Die Datenschutz-Grundverordnung (“DSGVO” EU 2016/679) ist eine europäische Verordnung, die die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelt. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Bildungseinrichtungen, unabhängig von ihrer Größe oder ihrem Standort.
Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen, die direkt oder indirekt identifizierbar ist. Dazu können Informationen wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Gesundheitsdaten, Konsumgewohnheiten, Internet-Surfverlauf usw. gehören.
Bildungseinrichtungen sammeln und verarbeiten personenbezogene Daten von ihren Kunden, Auszubildenden, Ausbildern und anderen Interessengruppen. Diese Daten werden für verschiedene Zwecke verwendet, z. B. :
Die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten sind in Artikel 5 der DSGVO festgelegt.
Sie bilden die Grundlage der DSGVO und müssen von jedem für die Verarbeitung personenbezogener Daten Verantwortlichen eingehalten werden, d. h. von jeder natürlichen oder juristischen Person, die die Zwecke und Mittel der Verarbeitung festlegt.
Die sechs Prinzipien sind folgende:
Schließlich muss der für die Verarbeitung Verantwortliche in der Lage sein, nachzuweisen, dass er diese Verpflichtungen einhält. Dies ist eine Neuerung der DSGVO: Der für die Verarbeitung Verantwortliche muss nicht mehr bei der CNIL eine Erklärung abgeben.
Im Folgenden finden Sie eine kurze Liste der verschiedenen Punkte, die Sie ansprechen müssen, um die DSGVO in Ihrer Organisation auf eigene Faust umzusetzen.
Für ausführlichere Informationen empfehlen wir Ihnen, die ausgezeichneten Leitfäden der CNIL zu diesem Thema zu erkunden.
Die Umsetzung der DSGVO ist ein interner Prozess in Ihrer Organisation. Es reicht nicht aus, “DSGVO-konforme Software zu verwenden”. Sie müssen eine Richtlinie für die Erhebung und den verantwortungsvollen Umgang mit den personenbezogenen Daten Ihrer Kunden und Praktikanten einführen, die Sie auf verschiedenen Medien speichern und mit denen Sie Verarbeitungen durchführen.
Digiforma ist eines der Medien, auf denen Sie diese Daten speichern, und hat daher die Verantwortung, die DSGVO als Auftragsverarbeiter umzusetzen. Wir bieten verschiedene Funktionen an, die weiter unten beschrieben werden, um Ihnen das Leben in diesem Rahmen zu erleichtern. In der Praxis wird Ihnen die Zentralisierung der Daten in einem Minimum an Tools das Leben erleichtern.
Die meisten gängigen Aufgaben, die von einer Bildungseinrichtung zur operativen Durchführung von Schulungen durchgeführt werden, bereiten keine besonderen Sorgen im Hinblick auf die Einhaltung der DSGVO. Sie müssen auf die Sicherheit achten, die Datenerfassung auf das wirklich notwendige Minimum und für einen begrenzten Zeitraum beschränken und den Kunden und Auszubildenden die Möglichkeit geben, die Wiederherstellung und Vernichtung dieser Daten zu verlangen.
Sie müssen jedoch besonders darauf achten, ob Sie die Daten zu kommerziellen Zwecken verwenden. Es ist der eigentliche Geist der DSGVO, den Missbrauch in diesem Punkt zu bekämpfen. Wenn Sie Daten, die Ihnen für eine Schulung anvertraut wurden, zu anderen Zwecken verwenden, müssen Sie diese Verarbeitungen unbedingt klar kommunizieren und die informierte Zustimmung der Personen einholen.
Es ist wichtig zu beachten, dass Sie als Bildungseinrichtung der Verantwortliche für die Verarbeitung sind und Digiforma ein Subunternehmer für Ihre Tätigkeit als Bildungseinrichtung ist.
Die Bildungseinrichtung, die für die Verarbeitung verantwortlich ist, legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest.
Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Vorschriften der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten verantwortlich.
Er muss insbesondere :
Der für die Verarbeitung Verantwortliche kann einen Unterauftragsverarbeiter – z. B. Digiforma – damit beauftragen, personenbezogene Daten in seinem Auftrag zu verarbeiten.
