogener Daten durch den Verarbeiter außerhalb des Europäischen Wirtschaftsraums ist nur unter Einhaltung der geltenden gesetzlichen Verpflichtungen zulässig.

Artikel 6. Dritte und Subunternehmer  

  1. Der Prozessor darf im Rahmen dieser Prozessorvereinbarung und der Vereinbarung Unterauftragsverarbeiter einsetzen, wie in Anhang 3 aufgeführt. Wenn der Prozessor einen anderen Unterauftragsverarbeiter beauftragen möchte, informiert der Prozessor den für die Verarbeitung Verantwortlichen über die geplanten Änderungen. Der für die Verarbeitung Verantwortliche muss diesen Änderungen innerhalb von 5 Arbeitstagen widersprechen. Der Prozessor wird innerhalb von 4 Arbeitstagen auf den Einspruch des für die Verarbeitung Verantwortlichen antworten.
  2. Der Verarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zur Einhaltung der Vertraulichkeitsverpflichtungen, Berichtspflichten und Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten, wobei diese Verpflichtungen und Maßnahmen mindestens den Bestimmungen dieser Prozessorvereinbarung entsprechen müssen.

Artikel 7. Haftung

  1. In Bezug auf die Haftung des Verarbeiters gemäß der Prozessorvereinbarung und in Bezug auf die in der Prozessorvereinbarung enthaltenen Schadensersatzverpflichtungen für den Verarbeiter gilt die unter anderem in Artikel 9 der Vereinbarung enthaltene Regelung zur Haftungsbeschränkung in vollem Umfang.
  2. Unbeschadet des Artikels 7.1 dieser Verarbeitungsvereinbarung haftet der Auftragsverarbeiter nur für Schäden, die durch die Verarbeitung verursacht werden, wenn diese Verarbeitung nicht den Verpflichtungen entspricht, die speziell an den Auftragsverarbeiter gemäß der DSGVO gerichtet sind, oder wenn die rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen unter Verletzung der rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen gehandelt wurden.

Artikel 8. Vorfälle

  1. Wenn der Auftragsverarbeiter Kenntnis von einem Vorfall erlangt, der (wesentliche) Auswirkungen auf die Sicherheit personenbezogener Daten haben kann, wird er i) den für die Verarbeitung Verantwortlichen unverzüglich informieren und ii) alle angemessenen Maßnahmen ergreifen, um (weitere) Verstöße gegen die DSGVO zu verhindern oder einzuschränken.
  2. Der Auftragsverarbeiter wird, soweit angemessen, mit dem für die Verarbeitung Verantwortlichen zusammenarbeiten und den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner rechtlichen Verpflichtungen in Bezug auf den festgestellten Vorfall unterstützen.
  3. Der Auftragsverarbeiter wird, soweit angemessen, den für die Verarbeitung Verantwortlichen bei seiner Verpflichtung unterstützen, die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde („AP“) und/oder der betroffenen Person gemäß den Artikeln 33 Absätze 3 und 34 Absatz 1 der DSGVO zu melden. Der Auftragsverarbeiter ist niemals verpflichtet, eine Verletzung des Schutzes personenbezogener Daten eigenständig dem AP und/oder der betroffenen Person zu melden.
  4. Der Auftragsverarbeiter haftet niemals für die (korrekte und/oder rechtzeitige Erfüllung) der Berichtspflicht gegenüber dem für die Verarbeitung Verantwortlichen gemäß den Artikeln 33 und 34 der DSGVO.

