Datenschutzportal – Kontakt

Für all Ihre datenschutzrechtlichen Anliegen, insbesondere zur Geltendmachung Ihrer Rechte, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:

Bildungsplattform der Wirtschaftskammer Österreich GmbH
Gußhausstraße 21/25, 1040 Wien
+43 664 817 94 92, support@wise-up.at
FN 529267i, Handelsgericht Wien

Datenschutzerklärung
Website

Datenschutzerklärung
Bildungsplattform

Datenschutzerklärung Website

Letzte Änderung: 30.05.2023

Bei Nutzung unserer Website https://wise-up.at/ („Website“) und der darauf bereitgestellten Features kommt es zu einer Verarbeitung von personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung („DSGVO“) und des österreichischen Datenschutzgesetzes („DSG“). Für diese Datenverarbeitungen ist die Bildungsplattform der Wirtschaftskammer Österreich GmbH („wir“) die datenschutzrechtliche Verantwortliche gemäß Art. 4 Z. 7 DSGVO. Mit dieser Datenschutzerklärung informieren wir Sie über die Datenverarbeitungen und Ihre Rechte als betroffene Person. Unsere Kontaktdaten finden Sie am Ende dieser Datenschutzerklärung unter Punkt 7.

Infolge der Weiterentwicklung der Inhalte und Funktionen unserer Website oder möglicher rechtlicher Änderungen können Anpassungen der Datenschutzerklärung erforderlich werden. Es gilt die jeweils auf https://wise-up.at/datenschutz veröffentlichte Fassung.

Bitte beachten Sie auch die Datenschutzerklärung wîse up, welche Informationen zu Datenverarbeitungstätigkeiten im Rahmen unseres Accountmanagementsystems (AMM) sowie unserer digitalen Bildungsplattform (DBP) enthält, welche Sie erreichen, sofern Sie die allgemeinen Bereiche unserer Website verlassen. Die Datenschutzerklärung wîse up behandelt sämtliche diesbezügliche Verarbeitungsvorgänge, vom Aufruf des Registrierungs- bzw. Login-Bereichs bis hin zur Bereitstellung und Nutzung der digitalen Bildungsplattform selbst. Die Datenschutzerklärung wîse up finden Sie hier: https://wise-up.at/datenschutz/.

1. Begriffsdefinitionen

Datenschutzrechtliche Vorschriften stellen bis auf gewisse Ausnahmen auf die Verarbeitung personenbezogener Daten ab. Für den Umfang dieser Datenschutzerklärung wird dabei auf das Begriffsverständnis der DSGVO zurückgegriffen. Damit umfasst die Verarbeitung (Art. 4 Z. 2 DSGVO) von personenbezogenen Daten im Wesentlichen jeglichen Umgang mit denselben. Soweit von uns verarbeitete Daten menschenbeziehbar sind und Sie als Person identifizierbar machen, handelt es sich grundsätzlich um personenbezogene Daten, wodurch Sie als von einer Datenverarbeitung betroffene Person (Art. 4 Z. 1 DSGVO) anzusehen sind.

Zum bestmöglichen Verständnis dieser Datenschutzerklärung sind weiters insbesondere die nachfolgenden Begrifflichkeiten relevant:

Begriff Erläuterung Bestimmung
Verantwortlicher Natürliche oder juristische Person bzw. anderweitige Stelle, welche den entscheidenden Einfluss auf die Datenverarbeitung ausübt und im Gegenzug datenschutzrechtlichen Pflichten unterliegt. Art. 4 Z. 7 DSGVO
Art. 24 DSGVO
Auftragsverarbeiter Externer Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet und vertraglich an dessen Weisungen gebunden ist. Er agiert dabei als verlängerter Arm des Verantwortlichen. Art. 4 Z. 8 DSGVO
Art. 28 DSGVO
Empfänger Grundsätzlich jede natürliche oder juristische Person bzw. anderweitige Stelle außerhalb der Organisation des Verantwortlichen, welcher Daten aus dessen Verantwortungsbereich offengelegt werden. Art. 4 Z. 9 DSGVO
Rechtmäßigkeitsgrundlagen Die gesetzliche vorgezeichneten Grundlagen, welche eine Ermächtigung schaffen, personenbezogene Daten betroffener Personen rechtmäßig zu verarbeiten. Art. 6 Abs. 1 DSGVO
Drittlandübermittlung Die Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR, wodurch sie durch Anknüpfungspunkte zur jeweiligen Rechtsordnung der alleinigen Kontrolle der DSGVO entzogen werden, durch Offenlegung an einen Empfänger, der in einem Drittland entweder (i) niedergelassen ist oder (ii) datenverarbeitende Server betreibt. Kapitel V DSGVO
Angemessenheitsbeschluss Ein Beschluss der EU-Kommission, welcher einem Drittland ein angemessenes Datenschutzniveau bescheinigt und dadurch einen freien Datenverkehr ohne zusätzliche Restriktionen ermöglicht. Art. 45 DSGVO
Geeignete Garantien Geeignete Garantien sind verschiedene Instrumente, welche Datentransfers in ein Drittland ermöglichen, für das kein Angemessenheitsbeschluss besteht.

Soweit wir Datenübermittlungen auf geeignete Garantien stützen, haben Sie jeweils die Möglichkeit, eine Kopie davon zu erhalten, indem Sie uns unter support@wise-up.at kontaktieren

Art. 46 DSGVO
Ausnahmen für bestimmte Fälle Ein Katalog an Ausnahmen, die unter gewissen Voraussetzungen einen oder mehrere Datentransfers in ein Drittland, für das kein Angemessenheitsbeschluss besteht, ohne Vorliegen geeigneter Garantien rechtfertigen können. Art. 49 DSGVO

2. Verarbeitungstätigkeiten im Zusammenhang mit der Website

Im Rahmen dieses Abschnitts werden die konkreten Datenverarbeitungsvorgänge beschrieben, welche sich beim Zugriff auf unsere Website sowie im Rahmen ihrer Nutzung ereignen können. Dabei informieren wir Sie über die wesentlichen Elemente jeder Verarbeitungsaktivität, das sind (a) Art und Umfang (wann und wie), (b) Zweck (warum) sowie (c) Dauer der Speicherung Ihrer Daten (wie lange). Außerdem informieren wir Sie darüber, welche Empfänger außerhalb unserer Organisation jeweils Zugriff auf Ihre Daten erhalten können.

Darüber hinaus informieren wir Sie über die Rechtsgrundlage, welche wir im Sinne der DSGVO heranziehen, um die jeweilige Verarbeitung Ihrer Daten zu rechtfertigen. Die nachfolgende Tabelle verschafft Ihnen einen ersten Überblick über die Rechtsgrundlagen, welche wir diesbezüglich konkret heranziehen:

Grundlage Erläuterung Bestimmung
Einwilligung Sie haben uns vor Ausführung der jeweiligen Verarbeitungstätigkeit eine Einwilligung für den spezifischen Fall erteilt, welche uns zur Verarbeitung Ihrer Daten ermächtigt.

Eine einmal erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Punkt 6)!

Art. 6 Abs. 1 lit. a DSGVO
Vertragserfüllung Die Verarbeitung Ihrer Daten ist erforderlich, um einen mit Ihnen abgeschlossenen Vertrag zu erfüllen oder vorvertragliche Maßnahmen zu setzen, welche auf Ihre Anfrage erfolgen. Art. 6 Abs. 1 lit. b DSGVO
Berechtigte Interessen Die Verarbeitung Ihrer Daten ist (i) zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich und wir haben (ii) Ihre potentiell entgegenstehenden Interessen, Grundrechten sowie Grundfreiheiten entsprechend abgewogen.

Sie haben das Recht auf jederzeitigen Widerspruch gegen eine interessenbasierte Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben (siehe Punkt 6)!

Art. 6 Abs. 1 lit. f DSGVO

2.1. Bereitstellung der Website

Gegenstand und Zweck der Datenverarbeitung

Bei jedem Aufruf unserer Website verarbeiten wir automatisiert die folgenden Informationen, um die Website technisch bereitstellen zu können:

  • IP-Adresse des Nutzers
  • http-Methode und http-Version
  • Zugriffsstatus/Status-Code der Server-Antwort
  • Browserversion
  • Referrer-URL (Website, von denen das System des Nutzers auf unsere Website gelangt)
  • Datum und Uhrzeit der Anfrage und Anzahl der gesendeten Bytes

Wir speichern diese Informationen in Logfiles, um die technische Funktionalität der Website zu optimieren und die Sicherheit unserer informationstechnischen Systeme zu gewährleisten. Eine Auswertung der personenbezogenen Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

Sie sind weder gesetzlich noch vertraglich verpflichtet, uns die oben genannten Informationen bereitzustellen. Sobald Sie unsere Website aufrufen, werden die personenbezogenen Daten aber automatisiert erhoben.

Speicherdauer

Die personenbezogenen Daten werden entweder nach Ende der jeweiligen Sitzung gelöscht oder in Logfiles gespeichert. Im Falle der Speicherung werden die Daten spätestens nach 60 Tagen gelöscht.

Empfänger

Hosting Provider unserer Website ist die Hetzner Online GmbH (91710 Gunzhausen, Deutschland), welche wir als Auftragsverarbeiterin beiziehen.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Erreichung der oben beschriebenen Zwecke bzw. § 165 Abs. 3 Telekommunikationsgesetz („TKG“) 2021. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.2. Newsletter

Gegenstand und Zweck der Datenverarbeitung

Wenn Sie sich auf unserer Website für unseren Newsletter anmelden, speichern wir mit Ihrer Einwilligung die von Ihnen über die Eingabemaske bereitgestellten Daten zum Zweck der Direktwerbung in Form der Zusendung des Newsletters. Pflichtangaben sind jeweils mit einem „*“-Symbol gekennzeichnet; gewisse Angaben können Sie freiwillig machen. Sie sind nicht zur Bereitstellung Ihrer personenbezogenen Daten verpflichtet; wenn Sie uns Ihre personenbezogenen Daten aber nicht zur Verfügung stellen, können wir Ihnen den Newsletter nicht zukommen lassen.

Um die Effektivität und Reichweite unserer Werbemaßnahmen überprüfen zu können, führen wir über unseren Newsletters statistische Auswertungen durch. Auf diese Weise können wir etwa nachprüfen, ob eine Newsletter-Nachricht geöffnet wurde oder auf welche Links besonders oft geklickt wurde bzw. erhalten Einsicht über die technische Zustellbarkeit unseres Newsletters. Außerdem können wir erkennen, ob nach dem Öffnen/Anklicken bestimmte vorher definierte Aktionen durchgeführt wurden (Conversion-Rate).

Die Zustellung des Newsletters erfolgt, solange Sie sich nicht vom Newsletter-Abonnement abgemeldet haben. Sie können sich jederzeit abmelden, indem Sie den in jedem Newsletter enthaltenen Abmelde-Link anklicken oder Ihre Einwilligung durch Mitteilung an support@wise-up.at widerrufen. Die Abmeldung vom Newsletter bzw. der Widerruf der Einwilligung hat zur Folge, dass Sie keinen Newsletter mehr von uns erhalten.

Speicherdauer

Wir bewahren Ihre für die Zusendung des Newsletters erhobenen Daten auf, bis Sie sich vom Newsletter abmelden. Verarbeitete Daten im Rahmen von statistischen Auswertungen bleiben nicht in einer Form gespeichert, welche Rückschlüsse auf einzelne natürliche Personen erlauben würde.

Empfänger

Für die Versendung unserer Newsletter verwenden wir die Plattform MailChimp der The Rocket Science Group LLC (Georgia, USA), die in diesem Zusammenhang als unsere Auftragsverarbeiterin tätig wird. Die The Rocket Science Group LLC hat ihren Sitz in den USA, die aus datenschutzrechtlicher Sicht derzeit über kein angemessenes Datenschutzniveau verfügen. Außerdem setzt die The Rocket Science Group LLC zur Erfüllung ihrer Leistungen weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, welche ihren Sitz teils ebenfalls in den USA haben – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Die Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlagen für die Drittlandübermittlung Ihrer Daten in die USA sind: (i) Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen; (ii) Ihre ausdrückliche Einwilligung samt entsprechender Risikoaufklärung (siehe Punkt 4.2) gemäß Art. 49 Abs. 1 lit. a DSGVO.

Rechtsgrundlage

Rechtsgrundlage der Verarbeitung und der diesbezüglichen Drittlandübermittlung Ihrer personenbezogenen Daten zum Zweck der Zustellung unseres Newsletters ist Ihre ausdrückliche, jederzeit widerrufbare Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO bzw. § 174 Abs. 3 TKG sowie Art. 49 Abs. 1 lit. a DSGVO.

Jegliche Auswertung der Performance unseres Newsletters stützen sich auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, auf kosteneffiziente Weise eine leicht handzuhabende und marketingtechnisch wirkungsvolle Newsletter-Statistik zu erstellen. Auf das Widerspruchsrecht der betroffenen Abonnenten wird hingewiesen (siehe dazu auch Punkt 6); weiters führt ein Widerruf der Einwilligung in die Zusendung des Newsletters (siehe schon oben) dazu, dass auch sämtliche statistischen Auswertungen in diesem Zusammenhang eingestellt werden.

2.3. Kontaktaufnahme und Anfragen über Eingabeformulare

Auf der Website stehen Ihnen verschiedene allgemeine und spezifische Formulare zur Verfügung, welche sie nutzen können, um sich mit uns in Verbindung zu setzen.

Sie sind zur Bereitstellung der im jeweiligen Formular abgefragten Daten nicht verpflichtet, Sie können uns aber ohne Offenlegung Ihrer personenbezogenen Daten nicht über das entsprechende Formular kontaktieren.

2.3.1 Kontaktformular

Gegenstand und Zweck der Datenverarbeitung

Wenn Sie Fragen oder Anregungen haben, können Sie durch ein Kontaktformular auf unserer Website mit uns in Kontakt treten. Wir kommunizieren dann mit Ihnen über die von Ihnen angegebenen Kontaktdaten. Dabei werden folgende personenbezogenen Daten verarbeitet:

  • Name des Kommunikationspartners
  • E-Mail-Adresse
  • Ausgewähltes Interessensgebiet
  • Inhalt der Nachricht

Speicherdauer

Wir löschen etwaige Nachrichten und darin enthaltene personenbezogene Daten grundsätzlich nach Ablauf von 12 Monaten ab dem Ende unserer Kommunikation (Erhalt Ihrer Anfrage bzw. Versand unserer Antwort). Je nach Gegenstand der Kommunikation kann aber auch eine längere Speicherdauer erforderlich sein.

