Datenschutzerklärung der ICO GmbH
Version 2.11
Stand: 26.06.2026
Bei Abweichungen zwischen der deutschen und einer anderen Sprachfassung ist im Zweifelsfall der Wortlaut der deutschen Fassung maßgebend.
Allgemeine Erklärungen
Der Datenschutz und somit der Schutz der Persönlichkeit ist der ICO GmbH und den Geschäftseinheiten sehr wichtig. Alle beteiligten Geschäftseinheiten der ICO GmbH halten sich streng an die Europäische Datenschutzgrundverordnung (DSGVO).
Das vorliegende Dokument gibt Ihnen einen Überblick darüber, wie der Schutz der Personendaten sichergestellt wird und welche Daten zu welchem Zweck von wem bearbeitet werden.
Version der Datenschutzerklärung: Die vorliegende Datenschutzerklärung trägt die Version 2.11 mit Stand vom 26.06.2026 und ersetzt alle vorherigen Fassungen. Die ICO GmbH behält sich vor, die Datenschutzerklärung bei Änderungen gesetzlicher Vorgaben, bei ändernden Geschäftsanforderungen oder ändernden Prozessen anzupassen. Wird die Datenschutzerklärung angepasst, werden Sie entsprechend darauf hingewiesen.
Die nachfolgenden Informationen gelten für sämtliche Anwendungen und Funktionen im Rahmen der ICO GmbH Zertifizierungsdienstleistungen. Nachfolgend werden die Besonderheiten der eingesetzten kognitiven Dienste erläutert.
Verantwortlicher
ICO – International Certification Organization GmbH, Morassistraße 20, 80469 München
Vertretungsberechtigte Person: Robert Kuhlig
E-Mail-Adresse: office@ico-cert.org
Kontakt Datenschutzbeauftragter
Dr. Bittner Consulting GmbH & Co. KG
Datenschutzbeauftragter ICO GmbH | Podbielskistraße 386 | 30659 Hannover | Germany
datenschutz@ico-cert.org
Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.
Arten der verarbeiteten Daten
- Bestandsdaten (z. B. Namen, Adressen)
- Bewerberdaten (z. B. Angaben zur Person, Post- und Kontaktadressen, die zur Bewerbung gehörenden Unterlagen und die darin enthaltenen Informationen, wie z. B. Anschreiben, Lebenslauf, Zeugnisse sowie weitere im Hinblick auf eine konkrete Stelle oder freiwillig von Bewerbern mitgeteilte Informationen zu deren Person oder Qualifikation)
- Inhaltsdaten (z. B. Eingaben in Onlineformularen)
- Kontaktdaten (z. B. E-Mail, Telefonnummern)
- Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen)
- Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten)
- Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
- Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie)
- Besondere Kategorien personenbezogener Daten (biometrische Daten zur eindeutigen Identifizierung im Rahmen der Online-Prüfungen, Art. 9 Abs. 1 DSGVO)
Kategorien betroffener Personen
- Beschäftigte (z. B. Angestellte, Bewerber, ehemalige Mitarbeiter)
- Bewerber
- Geschäfts- und Vertragspartner
- Interessenten
- Kommunikationspartner
- Kunden
- Prüfungsteilnehmer
- Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten)
Zwecke der Verarbeitung
- Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
- Durchführung von Zertifizierungsprüfungen, Identitätsprüfung und Zertifikatsausstellung
- Bewerbungsverfahren (Begründung und etwaige spätere Durchführung sowie mögliche spätere Beendigung des Beschäftigungsverhältnisses)
- Büro- und Organisationsverfahren
- Direktmarketing (z. B. per E-Mail oder postalisch)
- Feedback (z. B. Sammeln von Feedback via Online-Formular)
- Marketing
- Kontaktanfragen und Kommunikation
- Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen)
- Reichweitenmessung (z. B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher)
- Sicherheitsmaßnahmen
- Erbringung vertraglicher Leistungen und Kundenservice
- Verwaltung und Beantwortung von Anfragen
Maßgebliche Rechtsgrundlagen
Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.
- Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
- Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
- Ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien (Art. 9 Abs. 2 lit. a DSGVO) – Die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung im Rahmen der Online-Prüfungen erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen, gesonderten und vorab erteilten Einwilligung.
- Geltendmachung von Rechtsansprüchen (Art. 9 Abs. 2 lit. f DSGVO) – Soweit besondere Kategorien personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, werden sie auf dieser Grundlage in eingeschränkter Verarbeitung (Art. 18 DSGVO) verarbeitet.
- Bewerbungsverfahren als vorvertragliches bzw. vertragliches Verhältnis (Art. 9 Abs. 2 lit. b DSGVO) – Soweit im Rahmen des Bewerbungsverfahrens besondere Kategorien von personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, wie Schwerbehinderteneigenschaft oder ethnische Herkunft) bei Bewerbern angefragt werden, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, erfolgt deren Verarbeitung nach Art. 9 Abs. 2 lit. b DSGVO, im Fall des Schutzes lebenswichtiger Interessen gem. Art. 9 Abs. 2 lit. c DSGVO oder für Zwecke der Gesundheitsvorsorge gem. Art. 9 Abs. 2 lit. h DSGVO. Im Fall einer auf freiwilliger Einwilligung beruhenden Mitteilung von besonderen Kategorien von Daten erfolgt deren Verarbeitung auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO.
- Nationale Datenschutzregelungen in Deutschland – Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Des Weiteren regelt es die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG). Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.
Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Übermittlung von personenbezogenen Daten
Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z. B. mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.
Datenverarbeitung in Drittländern
Sofern wir Daten in einem Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.
Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau (Angemessenheitsbeschluss), auf Grundlage eines anerkannten Zertifizierungsmechanismus (z. B. EU-US Data Privacy Framework), bei vertraglicher Verpflichtung durch die Standardvertragsklauseln der EU-Kommission oder beim Vorliegen verbindlicher interner Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).
Löschung von Daten
Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald die zur Verarbeitung erteilten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z. B. wenn der Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind).
Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. D. h., die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z. B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.
Unsere Datenschutzhinweise können ferner weitere Angaben zu der Aufbewahrung und Löschung von Daten beinhalten, die für die jeweiligen Verarbeitungen vorrangig gelten.
Wann löschen wir Ihre Daten?
Wir löschen Ihre Daten dann, wenn wir diese nicht mehr brauchen oder Sie uns dies vorgeben. Das bedeutet, dass – sofern sich aus den einzelnen Datenschutzhinweisen dieser Datenschutzerklärung nichts anderes ergibt – wir Ihre Daten löschen,
- wenn der Zweck der Datenverarbeitung weggefallen ist und damit die jeweilige in den einzelnen Datenschutzhinweisen genannte Rechtsgrundlage nicht mehr besteht, also bspw.
- nach Beendigung der zwischen uns bestehenden vertraglichen oder mitgliedschaftlichen Beziehungen oder
- nach Wegfall unseres berechtigten Interesses an der weiteren Verarbeitung oder Speicherung Ihrer Daten (Art. 6 Abs. 1 lit. f DSGVO),
- wenn Sie von Ihrem Widerrufsrecht Gebrauch machen und keine anderweitige gesetzliche Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b–f DSGVO eingreift,
- wenn Sie von Ihrem Widerspruchsrecht Gebrauch machen und der Löschung keine zwingenden schutzwürdigen Gründe entgegenstehen.
Sofern wir (bestimmte Teile) Ihre(r) Daten jedoch noch für andere Zwecke vorhalten müssen, weil dies etwa steuerliche Aufbewahrungsfristen (in der Regel 6 Jahre für Geschäftskorrespondenz bzw. 10 Jahre für Buchungsbelege sowie 10 Jahre für den Nachweis von Schulungsmaßnahmen und Zertifikatsausstellung) oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen aus vertraglichen Beziehungen (bis zu vier Jahren) erforderlich machen oder die Daten zum Schutz der Rechte einer anderen natürlichen oder juristischen Person gebraucht werden, löschen wir (den Teil) Ihre(r) Daten erst nach Ablauf dieser Fristen. Bis zum Ablauf dieser Fristen beschränken wir die Verarbeitung dieser Daten jedoch auf diese Zwecke (Erfüllung der Aufbewahrungspflichten).
Einsatz von Cookies
Cookies sind Textdateien, die Daten von besuchten Websites oder Domains enthalten und von einem Browser auf dem Computer des Benutzers gespeichert werden. Ein Cookie dient in erster Linie dazu, die Informationen über einen Benutzer während oder nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Zu den gespeicherten Angaben können z. B. die Spracheinstellungen auf einer Webseite, der Loginstatus, ein Warenkorb oder die Stelle, an der ein Video geschaut wurde, gehören. Zu dem Begriff der Cookies zählen wir ferner andere Technologien, die die gleichen Funktionen wie Cookies erfüllen (z. B., wenn Angaben der Nutzer anhand pseudonymer Onlinekennzeichnungen gespeichert werden, auch als „Nutzer-IDs" bezeichnet).