Der Auftragsverarbeiter unterliegt in Bezug auf den Datenschutz denselben Verpflichtungen wie der für die Verarbeitung Verantwortliche.
Der für die Verarbeitung Verantwortliche muss ein Register der von ihm durchgeführten Verarbeitungen personenbezogener Daten führen.
Dieses Register muss insbesondere die Zwecke der Verarbeitung, die betroffenen Kategorien personenbezogener Daten, die Empfänger der Daten, die Dauer der Aufbewahrung der Daten und die getroffenen Sicherheitsmaßnahmen enthalten.
Der für die Verarbeitung Verantwortliche muss auch die Anfragen der betroffenen Personen bezüglich ihrer personenbezogenen Daten beantworten. Er muss ihnen insbesondere eine Kopie ihrer personenbezogenen Daten zur Verfügung stellen, sie darüber informieren, wie ihre Daten verwendet werden, und ihren Anträgen auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten nachkommen.
Der für die Verarbeitung Verantwortliche kann von der Commission nationale de l’informatique et des libertés (CNIL) bestraft werden, wenn er die DSGVO nicht einhält. Die Sanktionen können bis zu 4 % des weltweiten Jahresumsatzes der Organisation oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.
Die DSGVO (General Data Protection Regulation) ist eine Verordnung der Europäischen Union, die am 27. April 2016 verabschiedet wurde und am 25. Mai 2018 in Kraft getreten ist. Ziel der DSGVO ist es, den Schutz der personenbezogenen Daten natürlicher Personen in der EU zu stärken und zu vereinheitlichen.
Bildungseinrichtungen unterliegen der DSGVO insofern, als sie personenbezogene Daten ihrer Auszubildenden erheben und verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen, wie z. B. Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse etc.
Um der DSGVO zu entsprechen, müssen Bildungseinrichtungen eine Reihe von Verpflichtungen erfüllen, darunter :
Sie müssen in Ihrer Bildungseinrichtung unbedingt festlegen, wer für die Umsetzung der Datenschutzpolitik in Ihrer Einrichtung verantwortlich sein soll. Diese Person muss den richtigen Status und die richtigen Kompetenzen haben.
Der DPO (Datenschutzbeauftragte) ist die Person, die für die Umsetzung der Datenschutzpolitik und die Gewährleistung des wirksamen Schutzes personenbezogener Daten in Ihrer Organisation verantwortlich ist.
Seine Ernennung ist für bestimmte Strukturen, wie z. B. öffentliche Einrichtungen, verpflichtend.
Auch wenn es keine gesetzliche Verpflichtung gibt, ist die Ernennung eines DSB für jedes Unternehmen sehr wichtig. Der DSB kann intern oder extern sein, er muss den richtigen Status und die richtigen Kompetenzen haben.
Wir empfehlen Ihnen, zwei Verfahren einzurichten, die es Ihnen ermöglichen, auf Datenverletzungen und die Forderung eines Praktikanten nach Ausübung seiner Rechte zu reagieren.
Wie ist das Verfahren bei einer Datenverletzung?
Organisationen, die personenbezogene Daten verarbeiten (für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter), müssen umfassende Verfahren für den Fall einer Verletzung personenbezogener Daten planen und umsetzen.
Diese Verfahren müssen sich auf den gesamten Prozess beziehen: die Einrichtung von Maßnahmen zur sofortigen Erkennung einer Verletzung, zur schnellen Eindämmung der Verletzung, zur Analyse der durch den Vorfall verursachten Risiken und zur Entscheidung, ob die Aufsichtsbehörde oder sogar die betroffenen Personen benachrichtigt werden sollen. Diese Verfahren tragen somit zur Dokumentation der Einhaltung der DSGVO bei.
Nicht alle Verstöße müssen der Aufsichtsbehörde oder den betroffenen Personen mitgeteilt werden. Wenn es jedoch notwendig ist, sollte diese Information der betroffenen Personen für den für die Verarbeitung Verantwortlichen Priorität haben, da sie dadurch in die Lage versetzt werden, Maßnahmen zu ergreifen, die sie vor diesen Risiken schützen sollen.