Empfänger

Über das Kontaktformular übermittelte Anfragen und die zugehörigen Kontaktdaten werden in einer Datenbank (CRM-System) der HubSpot Germany GmbH (Berlin, Deutschland) gespeichert, die als unsere Auftragsverarbeiterin tätig wird. Die HubSpot Germany GmbH setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete HubSpot, Inc. (Massachusetts, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der HubSpot Germany GmbH selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der HubSpot Germany GmbH (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen. Die Kundendaten werden von der HubSpot Germany GmbH auf Servern innerhalb der Europäischen Union verarbeitet.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der oben genannten personenbezogenen Daten ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Kommunikation mit Ihnen. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Soweit sich Ihre Anfrage auf ein bestehendes Vertragsverhältnis mit Ihnen bezieht oder Sie an einem Vertragsabschluss interessiert sind, erfolgt die Datenverarbeitung zur entsprechenden Vertragsabwicklung bzw. zur Setzung vorvertraglicher Maßnahmen auf Ihre Anfrage gemäß Art. 6 Abs. 1 lit. b DSGVO.

2.3.2 Content-Partner-Anfrage

Gegenstand und Zweck der Datenverarbeitung

Zur ständigen Erweiterung und Verbesserung der Inhalte auf unserer auf der Website beworbenen Aus- und Weiterbildungsplattform suchen wir kontinuierlich nach neuen Partnern im Bereich Bildung und digitale Technologie. Die von uns an eine solche Zusammenarbeit geknüpften Qualitätskriterien können unter https://wise-up.at/partner/ eingesehen werden. Soweit Sie der Meinung sind, dass Sie diese Kriterien erfüllen können und Interesse daran haben, Partner zu werden, können Sie eine entsprechende Anfrage direkt über das auf der verlinkten Sub-Seite ersichtliche Formular an uns herantragen. Dabei werden folgende Daten verarbeitet:

  • Name des Ansprechpartners
  • Firma
  • Firmenwebsite
  • E-Mail-Adresse
  • Telefonnummer
  • Art der intendierten Kooperation

Soweit Sie eine Anfrage über das Formular an uns richten, setzen wir uns im Anschluss entsprechend mit Ihnen in Verbindung.

Speicherdauer

Wir löschen etwaige Anfragen und darin enthaltene personenbezogene Daten grundsätzlich nach Ablauf von 12 Monaten ab dem Abschluss der entsprechenden Kommunikation, soweit eine Zusammenarbeit nicht realisiert wird. Wird hingegen eine vertragliche Zusammenarbeit vereinbart, speichern wir die erforderlichen Daten für deren Dauer und löschen sie danach innerhalb von 12 Monaten. Je nach Gegenstand und Umständen der weiteren Kommunikation bzw. Zusammenarbeit kann aber auch eine längere Speicherdauer erforderlich sein.

Empfänger

Über das Content-Partner-Formular übermittelte Anfragen und die zugehörigen Kontaktdaten werden in einer Datenbank (CRM-System) der HubSpot Germany GmbH (Berlin, Deutschland) gespeichert, die als unsere Auftragsverarbeiterin tätig wird. Die HubSpot Germany GmbH setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete HubSpot, Inc. (Massachusetts, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der HubSpot Germany GmbH selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der HubSpot Germany GmbH (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen. Die Kundendaten werden von der HubSpot Germany GmbH auf Servern innerhalb der Europäischen Union verarbeitet.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der oben genannten personenbezogenen Daten ist die Setzung vorvertraglicher Maßnahmen im Hinblick auf einen potentiellen, zukünftigen Vertragsabschluss mit Ihnen auf Ihre Anfrage sowie im Falle der Realisierung einer Zusammenarbeit die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO). Werden Sie für Ihr Unternehmen tätig, das Interesse an einer vertraglichen Zusammenarbeit mit uns hat, verarbeiten wir Ihre Daten bzw. etwaig angeführte Daten von anderen Mitarbeitern auf Basis unseres berechtigten Interesses an der Kommunikation und Vertragsanbahnung mit dem jeweiligen Unternehmen sowie auf Basis des gleichgearteten Interesses Ihres Arbeit-/Auftraggebers (Art. 6 Abs. 1 lit. f DSGVO); auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.4. Demo-Termin

Gegenstand und Zweck der Verarbeitung

Möchten Sie unsere Weiterbildungsangebote für Unternehmen kennenlernen, stellen wir Ihnen zu diesem Zweck ein entsprechendes Formular (Es kann losgehen!) auf der Startseite unserer Website bereit. Dabei werden folgende Daten verarbeitet:

  • Name
  • E-Mail-Adresse
  • Unternehmensgröße

Soweit Sie uns eine Anfrage über dieses Formular schicken, setzt sich im Anschluss einer unserer Mitarbeiter mit Ihnen über die angegebene E-Mail-Adresse in Verbindung, um ein unverbindliches Beratungsgespräch zu vereinbaren.

Alternativ zum Kontaktformular können Sie sich auch direkt über die entsprechende Funktion auf der Website (Bereich Services à Live-Demos) für eine unserer zielgruppenspezifischen Live-Demos anmelden. Je nach gewählter Veranstaltung erfolgt die Registrierung über „Microsoft Teams“ oder „Microsoft Bookings“. In beiden Fällen wird nach erfolgreicher Registrierung an die angegebene E-Mail-Adresse eine automatisierte Bestätigungsmail samt Termineinladung zu einem Microsoft-Teams-Meeting verschickt. Als Absender fungieren entweder WKO Online (noreply@wkoonline.s02.eur1.teams-events.com) oder der gebuchte Mitarbeiter (Vorname@wkonline.onmicrosoft.com).

Im Zuge Ihrer Registrierung für unsere Live-Demos werden folgende Daten (Pflichtfelder) verarbeitet:

  • Name
  • E-Mail-Adresse
  • Unternehmensname
  • Unternehmensgröße
  • Sowie die optionalen Angaben Telefonnummer und Zustimmung zum Newsletter

Sie sind zur Bereitstellung der dargestellten Datensätze nicht verpflichtet. Möchten Sie dennoch einen Demo-Termin vereinbaren, können Sie uns alternativ über die unter Punkt 7 ersichtlichen Kontaktdaten kontaktieren.

Im Demo-Termin werden Sie von einem oder mehreren unserer Mitarbeiter:innen durch unsere auf der Website beworbene Aus- und Weiterbildungsplattform geführt.

Der Demo-Termin selbst wird in Form einer Online-Videokonferenz mit einer unbegrenzten Zahl an Teilnehmenden über „Microsoft Teams“ abgehalten, bei welchem Ihnen die DBP näher vorgestellt wird. Dabei werden technische Verbindungsdaten, Ihr Name, Ihre E-Mail-Adresse, ggfls. ein Foto sowie die übertragenen Videodaten verarbeitet.

Speicherdauer

Wir löschen etwaige Anfragen und darin enthaltene personenbezogene Daten grundsätzlich nach Ablauf von 12 Monaten ab Erhalt Ihrer Anfrage bzw. Durchführung des entsprechenden Demo-Termins, soweit es nachfolgend zu keinem Vertragsabschluss kommt und die Daten zum Zweck der Kundendatenverwaltung weiterverarbeitet werden.

Empfänger

Über das Formular übermittelte Anfragen und die zugehörigen Kontaktdaten sowie ggfls. vereinbarte Termine werden in einer Datenbank (CRM-System) der HubSpot Germany GmbH (Berlin, Deutschland) gespeichert, die als unsere Auftragsverarbeiterin tätig wird. Die HubSpot Germany GmbH setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete HubSpot, Inc. (Massachusetts, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der HubSpot Germany GmbH selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der HubSpot Germany GmbH (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Für die Auswahl, Vereinbarung und technische Durchführung eines Demo-Termins mittels Videokonferenz nutzen wir die Dienste „Microsoft Bookings“ und „Microsoft Teams“ der Microsoft Ireland Operations Limited (Dublin, Irland), die als unsere Auftragsverarbeiterin tätig wird. Die Microsoft Ireland Operations Limited setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete Microsoft Corporation (Washington, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der Microsoft Ireland Operations Limited selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der Microsoft Ireland Operations Limited (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der oben genannten personenbezogenen Daten ist die Setzung vorvertraglicher Maßnahmen im Hinblick auf einen potentiellen, zukünftigen Vertragsabschluss mit Ihnen auf Ihre Anfrage gemäß Art. 6 Abs. 1 lit. b DSGVO). Werden Sie für Ihr Unternehmen tätig, das Interesse an einer vertraglichen Zusammenarbeit mit uns hat, verarbeiten wir Ihre Daten bzw. etwaig angeführte Daten von anderen Mitarbeitern auf Basis unseres berechtigten Interesses an der Kommunikation und Vertragsanbahnung mit dem jeweiligen Unternehmen sowie auf Basis des gleichgearteten Interesses Ihres Arbeit-/Auftraggebers (Art. 6 Abs. 1 lit. f DSGVO); auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Rechtsgrundlage für den Einsatz unseres Kalendertools zur Terminvereinbarung und die diesbezügliche Drittlandübermittlung Ihrer Daten ist Ihre vorherige Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6); möchten Sie keine solche Einwilligung erteilen, kontaktieren Sie uns gerne direkt für die Vereinbarung eines Demo-Termins. Bitte beachten Sie allerdings, dass technische Verbindungsdaten schon beim Aufruf der entsprechenden Sub-Seite unserer Website an den für die Umsetzung des Kalendertools dargestellten Empfänger übertragen werden (nähere Informationen und die von uns dazu herangezogene Rechtsgrundlage finden Sie unter Punkt 4.1).

2.5. Bewerbungsanfragen (Jobs)

Gegenstand und Zweck der Datenverarbeitung

Wir bieten Ihnen über unsere Website die Möglichkeit an, sich innerhalb unseres Unternehmens zu bewerben. Dazu schreiben wir offene Stellen oder die Möglichkeit für Initialbewerbungen über https://wise-up.at/jobs/ aus und erteilen Ihnen nähere Informationen. Über die jeweilige Schaltfläche können Sie direkt eine entsprechende E-Mail-Bewerbung verfassen und an uns übermitteln. Die dabei an uns herangetragenen Identitätsdaten und Bewerbungsunterlagen werden im Anschluss zur Bildung eines individuellen Bewerberprofils benutzt, von den für die Mitarbeiterverwaltung zuständigen Stellen entsprechend ausgewertet und anschließend ggfls. für die Vereinbarung eines konkreten Bewerbungsgesprächs genutzt. Wir verarbeiten Ihre Daten in diesem Zusammenhang zum Zweck der Durchführung von Bewerbungsprozessen, um Positionen in unserem Unternehmen adäquat besetzen zu können. Weiterführende Informationen werden Ihnen im Anlassfall gesondert erteilt.

Sie sind zur Bereitstellung Ihrer Daten nicht verpflichtet. Möchten Sie uns allerdings eine Bewerbung übermitteln, ist eine entsprechende Bereitstellung erforderlich, damit wir diese prüfen und ggfls. mit Ihnen in Kontakt treten können.

Speicherdauer

Ihre Daten werden von uns gespeichert und grundsätzlich sieben Monate nach abschließender Erledigung der Bewerbung wieder gelöscht. Diese Speicherdauer ist erforderlich, um uns im Hinblick auf die Geltendmachung potentieller Rechtsansprüche, etwa nach dem Gleichbehandlungsgesetz, abzusichern. Sollte es zu einer Einstellung kommen, werden die Daten hingegen zu anderen Zwecken weiterverarbeitet, über die Sie gesondert informiert werden.

Empfänger

Die betroffenen Datensätze werden ausschließlich über unsere eigenen Systeme verarbeitet und keinen externen Empfängern offengelegt.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der oben genannten personenbezogenen Daten ist die Setzung vorvertraglicher Maßnahmen im Hinblick auf einen potentiellen, zukünftigen Vertragsabschluss auf Ihre Anfrage gemäß Art. 6 Abs. 1 lit. b DSGVO).

2.6. Funktionale Einbindungen

Gegenstand und Zweck der Verarbeitung

Auf unserer Website bzw. auf bestimmten Sub-Seiten davon können durch Einbindung von Drittanbieter-Software zusätzliche Verarbeitungsvorgänge initiiert werden, die jeweils bestimmte Funktionen erfüllen. Die einzelnen Einbindungen und ihr Funktionszweck sind unter Punkt 4.3 überblicksmäßig dargestellt; Detailinformationen können Sie den detaillierten Beschreibungen unter Punkt 4.4 entnehmen.

Sie sind nicht zur Bereitstellung Ihrer Daten verpflichtet. Bestimmte Daten, welche wir auf Basis unserer berechtigten Interessen (Art. 6. Abs. 1 lit. f DSGVO) verarbeiten, werden ggfls. beim Aufruf einer Sub-Seite, welche eine entsprechende Einbindung enthält, automatisch übertragen. Daten, welche wir auf Basis Ihrer Einwilligung (Art. 6. Abs. 1 lit. a DSGVO) verarbeiten, werden uns erst bereitgestellt, nachdem Sie die entsprechende Einwilligung abgegeben haben.

Speicherdauer

Wir speichern die generierten Daten im Rahmen der Vorgaben und Möglichkeiten des jeweiligen Dienstes solange sie für die Erfüllung des jeweiligen Verarbeitungszwecks benötigt werden.

Empfänger

Die jeweiligen Empfänger ergeben sich aus den Detailangaben zu den einzelnen Diensten.

Rechtsgrundlage

Die Rechtsgrundlagen werden im Zuge der Detaildarstellung des jeweiligen Dienstes entsprechend ausgewiesen.

2.7. Datenverarbeitung durch Einsatz von Speichertechnologien

Wir verwenden im Rahmen unserer Website die nachfolgenden Technologien zu unterschiedlichen Zwecken. Soweit es dabei zur Speicherung von Informationen auf Ihrem Endgerät oder zu einem Zugriff auf dort gespeicherte Informationen kommt, spricht man von Speichertechnologien, welche besonderen Datenschutzregeln unterliegen. Soweit ein Einsatz derselben für die Aufrechterhaltung unseres Websitebetriebs technisch nicht erforderlich ist, holen wir Ihre vorhergehende Einwilligung ein. Zusätzlich verwenden wir andere Technologien zu ähnlichen Zwecken und verarbeiten dieserart erhobene Daten ggfls. mithilfe von Speichertechnologien weiter. Speichertechnologien werden auch im Rahmen der unter Punkt 4 dargestellten Drittanbieter-Dienste genutzt.

Sie sind nicht zur Bereitstellung Ihrer Daten verpflichtet. Bestimmte Daten, welche wir auf Basis unserer berechtigten Interessen (Art. 6. Abs. 1 lit. f DSGVO) verarbeiten, werden ggfls. beim Aufruf unserer Website automatisch übertragen. Daten, welche wir auf Basis Ihrer Einwilligung (Art. 6. Abs. 1 lit. a DSGVO) verarbeiten, werden uns erst bereitgestellt, nachdem Sie die entsprechende Einwilligung abgegeben haben.