Die folgenden Cookie-Typen und Funktionen werden unterschieden:
-
Temporäre Cookies (auch: Session- oder Sitzungs-Cookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Online-Angebot verlassen und seinen Browser geschlossen hat.
-
Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Browsers gespeichert. So kann beispielsweise der Login-Status gespeichert oder bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht.
-
First-Party-Cookies: First-Party-Cookies werden von uns selbst gesetzt.
-
Third-Party-Cookies (auch: Drittanbieter-Cookies): Drittanbieter-Cookies werden hauptsächlich von Werbetreibenden (sog. Dritten) verwendet, um Benutzerinformationen zu verarbeiten.
-
Notwendige (auch: essentielle oder unbedingt erforderliche) Cookies: Cookies können für den Betrieb einer Webseite unbedingt erforderlich sein (z. B., um Logins oder andere Nutzereingaben zu speichern oder aus Gründen der Sicherheit).
-
Statistik-, Marketing- und Personalisierungs-Cookies: Ferner werden Cookies im Regelfall auch im Rahmen der Reichweitenmessung eingesetzt sowie dann, wenn die Interessen eines Nutzers oder sein Verhalten auf einzelnen Webseiten in einem Nutzerprofil gespeichert werden. Solche Profile dienen dazu, den Nutzern z. B. Inhalte anzuzeigen, die ihren potentiellen Interessen entsprechen. Dieses Verfahren wird auch als „Tracking" bezeichnet. Soweit wir Cookies oder „Tracking"-Technologien einsetzen, informieren wir Sie gesondert in unserer Datenschutzerklärung oder im Rahmen der Einholung einer Einwilligung.
-
Hinweise zu Rechtsgrundlagen: Auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten mit Hilfe von Cookies verarbeiten, hängt davon ab, ob wir Sie um eine Einwilligung bitten. Falls dies zutrifft und Sie in die Nutzung von Cookies einwilligen, ist die Rechtsgrundlage der Verarbeitung Ihrer Daten die erklärte Einwilligung. Andernfalls werden die mithilfe von Cookies verarbeiteten Daten auf Grundlage unserer berechtigten Interessen verarbeitet oder, wenn der Einsatz von Cookies erforderlich ist, um unsere vertraglichen Verpflichtungen zu erfüllen.
-
Speicherdauer: Sofern wir Ihnen keine expliziten Angaben zur Speicherdauer von permanenten Cookies mitteilen (z. B. im Rahmen eines sog. Cookie-Opt-Ins), gehen Sie bitte davon aus, dass die Speicherdauer bis zu zwei Jahre betragen kann.
-
Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-Out): Abhängig davon, ob die Verarbeitung auf Grundlage einer Einwilligung oder gesetzlichen Erlaubnis erfolgt, haben Sie jederzeit die Möglichkeit, eine erteilte Einwilligung zu widerrufen oder der Verarbeitung Ihrer Daten durch Cookie-Technologien zu widersprechen (zusammenfassend als „Opt-Out" bezeichnet). Sie können Ihren Widerspruch zunächst mittels der Einstellungen Ihres Browsers erklären, z. B., indem Sie die Nutzung von Cookies deaktivieren. Ein Widerspruch gegen den Einsatz von Cookies zu Zwecken des Onlinemarketings kann auch über die Webseiten https://optout.aboutads.info und https://www.youronlinechoices.com/ erklärt werden.
-
Verarbeitete Datenarten: Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen).
-
Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
-
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), § 25 TDDDG.
Geschäftliche Leistungen
Wir verarbeiten Daten unserer Vertrags- und Geschäftspartner, z. B. Kunden und Interessenten (zusammenfassend bezeichnet als „Vertragspartner"), im Rahmen von vertraglichen und vergleichbaren Rechtsverhältnissen sowie damit verbundenen Maßnahmen und im Rahmen der Kommunikation mit den Vertragspartnern (oder vorvertraglich), z. B., um Anfragen zu beantworten.
Diese Daten verarbeiten wir zur Erfüllung unserer vertraglichen Pflichten, zur Sicherung unserer Rechte und zu Zwecken der mit diesen Angaben einhergehenden Verwaltungsaufgaben sowie der unternehmerischen Organisation. Die Daten der Vertragspartner geben wir im Rahmen des geltenden Rechts nur insoweit an Dritte weiter, als dies zu den vorgenannten Zwecken oder zur Erfüllung gesetzlicher Pflichten erforderlich ist oder mit Einwilligung der betroffenen Personen erfolgt (z. B. an beteiligte Telekommunikations-, Transport- und sonstige Hilfsdienste sowie Subunternehmer, Banken, Steuer- und Rechtsberater, Zahlungsdienstleister oder Steuerbehörden). Über weitere Verarbeitungsformen, z. B. zu Zwecken des Marketings, werden die Vertragspartner im Rahmen dieser Datenschutzerklärung informiert.
Welche Daten für die vorgenannten Zwecke erforderlich sind, teilen wir den Vertragspartnern vor oder im Rahmen der Datenerhebung, z. B. in Onlineformularen, durch besondere Kennzeichnung bzw. Symbole, oder persönlich mit.
Wir löschen die Daten nach Ablauf gesetzlicher Gewährleistungs- und vergleichbarer Pflichten, d. h. grundsätzlich nach Ablauf von 4 Jahren, es sei denn, dass die Daten in einem Kundenkonto gespeichert werden, z. B., solange sie aus gesetzlichen Gründen der Archivierung aufbewahrt werden müssen (z. B. für Steuerzwecke im Regelfall 10 Jahre). Daten, die uns im Rahmen eines Auftrags durch den Vertragspartner offengelegt wurden, löschen wir entsprechend den Vorgaben des Auftrags, grundsätzlich nach Ende des Auftrags.
Soweit wir zur Erbringung unserer Leistungen Drittanbieter oder Plattformen einsetzen, gelten im Verhältnis zwischen den Nutzern und den Anbietern die Geschäftsbedingungen und Datenschutzhinweise der jeweiligen Drittanbieter oder Plattformen.
- Shop und E-Commerce: Wir verarbeiten die Daten unserer Kunden, um ihnen die Auswahl, den Erwerb bzw. die Bestellung der gewählten Produkte, Waren sowie verbundener Leistungen, als auch deren Bezahlung und Zustellung bzw. Ausführung zu ermöglichen. Sofern für die Ausführung einer Bestellung erforderlich, setzen wir Dienstleister, insbesondere Post-, Speditions- und Versandunternehmen ein. Für die Abwicklung der Zahlungsvorgänge nehmen wir die Dienste von Banken und Zahlungsdienstleistern in Anspruch.
- Verarbeitete Datenarten: Bestandsdaten (z. B. Namen, Adressen), Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie), Kontaktdaten (z. B. E-Mail, Telefonnummern), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie).
- Betroffene Personen: Interessenten, Geschäfts- und Vertragspartner.
- Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Kundenservice, Kontaktanfragen und Kommunikation, Büro- und Organisationsverfahren, Verwaltung und Beantwortung von Anfragen.
- Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Bereitstellung des Onlineangebotes und Webhosting
Um unser Onlineangebot sicher und effizient bereitstellen zu können, nehmen wir die Leistungen von einem oder mehreren Webhosting-Anbietern in Anspruch, von deren Servern (bzw. von ihnen verwalteten Servern) das Onlineangebot abgerufen werden kann. Zu diesen Zwecken können wir Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste sowie Sicherheitsleistungen und technische Wartungsleistungen in Anspruch nehmen.
Zu den im Rahmen der Bereitstellung des Hosting-Angebotes verarbeiteten Daten können alle die Nutzer unseres Onlineangebotes betreffenden Angaben gehören, die im Rahmen der Nutzung und der Kommunikation anfallen. Hierzu gehören regelmäßig die IP-Adresse, die notwendig ist, um die Inhalte von Onlineangeboten an Browser ausliefern zu können, und alle innerhalb unseres Onlineangebotes getätigten Eingaben.
- Erhebung von Zugriffsdaten und Logfiles: Wir selbst (bzw. unser Webhostinganbieter) erheben Daten zu jedem Zugriff auf den Server (sogenannte Serverlogfiles). Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer-URL und im Regelfall IP-Adressen und der anfragende Provider gehören. Die Serverlogfiles werden zu Zwecken der Sicherheit (z. B. zur Vermeidung von Überlastungen und zur Abwehr missbräuchlicher Angriffe) sowie zur Sicherstellung der Auslastung und Stabilität der Server eingesetzt.
- Verarbeitete Datenarten: Inhaltsdaten (z. B. Eingaben in Onlineformularen), Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen).
- Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
- Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
- Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Clouddienste
Wir nutzen Clouddienste insbesondere
- zur Speicherung und Bearbeitung von Dokumenten,
- zum Versenden von Dokumenten per E-Mail bzw. zum Austausch von Dateien jeglicher Art,
- für unsere kalendarische Terminverwaltung,
- zur Vorbereitung und Ausführung von Präsentationen und Tabellenkalkulationen,
- zur Veröffentlichung von Dateien jeglicher Art,
- für die interne und externe Kommunikation mittels Chats, Audio- und Videokonferenzen.
Die Softwareanwendungen, die wir zu diesen Zwecken einsetzen, stellen uns die unten genannten Anbieter auf deren Servern zur Verfügung. Auf diese Server greifen wir über das Internet zu. Soweit Sie uns Ihre Daten im Rahmen der Kommunikation mit uns übermitteln, verarbeiten wir diese Daten in dem von uns genutzten Clouddienst. Das bedeutet, dass Ihre Daten auf den Servern des Clouddienst-Drittanbieters gespeichert werden. Die Drittanbieter verarbeiten zur Sicherung ihrer Server sowie zur Optimierung ihrer Dienstleistungen Nutzungs- und Metadaten. Wir verarbeiten und speichern insbesondere Ihre Kontakt-, Kunden- und Vertragsdaten.
Wir weisen darauf hin, dass je nach Sitzland des nachstehend genannten Diensteanbieters Daten auf Server außerhalb der Europäischen Union übertragen und verarbeitet werden können. Sofern der von uns eingesetzte Diensteanbieter das Verarbeiten der Daten ausschließlich innerhalb der EU anbietet, beabsichtigen wir – sofern nicht bereits umgesetzt – Ihre Daten ausschließlich dort zu verarbeiten.
Betroffene Daten: Bestandsdaten, Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Metadaten.
Betroffene Personen: Interessenten, Kommunikationspartner, Kunden, Beschäftigte.
Verarbeitungszweck: Organisation der Büro- und Administrationsaufgaben.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Eingesetzte Cloud-Dienstleister:
Amazon Web Services / Amazon Drive
Dienstanbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg; Amazon Europe Core S.à.r.l. u. a., 38, avenue John F. Kennedy, L-1855 Luxemburg. Mutterunternehmen: Amazon.com, Inc., 410 Terry Avenue North, Seattle, WA 98109, USA
Internetseite: https://aws.amazon.com/de/ / https://www.amazon.de
Datenschutzerklärung: https://aws.amazon.com/de/privacy/
Google Clouddienste
Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Internetseite: https://cloud.google.com/
Datenschutzerklärung: https://www.google.com/policies/privacy
Microsoft Clouddienste
Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Internetseite: https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage
Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement
Webhosting
Wir bedienen uns zum Vorhalten unserer Internetseiten eines Anbieters, auf dessen Server unsere Internetseiten gespeichert und für den Abruf im Internet verfügbar gemacht werden (Hosting). Hierbei können von dem Anbieter all diejenigen über den von Ihnen genutzten Browser übertragenen Daten verarbeitet werden, die bei der Nutzung unserer Internetseiten anfallen. Hierzu gehören insbesondere Ihre IP-Adresse sowie sämtliche von Ihnen über unsere Internetseite getätigten Eingaben. Daneben kann der von uns genutzte Anbieter Datum und Uhrzeit des Zugriffs, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Zugriffsstatus (HTTP-Status), die übertragene Datenmenge, den Internet-Service-Provider, den Browsertyp und dessen Version, das Betriebssystem, die zuvor besuchte Internetseite sowie die besuchten Unterseiten erheben.
Die vorgenannten Daten werden als Logfiles auf den Servern unseres Anbieters gespeichert. Dies ist erforderlich, um die Stabilität und Sicherheit des Betriebs unserer Internetseite zu gewährleisten.
Betroffene Daten: Inhaltsdaten, Nutzungsdaten, Kommunikationsdaten (z. B. IP-Adresse).
Betroffene Personen: Nutzer unserer Internetpräsenz.
Verarbeitungszweck: Ausspielen unserer Internetseiten, Gewährleistung des Betriebs.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Von uns beauftragte Webhoster:
OVH GmbH – St. Johanner Str. 41-43, 66111 Saarbrücken, Deutschland. Internetseite: https://www.ovh.de/; Datenschutzerklärung: https://www.ovh.de/support/impressum-und-rechtshinweise/
Contabo GmbH – Aschauer Straße 32a, 81549 München, Deutschland. Internetseite: https://contabo.com/de/; Datenschutzerklärung: https://contabo.com/de/legal/privacy/
Content-Delivery-Network
Wir benutzen zum Ausspielen unserer Internetseiten ein Content-Delivery-Network (CDN). Ein CDN ist ein Netz regional verteilter und über das Internet verbundener Server. Über das CDN werden skalierende Speicher- und Auslieferungskapazitäten zur Verfügung gestellt. Hierdurch werden die Ladezeiten unserer Internetseiten optimiert und auch bei großen Lastspitzen ein optimaler Datendurchsatz gewährleistet. Nutzeranfragen werden über Server des CDN geleitet; aus diesen Datenströmen werden Statistiken erstellt, um Bedrohungen frühzeitig zu erkennen und unser Angebot zu verbessern.
Wir möchten Sie darauf hinweisen, dass je nach Sitzland des unten genannten Diensteanbieters die erfassten Daten außerhalb der Europäischen Union übertragen und verarbeitet werden können.
Betroffene Daten: Inhaltsdaten, Nutzungsdaten, Kommunikationsdaten (z. B. IP-Adresse).
Verarbeitungszweck: Technische Optimierung der Internetpräsenz, Analyse von Fehlern und Nutzerverhalten.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Eingesetzte CDN-Dienstleister:
Cloudflare – Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA. Internetseite: https://www.cloudflare.com/; Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/; Umfang der Datenerfassung: https://blog.cloudflare.com/what-cloudflare-logs/
Kontakt- und Anfragenverwaltung
Bei der Kontaktaufnahme mit uns (z. B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.
Die Beantwortung der Kontaktanfragen sowie die Verwaltung von Kontakt- und Anfragedaten im Rahmen von vertraglichen oder vorvertraglichen Beziehungen erfolgt zur Erfüllung unserer vertraglichen Pflichten oder zur Beantwortung von (vor)vertraglichen Anfragen und im Übrigen auf Grundlage der berechtigten Interessen an der Beantwortung der Anfragen und Pflege von Nutzer- bzw. Geschäftsbeziehungen.
- Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Inhaltsdaten.
- Betroffene Personen: Kommunikationspartner.
- Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation.
- Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Registrierung, Anmeldung und Nutzerkonto
Sie haben die Möglichkeit, sich auf unserem Online-Medium zu registrieren, um dort ein Nutzerkonto anzulegen. Hierzu ist die Angabe personenbezogener Daten notwendig, die sich aus der Eingabemaske ergeben. Zu den dort abgefragten Daten gehören insbesondere Ihr Name, Ihre E-Mail-Adresse, ggf. ein Nutzername sowie das Passwort. Diese Daten werden von uns gespeichert und verarbeitet, um für Sie ein Nutzerkonto einzurichten und die (wiederholte) Anmeldung zu ermöglichen. Die Daten können jederzeit durch Sie geändert oder gelöscht werden. Die Daten werden nicht an Dritte weitergegeben, außer dies dient der technischen und organisatorischen Abwicklung des zwischen uns bestehenden Nutzungsvertrages. Um Sie und uns vor missbräuchlichen Registrierungen zu schützen, speichern wir die Ihnen im Zeitpunkt der Registrierung zugeordnete IP-Adresse sowie das Datum und die Uhrzeit der Registrierung.
Betroffene Daten: Bestandsdaten, Kontaktdaten, Vertragsdaten, Zahlungsdaten, Inhaltsdaten, Nutzungsdaten, Kommunikationsdaten.
Verarbeitungszweck: Abwicklung vertraglicher Leistungen, Kommunikation sowie Beantwortung von Kontaktanfragen, Sicherheitsmaßnahmen.
Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Löschung: Siehe hierzu den Punkt „Wann löschen wir Ihre Daten?". Daneben löschen wir die im Rahmen der Registrierung erhobenen Daten sowie die im Account hinterlegten Inhaltsdaten vorbehaltlich entgegenstehender gesetzlicher Aufbewahrungspflichten, sobald Sie Ihren Account löschen. Wir bitten Sie daher, Inhaltsdaten vor der Löschung des Accounts anderweitig zu sichern.