Die Pflicht zur Benachrichtigung hängt von dem Risiko ab, das die Verletzung personenbezogener Daten für die Rechte und Freiheiten der Einzelpersonen, deren Daten betroffen sind, darstellt :
Wenn die Verletzung kein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :
Wenn die Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :
Wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche :
Wie ist das Verfahren, wenn ein Praktikant seine DSGVO-Rechte geltend macht?
Ein Praktikant hat wie jede andere Person, die von der Verarbeitung seiner persönlichen Daten betroffen ist, Rechte (Recht auf Zugang, Berichtigung, Beschwerde bei der CNIL und unter bestimmten Bedingungen das Recht auf Löschung, Einschränkung, Widerspruch, Widerruf seiner Zustimmung und Widerspruch gegen die Verarbeitung seiner Daten zu Marketingzwecken).
Um diese Rechte auszuüben, müssen Sie einen schriftlichen Antrag mit den erforderlichen Informationen (vollständige Kontaktdaten und Kopie des Personalausweises) per Post oder E-Mail stellen.
Der für die Verarbeitung Verantwortliche verfügt über eine Antwortfrist von einem Monat. Wenn er aus irgendeinem Grund nicht auf eine Anfrage reagieren kann, muss er der betroffenen Person erklären, warum ihre Anfrage abgelehnt wurde.
Digiforma hat die Kanzlei xDPO zum Datenschutzbeauftragten (DPO) ernannt, den Sie bei Fragen zur DSGVO kontaktieren können, erreichbar unter rgpd@aworldforus.com.
Ein Datenschutzbeauftragter (DSB) ist eine Person, die innerhalb einer Organisation für den Schutz personenbezogener Daten verantwortlich ist. Der DSB ist dafür verantwortlich, dass die Organisation alle geltenden Gesetze und Vorschriften zum Datenschutz einhält.
Der DSB muss eine Reihe von Aufgaben erfüllen, darunter :
Der DSB spielt eine wichtige Rolle beim Schutz der personenbezogenen Daten von Einzelpersonen. Indem er sicherstellt, dass die Organisation alle geltenden Gesetze und Vorschriften einhält, trägt der DSB dazu bei, dass personenbezogene Daten auf sichere und gesetzeskonforme Weise gesammelt, verwendet und gespeichert werden.
Die Rolle des DSB ist in der Allgemeinen Datenschutzverordnung (DSGVO) festgelegt. Die DSGVO schreibt vor, dass alle Organisationen, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten, einen DSB ernennen müssen, wenn sie bestimmte Kriterien erfüllen, insbesondere wenn sie Daten in großem Umfang oder sensible Daten verarbeiten.
Digiforma verarbeitet zwei Arten von personenbezogenen Daten seiner Kunden:
Die Daten der Nutzer
Sie sind in ihrem Digiforma-Konto sichtbar und editierbar. Die in einem Benutzerkonto erforderlichen Daten sind diejenigen, die für den Betrieb des Dienstes rechtmäßig erforderlich sind. Ein Nutzer kann seine Daten aus seinem Konto exportieren und beantragen, dass sein Konto endgültig gelöscht wird, indem er uns unter rgpd@aworldforus.com kontaktiert.
Die Daten der Praktikanten
Digiforma stellt Ihnen verschiedene Möglichkeiten zur Verfügung, um Daten über Ihre Praktikanten zu speichern (editierbare Felder, Hochladen von Dateien, Notizen). Die einzigen Daten, die von der Software verlangt werden, sind die Nachnamen. Alle anderen Daten sollten nur dann erhoben und gespeichert werden, wenn es für Ihre Tätigkeit notwendig ist.
Wenn einer Ihrer Praktikanten Sie um den Export oder die Vernichtung seiner persönlichen Daten bittet, stehen Ihnen in Ihrem Digiforma-Konto mehrere Funktionen zur Verfügung, die Sie nutzen können.