ACHTUNG: Auf unserer Website werden Speichertechnologien teilweise nur als „Cookies“ (z.B. „Cookie Manager“) als Oberbegriff bezeichnet (zu den Unterschieden siehe sogleich unten).

2.7.1. Cookies

Auf unserer Website kommen sogenannte „Cookies“ zum Einsatz, sofern Sie uns Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. § 165 Abs. 3 TKG) erteilen; lehnen Sie eine solche Einwilligung ab, beschränken wir die Cookie-Setzung auf technisch notwendige Cookies, die wir im Einklang mit § 165 Abs. 3 TKG zur Aufrechterhaltung der Funktionalität unserer Website benötigen (siehe dazu unten) und auf Basis unseres diesbezüglichen berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) einsetzen, soweit es in diesem Zusammenhang zur Verarbeitung personenbezogener Daten kommt. (Zu den Rechten Betroffener auf Widerruf und Widerspruch siehe Punkt 6.)

Cookies sind kleine Datensätze, die auf Ihrem Endgerät grundsätzlich von Ihrem Browser verwaltet und dort gespeichert werden. Sie werden zunächst von einem Webserver platziert und an diesen zurückgesendet, sobald eine neue Verbindung aufgebaut wird, um den Nutzer und seine Einstellungen wiederzuerkennen. Ihrem Endgerät wird dabei eine spezifische Identität aus Nummern und Buchstaben zugeordnet.

Cookies können diverse Zwecke erfüllen und bspw. dabei helfen, die Funktionalität einer Website hinsichtlich Funktionen und Nutzererfahrung dem Stand der Technik entsprechend aufrechtzuerhalten. Der tatsächliche Inhalt eines spezifischen Cookies wird immer von der Website bestimmt, die es erstellt hat.

Cookies enthalten jedenfalls immer folgende Informationen:

  • Bezeichnung des Cookies;
  • Bezeichnung des Servers, von dem das Cookie stammt;
  • ID-Nummer des Cookies;
  • ein Enddatum, nach dessen Ablauf das Cookie automatisch gelöscht wird.

Nach Art und Zweck lassen sich Cookies folgendermaßen unterscheiden:

  • Erforderliche Cookies: Technisch notwendige (auch: essentielle, erforderliche) Cookies helfen dabei, eine Website nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Website ermöglichen. Eine Website kann ohne diese Cookies vielfach nicht richtig funktionieren. Bei technisch notwendigen Cookies handelt es sich immer um First-Party-Cookies. Diese Cookies können in den Einstellungen Ihres Browsers nur deaktiviert werden, indem ausnahmslos alle Cookies abgelehnt werden (siehe dazu unten) und werden auch auf unserer Website rechtlich zulässig ohne Einholung von Einwilligungen eingesetzt.
  • Statistik-Cookies: Statistik-Cookies helfen Websitebetreibern zu verstehen, wie Besucher mit Websites interagieren, indem Informationen gesammelt und ausgewertet werden. Solche Cookies werden folglich eingesetzt, um Informationen über das Nutzerverhalten zu sammeln. Dabei können etwa folgende Informationen gespeichert werden: aufgerufene Sub-Seiten (Dauer und Häufigkeit); Reihenfolge besuchter Seiten; verwendete Suchbegriffe, die zum Besuch unserer Website geführt haben; Bewegungen der Maus (Scrollen und Klicks); Land und Region des erfolgten Zugriffs. Die Cookies ermöglichen es uns zu bestimmen, woran der Nutzer interessiert ist und die Inhalte und Funktionalität unserer Website dadurch an die individuellen Nutzerbedürfnisse anzupassen.
  • Zusatzfunktionen: Solche Cookies bieten Websites zusätzliche Funktionen wie Karten und Support-Tools, welche Nutzern praktische Hilfestellungen zur Inanspruchnahme des Leistungsangebots sein können.
  • Social-Media-Inhalte: Solche Cookies entstammen Drittanbieter-Plattformen und -Diensten und sind notwendig, um Inhalte der jeweiligen Plattform bzw. des jeweiligen Dienstes abzurufen, die in eine Website eingebunden sind. Sie können ihrerseits vom jeweiligen Drittanbieter zu gewissen Analyse- und Trackingzwecken verwendet werden (insbesondere in Zusammenhang mit dort unterhaltenen Accounts).

Nach der Speicherdauer unterscheidet man außerdem zwischen:

  • Session-Cookies: Diese Cookies werden ohne Ihr Zutun gelöscht, sobald Sie Ihre aktuelle Browser-Sitzung beenden.
  • Persistente Cookies: Diese Cookies (bspw. zur Speicherung Ihrer Spracheinstellung) bleiben bis zu einem im Vorhinein definierten Ablaufdatum oder bis zu einer etwaigen manuellen Entfernung durch Sie auf Ihrem Endgerät gespeichert.

Nach dem Zurechnungssubjekt lässt sich weiters folgendermaßen differenzieren:

  • First-Party-Cookies: Solche Cookies werden von uns selbst verwendet und direkt von unserer Website gesetzt. Sie werden von Browsern grundsätzlich nicht domainübergreifend zugänglich gemacht, weshalb der Nutzer nur von der Seite wiedererkannt werden kann, von der das Cookie stammt.
  • Third-Party-Cookies: Solche Cookies (auch Drittanbieter-Cookies) werden nicht von uns selbst, sondern von Dritten insbesondere zu Werbezwecken (etwa zur Verfolgung des Surfverhaltens) beim Aufruf unserer Website gesetzt. Die betrifft bspw. Informationen über verschiedene Seitenaufrufe sowie die Häufigkeit derselben.

Die meisten Browser akzeptieren Cookies automatisch. Für Abgabe und Widerruf Ihrer etwaigen Einwilligung über unsere Einwilligungsmaske siehe Punkt 2.7.3. Sie haben allerdings auch die Möglichkeit, Ihre Browser-Einstellungen anzupassen, sodass Cookies entweder generell abgelehnt oder nur bestimmte Arten zugelassen werden (z.B. Beschränkung der Verweigerung auf Third-Party-Cookies). Sollten Sie die Cookie-Einstellungen Ihres Browsers ändern, kann unsere Website allerdings ggfls. nicht mehr in vollem Umfang genutzt werden. Über die Browser-Einstellungen haben Sie ebenfalls die Möglichkeit, sämtliche bereits in Ihrem Endgerät gespeicherte Cookies zu löschen. Dies entspricht ebenso einem Widerruf Ihrer Einwilligung.

2.7.2. Local Storage; Session Storage

Sofern Sie uns Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. § 165 Abs. 3 TKG) erteilen, nutzen wir die Speicherkapazität Ihrer Browser-Software, bspw. zu Zwecken der Verbesserung der Bedienbarkeit unserer Website, ihrer Benutzerfreundlichkeit sowie unseres Angebots im Allgemeinen (z.B. zur Sicherung Ihrer Spracheinstellung). Zu diesem Zweck benutzen wir den sogenannten Local Storage bzw. Session Storage, um bestimmte Daten auf Ihrem Endgerät zu speichern, wobei Ihr Browser den Local Storage bzw. Session Storage für verschiedene Domains jeweils separat anlegt. Neben Ihnen selbst können ausschließlich wir auf die Daten zugreifen, die in diesem Zusammenhang verarbeitet werden. Soweit dies zur Aufrechterhaltung der Funktionalität unserer Website technisch unbedingt erforderlich ist, werden bestimmte Informationen ggfls. auch ohne Ihre Einwilligung im Local Storage bzw. Session Storage Ihres Browsers abgelegt. (Zu den Rechten Betroffener auf Widerruf und Widerspruch siehe Punkt 6.) Unbeteiligte Dritte haben in keinem Fall die Möglichkeit, auf diese Informationen zuzugreifen; sie können allerdings in unserem Auftrag zu bestimmten Zwecken von unseren Partnern (Drittanbieter) auf Ihrem Endgerät gespeichert werden. Im Gegensatz zu Cookies ist diese Methode schneller und sicherer, da Daten nicht automatisch bei jeder HTTP-Anfrage zum jeweiligen Server transferiert, sondern lediglich von Ihrer Browser-Software gespeichert werden; außerdem bietet der Local Storage bzw. Session Storage jeweils bis zu 5 Megabyte Speichervolumen, während ein einzelnes Cookie maximal 4096 Bytes betragen kann.

Da die Funktionalitäten Ähnlichkeiten zu Cookies aufweisen, gilt das unter Punkt 2.7.1 Gesagte sinngemäß. Bitte beachten Sie, dass Informationen im Local Storage kein vordefiniertes Ablaufdatum haben (sie sind vergleichbar mit persistenten Cookies). Informationen im Session Storage bleiben dagegen nur für die Dauer der jeweiligen Browser-Sitzung gespeichert (sie sind vergleichbar mit Session-Cookies).

Für Abgabe und Widerruf Ihrer etwaigen Einwilligung über unsere Einwilligungsmaske siehe Punkt 2.7.3. Daten manuell aus dem Local Storage bzw. Session Storage zu entfernen, funktioniert im Rahmen der Einstellungen der meisten Browser genau wie bei der manuellen Entfernung von Cookies, da Cookies innerhalb dieser Option zumeist mit anderen Websitedaten zusammengefasst werden (z.B. „Cookies und andere Websitedaten“); es wird insofern auf die Ausführungen unter Punkt 2.7.1 verwiesen. Soweit die von Ihnen eingesetzte Browser-Software Cookies und andere Websitedaten in diesem Sinn zusammenfasst, wird durch das Blockieren von Cookies gleichermaßen auch der Zugriff auf den Local Storage bzw. Session Storage blockiert (was gleichfalls zu Nutzungseinschränkungen unserer Website führen kann). Sollten Sie JavaScript deaktivieren, kann der Local Storage bzw. Session Storage ebenfalls nicht mehr von uns genutzt werden, dies kann allerdings generell zu erheblichen Nutzungseinschränkungen führen.

2.7.3. Einwilligungsmaske

Damit wir sicherstellen können, dass Sie uns Ihre vorhergehende Einwilligung für den Einsatz von Speichertechnologien erteilen, soweit dies konkret erforderlich ist, erscheint eine entsprechende Einwilligungsmaske („Cookie Manager“) automatisch beim Websiteaufruf. Dort können Sie Ihre gewünschten Einstellungen über die jeweils ersichtlichen Optionen vornehmen. Zur Speicherung Ihrer Auswahl wird zumindest ein notwendiges Cookie auf Ihrem Endgerät gespeichert.

Ihre einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen – am einfachsten bewerkstelligen Sie dies, indem Sie die Einwilligungsmaske über das Symbol in der linken unteren Ecke Ihres Bildschirms erneut aufrufen und Ihre Einstellungen anpassen.

Soweit Sie uns keine Einwilligung erteilen, können bestimmte Inhalte auf unserer Website ggfls. nicht genutzt werden – durch die Einwilligungslösung werden nicht nur Cookies, sondern etwa auch andere Speichertechnologien sowie die Skripte von Drittanbieter-Einbindungen geblockt, damit sich keine ungewollten Datenflüsse einstellen.

Empfänger

Um sicherzustellen, dass Sie ihre Einwilligung angemessen erteilen können, nutzen wir die Cookie-Einwilligungslösung „TRUENDO“, einen Dienst der TRUENDO Technologies GmbH (1220 Wien, Österreich), welche dabei als unsere Auftragsverarbeiterin tätig wird.

2.7.4. Tracking-Pixel

Eine weitere Möglichkeit abseits von Speichertechnologien, bestimmte Nutzerdaten zu erheben, besteht durch sogenannte Tracking-Pixel (auch: Zählpixel, Pixel-Tags oder Web-Beacons). Dabei handelt es sich um transparente Bilder, die praktisch unsichtbar sind, da sie lediglich aus einem einzigen Pixel bestehen. Das Tracking-Pixel liegt dabei auf einem Server und wird geladen, sobald eine dafür vorgesehene Sub-Seite unserer Website aufgerufen wird. Sie ermöglichen es uns, den Umstand des Aufrufs einer Webseite sowie daran anschließende Benutzeraktivitäten zu verfolgen, um zielgerichtetes Marketing schalten zu können. Mithilfe des Tracking-Pixels können grundsätzlich folgende Informationen abgerufen werden: (i) verwendetes Betriebssystem; (ii) verwendete Browser-Software; (iii) Zeitpunkt des Aufrufs einer Webseite; (iv) Nutzerverhalten auf der besuchten Webseite; (v) IP-Adresse und ungefährer Standort des Benutzers.

Tracking-Pixel kommen auf unserer Website auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer dem Stand der Technik entsprechenden Analyse von Zugriffen zum Einsatz; ggfls. holen wir in bestimmten Fällen auch Ihre vorhergehende Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO). (Zu den Rechten Betroffener auf Widerruf und Widerspruch siehe Punkt 6.) Da es sich lediglich um ein von einem Server geladenes Bild handelt, kann die Lebensdauer eines Tracking-Pixels nicht über eine einzelne Browser-Sitzung hinausreichen. Allerdings können durch Tracking-Pixel generierte Informationen im Anschluss ggfls. mittels Speichertechnologien (siehe schon oben) gespeichert werden.

3. Links zu Seiten Dritter

Wir verwenden auf unserer Website sowie innerhalb dieser Datenschutzerklärung Verlinkungen auf die Seiten Dritter. Wenn Sie auf einen dieser Links klicken, werden Sie direkt auf die jeweilige Seite weitergeleitet. Für die Websitebetreiber ist einzig ersichtlich, dass Sie über unsere Website zugegriffen haben. Dementsprechend verweisen wir im Allgemeinen auf die gesonderten Datenschutzerklärungen dieser Websites. Bitte beachten Sie aber, dass Sie durch den Umstand des Zugriffs auf eine solche Seite einer neuerlichen Verarbeitung Ihrer Daten in der Einflusssphäre des jeweiligen Dritten (sowie ggfls. einer Übermittlung Ihrer Daten in unsichere Drittländer) ausgesetzt werden!

4. Drittanbieter-Dienste

4.1. Gemeinsame Hinweise

Gegenstand und Zweck der Datenverarbeitung

Um unsere Website für die vorgesehenen Einsatzzwecke zu optimieren und Funktionen bereitstellen zu können, welche zur Leistungserbringung bzw. für einen wirtschaftlich sinnhaften Betrieb notwendig oder nützlich sind, sowie um Nutzern im Rahmen unseres Geschäftsbetriebs gewöhnlich erwartete Eigenschaften zur Verfügung stellen zu können, setzen wir auf unserer Website eine Reihe von Diensten ein, welche von Drittanbietern erbracht und nachfolgend dargestellt werden.