Verarbeitung Ihrer Daten bei einer Bestellung in unserem Online-Shop: Sofern Sie über unseren Online-Shop Bestellungen aufgeben, verarbeiten wir die von Ihnen im Bestellprozess gemachten Angaben, um Ihre Bestellung abwickeln zu können. Hierzu gehören insbesondere Ihr Name, Ihre Adress- sowie elektronischen Kontaktdaten, Informationen zur Abwicklung des Bezahlvorgangs sowie die Angaben zu Ihrer konkreten Bestellung. Sofern es zur Erfüllung des Vertrages, zum Schutz Ihrer lebenswichtigen Interessen oder wegen gesetzlicher Bestimmungen erforderlich ist, übermitteln wir Ihre Daten unter Beachtung Ihrer Rechte an Dritte, wie bspw. an das mit der Lieferung beauftragte Logistik-Unternehmen, an Zahlungsdienstleister sowie unseren Steuerberater.
Angaben zu dem von uns genutzten Shopsystem
Wir nutzen das nachgenannte Shopsystem eines Drittanbieters, über das wir die Bestellungen und Zahlungseingänge abwickeln sowie unseren Warenbestand administrieren. Sofern Sie in unserem Online-Shop eine Bestellung aufgeben, geben wir Ihren Namen sowie Ihre Adress- und elektronischen Kontaktdaten, Informationen zur Abwicklung des Bezahlvorgangs sowie die konkrete Bestellung an den Anbieter des Shopsystems weiter.
Betroffene Daten: Bestandsdaten, Zahlungsdaten, Kontaktdaten, Vertragsdaten, Nutzungsdaten, Kommunikationsdaten.
Betroffene Personen: Kunden, Interessenten, Geschäfts- und Vertragspartner.
Verarbeitungszweck: Abwicklung von Bestellungen, Kommunikation und ggf. Marketing sowie Beantwortung von Anfragen, Datensicherheit, Büro- und Organisationsverfahren.
Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Pipedrive – Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland. Internetseite: https://www.pipedrive.com/; Datenschutzerklärung: https://www.pipedrive.com/en/privacy
Collmex – Collmex GmbH, Lilienstr. 37, 66119 Saarbrücken, Deutschland. Internetseite: https://www.collmex.de/; Datenschutzerklärung: https://www.collmex.de/datenschutz.html; AVV-Zusatzerklärung: https://www.collmex.de/auftragsverarbeitung.html
Zahlungsdienstleister
Gemäß unseren gesetzlichen Pflichten bzw. wegen unserer berechtigten Interessen an einer effizienten, sicheren und kundenorientierten Zahlungsabwicklung können Personen, die mit uns einen Vertrag oder eine anderweitige Rechtsbeziehung geschlossen haben, zur Zahlung sowohl Banken und Kreditinstitute als auch weitere Zahlungsdienstleister in Anspruch nehmen. Die von uns angebotenen Zahlungsdienstleister verarbeiten in diesem Rahmen Bestandsdaten, dazu zählen Name, Adresse oder auch Bankdaten wie Konto-/Kreditkartennummer, Passwörter, TANs, Prüfnummern sowie Angaben zum abgeschlossenen Vertrag und Angaben zum Empfänger der Zahlung.
Die in diesem Zusammenhang erhobenen Daten sind erforderlich, um die Zahlungsabwicklung durch den Zahlungsdienstleister vornehmen zu können. Ausschließlich der von uns beauftragte Zahlungsdienstleister erhebt und verarbeitet diese persönlichen Angaben. Wir erhalten zu keinem Zeitpunkt Informationen über Ihre Konto- oder Kreditkartenverbindung. Wir werden von unserem Zahlungsdienstleister darüber in Kenntnis gesetzt, ob die Zahlung unserer Kunden eingetroffen ist oder nicht. Es gelten die AGB und Datenschutzbestimmungen des jeweiligen Zahlungsdienstleisters.
Betroffene Daten: Bestandsdaten, Nutzungsdaten, Zahlungsdaten, Geschäftsabschlussdaten, Kommunikations- und Metadaten.
Verarbeitungszweck: Effektive, sichere sowie kundenorientierte Zahlungsangebote sowie Abwicklung von Zahlungen gemäß vertraglicher Vereinbarung.
Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Widerrufsmöglichkeiten: Sie können Ihre Einwilligung zur Verwendung der personenbezogenen Daten jederzeit gegenüber dem jeweiligen Zahlungsdienstleister widerrufen. Trotz Widerruf bleibt der Zahlungsdienstleister gegebenenfalls weiterhin dazu berechtigt, die personenbezogenen Daten zu verarbeiten, die zur vertragsmäßigen Zahlungsabwicklung zwingend notwendig sind.
Wir nutzen folgende Zahlungsdienstleister:
PayPal – PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. Internetseite: https://www.paypal.com/de/webapps/mpp/home; Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full
Stripe – Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Internetseite: https://stripe.com/de/; Datenschutzerklärung: https://stripe.com/de/privacy
Wir bieten die Möglichkeit, den Zahlungsvorgang über den Zahlungsdienstleister Stripe abzuwickeln. Dies entspricht unserem berechtigten Interesse, eine effiziente und sichere Zahlungsmethode anzubieten (Art. 6 Abs. 1 lit. f DSGVO). In diesem Zusammenhang geben wir folgende Daten an Stripe weiter, soweit es für die Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO): Name des Karteninhabers, E-Mail-Adresse, Kundennummer, Bestellnummer, Bankverbindung, Kreditkartendaten, Gültigkeitsdauer der Kreditkarte, Prüfnummer (CVC), Datum und Uhrzeit der Transaktion, Transaktionssumme, Name des Anbieters, Ort.
Stripe nimmt bei Datenverarbeitungstätigkeiten eine Doppelrolle als Verantwortlicher und Auftragsverarbeiter ein. Als Verantwortlicher verwendet Stripe Ihre übermittelten Daten zur Erfüllung regulatorischer Verpflichtungen. Als Auftragsverarbeiter wird Stripe ausschließlich nach unserer Weisung tätig und wurde im Sinne des Art. 28 DSGVO vertraglich verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten. Stripe hat Compliance-Maßnahmen für internationale Datenübermittlungen auf Basis der EU-Standardvertragsklauseln (SCC) umgesetzt. Weitere Informationen: https://stripe.com/privacy-center/legal. Ihre Daten werden bis zum Abschluss der Zahlungsabwicklung gespeichert, einschließlich des für Rückerstattungen, Forderungsmanagement und Betrugsprävention erforderlichen Zeitraums.
Werbliche Kommunikation via E-Mail, Post, Fax oder Telefon
Wir verarbeiten personenbezogene Daten zu Zwecken der werblichen Kommunikation, die über diverse Kanäle, wie z. B. E-Mail, Telefon, Post oder Fax, entsprechend den gesetzlichen Vorgaben erfolgen kann. Die Empfänger haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen oder der werblichen Kommunikation jederzeit zu widersprechen.
Nach Widerruf bzw. Widerspruch können wir die zum Nachweis der Einwilligung erforderlichen Daten bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern, bevor wir sie löschen. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt.
- Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten.
- Betroffene Personen: Kommunikationspartner.
- Zwecke der Verarbeitung: Direktmarketing (z. B. per E-Mail oder postalisch).
- Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) für die Speicherung des Einwilligungsnachweises.
Marketing-Kommunikation und Abgrenzung zu transaktionalen E-Mails
Wir unterscheiden strikt zwischen werblicher und transaktionaler Kommunikation:
- Werbliche Kommunikation (Newsletter, Angebote, Produktinformationen) versenden wir ausschließlich mit Ihrer ausdrücklichen, vorab erteilten Einwilligung (Opt-in, Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass Ihnen hierfür Nachteile entstehen. Ohne Ihre Einwilligung findet keine werbliche Verarbeitung Ihrer Daten statt.
- Transaktionale Kommunikation (z. B. Prüfungsergebnisse, Zertifikate, Konto- und Loginverwaltung) versenden wir auf Grundlage der Vertragserfüllung bzw. vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Diese Nachrichten sind zur Erbringung unserer Leistungen erforderlich und nicht abbestellbar (siehe Abschnitt „Transaktionale E-Mails").
Für den Versand unserer werblichen Kommunikation und unseres Newsletters setzen wir Brevo (ehemals Sendinblue) als Auftragsverarbeiter (Art. 28 DSGVO) ein. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union.
- Verarbeitete Datenarten: Bestandsdaten (Name), Kontaktdaten (E-Mail-Adresse), Nutzungsdaten (Öffnungs- und Interaktionsdaten der Mailings).
- Betroffene Personen: Newsletter-Abonnenten, Interessenten, Kunden.
- Zwecke der Verarbeitung: Versand werblicher Kommunikation und Erfolgsmessung der Mailings.
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Newsletter
Wir versenden in regelmäßigen Abständen einen Newsletter, um unsere Kunden, Geschäftspartner und Interessenten über unsere Angebote sowie damit verbundene Neuigkeiten zu informieren. Sie können sich über unsere Internetseite zu unserem Newsletter anmelden und im Rahmen dieser Anmeldung in den Erhalt des Newsletters einwilligen. Die Angabe Ihrer E-Mail-Adresse ist hierfür verpflichtend, da wir diese zur Zustellung des Newsletters benötigen.
Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail im Double-Opt-In-Verfahren. Diese enthält einen Link, über den Sie bestätigen, dass Sie den Newsletter wirklich erhalten möchten. Damit stellen wir sicher, dass kein Missbrauch Ihrer E-Mail-Adresse durch Dritte erfolgt. Zu diesem Zweck speichern wir zusätzlich Datum, Uhrzeit sowie die bei der Anmeldung verwendete IP-Adresse. Eine Weitergabe dieser Daten an Dritte erfolgt nicht.
Betroffene Daten: Inhaltsdaten, Nutzungsdaten, Kommunikationsdaten (z. B. IP-Adresse).
Betroffene Personen: Nutzer unserer Online-Präsenz, Newsletter-Abonnenten.
Verarbeitungszweck: Versand unseres Newsletters, Information über Angebote und Unternehmensneuigkeiten.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Löschung: Ihre E-Mail-Adresse wird gelöscht, wenn Sie den Bestätigungslink im Double-Opt-In-Verfahren innerhalb eines Monats nicht anklicken oder wenn Sie sich vom Newsletter abmelden.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen und sich vom Newsletter abmelden. Hierfür stellen wir in jedem Newsletter einen entsprechenden Abmeldelink bereit.
Brevo (ehemals SendinBlue)
Dienstanbieter: SendinBlue SAS (Brevo), 55 rue d'Amsterdam, 75008 Paris, Frankreich
Internetseite: https://www.brevo.com
Datenschutzerklärung: https://www.brevo.com/legal/privacypolicy
Transaktionale E-Mails
Wir versenden ausschließlich transaktionale E-Mails, die für die Nutzung unserer Dienste erforderlich sind. Dazu gehören Konto- und Login-Benachrichtigungen, prüfungs- oder buchungsbezogene Informationen, sicherheitsrelevante Mitteilungen sowie systembedingte Statusmeldungen.
Diese E-Mails werden nur versendet, wenn Sie eine entsprechende Aktion auslösen oder wenn sie technisch notwendig sind. Da diese Nachrichten nicht zu Werbezwecken genutzt werden, ist kein Double-Opt-In erforderlich.
Für den Versand nutzen wir Mailgun als technischen Dienstleister. Ihre E-Mail-Adresse sowie technisch notwendige Daten wie IP-Adresse, Zeitstempel und Zustellinformationen werden an Mailgun übermittelt, um eine zuverlässige Zustellung sicherzustellen.
Betroffene Daten: Transaktions- und Servicedaten, Kommunikationsdaten (E-Mail-Adresse, IP-Adresse, technische Header-Daten), Nutzungsdaten.
Betroffene Personen: Nutzer unserer Online-Dienste.
Verarbeitungszweck: Versand notwendiger transaktionaler E-Mails, Gewährleistung der Funktionsfähigkeit, Sicherheit, Missbrauchserkennung und technische Zustellung.
Rechtsgrundlage: Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Löschung: Protokolle und transaktionsrelevante Daten werden entsprechend gesetzlicher Aufbewahrungsfristen sowie internen Löschkonzepten gespeichert und anschließend gelöscht.
Widerruf: Da transaktionale E-Mails zum Betrieb unserer Dienste notwendig sind, besteht keine Abmeldemöglichkeit. Mit Schließung Ihres Accounts endet der Versand automatisch.
Mailgun
Dienstanbieter: Mailgun Technologies, Inc., 112 E Pecan St. #1135, San Antonio, TX 78205, USA
Internetseite: https://www.mailgun.com
Datenschutzerklärung: https://www.mailgun.com/privacy-policy/
Datenübermittlung: Übermittlungen in Drittländer erfolgen unter Einsatz geeigneter Garantien (Standardvertragsklauseln, Art. 46 DSGVO).
Webanalyse, Monitoring und Optimierung
Die Webanalyse (auch als „Reichweitenmessung" bezeichnet) dient der Auswertung der Besucherströme unseres Onlineangebotes und kann Verhalten, Interessen oder demographische Informationen zu den Besuchern als pseudonyme Werte umfassen. Mit Hilfe der Reichweitenanalyse können wir z. B. erkennen, zu welcher Zeit unser Onlineangebot am häufigsten genutzt wird und welche Bereiche der Optimierung bedürfen. Neben der Webanalyse können wir auch Testverfahren einsetzen, um z. B. unterschiedliche Versionen unseres Onlineangebotes zu testen und zu optimieren.
Zu diesen Zwecken können sogenannte Nutzerprofile angelegt und in einem Cookie gespeichert werden. Es werden ebenfalls die IP-Adressen der Nutzer gespeichert. Jedoch nutzen wir ein IP-Masking-Verfahren (Pseudonymisierung durch Kürzung der IP-Adresse) zum Schutz der Nutzer. Generell werden im Rahmen von Webanalyse, A/B-Testing und Optimierung keine Klardaten der Nutzer (wie z. B. E-Mail-Adressen oder Namen) gespeichert, sondern Pseudonyme.
- Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen verarbeitet.
- Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten (z. B. IP-Adressen).
- Betroffene Personen: Nutzer (z. B. Webseitenbesucher).
- Zwecke der Verarbeitung: Reichweitenmessung, Profile mit nutzerbezogenen Informationen.
- Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse).
- Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), § 25 TDDDG
Einwilligungsbasiertes Laden (Consent Mode): Tracking- und Reichweitendienste – insbesondere Google Tag Manager, Google Analytics und Leadinfo – werden erst nach Ihrer Einwilligung über unser Cookie-Consent-Banner geladen und ausgeführt. Vor Erteilung einer Einwilligung findet kein Tracking statt; bis dahin werden keine entsprechenden Cookies gesetzt und keine Tracking-Daten erhoben. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.
Eingesetzte Dienste und Diensteanbieter:
- Google Tag Manager: Verwaltung und einwilligungsgesteuerte Auslösung von Website-Tags (Container-Lösung); Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Datenschutzerklärung: https://policies.google.com/privacy, Standardvertragsklauseln für Drittlandtransfers: https://business.safety.google/adsprocessorterms.
- Google Analytics: Reichweitenmessung und Webanalyse; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://marketingplatform.google.com/intl/de/about/analytics/; Datenschutzerklärung: https://policies.google.com/privacy; Standardvertragsklauseln für Drittlandtransfers: https://business.safety.google/adsprocessorterms.
- Google LLC ist gemäß dem "EU-US Data Privacy Framework" (DPF) zertifiziert: https://www.dataprivacyframework.gov/participant/5780
- Leadinfo: Erkennung von geschäftlichen (B2B-)Website-Besuchern durch Zuordnung der IP-Adresse zu öffentlich verfügbaren Unternehmensdaten, um den geschäftlichen Bedarf von Interessenten besser einschätzen zu können. Erfolgt die Erkennung cookielos und beschränkt auf Unternehmensdaten, stützen wir die Verarbeitung auf unser berechtigtes Interesse an der Ansprache geschäftlicher Interessenten (Art. 6 Abs. 1 lit. f DSGVO); Sie können dieser Verarbeitung jederzeit widersprechen (Opt-out). Soweit hierbei Cookies gesetzt oder personenbezogene Daten einzelner natürlicher Personen verarbeitet werden, erfolgt dies ausschließlich nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über unser Cookie-Consent-Banner. Dienstanbieter: Leadinfo B.V., Rivium Quadrant 141, 2909 LC Capelle aan den IJssel, Niederlande; Datenschutzerklärung: https://www.leadinfo.com/en/privacy/.
Plugins und eingebettete Funktionen sowie Inhalte
Wir binden in unser Onlineangebot Funktions- und Inhaltselemente ein, die von den Servern ihrer jeweiligen Anbieter (nachfolgend „Drittanbieter") bezogen werden. Dabei kann es sich z. B. um Grafiken, Videos oder Stadtpläne handeln (nachfolgend einheitlich „Inhalte").
Die Einbindung setzt immer voraus, dass die Drittanbieter dieser Inhalte die IP-Adresse der Nutzer verarbeiten, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Drittanbieter können ferner sogenannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons" bezeichnet) für statistische oder Marketingzwecke verwenden.
Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung bitten, ist die Rechtsgrundlage der Verarbeitung die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen verarbeitet.
- Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten, Bestandsdaten, Kontaktdaten, Inhaltsdaten.
- Betroffene Personen: Nutzer (z. B. Webseitenbesucher).
- Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Erbringung vertraglicher Leistungen und Kundenservice.
- Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO).
Eingesetzte Dienste und Diensteanbieter:
- Google Fonts: Wir binden die Schriftarten („Google Fonts") des Anbieters Google ein, wobei die Daten der Nutzer allein zu Zwecken der Darstellung der Schriftarten im Browser verwendet werden. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Website: https://fonts.google.com/; Datenschutzerklärung: https://policies.google.com/privacy.
