Datenschutz für Digiforma-Benutzer


Présentation du RGPD

Die Datenschutz-Grundverordnung (“DSGVO” EU 2016/679) ist eine europäische Verordnung, die die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelt. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Bildungseinrichtungen, unabhängig von ihrer Größe oder ihrem Standort.


Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen, die direkt oder indirekt identifizierbar ist. Dazu können Informationen wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Gesundheitsdaten, Konsumgewohnheiten, Internet-Surfverlauf usw. gehören.

Bildungseinrichtungen sammeln und verarbeiten personenbezogene Daten von ihren Kunden, Auszubildenden, Ausbildern und anderen Interessengruppen. Diese Daten werden für verschiedene Zwecke verwendet, z. B. :

  • Die Verwaltung der Einschreibungen und der Anwesenheit bei den Fortbildungen.
  • Die Rechnungsstellung
  • Die Kommunikation
  • Die Akquise
  • Die Bewertung der Schulungen
  •  

Die Grundprinzipien der DSGVO

Die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten sind in Artikel 5 der DSGVO festgelegt.
Sie bilden die Grundlage der DSGVO und müssen von jedem für die Verarbeitung personenbezogener Daten Verantwortlichen eingehalten werden, d. h. von jeder natürlichen oder juristischen Person, die die Zwecke und Mittel der Verarbeitung festlegt.

Die sechs Prinzipien sind folgende:

  • Rechtmäßigkeit, Loyalität und Transparenz: Die Person muss über die Existenz der Verarbeitung und ihre Zwecke informiert werden und dass sie ihre Einwilligung gegeben haben muss oder dass die Verarbeitung auf einer anderen Rechtsgrundlage beruhen muss.
  • Zweckbestimmung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
  • Datenminimierung: Die erhobenen personenbezogenen Daten müssen den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sein und dürfen nicht darüber hinausgehen.
  • Richtigkeit: Personenbezogene Daten müssen sachlich richtig sein und, wenn nötig, aktualisiert werden.
  • Begrenzung der Speicherung: Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für die Zwecke, für die sie gesammelt wurden, notwendig ist.
  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen so verarbeitet werden, dass ihre Sicherheit, Vertraulichkeit und Integrität gewährleistet ist.

Schließlich muss der für die Verarbeitung Verantwortliche in der Lage sein, nachzuweisen, dass er diese Verpflichtungen einhält. Dies ist eine Neuerung der DSGVO: Der für die Verarbeitung Verantwortliche muss nicht mehr bei der CNIL eine Erklärung abgeben.


Die Einhaltung der DSGVO durch eine Bildungseinrichtung/h2>

Im Folgenden finden Sie eine kurze Liste der verschiedenen Punkte, die Sie ansprechen müssen, um die DSGVO in Ihrer Organisation auf eigene Faust umzusetzen.
Für ausführlichere Informationen empfehlen wir Ihnen, die ausgezeichneten Leitfäden der CNIL zu diesem Thema zu erkunden.


Ist eine Bildungsorganisation von rgpd betroffen?

Ja!

Die Umsetzung der DSGVO ist ein interner Prozess in Ihrer Organisation. Es reicht nicht aus, “DSGVO-konforme Software zu verwenden”. Sie müssen eine Richtlinie für die Erhebung und den verantwortungsvollen Umgang mit den personenbezogenen Daten Ihrer Kunden und Praktikanten einführen, die Sie auf verschiedenen Medien speichern und mit denen Sie Verarbeitungen durchführen.

Digiforma ist eines der Medien, auf denen Sie diese Daten speichern, und hat daher die Verantwortung, die DSGVO als Auftragsverarbeiter umzusetzen. Wir bieten verschiedene Funktionen an, die weiter unten beschrieben werden, um Ihnen das Leben in diesem Rahmen zu erleichtern. In der Praxis wird Ihnen die Zentralisierung der Daten in einem Minimum an Tools das Leben erleichtern.