Verarbeitungsrollen

Soweit nichts anderes angegeben wird, agieren die jeweiligen Dienstleister als unsere Auftragsverarbeiter und erbringen ihre Leistungen daher in unserem Namen auf Basis einer entsprechenden Vereinbarung. Ggfls. können eingesetzte Dienstleister erhaltene Daten aber auch als Verantwortliche zu eigenen Zwecken, insbesondere zur Optimierung ihres eigenen Angebots verwenden. Unabhängig von ihrer konkreten Rolle im Verarbeitungskontext gelten sie jedenfalls als Empfänger bestimmter Ihrer Daten, da die Bereitstellung des jeweiligen Dienstes auf unserer Website eine Verarbeitung durch den zugehörigen Dienstleister erfordert.

Notwendige Datenverarbeitung

Schon aus rein technischer Sicht werden beim Besuch jeder Website bestimmte Daten übertragen, welche grundsätzlich auch an alle eingebundenen Dienste weitergegeben werden und in ihrer Gesamtheit den digitalen Fingerabdruck darstellen, welchen Sie im Zuge Ihrer Online-Aktivitäten hinterlassen – dieser Fingerabdruck (Browser-Fingerprint) kann dazu verwendet werden, bestimmte Rückschlüsse auf Sie bzw. Ihr Endgerät zu ziehen.

Dabei lassen sich die folgenden Kategorien von „Verbindungsdaten“ unterscheiden, welche an den Server übertragen werden (können), an den sich die Anfrage richtet, die Website bzw. eine spezifische Datei bereitzustellen:

  • Implizite Verbindungsdaten (automatische, zwangsweise und unaufgeforderte Übertragung):
  • IP-Adresse des zugreifenden Rechners;
  • User-Agent (Browsertyp/-version, Betriebssystem);
  • aufgerufene Seite (URL);
  • Seite, von welcher der Nutzer kam (Referrer);
  • Zeitpunkt des Zugriffs;
  • Explizite Verbindungsdaten (Übertragung, soweit im Code des jeweiligen Dienstes vorgesehen):
  • Bildschirmauflösung;
  • Farbtiefe;
  • Zeitzone;
  • Touchscreen-Unterstützung;
  • Browser-Plugins.

Rechtsgrundlage

Die Verarbeitung Ihrer Daten im Rahmen von reinen Anfragen an Drittserver, welche automatisch durch Aufruf einer Sub-Seite unserer Website ausgelöst werden, auf der ein Drittanbieter-Dienst eingebunden ist, stützen wir auf unser berechtigtes Interesse (Art. 6 Abs 1 lit. f DSGVO) derartige Dienste mit technisch angemessenem Aufwand in unsere Website zu integrieren – auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Diese Daten werden von den jeweiligen Drittanbietern grundsätzlich zu keinen eigenen Zwecken verwendet. Soweit Verbindungsdaten neben der Übertragungsherstellung unter anderem auch zu Analysezwecken, insbesondere in unserem Auftrag, verwendet werden, wird die entsprechende Verarbeitungstätigkeit gesondert gerechtfertigt – die jeweilige Rechtsgrundlage können Sie der Kurzdarstellung der Drittanbieter-Dienste unter Punkt 4.3 entnehmen (Gleiches gilt im Hinblick auf von zahlreichen Diensten eingesetzte Cookies oder ähnliche Speicher- bzw. Trackingtechnologien im Sinne von Punkt 2.7).

4.2. Drittlandübermittlung; Risiken bei Datentransfers in die USA

Manche von uns eingesetzte Dienstleister haben Ihren Sitz oder ihre Serverlandschaft außerhalb der EU bzw. des EWR oder setzen zur Leistungserbringung (weitere) Auftragsverarbeiter ein, auf welche dies zutrifft. Sobald personenbezogene Daten in die Rechtssphäre eines Landes übertragen werden, welches nicht dem EU-/EWR-Raum angehört, findet das V. Kapitel der DSGVO Anwendung, wonach eine von der DSGVO vorgegebene Grundlage für eine solche Übermittlung sicherzustellen ist. Sofern kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO im Hinblick auf das vorherrschende Datenschutzniveau eines Landes besteht, müssen geeignete Garantien gemäß Art. 46 DSGVO herangezogen oder Ausnahmen für bestimmte Fälle im Sinne von Art. 49 DSGVO fruchtbar gemacht werden. Besteht kein Angemessenheitsbeschluss, schließen wir im Normalfall Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit. c DSGVO ab, welche auf vertraglicher Basis als Grundlage für die jeweilige Übermittlung dienen.

Ein besonderes Problem besteht allerdings im Hinblick auf die Rechtsordnung der USA, da nach Aufhebung des sogenannten „EU-US Privacy Shield“ durch den Gerichtshof der Europäischen Union („EuGH“) in der Rechtssache C‑311/18 (Schrems II) – mangels adäquaten Datenschutzniveaus – im Moment kein Angemessenheitsbeschluss (mehr) für dieses Drittland besteht (sogenanntes „unsicheres Drittland“). Diese Aufhebung wurde insbesondere mit den aus europäischer Sicht sehr umfassenden Befugnissen von US-Behörden begründet, auf Daten betroffener Personen aus dem EU-/EWR-Raum zuzugreifen, die von bestimmten US-Anbietern verarbeitet werden (bzw. auf US-Servern gespeichert oder mittels US-Infrastruktur übertragen werden) – dies ohne dass die betroffenen Personen darüber informiert werden müssten oder sich selbstständig dagegen zur Wehr setzen könnten. Folglich bereitet die Zusammenarbeit mit zahlreichen Unternehmen, welche US-amerikanischem Recht unterliegen, derzeit datenschutzrechtliche Probleme; unter anderem, da das Heranziehen vertraglicher Garantien (z.B. Standarddatenschutzklauseln) Behörden sowie den US-amerikanischen Gesetzgeber nicht zu binden vermag.

Im Einklang mit den auffindbaren Informationen könnten sich insbesondere die folgenden US-amerikanischen Rechtsgrundlagen als Hürden einer Datenübermittlung im Einklang mit der DSGVO darstellen:

  • Title 50 United States Code (U.S.C.) 1881a (FISA 702)
    „FISA“ steht für Foreign Intelligence Surveillance Act und dient der Rechtfertigung von Auslandsüberwachungen und Maßnahmen zur Spionageabwehr durch die USA.
  • US Executive Order 12333 (EO 12333)
    Ein präsidialer Erlass, welcher Befugnisse US-amerikanischer Geheimdienste ausweitet.
  • US-CLOUD-ACT
    Der Clarifying Lawful Overseas Use of Data Act regelt Überwachungsbefugnisse von US-Strafverfolgungsbehörden und gestattet unter bestimmten Umständen auch Zugriff auf Daten, welche außerhalb der USA gespeichert werden.

In seiner Schrems II-Entscheidung führte der EuGH aus, dass weder FISA 702 noch die EO 12333 den Anforderungen der DSGVO genügen: „Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen […]“ Zur Herausgabe von Daten (z.B. nach FISA 702 oder dem US-CLOUD-ACT) sind unter anderem Anbieter elektronischer Kommunikationsdienste verpflichtet, was konkret auf die meisten relevanten US-Dienstleister zutrifft. Es kann angenommen werden, dass die relevanten US-Dienstleister unter den Begriff „Anbieter elektronischer Kommunikationsdienste“ fallen. Andere Rechtsnormen wiederum (z.B. jene der EO 12333) erlauben vor allem „direkte“ nachrichtendienstliche Überwachungsmaßnahmen und sind daher nicht auf die Mitwirkung von Unternehmen ausgelegt (wobei dies selbstverständlich eine freiwillige Mitwirkung nicht ausschließt).

Zum erst 2018 erlassenen US-CLOUD-ACT, der sich – soweit ersichtlich – auf Befugnisse von US-Strafverfolgungsbehörden im Bereich schwerer Straftaten bezieht, konnte sich der EuGH indes nicht äußern, da sich der entscheidungserhebliche Sachverhalt vor diesem Zeitpunkt zutrug. Zwar ist aus europäischer Sicht bislang nicht abschließend geklärt, wie weitreichend sich der US-CLOUD-Act auf die genannte Problematik auswirkt – allerdings scheint er US-Behörden unter gewissen Voraussetzungen auch eine Zugriffsmöglichkeit auf Daten zu gewähren, welche auf in der EU/im EWR betriebenen Servern liegen und/oder datenschutzrechtlich von in der EU/im EWR ansässigen Tochtergesellschaften eines US-Dienstleisters verantwortet werden (allerdings scheint es auch nicht von vornherein ausgeschlossen zu sein, dass die Regelungen gemäß FISA 702 und EO 12.333 auf solche Daten angewendet werden). Von seinem Umfang her ist der US-CLOUD-ACT gleichwohl nicht auf weitreichende Massenüberwachungsmaßnahmen ausgelegt, sondern befasst sich vorrangig mit spezifischen Anfragen zu bestimmten Personen. Zudem scheint der US-CLOUD-ACT keine Vorschriften zu enthalten, welche Unternehmen zu einer Entschlüsselung verschlüsselter Daten verpflichten könnte.

Zusätzlich haben neue rechtliche Entwicklungen die vom EuGH festgestellte Problematik inzwischen entschärft: Am 7. Oktober 2022 unterzeichnete der US-Präsident eine neue Executive Order (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities [EO-ES 2022]), welche den Zweck verfolgt, die bisherigen Schutzmaßnahmen für personenbezogene Daten und die bürgerlichen Freiheiten im Rahmen von bestimmten nachrichtendienstlichen Aktivitäten weiter zu stärken. Zudem sollen durch die EO-ES 2022 weiterführende Rechtsschutzmechanismen für Einzelpersonen in qualifizierten Staaten verankert werden. Aus Sicht der EU-Kommission wurden durch die EO-ES 2022 die Probleme, welche vom EuGH im Zuge seiner Schrems II-Entscheidung aufgegriffen wurden, angemessen adressiert. Damit wurden letzte rechtliche Hindernisse beseitigt und der Weg für einen erneuten Angemessenheitsbeschluss (siehe schon oben) eröffnet.

Da wir im Hinblick auf den Betrieb unserer Website in gewissem Umfang auf die Zusammenarbeit mit US-Dienstleistern (bzw. mit ihren verbundenen Unternehmen) angewiesen sind, versuchen wir den bestmöglichen Kompromiss zum Schutz Ihrer Daten zu finden. Diesbezüglich setzen wir die folgenden Schritte:

  • Geeignete Garantien gemäß Art. 46 Abs. 2 lit. c DSGVO: Wir stützen Datenübermittlungen an Dienstleister mit einem problematischen Nahebezug zur Rechtsordnung der USA auf Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der EU-Kommission. Diese Klauseln wurden im Lichte der dargestellten Problematik ausgearbeitet und enthalten bereits dezidierte Vorgaben zur Risikominimierung.
  • Ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO: Soweit dies zielführend und technisch für uns realisierbar ist, holen wir bei jedem auch nur potentiell problembehafteten Verarbeitungsvorgang zusätzlich Ihre ausdrückliche Einwilligung ein, welche von der gegenständlichen, umfassenden Risikoaufklärung begleitet wird, und unterbinden jedwede Übertragung Ihrer Daten an den jeweiligen Dienstleister vor der Abgabe derselben. Dies bietet Ihnen auch im Hinblick auf die jederzeitige Widerrufsmöglichkeit Ihrer einmal erteilten Einwilligung die weitreichendste Kontrolle über Ihre Daten.
  • Nutzung von Serverinfrastruktur im EU-/EWR-Raum: Obwohl ein Zugriff von US-Behörden auf Ihre Daten dadurch ggfls. nicht in jedem Fall vollständig unterbunden werden kann, gilt es anzunehmen, dass der Spielraum zulässiger Behördenzugriffe durch die Nutzung von in der EU/im EWR gelegener Serverinfrastruktur zumindest eingeschränkt werden kann. Folglich instruieren wir die jeweiligen Dienstleister stets, Server im EU-/EWR-Raum heranzuziehen, soweit von ihrer Seite ein entsprechendes Angebot besteht.

Durch die obengenannten Schritte können wir einen Zugriff von US-Behörden auf Ihre Daten nicht mit absoluter Sicherheit verhindern. Allerdings können wir dadurch: (i) die Wahrscheinlichkeit minimieren, dass es zu solchen Zugriffen kommt; (ii) Ihnen vielfach die Dispositionsbefugnis über Ihre Daten bis zur Freigabe der jeweiligen Übermittlung (oder sogar darüber hinaus) erhalten; (iii) Transparenz schaffen, indem wir über unsere Website initiierte Datenflüsse nach bestem Wissen und Gewissen darstellen.

Weiters wird die Risikolage schon durch die neue EO-ES 2022 angemessen entschärft.

4.3. Übersicht und Kurzdarstellung

Nachfolgend finden Sie eine gedrängte Darstellung der eingesetzten Dienste sowie der wesentlichen rechtlichen Begleitinformationen.

Indem Sie auf den Namen des jeweiligen Dienstes klicken, gelangen Sie zur verlinkten Datenschutzerklärung des jeweiligen Anbieters (nach Verfügbarkeit in deutscher Sprache). Bitte beachten Sie aber, dass Sie durch den Umstand des Zugriffs auf eine solche Drittseite einer neuerlichen Verarbeitung Ihrer Daten in der Einflusssphäre des jeweiligen Drittanbieters ausgesetzt sind (vgl. Punkt 3).

Dienst Verarbeitung Zweck Rechtsgrundlage
Google Analytics Verarbeitung von Daten über das Verhalten von Nutzern Webanalyse (Tracking) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Google Tag Manager Verarbeitung von Verbindungsdaten Technischer Aufbau der Website Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Google Ads Verarbeitung von Daten über das Verhalten von Nutzern Messung der Effektivität von Angebot und Werbemaßnahmen; bedarfsgerechte Werbeschaltungen auf Drittseiten (Marketing, Tracking) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
LinkedIn Insight-Tag Verarbeitung von Daten über das Verhalten von Nutzern Analyse von Nut-zungsverhalten und Werbemaßnahmen; Durchführung von Werbekampagnen (Marketing, Tracking) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Vimeo Verarbeitung von Verbindungs-daten; Einbindung von Drittanbieter-Videos mittels Speichertechnologien Einfaches und zweckdienliches Zugänglichmachen von Videomaterial Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

4.4. Einzelne Drittanbieter-Dienste

4.4.1. Google-Dienste

Die nachfolgend dargestellten Dienste werden uns gegenüber jeweils von der Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Irland („Google Ireland“) erbracht, die als unsere Auftragsverarbeiterin tätig wird.

Google Ireland setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die Google LLC (Kalifornien, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz von Google Ireland selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes von Google Ireland (im Sub-Auftragsverhältnis) sind die von Google Ireland mit den entsprechenden Dienstleistern abgeschlossenen Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Google Ireland versucht Daten von Nutzern aus dem EWR-Raum allerdings möglichst in europäischen Rechenzentren zu verarbeiten. Eine Übersicht aller Standorte von Google-Rechenzentren finden Sie hier: https://www.google.com/about/datacenters/inside/locations/?hl=de.