- Google Maps: Wir binden die Landkarten des Dienstes „Google Maps" des Anbieters Google ein. Zu den verarbeiteten Daten können insbesondere IP-Adressen und Standortdaten gehören. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Website: https://cloud.google.com/maps-platform; Datenschutzerklärung: https://policies.google.com/privacy.
- YouTube-Videos: Videoinhalte; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Website: https://www.youtube.com; Datenschutzerklärung: https://policies.google.com/privacy.
- Docusign: Dienstanbieter: DocuSign Germany GmbH, Neue Rothofstraße 13-19, 60313 Frankfurt, Deutschland; Internetseite: https://www.docusign.de/; Datenschutzerklärung: https://www.docusign.de/unternehmen/datenschutz. Diese Website nutzt die Dienste von Docusign für die Erstellung und Übermittlung von digitalen Signaturen zum Zwecke des Vertragsabschlusses. Die von dieser Website mittels Docusign erfassten Daten werden auf Servern des Auftragnehmers Docusign gespeichert. Soweit hierbei eine Übermittlung in Drittländer erfolgt, stützt Docusign diese auf verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) sowie ergänzend auf die EU-Standardvertragsklauseln (Art. 46 DSGVO). Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses an einer rechtssicheren elektronischen Vertragsabwicklung (Art. 6 Abs. 1 lit. f DSGVO).
Onlinemeetings, Videokonferenzen und Bildschirm-Sharing
Wir nutzen Angebote von Drittanbietern, um Online-Meetings, Konferenzschaltungen per Video und/oder Audio sowie Online-Seminare unter Mitarbeitern sowie mit Interessenten oder Kunden zu ermöglichen. Wenn Sie mit uns über einen solchen Dienst kommunizieren, werden die in diesem Kommunikationsvorgang erhobenen Daten sowohl durch uns als auch durch den Drittanbieter verarbeitet. Zu diesen Daten zählen insbesondere Ihre Anmelde- und Kontaktdaten, Beiträge im Chat-Fenster, Ihre Video- und Audio-Beiträge sowie geteilte Bildschirminhalte.
Wir möchten Sie darauf hinweisen, dass je nach Sitzland des unten genannten Diensteanbieters die erfassten Daten außerhalb der Europäischen Union übertragen und verarbeitet werden können.
Betroffene Daten: Bestandsdaten, Kontaktangaben, geteilte Inhalte, Benutzerdaten, Meta- und Kommunikationsdaten.
Betroffene Personen: Interessenten, Kunden, Kommunikationspartner.
Verarbeitungszweck: Verarbeitung von Kontaktanfragen, interne und externe Kommunikation, Erfüllung unserer vertraglichen Leistungen, Serviceangebot.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Von uns verwendete Dienste:
Microsoft Teams – Videokonferenzen, Chats, Sprachkonferenzen. Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Internetseite: https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/group-chat-software; Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement. Microsoft Corporation ist gemäß dem „EU-US Data Privacy Framework“ (DPF) zertifiziert: https://www.dataprivacyframework.gov/participant/6474.
Zoom – Videokonferenzen, Sprachkonferenzen, Chats. Dienstanbieter: Zoom Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA. Internetseite: https://zoom.us/de-de/meetings.html; Datenschutzerklärung: https://zoom.us/de-de/privacy.html. Zoom Communications, Inc. ist gemäß dem „EU-US Data Privacy Framework“ (DPF) zertifiziert: https://www.dataprivacyframework.gov/participant/5728.
Soweit hierbei personenbezogene Daten in die USA übertragen werden, stützen wir die Übermittlung auf das EU-US Data Privacy Framework (DPF), sofern und solange der jeweilige Anbieter darunter zertifiziert ist; andernfalls auf die EU-Standardvertragsklauseln (Art. 46 DSGVO).
Änderung und Aktualisierung der Datenschutzerklärung
Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.
Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können, und bitten, die Angaben vor Kontaktaufnahme zu prüfen.
Datenschutzerklärung für die Teilnahme an Prüfungen (Qualifikation/Kompetenz)
Die ICO arbeitet mit Schulungsorganisationen zusammen, die im Anschluss an die Bildungsmaßnahme eine Prüfung zur Feststellung der Qualifikation und Kompetenz durchführen.
Dazu erheben und verarbeiten wir personenbezogene Daten, die wir auch an externe Dritte zur Prüfungsdurchführung weitergeben. Die externen Dritten agieren dabei als Prüfungsvorbereiter, Prüfungsaufsicht, Prüfungsnachbereiter und/oder Prüfer oder in einer anderweitig für den Prüfungsablauf notwendigen Rolle.
Die erforderlichen Daten sind: Vor- und Nachname, Adresse, Geburtsdatum, Geburtsort, Geburtsland, E-Mail-Adresse, Zertifikats-ID, Ausstellungsdatum und, sofern notwendig, auch Prüfungsergebnisse aus vergangenen Prüfungen.
Im Falle, dass die Prüfung von einem ICO-Partner (Proctor) durchgeführt wird, darf die ICO diese Daten auch an den Dienstleister weitergeben. Im Falle, dass von der ICO Prüfungen im Auftrag anderer Ausbildungsträger abgenommen werden, darf die ICO folgende Daten dem Ausbildungsträger übermitteln: Zertifikats-ID, Ausstellungsdatum, Vorname, Nachname, Geburtsdatum und Geburtsort.
Der Ausbildungsträger für die Themengebiete FitSM und Scrum ist die ITEMO International Education Organization e.V. (Kontakt: office@itemo.org). Der Ausbildungsträger für das Themengebiet CISIS12 ist der IT-Sicherheitscluster e.V. (Kontakt: info@it-sec-cluster.de). Entsprechende Verträge mit den ICO-Partnern und Ausbildungsträgern regeln den Umgang mit den Teilnehmerdaten gemäß den Vorgaben der aktuellen Datenschutzgesetze.
Rechtsgrundlage der Prüfungsdurchführung: Die Erhebung, Verarbeitung und Weitergabe der vorgenannten Daten zur Durchführung der Prüfung, Bewertung und Zertifikatsausstellung erfolgt zur Erfüllung des mit Ihnen bestehenden bzw. anzubahnenden Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO). Die Verarbeitung biometrischer Daten zur Identitätsprüfung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen, gesonderten Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO (siehe Abschnitt „Verarbeitung biometrischer Daten" unten). Eine Einwilligung in die biometrische Verarbeitung wird nicht bereits durch die bloße Teilnahme an der Prüfung oder durch die allgemeine Zustimmung zu unseren Nutzungsbedingungen erteilt.
ICO Online-Prüfungsdienste
Zur Durchführung der Online-Prüfungen und der Zertifikatsausstellung setzen wir cloudbasierte kognitive Dienste ein. Für die Bereitstellung der Online-Prüfungsumgebung nutzen wir Cloud-Infrastruktur- und Plattformdienste (u. a. Web-App-Services, Datenbank- und Objektspeicherdienste, Machine-Learning-Komponenten).
An wen werden die Daten weitergegeben und zu welchem Zweck?
Innerhalb der ICO GmbH erfolgt keine Weitergabe. Außerhalb der ICO GmbH setzen wir folgende Auftragsverarbeiter (Art. 28 DSGVO) ein:
- Microsoft Corporation (Microsoft Azure) – Cloud-Infrastruktur und kognitive Dienste zur Gesichtserkennung in einer Rechenzentrumsregion innerhalb der EU; derzeit im Einsatz (siehe unten). Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement Microsoft Corporation ist gemäß dem "EU-US Data Privacy Framework" (DPF) zertifiziert: https://www.dataprivacyframework.gov/participant/6474
- Amazon Web Services (AWS) – Gesichtserkennung (Amazon Rekognition) und Objektspeicherung (Amazon S3) in einer EU-Region; derzeit ebenfalls im Einsatz im Rahmen der laufenden Umstellung (siehe unten). Dienstanbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg; Mutterunternehmen: Amazon.com, Inc., 410 Terry Avenue North, Seattle, WA 98109, USA. Datenschutzerklärung: https://aws.amazon.com/de/privacy/ Amazon.com, Inc. ist gemäß dem "EU-US Data Privacy Framework" (DPF) zertifiziert: https://www.dataprivacyframework.gov/participant/5776
- BPMspace GmbH – Support und Weiterentwicklung der Online-Prüfungsdienste. Mühlthaler Straße 63 A, 81475 München, Deutschland. Internetseite: https://www.bpmspace.com/
- mITSM GmbH – Projektverwaltung und Bereitstellung von Service-Desk-Diensten (u. a. JIRA). Landaubogen 10, 81373 München, Deutschland. Internetseite: https://www.mitsm.de; Datenschutzerklärung: https://www.mitsm.de/datenschutzerklaerung/
- Bitbench / Tobias Hettler – Entwicklung und Wartung der Prüfungsanwendung (Hauptentwicklung). Sitz: München, Deutschland (EU). Die Verarbeitung erfolgt innerhalb der EU.