Sie können die persönlichen Daten eines Praktikanten im Excel-Format aus seiner Karteikarte in der Software exportieren.
Sie können die persönlichen Daten der Praktikanten von ihrer Karteikarte in Ihrem Digiforma-Konto aus anonymisieren. Durch die Anonymisierung bleiben die pädagogische und finanzielle Bilanz sowie Ihre Historie erhalten. Der Name des Praktikanten wird durch einen Code ersetzt, und alle persönlichen Informationen (Name, Adresse usw.) werden endgültig gelöscht.
Der gesamte Datenaustausch zwischen Ihrem Webbrowser und dem Digiforma-Server wird durch das SSL-Protokoll verschlüsselt.
Auf die Daten Ihres Kontos kann nur mit Ihrem Benutzernamen und Passwort zugegriffen werden.
Die Digiforma-Server befinden sich in Europa (Irland) im AWS-Rechenzentrum über den Webapplikations-Hosting-Anbieter Heroku. Dieses Rechenzentrum ist nach ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 zertifiziert. Die Datenbanken werden kontinuierlich durch physische Backups geschützt, und die Daten werden auf der Festplatte mit AES-256 verschlüsselt.
Wir verwenden Cloud-Lösungen, um unsere Kunden zu verwalten oder mit ihnen zu kommunizieren. Die Liste der verwendeten Lösungen ist in unseren Richtlinien zum Datenschutz und zur Nutzung personenbezogener Daten aufgeführt.
Wenn wir eine Lösung verwenden, die personenbezogene Daten in die USA überträgt, stellen wir sicher, dass CCTs – Standardvertragsklauseln – unterzeichnet wurden oder dass der Anbieter der Lösung das “Data Privacy Framework” , ein US-amerikanisches Regelwerk für den Schutz personenbezogener Daten, das am 13. Juli 2023 von der Europäischen Kommission verabschiedet wurde, unterzeichnet hat.
Siehe Lösungsanbieter, die das Data Privacy Framework unterzeichnet haben :
https://www.dataprivacyframework.gov/s/participant-search
Angemessenheitsbeschluss von der Europäischen Kommission bestätigt :
https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
Die Digiforma-Server befinden sich in Europa (Irland) im AWS-Rechenzentrum über den Webapplikations-Hosting-Anbieter Heroku.
Ja!
Alle Daten von Digiforma, die in das europäische Datenzentrum übertragen werden, werden durch verschiedene technische und organisatorische Maßnahmen geschützt.
Die DSGVO-Konformität unseres AWS-Hosters wird hier beschrieben :
https://aws.amazon.com/fr/compliance/gdpr-center/
Die DSGVO-Compliance unseres Hosting-Anbieters Heroku wird hier beschrieben :
https://devcenter.heroku.com/articles/gdpr
Der gesamte Datenaustausch zwischen Ihrem Webbrowser und dem Digiforma-Server wird durch das SSL-Protokoll verschlüsselt.
Auf die Daten Ihres Kontos kann nur mit Ihrem Benutzernamen und Passwort zugegriffen werden. Die Daten werden in einem Rechenzentrum gehostet, das nach ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 zertifiziert ist.
Die Datenbanken werden kontinuierlich durch physische Backups geschützt, und die Daten werden auf der Festplatte mit AES-256 verschlüsselt.
Découvrez également les autres documents essentiels pour la formation professionnelle
Téléchargez nos meilleurs contenus gratuits autour de la formation & du digital
Des centaines de conseils et astuces pour préparer son audit Qualiopi.
Organismes de formation réussissez votre transformation digitale avec nos e-books.
Toute l’actualité de la formation professionnelle en ligne.
Newsletter
Seien Sie der Erste, der Neuigkeiten von Digiforma erhält
"*" indicates required fields
Die Verarbeitung Ihrer Daten erfolgt in Übereinstimmung mit unserer Datenschutzerklärung.
© 2009 – 2024 Eine Welt für uns – Professionelle Trainingssoftware für Organisationen und Trainer | Alle Rechte vorbehalten | Nutzungsbedingungen | Datenschutzerklärung | Impressum | Cookies