Weitere Informationen zur Datennutzung durch Google Ireland und verbundene Unternehmen sowie zu Einstellungs- und Widerspruchsmöglichkeiten, entnehmen Sie bitte der Google-Datenschutzerklärung unter https://policies.google.com/privacy?hl=de.

(i) Google Tag Manager

Wir nutzen auf unserer Website den Google Tag Manager („GTM“). Der GTM ist ein Dienst, mit dem wir Website-Tags über eine eigene Oberfläche verwalten können. So können wir Code-Snippets wie Tracking-Code oder Tracking-Pixel auf unserer Website einbauen, ohne dabei in den Quellcode einzugreifen. Dabei werden die Daten vom GTM nur weitergeleitet, jedoch nicht erhoben oder gespeichert. Der GTM setzt selbst keine Cookies und dient uns rein für die Verwaltung von anderen Diensten unseres Online-Angebots. Der GTM sorgt für die Auflösung anderer Tags, die ihrerseits unter Umständen Daten erfassen. Der GTM greift jedoch nicht auf diese Daten zu (es erfolgt lediglich eine einfache Anfrage an die entsprechenden Google-Server und damit verbundene Verarbeitung technischer Verbindungsdaten im Sinne von Punkt 4.1).

Wir stützen den Einsatz des GTM auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Die Verarbeitung verfolgt den Zweck, durch effektiven und gezielten Einsatz von Drittanbieter-Dienste unser Angebot besser an die Interessenlage unserer Nutzer anzupassen und entsprechende Auswertungen zu generieren.

(ii) Google Analytics

Wir nutzen auf unserer Website das Webanalyse- und Onlinemarketingtool „Google Analytics“, wodurch uns eine Analyse der Benutzung der Website ermöglicht wird. Das Tool erfasst etwa die Zeit, welche Nutzer auf Sub-Seiten unserer Website verbracht haben oder auf welche Links von den Nutzern geklickt wurde. Weiters erlaubt uns Google Analytics aufzuzeichnen, wann ein Websitenutzer von uns vorgegebene Ziele (sogenannte Conversions) erreicht. Das Tracking erfolgt mithilfe von Google Ireland bereitgestellter JavaScript-Bibliotheken. Google Analytics arbeitet mit Cookies bzw. vergleichbaren Technologien (vgl. Punkt 2.7). Im Rahmen des Einsatzes von Google Analytics werden Verbindungsdaten (vgl. Punkt 4.1) an Google-Server übertragen und dort gespeichert. In unserem Auftrag wird Google Ireland die erhobenen Informationen benutzen, um die Nutzung unserer Website auszuwerten, Reports über Website-Aktivitäten zu erstellen und weitere, mit der Nutzung unserer Website und der Internetnutzung verbundene Dienstleistungen, uns gegenüber zu erbringen.

Wir stützen den Einsatz von Google Analytics auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Die Daten über die Nutzung unserer Website werden nach Ende der von uns für Google Analytics eingestellten Aufbewahrungsdauer von 2 Monaten automatisch gelöscht.

(iii) Google Ads Conversion-Tracking

Um unser Angebot auf möglichst effektive Weise zu bewerben, bedienen wir uns „Google Ads“. Google Ads ermöglicht es uns, die enorme Reichweite von Google Ireland zur Bewerbung unseres Angebotes zu nutzen und potentiell Interessierte Nutzer auf dieses Aufmerksam zu machen.

In diesem Rahmen nutzen wir das Tracking-Tool „Google Ads Conversion-Tracking“ oder „Conversion-Tracking“ von Google Ireland, um Feedback zu unseren Werbemaßnahmen über Google zu gewinnen. Conversion-Tracking ermöglicht es uns, Informationen über die Rezeption unseres Werbeangebotes über die Erfassung sogenannter „Conversions“ zu generieren. Eine Conversion bezeichnet den Vorgang, wenn ein definiertes Ziel von einem Websitenutzer erreicht wird. ZB die Umwandlung von einem Websitenutzer, welcher Interesse an unserem Angebot zeigt, zu jemanden, der aktiv mit diesem interagiert (z.B. auf eine unserer Werbemaßnahmen klickt und daraufhin auf unsere Website weitergeleitet wird). Die Auswertung der Conversions erlaubt es uns, nützliche Informationen über die Aufnahme unseres Angebotes einzuholen und dieses besser an die Bedürfnisse unserer Websitenutzer anzupassen.

Das Conversion-Tracking sammelt Ihre Daten über einen auf unserer Website eingebundenen Tag. Sollte es nun zu einer Conversion kommen (etwa wenn Sie auf unsere Werbeanzeigen klicken), verwendet das Conversion-Tracking Cookies oder ähnliche Technologien (insbesondere auch Tracking-Pixel – vgl. Punkt 2.7), um in weiterer Folge Daten über Ihr Nutzerverhalten zu speichern. Hierbei wird etwa Ihr Klick- und Interaktionsverhalten betreffend unsere Angebote aufgezeichnet. Weitere durch das Conversion-Tracking erfasste Daten sind Verbindungsdaten (vgl. Punkt 4.1). Ggfls. können diese Aufzeichnungen durch Google Analytics (siehe oben) weiter verfeinert werden.

Wir stützen den Einsatz des Conversion-Tracking auf unserer Website auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

(iv) Google Ads Remarketing

Wir nutzen auf unserer Website den Dienst Google Ads Remarketing („Google Remarketing“). Remarketing bedeutet das erneute Ansprechen von ehemaligen Nutzern unserer Website mit eventuell für Sie interessanten Angeboten. Sollten Sie beim Besuch unserer Website z.B. ein Interesse für bestimmten Leistungen zeigen, können wir Ihnen durch Google Remarketing über Google Ads (siehe schon oben) nach dem Verlassen unserer Website weitere für Sie möglicherweise interessante Anzeigen liefern. Google Remarketing arbeitet zu diesem Zweck mit Cookies oder ähnlichen Speichertechnologien (vgl. Punkt 2.7), welche es ermöglichen, Sie beim Besuch auf anderen Teilnehmerseiten des Google-Werbenetzwerkes wiederzuerkennen.

Google Remarketing funktioniert über Werbekampagnen, welche auf sogenannten Remarketing-Listen basieren. Diese Listen können wiederum verschiedene vordefinierte verhaltensbasierte Zielgruppen beinhalten. Sollte nun das Verhalten eines Nutzers dieser Zielgruppe entsprechen, wird das daraufhin gesetzte Cookie dieser Zielgruppe durch eine ID-ergänzt. Sollte der Nutzer sich in weiterer Folge auf einer Website bewegen, welche Werbeflächen im Rahmen des Google-Werbenetzwerkes anbietet, können wir Ihnen unsere Angebote erneut anzeigen. Im Rahmen des hier dargestellten Prozesses kommt es zur Verarbeitung von Verbindungsdaten (vgl. Punkt 4.1) sowie Daten über Ihr Interaktionsverhalten mit unserer Website (wenn Sie z.B. auf eines unserer Angebote klicken).

Wir stützen den Einsatz von Google Remarketing auf unserer Website auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Sie können die Verwendung Ihrer Daten zur Personalisierung von Werbeeinschaltungen durch Google durch die entsprechenden Einstellungen auf der Deaktivierungsseite der Google Marketing Plattform (https://adssettings.google.com/authenticated?hl=de#display_optout) oder der Deaktivierungsseite der Network Advertising Initiative (https://thenai.org/opt-out/) bzw. durch entsprechende Geräteeinstellungen (vgl. Punkt 2.7.1) verhindern.

4.4.2. Hub Spot

Wir nutzen auf unserer Website funktionelle Tools und Services der HubSpot Germany GmbH (Berlin, Deutschland) im Rahmen des HubSpot-CRM-Systems. Dies erlaubt uns unser Angebot zu automatisieren, zu personalisieren und zu segmentieren (etwa mittels der HubSpot-Formularautomatisierung).

Dies schließt teilweise die Verarbeitung von Verbindungsdaten (vgl. Punkt 4.1) ein; außerdem den Einsatz von Speichertechnologien (insbesondere Cookies – vgl. Punkt 2.7), wofür wir im jeweiligen Anwendungsfall Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) einholen, soweit keine technische Notwendigkeit und damit ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) unsererseits an der bedarfsgerechten Ausgestaltung unserer Website besteht, um deren Funktionsfähigkeit aufrechtzuerhalten oder datenschutzrechtliche Anforderungen umzusetzen (Auf das Widerrufs- sowie Widerspruchsrecht der betroffenen Nutzer wird hingewiesen). Zum Bot-Schutz wird in diesem Zusammenhang außerdem ein notwendiges Cookie seitens des CDN-Anbieters von HubSpot, der Cloudflare, Inc. (Kalifornien, USA), gesetzt. Nähere Informationen finden Sie auch in der HubSpot-Wissensdatenbank unter https://knowledge.hubspot.com/de/privacy-and-consent/what-cookies-does-hubspot-set-in-a-visitor-s-browser sowie generell in der HubSpot-Datenschutzrichtlinie: https://legal.hubspot.com/de/privacy-policy.

Darüber hinaus können wir – auch außerhalb unserer Website im Zusammenhang mit Nutzer- bzw. Kundeninteraktionen – weitere Funktionen und Services des HubSpot-CRM-Systems nutzen, um Kundenbeziehungen zu verwalten und die in diesem Rahmen verarbeiteten Daten adäquat aufzubereiten.

Siehe im Weiteren auch die entsprechenden Hinweise im Zuge der Darstellung der einzelnen Verarbeitungstätigkeiten unter Punkt 2.

Die HubSpot Germany GmbH setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete HubSpot, Inc. (Massachusetts, USA) und Cloudflare, Inc. (siehe oben) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der HubSpot Germany GmbH selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der HubSpot Germany GmbH (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

4.4.3. Einbindung von Vimeo-Videos

Wir binden auf unserer Website Videos der Plattform https://vimeo.com ein, einem Dienst der Vimeo LLC, 555 West 18th Street, New York, NY 10011, USA („Vimeo“).

Zudem ermöglicht es uns der Dienst von Vimeo Datenerhebungen und statistische Datenauswertung durchzuführen. Dadurch können wir unser Leistungsangebot besser an Ihre Bedürfnisse anpassen. Dabei kommt es zu einer Verarbeitung Ihrer Verbindungsdaten (siehe Punkt 4.1) sowie Daten über Ihr Interaktionsverhalten mit den eingebundenen Videos (z.B. ob und wann Sie die Wiedergabe pausiert haben) bzw. mit der Webseite, auf der die Videos eingebunden sind (z.B. die Dauer Ihres Aufenthaltes auf der Webseite). Vimeo verwendet im Rahmen der Datenverarbeitung Speichertechnologien (vgl. Punkt 2.7). Die Einbindung von Videos sowie die in diesem Rahmen durchgeführten statistischen Datenauswertungen ermöglichen es uns, Ihnen ein dem Stand der Technik entsprechendes Service zu bieten und unsere Inhalte auf ansprechende Weise zu präsentieren.

Vimeo erhebt die gesammelten Informationen als eigenständiger Verantwortlicher. Dabei kommt es auch zu einer Weiterverarbeitung durch Vimeo für eigene Zwecke, etwa um akkurate Videostatistiken zu erstellen, die Nutzerfreundlichkeit zu verbessern und effektivere Werbemaßnahmen durchzuführen. Die in diesem Zusammenhang erhobenen Daten werden an Vimeo-Server in den USA übertragen und dort gespeichert. Falls Sie zum Zeitpunkt der Abgabe Ihrer Einwilligung in einem separaten Vimeo-Konto eingeloggt sind, kann Vimeo die erhobenen Daten diesem Konto zuordnen. Sollten Sie diese Verknüpfung Ihrer Daten nicht wünschen, müssen Sie sich zuvor von Ihrem Vimeo-Konto abmelden.

Vimeo hat seinen Sitz in den USA, die aus datenschutzrechtlicher Sicht derzeit über kein angemessenes Datenschutzniveau verfügen. Die Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlagen für die Drittlandübermittlung Ihrer Daten in die USA sind Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Wir stützen die entsprechende Datenverarbeitung Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche wir von Ihnen einholen, bevor Sie auf Videoinhalte zugreifen können); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Da die Videos nur in unserer Website eingebettet werden, die Übertragung allerdings direkt über https://vimeo.com erfolgt, gelten im Weiteren die Nutzungsbedingungen und Datenschutzhinweise von Vimeo. Bitte beachten Sie demnach folgenden Link: https://vimeo.com/privacy.

4.4.2. LinkedIn Insight-Tag

Wir nutzen auf unserer Website einen Dienst der LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland („LinkedIn Ireland“), welcher uns eine Analyse des Verhaltens unserer Websitenutzer ermöglicht, uns Informationen über die Rezeption unseres Werbeangebotes gewinnen lässt sowie zusätzliche und effektive Werbemaßnahmen ermöglicht („LinkedIn Insight-Tag“).

Der LinkedIn Insight-Tag ist ein Tag (Code-Snippet), den wir auf unserer Website eingebunden haben und durch welchen wir das Interaktionsverhalten unserer Websitenutzer messen können. Hierbei ermöglicht es uns der LinkeIn Insight-Tag, demographische Informationen über die Nutzer zu erlangen. Dadurch können wir für uns wichtige Einblicke in das Nutzerverhalten auf unserer Website gewinnen und unser Angebot besser an Ihre Bedürfnisse anpassen.

Eine weitere Funktion des LinkedIn Insight-Tag ist die Erfassung von individuell festgelegten Websiteaktionen, sogenannten „Conversions“. Eine Conversion findet statt, wenn ein definiertes Ziel von einem Websitenutzer erreicht wird (z.B. die Umwandlung von einem Websitenutzer, welcher sich für unser Angebot interessiert, zu jemanden, der aktiv mit unserem Angebot interagiert). Hierbei wird etwa das Klick- und Interaktionsverhalten hinsichtlich unserer Angebote aufgezeichnet. Dadurch können wir feststellen, wann und wie Nutzer unsere Website besuchen oder mit unserem Angeboten interagieren (z.B. auf eine unserer Werbeanzeigen klicken). Dementsprechend können wir für uns wichtige Einblicke über die Aufnahme unseres Angebotes bei unseren Websitenutzern bekommen und dieses besser an Ihre Bedürfnisse anpassen.

Zusätzlich ermöglicht uns der LinkedIn Insight-Tag sogenannte Retargeting-Kampagnen durchzuführen. „Retargeting“ bedeutet das erneute Ansprechen von ehemaligen Nutzern unserer Website mit eventuell für sie interessanten Angeboten. So können wir etwa nach einer erfolgten Interaktion mit einem unserer Angebote erneut maßgeschneiderte Inhalte ausspielen. Hierbei erlaubt uns der LinkedIn Insight-Tag bestimmte Zielgruppen festzulegen (sogenannte Audiences). Wenn nun das Verhalten eines Nutzers einer Zielgruppe entspricht, wird ihr dieser Nutzer zugeordnet und kann daraufhin erneut identifiziert und über passende Angeboten informiert werden.