Die meisten gängigen Aufgaben, die von einer Bildungseinrichtung zur operativen Durchführung von Schulungen durchgeführt werden, bereiten keine besonderen Sorgen im Hinblick auf die Einhaltung der DSGVO. Sie müssen auf die Sicherheit achten, die Datenerfassung auf das wirklich notwendige Minimum und für einen begrenzten Zeitraum beschränken und den Kunden und Auszubildenden die Möglichkeit geben, die Wiederherstellung und Vernichtung dieser Daten zu verlangen.

Sie müssen jedoch besonders darauf achten, ob Sie die Daten zu kommerziellen Zwecken verwenden. Es ist der eigentliche Geist der DSGVO, den Missbrauch in diesem Punkt zu bekämpfen. Wenn Sie Daten, die Ihnen für eine Schulung anvertraut wurden, zu anderen Zwecken verwenden, müssen Sie diese Verarbeitungen unbedingt klar kommunizieren und die informierte Zustimmung der Personen einholen.


Was ist Ihre Rolle und die von digiforma?

Es ist wichtig zu beachten, dass Sie als Bildungseinrichtung der Verantwortliche für die Verarbeitung sind und Digiforma ein Subunternehmer für Ihre Tätigkeit als Bildungseinrichtung ist.


Welche rgpd-Pflichten hat eine Bildungseinrichtung?

Die Bildungseinrichtung, die für die Verarbeitung verantwortlich ist, legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest.
Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Vorschriften der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten verantwortlich.

Er muss insbesondere :

  • Die Zustimmung der betroffenen Personen einholen, bevor ihre personenbezogenen Daten gesammelt werden.
  • Informieren Sie die betroffenen Personen darüber, wie ihre Daten gesammelt, verwendet und aufbewahrt werden.
  • Die Sicherheit der personenbezogenen Daten gewährleisten
  • Beschränken Sie die Erhebung personenbezogener Daten auf die Daten, die für den Zweck der Verarbeitung erforderlich sind.
  • Löschen Sie personenbezogene Daten, wenn die Verarbeitung nicht mehr notwendig ist.

Der für die Verarbeitung Verantwortliche kann einen Unterauftragsverarbeiter – z. B. Digiforma – damit beauftragen, personenbezogene Daten in seinem Auftrag zu verarbeiten.

Der Auftragsverarbeiter unterliegt in Bezug auf den Datenschutz denselben Verpflichtungen wie der für die Verarbeitung Verantwortliche.
Der für die Verarbeitung Verantwortliche muss ein Register der von ihm durchgeführten Verarbeitungen personenbezogener Daten führen.
Dieses Register muss insbesondere die Zwecke der Verarbeitung, die betroffenen Kategorien personenbezogener Daten, die Empfänger der Daten, die Dauer der Aufbewahrung der Daten und die getroffenen Sicherheitsmaßnahmen enthalten.

Der für die Verarbeitung Verantwortliche muss auch die Anfragen der betroffenen Personen bezüglich ihrer personenbezogenen Daten beantworten. Er muss ihnen insbesondere eine Kopie ihrer personenbezogenen Daten zur Verfügung stellen, sie darüber informieren, wie ihre Daten verwendet werden, und ihren Anträgen auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten nachkommen.

Der für die Verarbeitung Verantwortliche kann von der Commission nationale de l’informatique et des libertés (CNIL) bestraft werden, wenn er die DSGVO nicht einhält. Die Sanktionen können bis zu 4 % des weltweiten Jahresumsatzes der Organisation oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.


Wie werden die Daten der Praktikanten gesammelt?

Die DSGVO (General Data Protection Regulation) ist eine Verordnung der Europäischen Union, die am 27. April 2016 verabschiedet wurde und am 25. Mai 2018 in Kraft getreten ist. Ziel der DSGVO ist es, den Schutz der personenbezogenen Daten natürlicher Personen in der EU zu stärken und zu vereinheitlichen.

Bildungseinrichtungen unterliegen der DSGVO insofern, als sie personenbezogene Daten ihrer Auszubildenden erheben und verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen, wie z. B. Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse etc.

