Datenschutzerklärung gem. Art 13 und 14 DSGVO
zu Webdiensten der Webanwendung portal.bitacademy.at (nachfolgend „Anwendung“),
gegenüber betroffenen Personen nach Art 1 Abs 1 DSGVO (nachfolgend „Nutzer“).
In dieser Datenschutzerklärung informieren wir Nutzer, über die wichtigsten Aspekte der Verarbeitung (Art 4 Abs 2 DSGVO) von personenbezogenen Daten (Art 4 Abs 1 DSGVO) im Rahmen ihrer Nutzung der Anwendung.
Zur Nutzung der Anwendung muss der Nutzer jene Daten bereitstellen, die für die ordnungsgemäße Nutzung der gewünschten Dienste der Anwendung notwendig sind. Mit dem Absenden Ihrer Daten (Registrierung) stimmen Sie der Verarbeitung Ihrer Daten zum Zweck der Nutzung der Anwendung zu.
Verantwortlicher (Art 4 Abs 7 DSGVO) für die Datenverarbeitung ist:
bit schulungscenter GmbH, Kärntner Straße 311, 8055 Graz in
Österreich
E-Mail: office@bitschulungscenter.at
(nachfolgend „Verantwortlicher“)
Der Verantwortliche stellt mit Hilfe der Anwendung, nicht öffentlich und in unterschiedlichen Formaten, Inhalte zur Wissensvermittlung und zum Kompetenzerwerb zur Verfügung.
Ein wesentlicher Zweck für den Einsatz der Anwendung in diesem Zusammenhang ist die Unterstützung von Lernformaten, welche eine Lernbegleitung (z.B. Hilfestellung bei Fragen) und den Austausch mit anderen Nutzern (Lernenden) innerhalb von sogenannten Lerngruppen (z.B. Chat-Nachrichten) vorsehen.
Die Organisation und Administration von Lernprozessen in der Anwendung erfolgen daher in Gruppen, in denen sich Nutzer mit ähnlichen Zielsetzungen untereinander austauschen können.
Personen, welche die Nutzer bei der Bearbeitung von Inhalten (beim Lernen) unterstützen (nachfolgend „Tutor“), oder für die Administration der Anwendung zuständig sind (nachfolgend „Administrator“), sind MitarbeiterInnen des Verantwortlichen.
Der Verantwortliche verarbeitet nachfolgend beschriebene personenbezogene Daten:
Die Anwendung steht nur registrierten Nutzern zur Verfügung.
Zur Registrierung eines Nutzers ist eine gültige
E-Mail-Adresse erforderlich, auf deren zugehöriges Postfach der Nutzer Zugriff
hat. Darüber hinaus ist zur Registrierung die Eingabe eines Vor- und
Nachnamens, sowie das Festlegen eines individuellen Passworts durch den Nutzer
erforderlich.
Nach erfolgter Registrierung kann durch den Nutzer zudem sein Profilbild
gespeichert werden.
Darüber hinaus werden keine Daten zur Identität der natürlichen Person eines Nutzers verarbeitet.
Die E-Mail-Adresse eines Nutzers ist innerhalb der Anwendung ausschließlich für Administratoren des Verantwortlichen zugänglich. Sie dient:
a) der systemischen Kontaktaufnahme durch die Anwendung in den Fällen von Registrierungsbestätigung, Passwort vergessen und Gruppen-Einladungen.
b) zur schriftlichen Kontaktaufnahme in Fällen, in denen technischer Support durch Administratoren des Verantwortlichen zur weiteren Nutzung der Anwendung notwendig ist.
Vorname und Nachname (und das freiwillig gespeicherte Profilbild) sind hingegen für alle anderen Nutzer in der Gruppe des Nutzers sichtbar.