Der LinkedIn Insight-Tag arbeitet mit Cookies oder ähnlichen Technologien (vgl. Punkt 2.7), um die generierten Daten zu speichern. Weitere durch das Tracking erfasste Daten sind Verbindungsdaten (vgl. Punkt 4.1). Ihre IP-Adresse wird grundsätzlich nur in gekürzter Form erhoben. Die Daten werden nach sieben Tagen pseudonymisiert und innerhalb von 180 Tagen gelöscht.

LinkedIn Ireland setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, die ihren Sitz teils in den USA haben – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz von LinkedIn Ireland selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in die Rechtsphäre der USA im Zuge des Einsatzes von LinkedIn Ireland (im Sub-Auftragsverhältnis) sind die von LinkedIn Ireland mit den jeweiligen Dienstleistern abgeschlossenen Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Wir stützen den Einsatz des LinkedIn Insight-Tags auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Weitere Informationen über die Datenverarbeitungstätigkeiten von LinkedIn Ireland finden Sie unter https://www.linkedin.com/legal/privacy-policy.

5. Empfänger von Daten

Rahmen der unter Punkt 2 sowie Punkt 4 dargestellten Verarbeitungstätigkeiten werden Ihre Daten unter Umständen an die jeweils bezeichneten Empfänger übermittelt, welche nachfolgend überblicksmäßig für Sie dargestellt werden:

Von uns beauftragte Auftragsverarbeiter erhalten Ihre Daten, sofern diese die Daten (bzw. eine Zugriffsmöglichkeit) zur Erbringung ihrer jeweiligen Leistung benötigen; viele unserer Auftragsverarbeiter setzen außerdem selbst Auftragsverarbeiter ein, welche uns gegenüber als sogenannte Sub-Auftragsverarbeiter agieren. Eine Auflistung unserer Sub-Auftragsverarbeiter können Sie von uns jederzeit auf Anfrage erhalten.

Im Rahmen unserer Website können folgende von uns eingesetzte Auftragsverarbeiter Zugriff auf Ihre Daten erhalten:

  • die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzhausen, Deutschland (als Hosting-Anbieterin – vgl. Punkt 2.1);
  • die The Rocket Science Group LLC, 675 Ponce De Leon Ave NE, Atlanta, GA 30308, USA (als Dienstleisterin für den Newsletter-Versand – vgl. Punkt 2.2);
  • die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Deutschland (als CRM-Anbieterin, insbesondere betreffend die Verwaltung unserer Datenbank – vgl. Punkte 2.3, 2.4 – sowie den Einsatz funktioneller Tools – vgl. Punkt 4.4.2);
  • die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park,
    Leopardstown, Dublin 18, Irland (zur technischen Abwicklung von Terminvereinbarungen sowie zur technischen Durchführung von Live-Demos – vgl. Punkt 2.4);
  • die TRUENDO Technologies GmbH, Leonard-Bernstein-Straße 10, 1220 Wien, Österreich (zur Umsetzung einer Einwilligungslösung für Speichertechnologien – vgl. Punkt 2.7.3);
  • die Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Irland (betreffend den Einsatz verschiedener Website-Dienste – vgl. Punkt 4.4.1);
  • die LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland (betreffend den Einsatz des LinkedIn Insight-Tags – vgl. Punkt 4.4.4).

Darüber hinaus übermitteln wir Ihre Daten an eigenständige Verantwortliche, soweit dies erforderlich ist oder wir rechtlich entsprechend dazu verpflichtet sind. Dabei handelt es sich insb um die Vimeo LLC, 555 West 18th Street, New York, NY 10011, USA (vgl. Punkt 4.4.3).

6. Ihre Rechte

Sie haben im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten folgende Betroffenenrechte:

Recht auf Widerruf der Einwilligung

Sofern wir Ihre personenbezogenen Daten aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) verarbeiten, können Sie Ihre Einwilligung jederzeit widerrufen. Ab Erhalt Ihres Widerrufs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten. Die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung wird durch den Widerruf der Einwilligung jedoch nicht berührt.

Recht auf Auskunft

Sie können Auskunft über die zu Ihrer Person verarbeiteten personenbezogenen Daten verlangen, insbesondere zu den Verarbeitungszwecken, verarbeiteten Datenkategorien, Empfängern oder Empfängerkategorien, welchen wir Ihre personenbezogenen Daten offenlegen, und der Herkunft der Daten. Auf Verlangen stellen wir Ihnen eine Kopie der zu Ihrer Person verarbeiteten personenbezogenen Daten zur Verfügung. Wir weisen darauf hin, dass keine Auskunft zu erteilen ist, wenn dadurch Geschäfts- oder Betriebsgeheimnisse des Verantwortlichen oder Dritter gefährdet sind.

Sollten Sie Ihr Recht auf Auskunft bezüglich über die Website initiierter oder durchgeführter Datenverarbeitungen ausüben wollen, bitten wir Sie, uns im Rahmen Ihrer Anfrage auch die Datenschutz-ID aus Ihrem mittels unseres „Cookie Managers“ (siehe Punkt 2.7.3) anonym generierten Datenschutzprofils mitzusenden. Diese finden Sie, indem Sie den Cookie Manager aufrufen und über das Menü zum Unterpunkt „Mein Datenschutzprofil“ navigieren. Bitte beachten Sie, dass dies keine Notwendigkeit für die wirksame Ausübung Ihres Auskunftsrechts darstellt.

Recht auf Berichtigung

Falls wir personenbezogene Daten zu Ihrer Person verarbeiten, die unrichtig oder unvollständig sind, können Sie deren Berichtigung oder Vervollständigung – auch mittels einer ergänzenden Erklärung – verlangen.

Recht auf Löschung

Sie haben das Recht, von uns zu verlangen, dass wir Sie betreffende personenbezogene Daten löschen. Wir werden die Löschung gerne durchführen, soweit dies nach der DSGVO vorgesehen ist. Die Löschung ist etwa nicht vorzunehmen, wenn die Verarbeitung der Daten erforderlich ist, um eine rechtliche Verpflichtung zu erfüllen oder Rechtsansprüche geltend machen, ausüben oder verteidigen zu können.

Recht auf Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen können Sie verlangen, dass wir den Gebrauch Ihrer personenbezogenen Daten einschränken. Dies ist etwa der Fall, wenn die Richtigkeit der Sie betreffenden personenbezogenen Daten bestritten wird, und zwar für die notwendige Dauer, um die Richtigkeit zu überprüfen.

Recht auf Widerspruch

Insoweit wir Ihre personenbezogenen Daten auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, sind Sie berechtigt, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. In diesem Fall werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, welche Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Datenübertragbarkeit

Wenn wir von Ihnen bereitgestellte personenbezogene Daten auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung verarbeiten, können Sie verlangen, dass Sie diese Daten erhalten oder dass wir sie an einen anderen Verantwortlichen übermitteln.

Recht auf Beschwerde

Auch wenn wir uns bestmöglich um den Schutz und die Integrität Ihrer personenbezogenen Daten bemühen, können Meinungsverschiedenheiten über die Art, wie wir Ihre personenbezogenen Daten verwenden, nicht ausgeschlossen werden. Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, können Sie uns natürlich jederzeit gerne unter den nachstehend genannten Kontaktdaten kontaktieren. Außerdem sind Sie zur Erhebung einer Beschwerde bei der österreichischen Datenschutzbehörde berechtigt.

7. Kontakt

Bildungsplattform der Wirtschaftskammer Österreich GmbH

FN 529267i, Handelsgericht Wien

Gußhausstraße 21/25, 1040 Wien

0664 817 94 92

office@wise-up.at

Für all Ihre datenschutzrechtlichen Anliegen, insbesondere zur Geltendmachung Ihrer Rechte, wenden Sie sich bitte schriftlich oder per E-Mail an support@wise-up.at.

Datenschutzerklärung Plattform

Letzte Änderung: 28.11.2022

Im Rahmen der Bereitstellung und Nutzung der digitalen Bildungsplattform („DBP“) kommt es zur Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung („DSGVO“) und des österreichischen Datenschutzgesetzes („DSG“) durch die Bildungsplattform der Wirtschaftskammer Österreich GmbH („uns“ bzw. „wir“) als Verantwortliche gemäß Art. 4 Z. 7 DSGVO. Mit dieser Datenschutzerklärung informieren wir Sie über die Datenverarbeitungen und Ihre Rechte als betroffene Person. Unsere Kontaktdaten finden Sie am Ende dieser Datenschutzerklärung unter Punkt 7.

Aus technischer Sicht ist diesbezüglich zwischen (i) unserem Lizenzverwaltungs- und Accountmanagementsystem (account.wise-up.com – „AMM“) sowie (ii) der zugangsbeschränkten DBP selbst (wiseup.edcast.com) zu unterscheiden (zusammen „Plattform“). Neben gemeinsamen Hinweisen schlüsseln wir Verarbeitungstätigkeiten im Rahmen des AMM folglich unter Punkt 2.1 und Verarbeitungstätigkeiten im Rahmen der DBP unter Punkt 2.2 im Detail auf. Verarbeitungstätigkeiten, welche die gesamte Plattform betreffen, werden unter Punkt 2.3 ausgewiesen. Bezüglich der unter Punkt 4 dargestellten Drittanbieter-Dienste kann Punkt 4.3 entnommen werden, welche Verarbeitungsumgebung (AMM, DBP) davon betroffen ist.

Die Plattform ist sowohl mittels jedes gängigen Webbrowsers über die vorgeschaltete Website https://wiseup.at/ sowie über unsere Mobilapplikation („App“) erreichbar, welche für die Plattformen iOS und Android verfügbar ist. Technisch ergeben sich zwischen der Nutzung der Plattform als WebVersion und der Nutzung als App-Version grundsätzlich keine Unterschiede, da in der App lediglich die Web-Version geladen wird (beachte aber Punkt 2.2.4 zu Unterschieden im Hinblick auf Benachrichtigungen).

Sie sind grundsätzlich nicht verpflichtet, uns Ihre personenbezogenen Daten zur Verfügung zu stellen. Sofern Sie unsere DBP allerdings nutzen möchten, ist es für die Vertragsabwicklung erforderlich, dass uns bestimmte personenbezogene Daten durch Sie oder Ihre Organisation über das AMM bereitgestellt werden. Gewisse Daten werden beim Aufruf des AMM sowie der DBP außerdem automatisch verarbeitet. Weiters können wir Ihnen einen Zugang zur DBP nur gewähren, soweit Sie sich auch mit der Verarbeitung Ihrer Daten im Zuge der Plattformnutzung in einem vordefinierten Ausmaß einverstanden erklären, da wir die DBP aus wirtschaftlicher Sicht ansonsten nicht anbieten könnten. Letztlich können Sie uns bestimmte weitere Daten selbstständig durch Interaktion mit den Plattformfunktionalitäten etc. bereitstellen. (Nähere dahingehende Informationen finden Sie nachfolgend im Zuge der Darstellung der einzelnen Verarbeitungsaktivitäten.)

Aufgrund der Weiterentwicklung des AMM bzw. der DBP oder möglicher rechtlicher Änderungen können Anpassungen dieser Datenschutzerklärung erforderlich werden. Es gilt die jeweils auf https://wiseup.at/datenschutz/ veröffentlichte Fassung.

Bitte beachten Sie auch die Datenschutzerklärungen sonstiger Verantwortlicher im Zusammenhang mit der Nutzung der DBP, wie etwa von dritten Bildungsanbietern, auf deren Seiten die Nutzer über die DBP weitergeleitet werden können (vgl. näher Punkt 2.2.3 sowie Punkt 3).

1. Begriffsdefinitionen

Datenschutzrechtliche Vorschriften stellen bis auf gewisse Ausnahmen auf die Verarbeitung personenbezogener Daten ab. Für den Umfang dieser Datenschutzerklärung wird dabei auf das Begriffsverständnis der DSGVO zurückgegriffen. Damit umfasst die Verarbeitung (Art. 4 Z. 2 DSGVO) von personenbezogenen Daten im Wesentlichen jeglichen Umgang mit denselben. Soweit von uns verarbeitete Daten menschenbeziehbar sind und Sie als Person identifizierbar machen, handelt es sich grundsätzlich um personenbezogene Daten, wodurch Sie als von einer Datenverarbeitung betroffene Person (Art. 4 Z. 1 DSGVO) anzusehen sind.

Bei der Bereitstellung der DBP unterscheiden wir zwischen den nachstehend angeführten Kategorien von betroffenen Personen:

Kunden: Die Kunden sind unsere direkten Vertragspartner. Sie sind die „Owner“ des Accounts und Inhaber des von ihnen angelegten Organisationskontos. Bei Erwerb von Business- und Business PRO-Accounts obliegt den Kunden insbesondere das Hinzufügen oder Löschen von Nutzern im Organisationskonto.

Nutzer: Die Nutzer sind die eigentlichen Anwender der DBP, welche die zur Verfügung stehenden Lerninhalte konsumieren.

  • Als private Nutzer bezeichnen wir unsere Nutzer, die eine Lizenz im Rahmen eines PrivateAccounts (vgl. wîse up – Allgemeine Geschäftsbedingungen, Punkt 4.10) erwerben, und daher zugleich unsere Kunden sind.
  • Business Nutzer sind Nutzer, welche die DBP auf Basis einer von einem Kunden erworbenen Business- oder Business PRO-Lizenz verwenden (vgl. wîse up – Allgemeine Geschäftsbedingungen, Punkte 4.5 ff.). Im Rahmen des Bestellprozesses stellt uns der Kunde die E-MailAdresse des Nutzers zur Verfügung, an welche wir die Einladung zur DBP mitsamt einem Aktivierungslink senden sollen. Bei Annahme dieser Einladung durch Anklicken des Aktivierungslinks werden vom jeweiligen Nutzer weitere Angaben wie Vor- und Nachname und eine sekundäre E-Mail-Adresse abgefragt. Jeder Business Nutzer ist immer dem Organisationskonto des Kunden zugeordnet, der die zugrundeliegende Business- oder Business PROLizenz erworben hat.

Wir ersuchen unsere Kunden und Nutzer, zusätzlich zu den gegenständlichen Hinweisen auch unsere Website-Datenschutzerklärung zu beachten (siehe: https://wiseup.at/datenschutz/).