- ICO Belgrad d.o.o. – Bewertung und Korrektur von Zertifizierungsprüfungen (in Vertretung des Standorts München), Marketing/Vertrieb sowie Support. Matični broj 22037811, PIB 114547476, Geschäftsführer: Nemanja Milivojević, Koste Račina 24, 11000 Beograd, Serbien (siehe gesonderter Abschnitt unten).
- iDenfy – Identitätsverifizierung (Abgleich von Ausweisdokument und Selfie) vor oder nach der Prüfung. Dienstanbieter: UAB „iDenfy", Baršausko g. 59, 51423 Kaunas, Litauen (EU); E-Mail Datenschutz: dpo@idenfy.com; Datenschutzerklärung: https://www.idenfy.com/privacy-policy/ (siehe gesonderter Abschnitt unten).
Mit allen Auftragsverarbeitern, die im Rahmen von Support, Betrieb, Bewertung und Unterhalt auf die Systeme zugreifen, werden Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen. Diese umfassen jeweils eine Auflistung sämtlicher technischer und organisatorischer Maßnahmen zum Schutz der Daten.
Auftragsverarbeitung durch ICO Belgrad d.o.o. (Serbien)
Wir setzen die ICO Belgrad d.o.o. mit Sitz in Belgrad, Serbien, als Auftragsverarbeiter ein (Art. 28 DSGVO) – unter anderem zur Bewertung und Korrektur von Zertifizierungsprüfungen (in Vertretung unseres Standorts München), für Marketing/Vertrieb sowie für Support und Wartung. Im Rahmen der Prüfungsbewertung kann dabei auch auf Ihre Prüfungsantworten, Ihre Identitätsdaten und gegebenenfalls Aufsichtsbilder (biometrische Daten, Art. 9 DSGVO) zugegriffen werden. Die ICO Belgrad d.o.o. ist eine 100%ige Tochtergesellschaft der ICO GmbH. Die Konzernzugehörigkeit ersetzt die erforderlichen Schutzgarantien nicht.
Ihre Daten werden in der Europäischen Union gespeichert; ein dauerhafter Export nach Serbien findet nicht statt. Vorgesehen ist ein gesicherter Fernzugriff aus Serbien. Da Serbien ein Drittland ohne Angemessenheitsbeschluss der Europäischen Kommission ist, erfolgt dieser Zugriff auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer und organisatorischer Schutzmaßnahmen (u. a. EU-gehostete Zugriffsumgebung ohne lokalen Datenabzug, Protokollierung der Zugriffe, Beschränkung auf die jeweils zugewiesene Prüfung sowie ein Notabschaltmechanismus).
Identitätsprüfung (iDenfy)
Die Identitätsverifizierung kann vor oder nach der Prüfung erfolgen: Sie weisen sich mit Ihrem Ausweisdokument und einem Selfie aus, und das ausgestellte Zertifikat wird über einen biometrischen 1:1-Abgleich (Selfie gegen Ausweisbild) an die verifizierte Person gebunden. Es ist nicht zwingend erforderlich, vorab identifiziert worden zu sein, um die Prüfung ablegen zu können; ab einer weiteren Prüfung sind Sie in der Regel bereits aus der vorangegangenen Prüfung identifiziert. Hierzu setzen wir den Dienst iDenfy als Auftragsverarbeiter (Art. 28 DSGVO) ein. Verarbeitet werden dabei Ausweisdaten und ein Bild des Ausweisdokuments sowie ein Selfie zum Abgleich. Die für den biometrischen Abgleich erforderliche ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) holen wir vor diesem Abgleich gesondert ein.
- Verarbeitete Datenarten: Ausweisdaten (z. B. Name, Geburtsdatum, Dokumentnummer), Bild des Ausweisdokuments, Selfie-/Lichtbilddaten.
- Betroffene Personen: Prüfungsteilnehmer.
- Zwecke der Verarbeitung: Verifizierung Ihrer Identität vor oder nach der Prüfung und Bindung des Zertifikats an die verifizierte Person zur Sicherung der Integrität der Zertifizierung.
- Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Soweit im Rahmen der Verifizierung ein biometrischer Abgleich erfolgt, der besondere Kategorien personenbezogener Daten betrifft, stützen wir diese Verarbeitung zusätzlich auf Ihre ausdrückliche, gesonderte und vorab erteilte Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
- Dienstanbieter: UAB „iDenfy", Baršausko g. 59, 51423 Kaunas, Litauen (EU); Datenschutzerklärung: https://www.idenfy.com/privacy-policy/.
Gesichtserkennung (Microsoft Azure und/oder Amazon AWS)
Zur Authentifizierung und zur Aufsicht während der Online-Zertifizierungsprüfungen setzen wir Cloud-Dienste zur Gesichtserkennung ein. Derzeit setzen wir hierfür Microsoft Azure und/oder Amazon Web Services ein; wir stellen schrittweise von Azure auf AWS um, ein fester Umstellungszeitpunkt steht noch nicht fest:
- Microsoft Azure (Cognitive Services / Face API): im Einsatz; Verarbeitung in einer Rechenzentrumsregion innerhalb der Europäischen Union.
- Amazon Web Services (Amazon Rekognition, Speicherung in Amazon S3): im Einsatz; ebenfalls in einer EU-Region.
Beide Dienste können derzeit – auch parallel – zum Einsatz kommen. Unabhängig vom jeweils eingesetzten Anbieter erfolgt die Verarbeitung in einer Region innerhalb der Europäischen Union.
Beide Anbieter verarbeiten die Daten weisungsgebunden als Auftragsverarbeiter (Art. 28 DSGVO) auf Grundlage eines Auftragsverarbeitungsvertrags. Soweit ein Bezug zu einem Mutterkonzern in den USA besteht, stützen wir die Übermittlung auf das EU-US Data Privacy Framework, sofern die jeweilige Anbieter-Entität zum Zeitpunkt der Übermittlung darunter gelistet ist; andernfalls auf die EU-Standardvertragsklauseln (Art. 46 DSGVO). In beiden Fällen ergreifen wir ergänzende Schutzmaßnahmen (u. a. Verschlüsselung mit EU-seitiger Schlüsselverwaltung), um dem mit dem US-Bezug verbundenen Restrisiko zu begegnen.
Die Gesichtserkennung nutzen wir auf folgende Arten:
- Identitätsbindung (Authentifizierung vor oder nach der Prüfung): Sie weisen sich vor oder nach der Prüfung mit Ausweisdokument und Selfie aus (beide Reihenfolgen sind möglich; eine Vorab-Identifizierung ist nicht zwingend, und ab einer weiteren Prüfung sind Sie in der Regel bereits identifiziert). Der biometrische 1:1-Abgleich (Selfie gegen Ausweisbild) bindet das ausgestellte Zertifikat an die verifizierte Person. Unter Amazon Rekognition erfolgt dieser Abgleich über die Funktion CompareFaces, die den Vergleich zur Laufzeit durchführt; dabei wird kein dauerhaftes biometrisches Template beim Anbieter gespeichert. Persistente biometrische Artefakte sind ausschließlich die in unserem eigenen EU-Objektspeicher (Amazon S3) abgelegten Referenz- und Prüfbilder.
- Aufsicht/Betrugserkennung: Die Aufsicht erfolgt periodisch, nicht als fortlaufender Video-Stream. In konfigurierbaren Abständen (z. B. alle 5 bis 10 Sekunden) wird ein Einzelbild ausgewertet, um zu prüfen, ob nur eine Person anwesend ist und keine unzulässigen Gegenstände verwendet werden (Anwesenheits- und Szenenprüfung). Ergänzend wird die Personenkonstanz während der Prüfung sichergestellt (Bild-zu-Bild-Konsistenz); ein Abgleich gegen das Ausweisdokument findet während der Prüfung nicht statt. Durch die periodische statt fortlaufende Auswertung halten wir die Verarbeitung datenminimierend (Art. 5 Abs. 1 lit. c DSGVO).
- Zertifikatsgenerierung und -verifizierung: Ihr Prüfungszertifikat wird mit einem verifizierbaren Token (GUID) erzeugt. Eine Revalidierung der Echtheit eines Zertifikats kann auf Basis von Hash-Werten ohne Weitergabe privater Informationen erfolgen.
- Neuausstellung: Erneutes Generieren von Kopien Ihres Zertifikats nach Bedarf.