Artikel 9. Unterstützung des für die Datenverarbeitung Verantwortlichen

  1. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflichten gemäß der DSGVO, Anfragen zur Ausübung der Rechte der betroffenen Person, insbesondere des Auskunftsrechts (Art. 15 DSGVO), des Rechts auf Berichtigung (Art. 16 DS-GVO), des Rechts auf Datenlöschung (Art. 17 DSGVO), des Rechts auf Einschränkung (Art. 18 DSGVO), der Übertragbarkeit (Art. 20 DSGVO) und des Widerspruchsrechts (Art. 21 und 22 DSGVO). Der Verarbeiter leitet eine Beschwerde oder Anfrage einer betroffenen Person bezüglich der Verarbeitung personenbezogener Daten so schnell wie möglich an den für die Verarbeitung Verantwortlichen weiter, der für die Bearbeitung der Anfrage verantwortlich ist. Der Auftragsverarbeiter ist berechtigt, dem für die Verarbeitung Verantwortlichen alle mit der Zusammenarbeit verbundenen Kosten in Rechnung zu stellen.
  2. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit dies nach vernünftigem Ermessen möglich ist, bei der Erfüllung seiner Pflicht gemäß der DSGVO, eine Datenschutzfolgenabschätzung durchzuführen (Artikel 35 und 36 DSGVO).
  3. Der Prozessor stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die nach vernünftigem Ermessen erforderlich sind, um nachzuweisen, dass der Prozessor seinen Verpflichtungen gemäß der DSGVO nachkommt. Darüber hinaus ermöglicht der Auftragsverarbeiter auf Anfrage des für die Verarbeitung Verantwortlichen Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen vom für die Verarbeitung Verantwortlichen autorisierten Auditor und trägt zu diesen bei. Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Anweisung im Zusammenhang mit den Bestimmungen dieses Absatzes gegen die DSGVO oder andere für ihn geltende Datenschutzgesetze verstößt, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen.
  4. Der Verarbeiter ist berechtigt, dem für die Verarbeitung Verantwortlichen alle mit den Bestimmungen von Artikel 9.3 verbundenen Kosten in Rechnung zu stellen.

Artikel 10. Kündigung und Verschiedenes

  1. In Bezug auf die Kündigung und/oder Auflösung dieser Verarbeitungsvereinbarung gelten die spezifischen Bestimmungen der Vereinbarung. Unbeschadet der spezifischen Bestimmungen der Vereinbarung löscht der Verarbeiter alle personenbezogenen Daten auf erste Anfrage des für die Verarbeitung Verantwortlichen oder gibt sie an ihn zurück und löscht vorhandene Kopien, es sei denn, der Verarbeiter ist gesetzlich verpflichtet, die personenbezogenen Daten (Teile davon) weiterhin zu speichern.
  2. Der Verantwortliche wird den Auftragsverarbeiter angemessen über die (gesetzlichen) Aufbewahrungsfristen informieren, die für die Verarbeitung personenbezogener Daten für den Verarbeiter gelten.
  3. Der für die Verarbeitung Verantwortliche erklärt, dass er berechtigt ist, diese Datenverarbeitungsvereinbarung abzuschließen.
  4. Die Verpflichtungen aus dieser Datenverarbeitungsvereinbarung, die ihrer Natur nach eine Kündigung überdauern sollen, bleiben auch nach Beendigung dieser Datenverarbeitungsvereinbarung in Kraft.
  5. Die Rechtswahl und das zuständige Gericht entsprechen den Bestimmungen der Vereinbarung.

----------------------------

Anlage 1. Überblick über personenbezogene Daten

Art der personenbezogenen Daten

Die folgenden Kategorien personenbezogener Daten können vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden:

  1. Grundlegende Identifikationsinformationen: Name, E-Mail-Adresse, ProfilbildNameE-mail-AdresseProfilbild
  2. Benutzerdefinierte Benutzerfelder: Felder, die vom Datenverantwortlichen hinzugefügt wurden und speziell auf seine betrieblichen Anforderungen zugeschnitten sind.Felder, die vom Datenverantwortlichen hinzugefügt wurden und speziell auf seine betrieblichen Anforderungen zugeschnitten sind. Diese können variieren und beinhalten unter anderem Beruf, Organisation, Kontaktinformationen und andere relevante Informationen.
  3. Pädagogische Daten: Fortschritte beim Kursmaterial, den Ergebnissen und den Ergebnissen von Evaluationen und Tests

Der für die Verarbeitung Verantwortliche behält sich die Autonomie vor, zu bestimmen, welche personenbezogenen Daten über die Software des Prozessors verarbeitet werden. Dies umfasst sowohl die grundlegenden Identifikationsinformationen als auch die spezifischen benutzerdefinierten Felder, die für ihre Zwecke relevant sind.