Zum Zweck von Transparenz in der Gruppenkommunikation ist Anzeige des Nutzer-Namens, in denjenigen Gruppen der Anwendung, denen der Nutzer beigetreten ist, in folgenden Fällen erforderlich:
a) Mitgliederverzeichnis der Gruppe
b) Posten von Nachrichten im Gruppenchat
c) Versand von Nachrichten an andere Nutzer der Gruppe
d) Fragen an Tutoren der Gruppe
e) Abgabe von Aufgaben zur Evaluierung durch Tutoren der Gruppe
f) Evaluierung des Lernfortschritts von Nutzern durch Tutoren der Gruppe
g) Auswertung von Assessments durch Tutoren der Gruppe
Inhalte von Nachrichten, die ein Nutzer versendet, werden in der Anwendung gespeichert und sind für folgende anderen Nutzer sichtbar:
a) Private Nachrichten: nur für den Empfänger der Nachricht
b) Anfragen/Abgaben an Tutoren: für alle Tutoren der Gruppe
c) Postings im Gruppenchat: für alle Mitglieder der Gruppe
Die Anwendung verarbeitet alle Zugriffe auf alle Inhaltselemente, auf die ein Nutzer zugreift. Inhaltselemente können z.B. Module, einzelne Lerneinheiten oder Lernphasen, Videos, Übungen und Aufgaben sein.
Folgende Daten werden dabei für jedes Inhaltselement verarbeitet: die eindeutige Identifikationsnummer (ID) des Inhaltselements, das Datum und die Uhrzeit des Beginns des Zugriffs, die Verweil- bzw. Bearbeitungsdauer im/für das Inhaltselement, das Datum und die Uhrzeit des Endes des Zugriffs, Richtig- oder Falschinformationen und Anzahl der Versuche (bei Übungen und Aufgaben) und IDs eventuell zuvor und danach aufgerufener Inhaltselemente.
Durch die Verarbeitung dieser Daten werden für jeden Inhalt folgende Informationen berechnet:
a) Gesamtzeit die der Nutzer bisher aktiv die in der Anwendung verbracht hat.
b) Summe der bisherigen Bearbeitungszeit (Lernzeit) einzelner Inhalte durch den Nutzer.
c) Anzahl/Prozentsatz der Inhaltselemente eines Inhalts, die der Nutzer bisher bearbeitet hat (Lern-Fortschritt).
d) Anzahl/Prozentsatz der Übungen und Aufgaben eines Inhalts, die der Nutzer bisher richtig gelöst hat (Lern-Erfolg).
Aus diesen Informationen wird eine jederzeit aktuelle Lernstands-Dokumentation abgeleitet, die jedem Nutzer persönlich zu den von ihm genutzten Inhalten angezeigt wird.
Tutoren der Gruppen, denen ein Nutzer zugeordnet ist, haben ebenfalls Zugriff auf diese Informationen. Sie können daraus ableiten, ob und wo ein Nutzer Hilfestellung benötigt und ob ein Nutzer die geplanten bzw. vereinbarten Lernziele erreichen wird bzw. erreicht hat.
Die Anwendung nutzt Cloud Infrastruktur und Services von Dritten. Diese verarbeiten Verbindungsdaten des Nutzers um ihre jeweiligen Services ausführen-, warten- und laufend optimieren zu können. Dazu zählen die Adresse (URL) der aufgerufenen Website, Browser und Browserversion, das verwendete Betriebssystem, die Adresse (URL) der zuvor besuchten Seite (Referrer URL), den Hostnamen und die IP-Adresse des Geräts, von welchem aus zugegriffen wird und Datum und Uhrzeit des Zugriffs.
Eine Verknüpfung dieser Verbindungsdaten mit den personenbezogenen Daten, welche durch die Anwendung selbst verarbeitet werden (Vorname, Nachname, E-Mail-Adresse), wird durch die Architektur der Anwendung ausgeschlossen.
Zum Schutz und zur Wahrung der Vertraulichkeit erfolgt die Verarbeitung personenbezogener Daten in der Anwendung ausschließlich im Rahmen der geltenden gesetzlichen Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).
Der Verantwortliche verarbeitet die unter Punkt 4 beschriebenen personenbezogenen Daten auf Basis folgender Rechtsgrundlagen:
Die Verwendung der Anwendung erfordert das Registrieren des Nutzers und das Anlegen eines eigenen Nutzer-Kontos. Dazu ist es erforderlich, dass der Nutzer bestimmte personenbezogene Informationen bekannt gibt. Weiters führt die Nutzung der in der Anwendung verfügbaren Inhalte automatisch zu einer Dokumentation des persönlichen Lernstandes des Nutzers.
Der Nutzer erlaubt dem Verantwortlichen die Verarbeitung dieser personenbezogenen Daten, um den vollen Funktionsumfang der Anwendung bereitstellen zu können (Punkt 9, Einwilligung).