Überprüfung der Bildschirm-Freigabe: Zusätzlich wird der freigegebene Bildschirm während der Prüfung fortlaufend temporär als Screenshot erfasst und auf einen sogenannten Personal Identifier (persönlicher Prüfsummencode) getestet, um die Echtheit und Integrität des freigegebenen Bildschirms zu prüfen und eine gefälschte, vorgespielte oder geloopte Bildschirmoberfläche zu erkennen (Schutz vor Manipulation/Spoofing). Eine weitergehende Verarbeitung der Screenshots erfolgt nicht. Rechtsgrundlage ist unser berechtigtes Interesse an der Integrität der Prüfung (Art. 6 Abs. 1 lit. f DSGVO). Der Anwender wird während der Nutzung permanent darauf hingewiesen, keine persönlichen Daten oder Daten Dritter auf seinem Bildschirm freizugeben.
Verarbeitung biometrischer Daten und Ihre ausdrückliche Einwilligung
Im Rahmen unserer Online-Prüfungen verarbeiten wir biometrische Daten (insbesondere ein aus Ihrem Gesichtsbild abgeleitetes Erkennungsmerkmal) zum Zweck Ihrer eindeutigen Identifizierung. Hierbei handelt es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO. Eine Pseudonymisierung oder die Verwendung von Templates ändert an dieser Einordnung nichts.
Wir verarbeiten diese Daten ausschließlich auf Grundlage Ihrer ausdrücklichen, gesonderten und vorab erteilten Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung holen wir separat und informiert ein (siehe gesonderte Einwilligungserklärung); sie wird nicht bereits durch die bloße Teilnahme an der Prüfung oder durch die allgemeine Zustimmung zu unseren Nutzungsbedingungen erteilt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Aufbewahrung: Im Rahmen der Prüfung erstellte Bilder werden im Regelfall nach spätestens 180 Tagen gelöscht. Ausnahmsweise bewahren wir einzelne Bilder darüber hinaus auf, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist – insbesondere bei einer Streitigkeit über die Bewertung der Prüfung. Rechtsgrundlage hierfür sind Art. 9 Abs. 2 lit. f i. V. m. Art. 6 Abs. 1 lit. f DSGVO; die Verarbeitung wird in diesem Fall auf das für die Rechtsverteidigung Erforderliche eingeschränkt (Art. 18 DSGVO) und nach Erledigung gelöscht.
Weitere verarbeitete Daten und Aufbewahrung: Wir speichern darüber hinaus Ihren vollständigen Namen, Ihr Geburtsdatum, Ihren Geburtsort und Ihr Geburtsland, das Prüfungsdatum, die Ergebnisse, die Kontakt-E-Mail-Adresse sowie die E-Mail-Kommunikation. Zertifikatsmarken sowie die genannten Stammdaten werden gespeichert, solange Ihr Konto aktiv ist, und bei Kontolöschung gelöscht. Alle übrigen personenbezogenen Daten und Sitzungsdaten werden innerhalb von 180 Tagen nach Abschluss der letzten Prüfung pseudonymisiert. Verbleibende Cloud-Protokolldateien werden bis zu 12 Monate gespeichert. Alle Daten werden im Ruhezustand und während der Übertragung nach dem Stand der Technik verschlüsselt; einen permanenten lokalen Daten-Fußabdruck auf Ihrem Gerät gibt es nicht. Wir geben Ihre Daten oder Metadaten nicht an weitere Dritte als die in dieser Datenschutzerklärung genannten Auftragsverarbeiter weiter.
Rechtsgrundlagen (Zusammenfassung): Prüfungsdurchführung, Bewertung und Zertifikatsausstellung: Art. 6 Abs. 1 lit. b DSGVO; biometrische Verarbeitung zur Identitätsprüfung: Art. 9 Abs. 2 lit. a DSGVO; Aufbewahrung im Streitfall: Art. 9 Abs. 2 lit. f i. V. m. Art. 6 Abs. 1 lit. f und Art. 18 DSGVO.
Öffentliche Zertifikats-Badges (Open Badges)
Nach bestandener Prüfung stellen wir Ihnen Ihr PDF-Zertifikat (mit vollständigem Namen, Geburtsdatum, Geburtsort und Geburtsland) zum Download bereit. Dieses Zertifikat wird Ihnen persönlich zur Verfügung gestellt und nicht von der ICO veröffentlicht.
Auf Ihre aktive Anforderung hin können wir zusätzlich ein öffentlich abrufbares Open Badge zu Ihrem Zertifikat erzeugen. Dabei wählen Sie selbst die E-Mail-Adresse, die mit dem Badge verknüpft wird; Sie können hierfür auch eine separate oder anonymisierte E-Mail-Adresse verwenden. Das Badge enthält in diesem Fall Ihren Namen sowie die von Ihnen gewählte E-Mail-Adresse und ist über die Badge-URL öffentlich abrufbar. Die Veröffentlichung erfolgt ausschließlich auf Ihren Wunsch und Ihre Veranlassung hin.
- Verarbeitete Datenarten: Bestandsdaten (Name), Kontaktdaten (von Ihnen gewählte E-Mail-Adresse), Zertifikatsdaten (Zertifikats-ID, Ausstellungsdatum).
- Betroffene Personen: Prüfungsteilnehmer.
- Zwecke der Verarbeitung: Erzeugung und öffentliche Bereitstellung eines von Ihnen angeforderten Zertifikats-Badges.
- Rechtsgrundlage: Einwilligung bzw. aktive Veranlassung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; das Badge wird dann deaktiviert, soweit dies technisch möglich ist.
Übertragung personenbezogener Daten an LinkedIn
Im Rahmen der Ausstellung eines Badges für LinkedIn werden Vorname, Nachname und E-Mail-Adresse der betroffenen Person an LinkedIn übertragen. Diese Datenübermittlung ist erforderlich, um den Badge ordnungsgemäß auszustellen und in das LinkedIn-Profil der betroffenen Person zu integrieren.
Zweck der Datenübermittlung: Die Übertragung erfolgt ausschließlich zu dem Zweck, die Authentizität des Badges zu bestätigen und sicherzustellen, dass dieser korrekt dem LinkedIn-Profil der betreffenden Person zugeordnet wird.
Rechtsgrundlage: Die Rechtsgrundlage ist die Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO, die im Rahmen der Beantragung des Badges eingeholt wird.
Empfänger der Daten: Empfänger ist die LinkedIn Corporation (USA), die als eigenständiger Verantwortlicher die Daten gemäß ihrer eigenen Datenschutzrichtlinie verarbeitet.
Datenübermittlung in ein Drittland: Da LinkedIn in den USA ansässig ist, erfolgt eine Datenübermittlung in ein Drittland. Die Übermittlung wird auf das EU-US Data Privacy Framework (DPF) gestützt, sofern und solange die LinkedIn Corporation zum Zeitpunkt der Übermittlung darunter gelistet ist; andernfalls auf die EU-Standardvertragsklauseln (Art. 46 DSGVO).
Speicherdauer: Die ICO speichert die zur Übertragung an LinkedIn erforderlichen personenbezogenen Daten nur solange, wie dies für den genannten Zweck erforderlich ist. Nach der Übertragung an LinkedIn werden die Daten von der ICO gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Ihre Rechte: Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Weitere Informationen: https://de.linkedin.com/legal/privacy-policy
Rechte der betroffenen Personen
Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:
- Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein darauf gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.
- Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
- Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden, und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
- Recht auf Berichtigung: Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
- Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ eine Einschränkung der Verarbeitung zu verlangen.
- Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
- Beschwerde bei einer Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Weitere Einschränkungen, Modifikationen und gegebenenfalls Ausschlüsse der vorgenannten Rechte können sich aus der DSGVO oder nationalen Rechtsvorschriften ergeben.
Ihre Rechte können Sie direkt bei der ICO GmbH geltend machen. Richten Sie Ihren Antrag an privacy@ico-cert.org. Wir müssen einen Nachweis Ihrer Identität einholen, bevor wir Ihnen die Informationen, die wir über Sie besitzen, zur Verfügung stellen können.
Begriffsdefinitionen
In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Viele der Begriffe sind dem Gesetz entnommen und vor allem in Art. 4 DSGVO definiert. Die gesetzlichen Definitionen sind verbindlich.
- Biometrische Daten: Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen Merkmalen einer natürlichen Person, die deren eindeutige Identifizierung ermöglichen (z. B. ein aus einem Gesichtsbild abgeleitetes Erkennungsmerkmal). Sie zählen zu den besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO).
- IP-Masking: Methode, bei der das letzte Oktett einer IP-Adresse gelöscht wird, damit die IP-Adresse nicht mehr der eindeutigen Identifizierung einer Person dienen kann. IP-Masking ist ein Mittel zur Pseudonymisierung.
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Profile mit nutzerbezogenen Informationen: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu analysieren, zu bewerten oder vorherzusagen.
- Reichweitenmessung: Auswertung der Besucherströme eines Onlineangebotes; kann das Verhalten oder die Interessen der Besucher umfassen.
- Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, z. B. Erheben, Auswerten, Speichern, Übermitteln oder Löschen.