Freie Eingabefelder — Umfang und Einschränkungen

Freie Eingabefelder können vom Datenverantwortlichen konfiguriert werden.

Der Datenverantwortliche stellt sicher, dass nein besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder BSN werden verarbeitet, sofern keine gültige Rechtsgrundlage und zusätzliche Garantien vorliegen und der Auftragsverarbeiter im Voraus darüber informiert wurde.

In allen Fällen, bleib Zweckbeschränkung, Datenminimierung und die in dieser Datenverarbeitungsvereinbarung festgelegten Aufbewahrungs- und Löschfristen gilt ungekürzt.

Dynamischer Charakter der Daten

Angesichts der Möglichkeit, dass der für die Verarbeitung Verantwortliche benutzerdefinierte Felder hinzufügen kann, haben die Arten der verarbeiteten personenbezogenen Daten von Natur aus einen dynamischen Aspekt.

Der Prozessor sorgt für Transparenz, indem er Einblick in den aktuellen Satz verarbeiteter personenbezogener Daten in der Kundenumgebung bietet.

Zugriff auf Daten

Eine aktuelle und vollständige Übersicht der verarbeiteten personenbezogenen Daten ist dem für die Verarbeitung Verantwortlichen zugänglich, nachdem er sich in der vom Prozessor bereitgestellten Software in das Konto eingeloggt hat.

Dieser Zugriff ermöglicht es dem für die Datenverarbeitung Verantwortlichen, die Arten der gesammelten Daten regelmäßig zu überprüfen und sie gegebenenfalls zu aktualisieren, um Richtigkeit und Relevanz sicherzustellen.

Transparenz und ComplianceZwecke der Verarbeitung

Diese Spezifikation personenbezogener Daten wurde im Geiste der Transparenz und Einhaltung der DSGVO erstellt, wobei der Datenschutz und der Schutz der Benutzerdaten von größter Bedeutung sind.

Zwecke der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Verarbeiter erfolgt für bestimmte Zwecke, die vom für die Verarbeitung Verantwortlichen festgelegt werden. Diese Zwecke betreffen die personenbezogenen Daten natürlicher Personen (betroffene Personen), die:

  • eins Beziehung mit dem für die Datenverarbeitung Verantwortlichen (z. B. Kunden, Mitglieder, Studenten, Mitarbeiter oder Teilnehmer) zusammenarbeiten;
  • teilnehmen an Schulungen oder Lehrgänge angeboten vom Datenverantwortlichen.

Zu diesen Zwecken gehören:

  • Kommunikation mit Interessenträgern;
  • Durchführung von Recherchen oder Evaluationen;
  • Einhaltung gesetzlicher Verpflichtungen;
  • Ausführung von Vereinbarungen mit den Beteiligten.

Verarbeitungstätigkeiten

Die Verarbeitung erfolgt unabhängig vom für die Verarbeitung Verantwortlichen oder von der betroffenen Person unter Verwendung der Systeme des Auftragsverarbeiters. Diese Aktivitäten umfassen, sind aber nicht beschränkt auf:

  • Sammeln, Aufzeichnen, Organisieren, Segmentieren, Filtern und Strukturieren von Daten;
  • Speicherung von Daten, einschließlich E-Mail-Kommunikation und Chat-Protokollen;
  • Aktualisierung, Änderung, Synchronisation, Anreicherung und Analyse von Daten;
  • Daten anzufordern, zu konsultieren, zu verwenden, zu teilen, zu verbreiten oder auf andere Weise zur Verfügung zu stellen;
  • Ausrichten, Kombinieren, Blockieren, Löschen oder Vernichten von Daten.

Diese Liste bietet einen vollständigen Überblick über die möglichen Interaktionen mit personenbezogenen Daten in den Systemen des Auftragsverarbeiters und die Vielfalt der Verarbeitungsvorgänge.

