Allgemeine Infos zum Datenschutz

Datenschutz und Datensicherheit stehen an erster Stelle. Daher findet ihr hier wichtige Informationen

Alles wichtige zum Thema Datenschutz

Wir legen höchsten Wert auf Datenschutz und Datensicherheit. Wir hosten mit Serverstandort Deutschland, damit Sie die Anforderungen der DSGVO erfüllen können. Darüber hinaus gibt es noch weitere Punkte wie z.B. den AVV, auf die wir hier eingehen wollen. 


Vertrag über die Auftragsdatenverarbeitung (AVV)

Da wir im Auftrag unserer Kunden persönliche Daten verarbeiten, ist der Abschluß einer AVV erforderlich. Der Abschluß kann elektronisch über das Kundenkonto erfolgen. Hier finden Sie den Mustertext mit den Anlagen (inkl. TOA) als >> pdf download. Weitere Informationen zum Abschluß der AVV finden Sie >> hier im Support Center
 

 

Serverstandort Deutschland


Wir hosten bei AWS bzw. Digital Ocean jeweils mit Serverstandort Deutschland. Mit diesen Unternehmen haben wir entsprechende Vereinbarungen über die Verarbeitung von Daten getroffen und setzen die Unternehmen insofern als Unterauftragnehmer für die Datenverarbeitung ein.

Für zwei Sonderfälle setzen wir weitere Unterauftragnehmer ein:
  • Falls Sie Scorm Dateien bei uns ausspielen nutzen wir Scormcloud von Rustici Software für das Streaming der Scorm Dateien.
  • Falls Sie unser eCommerce Add-On nutzen setzen wir für die Abwicklung von Käufen den Anbieter Stripe ein.

Wir haben alle von uns eingesetzten Unterauftragnehmer sorgfältig ausgewählt und alle Vereinbarungen getroffen, um der aktuellen Rechtslage und den Anforderungen an den Datenschutz Folge zu leisten. Insbesondere haben wir in Anwendung von Klausel 14 der SCC die entsprechenden Transfer Impact Assessment (TIA) durchgeführt.
Die entsprechenden Dokumente finden Sie zum Download:
 

Ergänzend finden Sie hier unser DPA mit Rustici Software: >> DPA Susell < > Rusticii Software (ScormCloud). Hinweis: Bei AWS sowie bei Digital Ocean wird das DPA als Addendum ergänzend zum Hauptvertrags geführt, eine separate Unterzeichnung/Vereinbarung ist daher in beiden Fällen nicht erforderlich.
Mit AWS und Digital Ocean haben wir die neuen Standardvertragsklauseln (SCC) mit unseren Hosting Providern vereinbart. Nähere Informationen zu den SCC mit AWS können Sie hier finden und hier zu Digital Ocean.

Wir sind uns darüber im Klaren, dass der Datentransfer in die USA nach dem Schrems-II-Urteil besonderen Anforderungen unterliegt. Wir haben daher die o.g. Maßnahmen getroffen, um das bestmögliche Datenschutzniveau bei der Speicherung von Daten bei AWS und Digital Ocean zu gewährleisten. So haben wir etwa einen ausschließlich innereuropäischen Datenspeicherort mit AWS und Digital Ocean vertraglich vereinbart um so zu gewährleisten, dass kein Datentransfer in die USA erfolgt.
Alternativen zu AWS, Digital Ocean bzw. Rustici Software gibt es kurz- und mittelfristig leider nicht, da doch erheblichen Preissteigerungen nach sich ziehen würde. Abschließend möchten wir darauf hinweisen, dass unserer Auffassung das Risiko eines tatsächlichen Zugriffs auf die Datensätze, welche die Susell GmbH als Betreiberin von reteach als Ihr Auftragsverarbeiter verarbeitet, als gering einzustufen ist. Die problematischen Normen, die das Privacy-Shield kippten, sind Section 702 FISA und Executive Order 12333 (E.O. 12333).
Diese ermächtigen US-Behörden sogenannte “foreign intelligence” zu erlangen, also sämtliche Informationen, welche die USA im Rahmen ihrer geheimdienstlichen Tätigkeiten für erforderlich oder hilfreich erachten. Faktisch sind personenbezogene HR-Daten keine personenbezogenen Daten, welche von USA-Behörden als relevante Daten der “foreign intelligence” zu bewerten sind, (vgl. dbzgl. a.: Jungkind, Raspé, Schramm in: NZG 2020, S.1057f.). Vor diesem Hintergrund ist festzuhalten, dass ein äußerst geringes Risiko für den Zugriff besteht und dass wir dieses Risiko soweit minimieren, wie dies zum gegenwärtigen Zeitpunkt möglich ist.
Diese Einschätzung wird auch von anderen Datenschützern geteilt. So hat etwa der baden-württembergischen Datenschützer Stefan Brink in einer Stellungnahme pauschale Transferverbote als „rechtlich zweifelhaft“ eingestuft mit der Folge, dass die Behörde diese ablehnt (s. Bericht der FAZ vom 15.8.2022). Im übrigens sind unter unseren Kunden auch mehrere Datenschützer, die reteach als Plattform für Datenschutz-Schulungen einsetzen, weil sie unsere Risikoeinschätzung teilen.

Datensicherheit

Zur Ergänzung finden Sie unser >> Sicherheitskonzept.

 

Weitere nützliche Infos zum Thema Datenschutz findet ihr auch in unserem Blogartikel

 

Für weitergehende Fragen stehen wir gerne zur Verfügung. Bitte wenden Sie sich an datenschutz@reteach.io