Zum bestmöglichen Verständnis dieser Datenschutzerklärung sind weiters insbesondere die nachfolgenden Begrifflichkeiten relevant:

Begriff Erläuterung Bestimmung
Verantwortlicher Natürliche oder juristische Person bzw. anderweitige Stelle, welche den entscheidenden Einfluss auf die Datenverarbeitung ausübt und im Gegenzug datenschutzrechtlichen Pflichten unterliegt. Art. 4 Z. 7 DSGVO Art. 24 DSGVO
Gemeinsam Verantwortliche Verantwortliche, die Daten im gemeinsamen Interesse verarbeiten und jeweils für sich zumindest teilweise entscheidenden Einfluss auf die dahingehend getroffenen Entscheidungen ausüben. Art. 26 DSGVO
Auftragsverarbeiter Externer Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet und vertraglich an dessen Weisungen gebunden ist. Er agiert dabei als verlängerter Arm des Verantwortlichen. Art. 4 Z. 8 DSGVO
Art. 28 DSGVO
Empfänger Grundsätzlich jede natürliche oder juristische Person bzw. anderweitige Stelle außerhalb der Organisation des Verantwortlichen, welcher Daten aus dessen Verantwortungsbereich offengelegt werden. Art. 4 Z. 9 DSGVO
Rechtmäßigkeitsgrundlagen Die gesetzliche vorgezeichneten Grundlagen, welche eine Ermächtigung schaffen, personenbezogene Daten betroffener Personen rechtmäßig zu verarbeiten. Art. 6 Abs. 1 DSGVO
Drittlandübermittlung Die Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR, wodurch sie durch Anknüpfungspunkte zur jeweiligen Rechtsordnung der alleinigen Kontrolle der DSGVO entzogen werden, durch Offenlegung an einen Empfänger, der in einem Drittland entweder (i) niedergelassen ist oder (ii) datenverarbeitende Server betreibt. Kapitel V DSGVO
Angemessenheitsbeschluss Ein Beschluss der EU-Kommission, welcher einem Drittland ein angemessenes Datenschutzniveau bescheinigt und dadurch einen freien Datenverkehr ohne zusätzliche Restriktionen ermöglicht. Art. 45 DSGVO
Geeignete Garantien Geeignete Garantien sind verschiedene Instrumente, welche Datentransfers in ein Drittland ermöglichen, für das kein Angemessenheitsbeschluss besteht.

Soweit wir Datenübermittlungen auf geeignete Garantien stützen, haben Sie jeweils die Möglichkeit, eine Kopie davon zu erhalten, indem Sie uns unter support@wise-up.at kontaktieren

Art. 46 DSGVO
Ausnahmen für bestimmte Fälle Ein Katalog an Ausnahmen, die unter gewissen Voraussetzungen einen oder mehrere Datentransfers in ein Drittland, für das kein Angemessenheitsbeschluss besteht, ohne Vorliegen geeigneter Garantien rechtfertigen können. Art. 49 DSGVO

2. Verarbeitungstätigkeiten

Im Rahmen dieses Abschnitts werden die konkreten Datenverarbeitungsvorgänge beschrieben, welche sich im Rahmen des Zugriffs auf die oder der Nutzung der Plattform ereignen können. Dabei informieren wir Sie über die wesentlichen Elemente jeder Verarbeitungsaktivität, das sind

(a) Art und Umfang (wann und wie), (b) Zweck (warum) sowie (c) Dauer der Speicherung Ihrer Daten (wie lange). Außerdem informieren wir Sie darüber, welche Empfänger außerhalb unserer Organisation jeweils Zugriff auf Ihre Daten erhalten können.

Darüber hinaus informieren wir Sie über die Rechtsgrundlage, welche wir im Sinne der DSGVO heranziehen, um die jeweilige Verarbeitung Ihrer Daten zu rechtfertigen. Die nachfolgende Tabelle verschafft Ihnen einen ersten Überblick über die Rechtsgrundlagen, welche wir diesbezüglich konkret heranziehen:

Grundlage Erläuterung Bestimmung
Einwilligung Sie haben uns vor Ausführung der jeweiligen Verarbeitungstätigkeit eine Einwilligung für den spezifischen Fall erteilt, welche uns zur Verarbeitung Ihrer Daten ermächtigt.

Eine einmal erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Punkt 6)!

Art. 6 Abs. 1 lit. a DSGVO
Vertragserfüllung Die Verarbeitung Ihrer Daten ist erforderlich, um einen mit Ihnen abgeschlossenen Vertrag zu erfüllen oder vorvertragliche Maßnahmen zu setzen, welche auf Ihre Anfrage erfolgen. Art. 6 Abs. 1 lit. b DSGVO
Rechtliche Verpflichtung Die Verarbeitung Ihrer Daten ist erforderlich, um eine rechtliche Verpflichtung zu erfüllen, der wir unterliegen. Art. 6 Abs. 1 lit. c DSGVO
Berechtigte Interessen Die Verarbeitung Ihrer Daten ist (i) zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich und wir haben (ii) Ihre potentiell entgegenstehenden Interessen, Grundrechten sowie Grundfreiheiten entsprechend abgewogen.

Sie haben das Recht auf jederzeitigen Widerspruch gegen eine interessenbasierte Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben (siehe Punkt 6)!

Art. 6 Abs. 1 lit. f DSGVO

2.1. Verarbeitungstätigkeiten im Rahmen des AMM

2.1.1. Verarbeitung von Verbindungsdaten beim Aufruf des AMM

Gegenstand und Zweck der Datenverarbeitung

Bei jedem Aufruf des AMM verarbeitet unser System automatisiert die folgenden Informationen vom Computersystem des aufrufenden Rechners, um das AMM technisch bereitstellen zu können:

  • IP-Adresse des Nutzers
  • http-Methode und http-Version
  • Zugriffsstatus/Status-Code der Server-Antwort
  • Browserversion
  • Referrer-URL (Website, von denen das System des Nutzers auf unser AMM gelangt)
  • Benutzername des Nutzers, falls dieser angemeldet ist
  • Datum und Uhrzeit der Anfrage und Anzahl der gesendeten Bytes

Zu dieser Datenverarbeitung kommt es gleichermaßen, wenn das AMM über die DBP (bspw. über das Element „Nutzerverwaltung“) aufgerufen wird.

Wir speichern diese Informationen in Logfiles, um die technische Funktionalität des AMM zu optimieren und die Sicherheit unserer informationstechnischen Systeme zu gewährleisten. Eine Auswertung der personenbezogenen Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

Sie sind weder gesetzlich noch vertraglich verpflichtet, uns die oben genannten Informationen bereitzustellen. Sobald Sie das AMM aufrufen, werden die personenbezogenen Daten aber automatisiert erhoben.

Speicherdauer

Die Daten werden entweder nach Ende der jeweiligen Sitzung gelöscht oder in Logfiles gespeichert. Im Falle der Logfile-Speicherung werden die Daten nach zwei Monaten gelöscht.

Empfänger

Hosting Provider des AMM ist die Hetzner Online GmbH (91710 Gunzhausen, Deutschland), welche wir als Auftragsverarbeiterin beiziehen.

Rechtsgrundlage

Die Rechtsgrundlage für die vorübergehende Verarbeitung dieser Daten und der Logfiles ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Erreichung der oben beschriebenen Zwecke bzw. § 165 Abs. 3 Telekommunikationsgesetz („TKG“) 2021. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.1.2. Account- und Kundendatenverwaltung

Gegenstand und Zweck der Datenverarbeitung

Soweit Sie das erste Mal über das AMM auf die DBP zugreifen wollen, müssen Sie einen Account für die Plattform anlegen und uns in diesem Rahmen die jeweils in der Registrierungsmaske ersichtlichen Daten bereitstellen. Dies umfasst insbesondere Zugangsdaten (wie etwa Name, Passwort). Wir übermitteln Ihnen im Anschluss einen Link an die angeführte E-Mail-Adresse, über welchen Sie die Erstellung Ihres Accounts bestätigen müssen. Im Anschluss können Sie sich über das AMM jederzeit mit Ihren Zugangsdaten einloggen. Wir verarbeiten Ihre personenbezogenen Daten für den Zweck der Einrichtung und Verwaltung des Accounts.

Im Anschluss können Sie über den für Sie erstellten Account einen Vertrag für die Nutzung der DBP mit uns schließen. Dabei werden gewisse weitere Daten von Ihnen erhoben (ggfls. können Sie uns bestimmte Daten auch freiwillig bereitstellen). Dies umfasst insbesondere Stammdaten (wie etwa Anschrift, Branche, UID-Nummer), Vertragsdaten (wie etwa Lizenzinformationen, Beginn und Ende des Vertrags, Entgelt) sowie Rechnungs- und Zahlungsdaten (zur Verrechnung siehe Punkt 2.1.3). Die Zurverfügungstellung dieser Daten durch die Kunden ist notwendig, damit wir den abgeschlossenen Vertrag erfüllen können. Wir verarbeiten die Daten von aktiven, inaktiven (siehe unten) und potenziellen Kunden sowie deren zuständigen Mitarbeitern für Zwecke der Geschäftsanbahnung und Vertragsabwicklung sowie Kommunikation und Stammdatenverwaltung.

Wird ein Vertrag über ein Organisationskonto abgeschlossen, kann der jeweilige Kunde Nutzer für seine Organisation hinzufügen, die im Anschluss einen Aktivierungslink per E-Mail erhalten und sich nach Durchführung der entsprechenden Schritte mit ihren Zugangsdaten ebenfalls über das AMM in ihren Nutzer-Account einloggen können – diese Nutzer sind dem Organisationskonto des jeweiligen Kunden zugeordnet (vgl. schon die diesbezüglichen Ausführungen zu den betroffenen Personen unter Punkt 1).

Die zur Profilerstellung und Nutzung der DBP notwendigen Informationen (voller Name, E-Mail-Adresse, Passwort) werden vom AMM entsprechend in die DBP übertragen (zur Verarbeitung Ihrer Daten im Rahmen der DBP siehe Punkt 2.2).

Die Bereitstellung der jeweiligen Daten durch die Kunden ist notwendig, damit wir den abgeschlossenen Vertrag erfüllen bzw. vorvertragliche Maßnahmen auf Anfrage setzen können.

Nach Beendigung eines mit einem Kunden eingegangenen Vertragsverhältnis (Beendigung der entsprechenden Lizenz) wird der Account der einzelnen Nutzer, soweit nicht ausdrücklich etwas anderes verlangt wird, nicht gelöscht, sondern als inaktiver Nutzer-Account aufbewahrt, damit er vom Nutzer zu einem späteren Zeitpunkt fortgeführt („portiert“) und weiterverwendet werden kann. Die Portierung erfolgt dadurch, dass sich der Nutzer bei Zuweisung einer neuen Lizenz mittels einer sekundären E-Mail-Adresse eindeutig identifiziert. Die Aufbewahrung der Daten im inaktiven Nutzer-Account dient ausschließlich dazu, den Nutzern die Portierung und Weiterverwendung ihrer bereits erreichten Lernerfolge und sonstiger Informationen zu ermöglichen. Für andere Zwecke werden die Daten nicht verarbeitet. Um eine Portierung des inaktiven Nutzer-Accounts durchzuführen oder eine endgültige Löschung desselben zu verlangen, wenden Sie sich bitte an support@wise-up.at.

Speicherdauer

Wir bewahren die Daten der Kunden für die Dauer des laufenden Vertragsverhältnisses sowie darüber hinaus für einen Zeitraum von sieben Jahren auf, soweit sie konkret zur Einhaltung unternehmens- und steuerrechtlicher Aufbewahrungspflichten benötigt werden, welchen wir unterliegen.

Die Daten der einzelnen Nutzer (insbesondere Zugangsdaten) werden während des Bestehens der jeweiligen Lizenz verarbeitet. Nach Beendigung der Lizenz bewahren wir die Daten der Nutzer für den Fall einer vom jeweiligen Nutzer gewünschten Portierung im inaktiven Nutzer-Account weiter auf, sofern keine Löschung verlangt wird. Wenn der Nutzer die Portierung nicht innerhalb von sieben Jahren ab Ende des Geschäftsjahres, in dem die Lizenz beendet wurde, verlangt, werden die Daten gelöscht.

Sofern die gänzliche Löschung eines personenbezogenen Kunden-Accounts erforderlich wird, kommen wir diesem Erfordernis dadurch nach, dass die jeweiligen personenbezogenen Daten von uns vollständig anonymisiert und im Anschluss insbesondere zum Zweck der Vornahme von Auswertungen außerhalb des Anwendungsbereichs der DSGVO weiterverarbeitet werden.

Empfänger

Für die Durchführung der Anmeldung für unsere Verarbeitungsumgebungen (AMM, DBP) nutzen wir einen Single-Sign-On-Dienst der Okta Inc. (Kalifornien, USA), die als unsere Sub-Auftragsverarbeiterin im Rahmen des für die Realisierung der DBP genutzten Systems der EdCast LLC (Kalifornien, USA) tätig wird. Nähere Informationen zu den Konsequenzen des Einsatzes der EdCast LLC und den damit verbundenen Risiken für Ihre Daten entnehmen Sie bitte der Beschreibung der EdCast LLC als Empfänger unter Punkt 2.2.2 sowie der allgemeinen Risikobeschreibung unter Punkt 4.2. Der Single-Sign-On-Dienst der Okta Inc. ist der einzige diesbezügliche Berührungspunkt innerhalb des AMM (im Übrigen beschränken sich durch den Einsatz der EdCast LLC ausgelöste Datenverarbeitungen auf die DBP). Dabei werden schon beim Aufruf des AMM Ihre technischen Verbindungsdaten im Sinne von Punkt 4.1 an die Anbieterin übertragen, damit wir insbesondere überprüfen können, ob Sie ggfls. bereits unser Kunde und auf der DBP eingeloggt sind. Nehmen Sie unser Leistungsangebot in Anspruch, werden außerdem Ihr voller Name, Ihre E-Mail-Adresse sowie eine Ihnen zugewiesene User-ID an die Okta Inc. übertragen. Der Nutzer wird von der Okta Inc. zentral authentifiziert; danach ist der Nutzer bei allen Anwendungen/Verarbeitungsumgeben unserer Plattform für die Dauer der Sitzung entsprechend eingeloggt. Erfolgt im Anschluss ein erneuter Aufruf des AMM oder ein direkter Aufruf der DBP, wird der Anmeldestatus im Hintergrund abgefragt und angemeldete Nutzer werden sofort auf die DBP weitergeleitet. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der Okta Inc. sind die mit der EdCast LLC abgeschlossenen Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen (vgl. auch Punkt 2.2.2).

Im Zuge des Registrierungsprozesses wird via MailChimp ein Einladungs-E-Mail mit einem Aktivierungslink an die Nutzer gesendet. In diesem Zusammenhang stellen wir daher der Betreiberin von MailChimp (The Rocket Science Group LLC, Georgia, USA) die E-Mail-Adresse der Nutzer zur Verfügung, die in diesem Zusammenhang als unsere Auftragsverarbeiterin tätig wird. Die The Rocket Science Group LLC hat ihren Sitz in den USA, die aus datenschutzrechtlicher Sicht derzeit über kein angemessenes Datenschutzniveau verfügen. Außerdem setzt die The Rocket Science Group LLC zur Erfüllung ihrer Leistungen weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, welche ihren Sitz teils ebenfalls in den USA haben – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Die Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für die Drittlandübermittlung Ihrer Daten in die USA sind Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Für die Verwaltung der Kundendaten bedienen wir uns einer Kundendatenbank (CRM-System) der HubSpot Germany GmbH (10243 Berlin, Deutschland), die als unsere Auftragsverarbeiterin tätig wird. Die HubSpot Germany GmbH setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete HubSpot, Inc. (Massachusetts, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der HubSpot Germany GmbH selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der HubSpot Germany GmbH (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen. Die Kundendaten werden von der HubSpot Germany GmbH auf Servern innerhalb der Europäischen Union verarbeitet.