Verwendung der KI-Funktionalität

Wenn der für die Verarbeitung Verantwortliche den AI-Lektionsmodulgenerator innerhalb der Pluvo-Plattform verwendet, kann der von ihm oder seinen Benutzern eingegebene Text („Eingabeaufforderungen“) vorübergehend vom Subprozessor OpenAI LLC verarbeitet werden, um Unterrichtsmaterialien zu generieren. Pluvo übernimmt hiermit die Rolle des Auftragsverarbeiters; der für die Verarbeitung Verantwortliche bleibt voll verantwortlich für die Rechtmäßigkeit und den Inhalt des eingegebenen Textes, insbesondere wenn er personenbezogene Daten enthält.

----------------------------

Anlage 2. Sicherheitsspezifikation

Allgemeine Verpflichtungen

Der Auftragsverarbeiter verpflichtet sich, alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gemäß der Allgemeinen Datenschutzverordnung (DSGVO), insbesondere Artikel 32 DSGVO, zu ergreifen.

Diese Maßnahmen sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.

Konformität mit ISO/IEC 27001:2022

Zusätzlich zu den DSGVO-Anforderungen handelt der Prozessor gemäß der Norm ISO/IEC 27001:2022 für das Informationssicherheitsmanagement.

Das Informationssicherheitsmanagementsystem (ISMS) des Prozessors umfasst mindestens die folgenden Kontrollmaßnahmen:

  • Risikomanagement — Regelmäßige Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.
  • Sicherheitspolitik — Aufrechterhaltung einer formellen und dokumentierten Informationssicherheitsrichtlinie
  • Organisation für Informationssicherheit — Etablierte Führungsstruktur mit Rollen und Verantwortlichkeiten.
  • Sicherheit der Humanressourcen — Die Mitarbeiter sind geschult und vertraglich zur Vertraulichkeit verpflichtet.
  • Verwaltung von Vermögenswerten — Identifizierung, Klassifizierung und Schutz von Informationsressourcen.
  • Zutrittskontrolle — Prinzip der geringsten Rechte; regelmäßige Überprüfung der Zugangsrechte.
  • Kryptographie — Anwendung geeigneter Verschlüsselungstechniken zur Gewährleistung der Vertraulichkeit und Integrität der Informationen.
  • Physische und ökologische Sicherheit — Sicherheit von Anlagen und Geräten.
  • Betriebssicherheit — Sichere Prozessausführung und Wartung der Protokolldateien.
  • Sicherheit der Kommunikation — Schutz von Informationen in Netzwerken und Kommunikationsdiensten.
  • Systementwicklung und Wartung — Integration von Sicherheit in das Design und die Entwicklung von IT-Systemen.
  • Beziehungen zu Lieferanten — Vertragliche Garantien und Überwachung der Unterauftragsverarbeiter.
  • Verwaltung von Vorfällen — Schnelle Erkennung, Meldung und Weiterverfolgung von Vorfällen im Bereich der Informationssicherheit.
  • Kontinuitätsmanagement — Schutz der Kontinuität von Geschäfts- und IT-Prozessen.
  • Einhaltung — Regelmäßige Überprüfung der rechtlichen, gesetzlichen, regulatorischen und vertraglichen Verpflichtungen.

Spezifische zusätzliche Maßnahmen

  • Verschlüsselung — TLS-Verschlüsselung während des Transports und Verschlüsselung im Ruhezustand für Datenbanken, temporäre Puffer und Backups; regelmäßige Überprüfung der Schlüsselverwaltung.
  • Protokollierung und Überwachung — Auditprotokollierung aller relevanten Verarbeitungsvorgänge personenbezogener Daten, einschließlich Eingabe in freie Felder, vorübergehende Speicherung, Export und Löschung; die Protokolldaten werden sicher gespeichert und regelmäßig vom Sicherheitsbeauftragten überprüft.
  • Verwaltung des Datenlebenszyklus — Automatische Aufbewahrungszeitgeber und automatisches Löschen temporärer Daten nach Abschluss des Vorgangs; regelmäßige Backup-Wiederherstellungstests.
  • Zutrittskontrolle (betriebsbereit) — Trennung von Entwicklungs-, Test- und Produktionsumgebungen; Verwaltungskonten werden protokolliert und mindestens einmal jährlich überprüft.
  • DLP-Warnungen — Warnungen auf der Benutzeroberfläche und optionale Musterfilter raten davon ab, sensible oder spezielle personenbezogene Daten über freie Felder einzugeben.
  • Verwaltung von Änderungen — Änderungen an Formularen oder Feldstrukturen unterliegen einem formellen Änderungsprozess, einschließlich einer Datenschutzfolgenabschätzung (DPIA).