Um der DSGVO zu entsprechen, müssen Bildungseinrichtungen eine Reihe von Verpflichtungen erfüllen, darunter :

  • Einholung der Zustimmung der Auszubildenden, bevor ihre personenbezogenen Daten erhoben und verarbeitet werden.
  • Die Auszubildenden darüber informieren, wie ihre personenbezogenen Daten gesammelt, verwendet und gespeichert werden.
  • Die Erhebung und Verarbeitung personenbezogener Daten auf die Informationen beschränken, die für die Zwecke, für die sie erhoben wurden, notwendig sind.
  • die Sicherheit der personenbezogenen Daten zu gewährleisten.
  • die persönlichen Daten der Praktikanten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind.

Müssen wir einen rgpd-Beauftragten designen?

Sie müssen in Ihrer Bildungseinrichtung unbedingt festlegen, wer für die Umsetzung der Datenschutzpolitik in Ihrer Einrichtung verantwortlich sein soll. Diese Person muss den richtigen Status und die richtigen Kompetenzen haben.

Der DPO (Datenschutzbeauftragte) ist die Person, die für die Umsetzung der Datenschutzpolitik und die Gewährleistung des wirksamen Schutzes personenbezogener Daten in Ihrer Organisation verantwortlich ist.
Seine Ernennung ist für bestimmte Strukturen, wie z. B. öffentliche Einrichtungen, verpflichtend.

Auch wenn es keine gesetzliche Verpflichtung gibt, ist die Ernennung eines DSB für jedes Unternehmen sehr wichtig. Der DSB kann intern oder extern sein, er muss den richtigen Status und die richtigen Kompetenzen haben.


Zwei Verfahren, die Sie in Ihrer Bildungseinrichtung einführen können

Wir empfehlen Ihnen, zwei Verfahren einzurichten, die es Ihnen ermöglichen, auf Datenverletzungen und die Forderung eines Praktikanten nach Ausübung seiner Rechte zu reagieren.

Wie ist das Verfahren bei einer Datenverletzung?

Organisationen, die personenbezogene Daten verarbeiten (für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter), müssen umfassende Verfahren für den Fall einer Verletzung personenbezogener Daten planen und umsetzen.

Diese Verfahren müssen sich auf den gesamten Prozess beziehen: die Einrichtung von Maßnahmen zur sofortigen Erkennung einer Verletzung, zur schnellen Eindämmung der Verletzung, zur Analyse der durch den Vorfall verursachten Risiken und zur Entscheidung, ob die Aufsichtsbehörde oder sogar die betroffenen Personen benachrichtigt werden sollen. Diese Verfahren tragen somit zur Dokumentation der Einhaltung der DSGVO bei.

Nicht alle Verstöße müssen der Aufsichtsbehörde oder den betroffenen Personen mitgeteilt werden. Wenn es jedoch notwendig ist, sollte diese Information der betroffenen Personen für den für die Verarbeitung Verantwortlichen Priorität haben, da sie dadurch in die Lage versetzt werden, Maßnahmen zu ergreifen, die sie vor diesen Risiken schützen sollen.

Die Pflicht zur Benachrichtigung hängt von dem Risiko ab, das die Verletzung personenbezogener Daten für die Rechte und Freiheiten der Einzelpersonen, deren Daten betroffen sind, darstellt :

 

Wenn die Verletzung kein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :

  • Muss den Verstoß intern in Form eines Registers dokumentieren;
  • Muss die Verletzung weder der CNIL, die diese interne Dokumentation jedoch kontrollieren kann, noch den betroffenen Personen melden.

Wenn die Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :

  • Muss die Verletzung intern in Form eines Registers dokumentieren;
  • Muss die Verletzung der CNIL so schnell wie möglich und innerhalb von höchstens 72 Stunden melden.

Wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :

  • Muss die Verletzung intern in Form eines Registers dokumentieren;
  • Er muss die Verletzung so schnell wie möglich und innerhalb von höchstens 72 Stunden der CNIL melden;
  • Er muss die Verletzung den betroffenen Personen so schnell wie möglich mitteilen.

Wie ist das Verfahren, wenn ein Praktikant seine DSGVO-Rechte geltend macht?