Die vom Verantwortlichen verarbeiteten Daten sind zur Erfüllung eines bestehenden Vertrags mit dem Nutzer selbst, oder einem Dritten, erforderlich.
Die Verarbeitung der unter Punkt 4 beschriebenen Daten dient in diesem Fall zum wechselseitigen Nachweis, oder zum Nachweis gegenüber Dritten, dass Leistungen im vereinbarten Umfang erbracht wurden.
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in der EU.
Die Anwendung wird von der MILES Learning GmbH, als Auftragsverarbeiter (Art 4 Abs 8 DSGVO) des Verantwortlichen, in Form unabhängiger Web-Clients (Mandanten) bereitgestellt.
Zur Bereitstellung nutzt MILES Learning GmbH die
Cloud Infrastruktur von
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg.
Die Daten werden in der Availability-Zone Frankfurt am Main, Bundesrepublik Deutschland, gespeichert und verarbeitet (Informationen zum Datenschutz von AWS unter: https://aws.amazon.com/de/compliance/gdpr-center/).
Der Verantwortliche verarbeitet personenbezogene Daten des Nutzers ausschließlich:
a) für die unter Punkt 4 beschriebenen Zwecke und zur Erbringung der damit verbundenen Leistungen.
b) für Zwecke die vertraglich mit dem Nutzer oder Dritten gesondert vereinbart wurden.
c) für statistische Zwecke (anonymisiert).
Die Daten werden in keiner sonstigen-, mit diesen Zwecken nicht zu vereinbarenden, Weise weiterverarbeitet.
Der Verantwortliche verarbeitet nur dem Zweck angemessene, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkte, personenbezogene Daten.
Zweck ist dabei die bestimmungsgemäße Nutzung der Anwendung.
Personenbezogene Daten können vom Nutzer im persönlichen Nutzer-Profil der Anwendung jederzeit überprüft und geändert werden. Daten der Lernstands-Dokumentation werden dem Nutzer zu allen von ihm bearbeiteten Inhalten angezeigt und können dadurch ebenfalls jederzeit verifiziert werden.
Der Verantwortliche speichert Daten, welche die Identifizierung eines Nutzers ermöglichen nur so lange, wie es für die Dauer der jeweiligen Leistungserfüllung erforderlich ist.
Diesbezügliche Anforderungen leiten sich grundsätzlich aus der Dauer des Nutzungs- bzw. des Vertragsverhältnisses ab, ausgenommen eine längere Speicherdauer ist aus überwiegendem, berechtigtem Interesse, oder für die Geltendmachung bzw. Abwehr von Rechtsansprüchen erforderlich.
Sind die Daten des Nutzer-Kontos (Punkt 4.1), welche die Identifizierung des Nutzers ermöglichen, für die vorgenannten Zwecke nicht mehr erforderlich, werden sie gelöscht. Dies schließt die Daten zur Nutzung der Inhalte (Punkt 4.3) ein. Anfragen, Abgaben, private Nachrichten und Postings in Gruppen-Chats (Punkt 4.2) bleiben bestehen, da sie zum Account eines Dritten gehören.
Wir unterhalten geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Zugang und Kenntniserlangung durch unbefugte Dritte.
Der Zugriff auf die Anwendung über deren Website ist nur für registrierte Nutzer mit einem gültigen Passwort möglich. Für Passworte gelten Kennwortrichtlinien. Die Übertragung von Daten über die Website der Anwendung wird mittels SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security) verschlüsselt.
Die Anwendung nutzt ein Rollen-basiertes Rechte-Management, welches die Berechtigungen für Zugriffe auf Nutzer-Daten durch andere Nutzer der Anwendung regelt und unbefugtes Lesen oder Kopieren von Daten unterbindet. Darüber hinaus ist die Anwendung mandantenfähig und verarbeitet Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt.
Die zum Einsatz kommende Cloud Infrastruktur von AWS sorgt durch, dem Risiko angepasste, technische und organisatorische Maßnahmen für den Schutz der Nutzer-Daten vor unbeabsichtigter Schädigung oder Zerstörung. Die AWS-Compliance ist u.a. nach ISO/IEC 27001:2013 zertifiziert.
Zum Schutz vor unbeabsichtigtem Verlust von Nutzer-Daten erfolgt eine regelmäßige Sicherung der Datenbank der Anwendung. Zudem werden Daten-Änderungen laufend protokolliert.