----------------------------

Anlage 3. Spezifikation der Subprozessoren

Der Verarbeiter kann für die Verarbeitung die folgenden Kategorien und Parteien von Unterauftragsverarbeitern verwenden:

Message Board

Identität:
https://messagebird.com

Verarbeitete Daten:
Vor- und Nachname
E-mail-Adresse
Informationen zum E-Mail-Inhalt

Zweck der Verarbeitung: Messagebird wird für den Versand von E-Mail-Kommunikation verwendet. Dazu gehören Transaktions-E-Mails und andere Formen der Kommunikation per E-Mail.

Verarbeitungstätigkeiten: Senden von E-Mails an Benutzer auf der Grundlage der bereitgestellten Listen.
Verarbeitung von Antwortdaten wie E-Mail-Öffnungs- und Klickraten.
Pflege von E-Mail-Listen und Abmeldeanfragen.

Ort der Verarbeitung: Die Daten werden in SparkPost-Rechenzentren in Europa verarbeitet.

Sicherheitsmaßnahmen: Messagebird implementiert branchenübliche Sicherheitsprotokolle und Verschlüsselungstechniken, um Datenintegrität und Vertraulichkeit zu gewährleisten.

Dauer der Verarbeitung: Die Daten werden so lange verarbeitet, wie es für die Erbringung der E-Mail-Dienste erforderlich ist, oder bis sich ein Benutzer abmeldet oder die Löschung seiner Daten beantragt.

Einhaltung von Gesetzen und Vorschriften: Messagebird hält sich an die DSGVO und andere relevante Datenschutzgesetze zum Schutz personenbezogener Daten.

Amazon AWS

Identität:
https://aws.amazon.com

Verarbeitete Daten: Benutzernamen und E-Mail-Adressen.Benutzerprofilbilder.Zusätzliche Felder, die vom Controller hinzugefügt wurden und je nach Benutzeranforderungen variieren können. Benutzerfortschritt und Ergebnisse in den Kursmaterialien und in den Dateien evaluations.Log, die Änderungen an der Datenbank aufzeichnen.Auf AWS S3 gespeicherte Dateien, einschließlich aller Benutzerdaten oder Kursmaterialien.

Zweck der Verarbeitung: AWS wird verwendet, um diese Daten zu hosten und zu verwalten, um eine skalierbare, zuverlässige und sichere Infrastruktur für unsere Dienste bereitzustellen.

Verarbeitungstätigkeiten:
Speicherung und Verwaltung personenbezogener Daten und Benutzerprofile.
Hosting von Bildungsinhalten und Überwachung der Benutzerleistung.
Wartung und Verwaltung von Protokolldateien für Sicherheit und Überwachung.
Dateispeicherung und -verwaltung auf AWS S3.

Ort der Verarbeitung: Daten werden in AWS-Rechenzentren in Frankfurt, Deutschland, verarbeitet und gespeichert.

Sicherheitsmaßnahmen: AWS implementiert umfassende Sicherheitsmaßnahmen, darunter Netzwerksicherheit, Verschlüsselung, Zugriffskontrolle und regelmäßige Sicherheitsüberprüfungen. Einhaltung relevanter Industriestandards und Zertifizierungen wie ISO 27001, SOC 1, SOC 2 und GDPR

Dauer der Verarbeitung: Die Daten werden so lange gespeichert und verarbeitet, wie es für die Erbringung der Dienste erforderlich ist.

Einhaltung von Gesetzen und Vorschriften: AWS hält sich an die DSGVO und andere relevante europäische und internationale Datenschutzgesetze zum Schutz personenbezogener Daten.

Rechte und Pflichten

Rechte prüfen: Wir behalten uns das Recht vor, die Datensicherheit und die Einhaltung der Datenschutzbestimmungen zu überprüfen.