Ein Praktikant hat wie jede andere Person, die von der Verarbeitung seiner persönlichen Daten betroffen ist, Rechte (Recht auf Zugang, Berichtigung, Beschwerde bei der CNIL und unter bestimmten Bedingungen das Recht auf Löschung, Einschränkung, Widerspruch, Widerruf seiner Zustimmung und Widerspruch gegen die Verarbeitung seiner Daten zu Marketingzwecken).

Um diese Rechte auszuüben, müssen Sie einen schriftlichen Antrag mit den erforderlichen Informationen (vollständige Kontaktdaten und Kopie des Personalausweises) per Post oder E-Mail stellen.

Der für die Verarbeitung Verantwortliche verfügt über eine Antwortfrist von einem Monat. Wenn er aus irgendeinem Grund nicht auf eine Anfrage reagieren kann, muss er der betroffenen Person erklären, warum ihre Anfrage abgelehnt wurde.


Die DSGVO-Konformität von Digiforma


Die rgpd-Kontaktstelle: der datenschutzbeauftragte / dpo

Digiforma hat die Kanzlei xDPO zum Datenschutzbeauftragten (DPO) ernannt, den Sie bei Fragen zur DSGVO kontaktieren können, erreichbar unter rgpd@aworldforus.com.

Ein Datenschutzbeauftragter (DSB) ist eine Person, die innerhalb einer Organisation für den Schutz personenbezogener Daten verantwortlich ist. Der DSB ist dafür verantwortlich, dass die Organisation alle geltenden Gesetze und Vorschriften zum Datenschutz einhält.

Der DSB muss eine Reihe von Aufgaben erfüllen, darunter :

  • Beratung der Organisation zu bewährten Praktiken im Bereich des Datenschutzes ;
  • Beaufsichtigen der Umsetzung von Datenschutzrichtlinien und -verfahren ;
  • Schulung von Mitarbeitern zum Thema Datenschutz ;
  • Beantwortung von Anfragen betroffener Personen zu ihren personenbezogenen Daten;
  • Koordination mit den Datenschutzbehörden (CNIL in Frankreich).

Der DSB spielt eine wichtige Rolle beim Schutz der personenbezogenen Daten von Einzelpersonen. Indem er sicherstellt, dass die Organisation alle geltenden Gesetze und Vorschriften einhält, trägt der DSB dazu bei, dass personenbezogene Daten auf sichere und gesetzeskonforme Weise gesammelt, verwendet und gespeichert werden.

Die Rolle des DSB ist in der Allgemeinen Datenschutzverordnung (DSGVO) festgelegt. Die DSGVO schreibt vor, dass alle Organisationen, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten, einen DSB ernennen müssen, wenn sie bestimmte Kriterien erfüllen, insbesondere wenn sie Daten in großem Umfang oder sensible Daten verarbeiten.


Persönliche Daten, die von digiforma verarbeitet werden

Digiforma verarbeitet zwei Arten von personenbezogenen Daten seiner Kunden:

Die Daten der Nutzer

Sie sind in ihrem Digiforma-Konto sichtbar und editierbar. Die in einem Benutzerkonto erforderlichen Daten sind diejenigen, die für den Betrieb des Dienstes rechtmäßig erforderlich sind. Ein Nutzer kann seine Daten aus seinem Konto exportieren und beantragen, dass sein Konto endgültig gelöscht wird, indem er uns unter rgpd@aworldforus.com kontaktiert.

Die Daten der Praktikanten

Digiforma stellt Ihnen verschiedene Möglichkeiten zur Verfügung, um Daten über Ihre Praktikanten zu speichern (editierbare Felder, Hochladen von Dateien, Notizen). Die einzigen Daten, die von der Software verlangt werden, sind die Nachnamen. Alle anderen Daten sollten nur dann erhoben und gespeichert werden, wenn es für Ihre Tätigkeit notwendig ist.

Wenn einer Ihrer Praktikanten Sie um den Export oder die Vernichtung seiner persönlichen Daten bittet, stehen Ihnen in Ihrem Digiforma-Konto mehrere Funktionen zur Verfügung, die Sie nutzen können.

Sie können die persönlichen Daten eines Praktikanten im Excel-Format aus seiner Karteikarte in der Software exportieren.