Der Verantwortliche stellt innerhalb seines Unternehmens/seiner Organisation sicher, dass nur diejenigen Stellen bzw. MitarbeiterInnen Rechte zum Zugriff auf personenbezogene Daten anderer Nutzer erhalten, die diese zur Erfüllung ihrer vertraglichen oder gesetzlichen Verpflichtungen benötigen (z. B. Tutoren, Administratoren).
Der Verarbeiter hat alle mit der Datenverarbeitung beauftragten MitarbeiterInnen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht. MitarbeiterInnen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen und im hier dargestellten Umfang verarbeiten, es sei denn, sie sind gesetzlich zu einer erweiterten Verarbeitung verpflichtet.
Datenexport:
Auf Anweisung des Verantwortlichen können MitarbeiterInnen Daten der
Lernstands-Dokumentation (Punkt 4.3), zum Nachweis der Erfüllung vertraglicher
Verpflichtungen, exportieren. Diese Daten können, von der Anwendung unabhängig,
in Form von Dateien auch an Dritte weitergeleitet werden.
Darüber hinaus haben vom Verantwortlichen beauftragte Auftragsverarbeiter (Art 4 Abs 8 DSGVO) Zugriff auf bestimmte Nutzer-Daten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Auftragsverarbeiter sind vertraglich dazu verpflichtet, Nutzer-Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.
Bildoptimierung
In die Anwendung sind Technologien Dritter eingebunden. Diese dienen der Optimierung der Ladegeschwindigkeit und Darstellung einzelner Webseiten der Anwendung für das jeweilige Endgerät des Nutzers.
Im Rahmen der Nutzung der Anwendung werden diese Dienste aufgerufen und Verbindungsdaten (Punkt 4.4) an Server übermittelt, die sich außerhalb der Europäischen Union befinden:
imgix, 423 Tehama St., San Francisco, California 94103, United States (https://imgix.com/privacy)
Eingebundenen Videos
In Inhalten der Anwendung können von Autoren Videos eingebunden worden sein, die über sogenannte Streaming-Plattformen (z.B. YouTube, Vimeo, etc.) bereitgestellt werden. Bei den Anbietern dieser Plattformen handelt es ich um mit dem Verantwortlichen nicht verbundene Dritte.
Wurden Videos in Inhalte eingebunden, werden in Teilbereichen eines Browserfensters Inhalte der genutzten Streaming-Plattformen abgebildet. Die Videos selbst werden jedoch erst durch gesondertes Anklicken abgerufen. Dabei wird eine Verbindung zur jeweiligen Streaming-Plattformen hergestellt, wobei Verbindungsdaten (Punkt 4.4) an Server übermittelt werden, die sich außerhalb der Europäischen Union befinden können.
Eine Übermittlung an sonstige Dritte erfolgt nicht.
Durch die Registrierung zur Anwendung gibt der Nutzer sein Einverständnis zur Verarbeitung seiner personenbezogenen Daten gemäß der hier vorliegenden Datenschutzerklärung.
Der Nutzer stimmt zu, dass seine personenbezogenen Daten
wie in der vorliegenden Datenschutzerklärung beschrieben (Punkt 4),
zu den beschriebenen Zwecken und im beschriebenen Umfang (ebenfalls Punkt 4)
vom Verantwortlichen (Punkt 2) verarbeitet
und im beschriebenen Umfang (Punkt 8) weitergegeben werden.
Diese Einwilligung kann durch den Nutzer jederzeit unter den Kontaktdaten des Verantwortlichen (Punkt 2) widerrufen werden. Ein Widerruf hat zur Folge, dass der Verantwortlich die Daten des Nutzers ab diesem Zeitpunkt zu oben genannten Zwecken nicht mehr verarbeitet und das Nutzer-Konto löscht. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, ist davon nicht berührt.
Nutzern stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts zu. Dafür wenden Sie sich bitte an den Verantwortlichen (Punkt 2).
Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dafür die Datenschutzbehörde zuständig:
Österreichische Datenschutzbehörde, Barichgasse 40-42,
1030 Wien, Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at, Web: http://www.dsb.gv.at
Der Verantwortliche behält sich vor, diese Datenschutzerklärung zu ändern. In diesem Falle werden die Nutzer der Anwendung darüber informiert.