Benachrichtigung über Datenschutzverstöße: Der Unterauftragsverarbeiter muss uns unverzüglich über Datenschutzverletzungen oder Sicherheitsvorfälle informieren.

Subprozessoren: Der Unterauftragsverarbeiter ist verpflichtet, alle weiteren Unterauftragsverarbeiter zu klären und muss bestätigen, ob die Datenverarbeitung innerhalb der Europäischen Union stattfindet.

OpenAI (KI-Funktionalität innerhalb des Unterrichtsmodul-Makers)

Identität:

OpenAI LLC

Zweck der Verarbeitung: Unterstützung der KI-Funktionalität innerhalb des Unterrichtsmodul-Makers auf der Pluvo-Plattform. Hier kann der vom Datencontroller eingegebene Text („Eingabeaufforderung“) vorübergehend an die OpenAI-API-Umgebung weitergeleitet werden, um Unterrichtsmaterial zum Konzept zu generieren.

Verarbeitete Daten: Texteingabe, die vom Benutzer oder Datenverantwortlichen in das KI-Modul eingegeben wird, einschließlich aller darin enthaltenen personenbezogenen Daten. Pluvo sendet oder sammelt keine anderen identifizierenden Informationen (wie Benutzer-IDs, E-Mail-Adressen oder IP-Adressen) außerhalb der technischen Übertragung.

Verarbeitungstätigkeiten: Verarbeitung von Texteingaben, Berechnung der Modellantwort und Rückgabe des generierten Textes an die Pluvo-Umgebung. OpenAI speichert diese Daten gemäß ihren Datenverarbeitungsrichtlinien nicht außerhalb der Dauer der API-Sitzung.

Ort der Verarbeitung: Die Verarbeitung erfolgt in Rechenzentren, die von OpenAI verwaltet werden und angemessenen Sicherheits- und Datenschutzgarantien gemäß ihren Zusatz zur Datenverarbeitung.

Sicherheitsmaßnahmen: Verschlüsselung bei der Übertragung (TLS 1.2 oder höher), Authentifizierung über sichere API-Schlüssel, Beschränkung des Protokollspeichers auf die funktionale Dauer der Sitzung.

Verantwortung des für die Datenverarbeitung Verantwortlichen: Der für die Datenverarbeitung Verantwortliche ist für die Art und Rechtmäßigkeit der eingegebenen Inhalte verantwortlich. Die Eingabe personenbezogener Daten oder anderer sensibler Informationen in das KI-Modul sollte nur erfolgen, wenn eine gültige Rechtsgrundlage gemäß der DSGVO besteht. Pluvo greift nicht auf den Inhalt der eingegebenen Eingabeaufforderungen zu und überprüft ihn auch nicht.

Einhaltung: OpenAI fungiert als Unterauftragsverarbeiter von Pluvo im Sinne von Artikel 28 DSGVO. Pluvo hat mit OpenAI eine Vereinbarung geschlossen, die besagt, dass die Verarbeitung den geltenden europäischen Datenschutzgesetzen entspricht.

Schnell zu
AnmeldenFunktionenHelpdesk KontaktStellenangebote
Nachrichten
BlogPodcastKundenberichte
Funktionen
Online-AkademieLernmanagementsystemSoziales lernenAutorentoolSicherheit & Zuverlässigkeit
Dienstleistungen
DienstleistungenWorkshops KundenserviceHelpdesk
Über Pluvo
Branchen
IndustrienTrainer & CoachesBildung & AusbilderOrganisationen & NGOsTransport & Sicherheit
Sprache
Nederlands
Deutsch
English
ISO 27001:2022
ISO 27001 2022 certificering
Sozial
Lernende InnovatorenFacebookInstagramLinkedin
Dokumentation
StatusseiteEntwicklerdokumentationDatenschutzrichtlinieCookie-VerwaltungVerarbeitungsvertragKundenvertrag
Adresse

Pluvo B.V.
Entrepotdok 63A
1018 AD Amsterdam
KvK 88899284
BTW NL864816789B01
+31(0)20 560 5002info@pluvo.com

Newsletter
Vielen Dank, Sie erhalten in Kürze einen Newsletter.
Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Urhebeer: Pluvo B.V.