Sie können die persönlichen Daten der Praktikanten von ihrer Karteikarte in Ihrem Digiforma-Konto aus anonymisieren. Durch die Anonymisierung bleiben die pädagogische und finanzielle Bilanz sowie Ihre Historie erhalten. Der Name des Praktikanten wird durch einen Code ersetzt, und alle persönlichen Informationen (Name, Adresse usw.) werden endgültig gelöscht.


Von digiforma ergriffene technische Maßnahmen zum Datenschutz

Der gesamte Datenaustausch zwischen Ihrem Webbrowser und dem Digiforma-Server wird durch das SSL-Protokoll verschlüsselt.

Auf die Daten Ihres Kontos kann nur mit Ihrem Benutzernamen und Passwort zugegriffen werden.

Die Digiforma-Server befinden sich in Europa (Irland) im AWS-Rechenzentrum über den Webapplikations-Hosting-Anbieter Heroku. Dieses Rechenzentrum ist nach ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 zertifiziert. Die Datenbanken werden kontinuierlich durch physische Backups geschützt, und die Daten werden auf der Festplatte mit AES-256 verschlüsselt.

Wir verwenden Cloud-Lösungen, um unsere Kunden zu verwalten oder mit ihnen zu kommunizieren. Die Liste der verwendeten Lösungen ist in unseren Richtlinien zum Datenschutz und zur Nutzung personenbezogener Daten aufgeführt.

Wenn wir eine Lösung verwenden, die personenbezogene Daten in die USA überträgt, stellen wir sicher, dass CCTs – Standardvertragsklauseln – unterzeichnet wurden oder dass der Anbieter der Lösung das “Data Privacy Framework” , ein US-amerikanisches Regelwerk für den Schutz personenbezogener Daten, das am 13. Juli 2023 von der Europäischen Kommission verabschiedet wurde, unterzeichnet hat.

Siehe Lösungsanbieter, die das Data Privacy Framework unterzeichnet haben :
https://www.dataprivacyframework.gov/s/participant-search

Angemessenheitsbeschluss von der Europäischen Kommission bestätigt :
https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision


Wo werden die Daten in digiforma gehostet?

Die Digiforma-Server befinden sich in Europa (Irland) im AWS-Rechenzentrum über den Webapplikations-Hosting-Anbieter Heroku.


Sind die Hostings rgpd-konform?

Ja!
Alle Daten von Digiforma, die in das europäische Datenzentrum übertragen werden, werden durch verschiedene technische und organisatorische Maßnahmen geschützt.

Die DSGVO-Konformität unseres AWS-Hosters wird hier beschrieben :
https://aws.amazon.com/fr/compliance/gdpr-center/

Die DSGVO-Compliance unseres Hosting-Anbieters Heroku wird hier beschrieben :
https://devcenter.heroku.com/articles/gdpr

https://devcenter.heroku.com/articles/gdpr


Welche technischen Maßnahmen werden ergriffen?

Der gesamte Datenaustausch zwischen Ihrem Webbrowser und dem Digiforma-Server wird durch das SSL-Protokoll verschlüsselt.

Auf die Daten Ihres Kontos kann nur mit Ihrem Benutzernamen und Passwort zugegriffen werden. Die Daten werden in einem Rechenzentrum gehostet, das nach ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 zertifiziert ist.

Die Datenbanken werden kontinuierlich durch physische Backups geschützt, und die Daten werden auf der Festplatte mit AES-256 verschlüsselt.

Entdecken Sie auch die anderen wichtigen Funktionen für die Berufsbildung

La bibliothèque de ressources de Digiforma

Téléchargez nos meilleurs contenus gratuits autour de la formation & du digital

La certification Qualiopi de A à Z

Des centaines de conseils et astuces pour préparer son audit Qualiopi.

Livres blancs formation pro

Organismes de formation réussissez votre transformation digitale avec nos e-books.

Livre Blanc - Illustration Digiforma

Digiformag

Toute l’actualité de la formation professionnelle en ligne.

Entdecken Sie die Plattform Digiforma

Ein leistungsstarkes digitales Tool im Dienste Ihrer Schulungsaktivität