Rechtsgrundlage

Die Verarbeitung von personenbezogenen Daten unserer Kunden beruht auf der Rechtsgrundlage der Vertragserfüllung bzw. der Durchführung vorvertraglicher Maßnahmen auf Anfrage (Art. 6 Abs. 1 lit. b DSGVO). Soweit ein Vertrag nicht mit Ihnen selbst als betroffene Person, deren Daten verarbeitet werden müssen, abgeschlossen wird (z.B. Mitarbeiter der Organisation, welche unser Kunde ist), verarbeiten wir diese Daten auf Basis unseres berechtigten Interesses an der Account- und Kunden- bzw. Nutzerdatenverwaltung sowie auf Basis des berechtigten Interesses unseres jeweiligen Kunden an Ihrer Nutzung der Plattform im Rahmen seiner Organisation (Art. 6 Abs. 1 lit. f DSGVO); auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Basis für eine etwaige längerfristige Aufbewahrung bestimmter Kundendaten ist unsere rechtliche Verpflichtung gemäß den entsprechenden unternehmens- und steuerrechtlichen Dokumentations- und Aufbewahrungsfristen (Art. 6 Abs. 1 lit. c DSGVO).

Die Aufbewahrung des zu einem Nutzer angelegten Datensatzes im inaktiven Nutzer-Account nach dem Ende der jeweiligen Lizenz erfolgt auf Basis unseres berechtigten Interesses an der Ermöglichung der Portierung und Weiterverwendung durch den Nutzer iSd. Art. 6 Abs. 1 lit. f DSGVO. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.1.3. Verrechnung

Gegenstand und Zweck der Datenverarbeitung

Zur Rechnungslegung und Abwicklung der Bezahlung der Nutzungsentgelte für die DBP verarbeiten wir insbesondere folgende personenbezogenen Daten der Kunden: Name, Rechnungsadresse, UID-Nummer, zu zahlender Betrag, Anzahl der Lizenzen, Zahlungsinformationen. Die Zurverfügungstellung dieser Daten durch die Kunden ist notwendig, damit wir den abgeschlossenen Vertrag erfüllen können.

Speicherdauer

Wir sind gesetzlich dazu verpflichtet, die Daten ab dem Ende des jeweiligen Geschäftsjahres für sieben Jahre aufzubewahren.

Empfänger

Die Rechnungslegung erfolgt bei Zahlungsmethode Kreditkartenzahlung automatisiert über das Portal des Zahlungsdienstleisters Stripe (Stripe Payments Europe Limited, Dublin, Irland), der als unser Auftragsverarbeiter tätig wird. Stripe setzt zur Leistungserbringung auch weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die in den USA beheimatete Stripe Inc. (Kalifornien, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz von Stripe selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens Stripe kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes von Stripe (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Bei Business PRO-Kunden erfolgt die Rechnungslegung durch Versand einer elektronischen Rechnung (pdf) direkt durch die Bildungsplattform der Wirtschaftskammer Österreich GmbH.

In beiden Fällen ist die Wirtschaftskammer Österreich (Wien, Österreich) mit der Verrechnung der Nutzungsentgelte beauftragt, die in diesem Zusammenhang als unsere Auftragsverarbeiterin tätig wird.

Rechtsgrundlage

Die Rechtsgrundlage für diese Datenverarbeitung ist die Notwendigkeit zur Erfüllung des mit den Kunden abgeschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO.

Rechtsgrundlage für die nachfolgende Aufbewahrung der jeweiligen Zahlungsdaten ist unsere rechtliche Verpflichtung gemäß den entsprechenden unternehmens- und steuerrechtlichen Dokumentations- und Aufbewahrungsfristen (Art. 6 Abs. 1 lit. c DSGVO).

2.2. Verarbeitungstätigkeiten im Rahmen der DBP

2.2.1. Verarbeitung von Verbindungsdaten beim Aufruf der DBP

Gegenstand und Zweck der Datenverarbeitung

Bei jedem Aufruf der DBP (über das AMM) verarbeitet unser System automatisiert die folgenden Informationen vom Computersystem des aufrufenden Rechners, um die DBP technisch bereitstellen zu können:

  • IP-Adresse des Nutzers
  • http-Methode und http-Version
  • Zugriffsstatus/Status-Code des Servers
  • Browserversion
  • Referrer-URL (Website, von denen das System des Nutzers auf unsere DBP gelangt)
  • Benutzername des Nutzers, falls dieser angemeldet ist
  • Datum und Uhrzeit der Anfrage und Anzahl der gesendeten Bytes
  • Antworten des Servers
  • Fehlercodes

Wir speichern diese Informationen in Logfiles, um die technische Funktionalität der DBP zu optimieren und die Sicherheit unserer informationstechnischen Systeme zu gewährleisten. Eine Auswertung der personenbezogenen Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

Sie sind weder gesetzlich noch vertraglich verpflichtet, uns die oben genannten Informationen bereitzustellen. Sobald Sie die DBP aufrufen, werden die personenbezogenen Daten aber automatisiert erhoben.

Speicherdauer

Die Daten werden entweder nach Ende der jeweiligen Sitzung gelöscht oder in Logfiles gespeichert. Im Falle der Logfile-Speicherung werden die Daten nach zwei Monaten gelöscht.

Empfänger

Hosting Provider der DBP ist die Amazon Web Services EMEA Sàrl (Luxembourg, Luxemburg), welche wir als Sub-Auftragsverarbeiterin beiziehen. Die Amazon Web Services EMEA Sàrl setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz der Amazon Web Services EMEA Sàrl selbst als auch durch die Beauftragung von weiteren Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der Amazon Web Services EMEA Sàrl sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen (dies kann im Sub-Auftragsverhältnis ggfls. auch andere Drittländer als die USA betreffen). Ihre Daten werden von der Amazon Web Services EMEA Sàrl auf Servern innerhalb der Europäischen Union verarbeitet.

Rechtsgrundlage

Die Rechtsgrundlage für die vorübergehende Verarbeitung dieser Daten in Logfiles ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Erreichung der oben beschriebenen Zwecke bzw. § 165 Abs. 3 Telekommunikationsgesetz („TKG“) 2021. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.2.2. Allgemeiner Betrieb und Verwaltung der DBP

Gegenstand und Zweck der Verarbeitung

Im Zuge Ihrer Registrierung als Kunde oder Nutzer über das AMM werden die zur Profilerstellung und Nutzung der DBP notwendigen Informationen vom AMM entsprechend in die DBP übertragen, um Ihr Profil zu erstellen. Das Profil kann im Anschluss unter „Profil bearbeiten“ jederzeit eingesehen und bearbeitet werden. In Ihrem Profil können Sie uns freiwillig weitere Daten (z.B. Profilbild) bereitstellen; dies fällt unter die Nutzung der DBP gemäß Punkt 2.2.3.

Damit die DBP in der intendierten Form und mit allen relevanten Funktionen von uns angeboten werden kann, nutzen wir ein technisches System, welches in gewissem Umfang an unsere Bedürfnisse angepasst werden kann, neben betriebsnotwendigen Verarbeitungstätigkeiten gleichermaßen allerdings eine Reihe vordefinierter Verarbeitungsaktivitäten umfasst, welche wir im Detail leider nicht beeinflussen können. Die konkreten Datenflüsse haben wir für Sie unter Punkt 4.6 (sowie Punkt 4.4) im Detail aufgeschlüsselt.

Speicherdauer

Wir speichern Ihr Plattformprofil für die Dauer Ihrer Nutzung der DBP. Nach Ende eines Nutzungsvertrags werden Nutzerprofile für eine allfällige Portierung von uns für Sie aufbewahrt (siehe dazu schon Punkt 2.1.2). Daten, welche im Rahmen der unter Punkt 4.6 (sowie Punkt 4.4) aufgeschlüsselten Aktivitäten verarbeitet werden, werden jeweils nur solange gespeichert, wie dies für die Erreichung des jeweiligen Detailzwecks erforderlich ist (insbesondere technische Verbindungsdaten werden grundsätzlich nicht langfristig gespeichert).

Empfänger

Wir bedienen uns zur technischen Bereitstellung der DBP eines Systems der EdCast LLC (Kalifornien, USA), welche wir als Auftragsverarbeiterin einsetzen. Die EdCast LLC hat ihren Sitz in den USA, die aus datenschutzrechtlicher Sicht derzeit über kein angemessenes Datenschutzniveau verfügen. Außerdem setzt die EdCast LLC zur Erfüllung ihrer Leistungen weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, welche ihren Sitz teils ebenfalls in den USA haben – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen (vgl. aber auch Punkte 2.2.1, 4.6 sowie Punkt 5 für eine allgemeine Übersicht von Empfängern). Die Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der EdCast LLC sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen (dies kann im Sub-Auftragsverhältnis ggfls. auch andere Drittländer als die USA betreffen). Für die Bereitstellung der in der Europäischen Union gelegenen Serverinfrastruktur der DBP setzt die EdCast LLC die Amazon Web Services EMEA Sàrl als Auftragsverarbeiterin ein (vgl. schon Punkt 2.2.1). Die EdCast LLC selbst greift auf die auf den Amazon-Servern gelegenen Daten grundsätzlich ausschließlich in Supportsituationen via Fernzugriff zu.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten im Rahmen des allgemeinen Betriebs und der Verwaltung der DBP ist die Notwendigkeit zur Erfüllung des mit Ihnen abgeschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Soweit ein Vertrag nicht mit Ihnen selbst als betroffene Person, deren Daten verarbeitet werden, abgeschlossen wird (z.B. Mitarbeiter der Organisation, welche unser Kunde ist), verarbeiten wir diese Daten auf Basis unseres berechtigten Interesses an der bedarfsgerechten Bereitstellung der DBP sowie auf Basis des berechtigten Interesses unseres jeweiligen Kunden an Ihrer Nutzung der Plattform im Rahmen seiner Organisation (Art. 6 Abs. 1 lit. f DSGVO); auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Eine Reihe an vordefinierten Verarbeitungstätigkeiten im Zusammenhang mit der Nutzung von Drittanbieter-Diensten auf der DBP stützen wir indes auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die konkreten Verarbeitungstätigkeiten haben wir für Sie unter Punkt 4.4 sowie Punkt 4.6 im Detail aufgeschlüsselt. Die Einwilligung in diese Reihe an Verarbeitungstätigkeiten ist erforderlich für die Vertragserfüllung (Bereitstellung der DBP), da wir Ihre Einwilligung aufgrund gesetzlicher Vorgaben bezüglich des Einsatzes von Speichertechnologien (vgl. Punkt 2.3.3) benötigen. Ohne Ihre diesbezügliche Einwilligung könnten wir Nutzern kein zufriedenstellendes und einheitliches Erlebnis bieten und eine Aus- und Weiterbildungsplattform wie die DBP technisch sowie wirtschaftlich nicht realisieren. Folglich wird Ihre Einwilligung bereits im Rahmen Ihrer Registrierung/Anmeldung über das AMM eingeholt. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe auch Punkt 6); aufgrund der genannten Faktoren müssen wir Sie im Falle eines derartigen Widerrufs allerdings leider von der weiteren Nutzung der DBP ausschließen.

2.2.3. Nutzung der DBP sowie dritter Bildungsangebote

Gegenstand und Zweck der Verarbeitung

Im Rahmen der Nutzung der DBP zum Zweck der Aus- und Weiterbildung haben Sie verschiedene Möglichkeiten, unsere Leistungen in Anspruch zu nehmen. Dabei kommt es an verschiedensten Stellen zur Verarbeitung Ihrer personenbezogenen Daten, abhängig vom jeweiligen Nutzungsverhalten. Dies umfasst insbesondere Stammdaten (z.B. Vor- und Nachname, E-Mail-Adressen, Gruppenzugehörigkeit), Nutzungsdaten und Ausbildungsdaten (Spezialisierung, absolvierte Kurse, Lernfortschritt usw.), durch Interaktion mit der DBP und mit anderen Nutzern entstehende Daten (wie etwa abgeschlossene Lerninhalte, Zertifizierungen und Kommentare) oder durch den Nutzer oder andere Nutzer im Nutzerprofil hinterlegte Informationen zu Qualifikationen, Kenntnissen, Fähigkeiten und Lernzielen.

Sie haben die Möglichkeit, die Kanäle des Bildungsangebots der DBP als privater Nutzer ohne Zugehörigkeit zu einer spezifischen Gruppe oder als Mitglied einer geschlossenen Gruppe (im Rahmen Ihrer Organisation) zu nutzen, können aber auch (zusätzlich) einer oder mehreren öffentlichen Gruppen beitreten und über die jeweiligen Funktionen mit den anderen Nutzern und Lerninhalten interagieren. Ggfls. können Sie auch eigene Lerninhalte (bis hin zu Live-Ereignissen) erstellen und diese mit anderen teilen.

Weiters werden auf der DBP Bildungsangebote von Dritten bereitgestellt, welche entsprechend mit uns kooperieren und ggfls. über eine Schnittstelle mit der DBP verknüpft sind. Diese Angebote werden auf unterschiedliche Weise in die DBP integriert: manche Lerninhalte werden direkt auf der DBP bereitgestellt; i.d.R. ist es allerdings erforderlich, dass sie die DBP verlassen und mittels Verlinkung direkt auf das Angebot des jeweiligen Kooperationspartners zugreifen. Beim Erstaufruf eines Drittanbieter-Angebots, welches über unseren Single-Sign-On-Dienst an die DBP angebunden ist, werden Ihre Profildaten an den jeweiligen Bildungsanbieter übermittelt und es wird automatisch ein Konto für Sie beim jeweiligen Anbieter erstellt; im Anschluss verarbeitet der jeweilige Bildungsanbieter Ihre Daten weiter, als hätten Sie sich direkt bei diesem für dessen Lernangebot registriert – dies kann bspw. auch die Übermittlung von E-Mails oder anderweitiger Kommunikation an Sie durch den Anbieter einschließen, worauf wir keinen Einfluss haben (wir verweisen diesbezüglich daher auf die gesonderten Geschäftsbedingungen und Datenschutzhinweise unserer Kooperationspartner – vgl. aber die Ausführungen unten zu den Empfängern).

Speicherdauer

Ihre Daten werden für die Dauer der Nutzung der Plattform gespeichert. Im Anschluss werden Ihre bereits erreichten Lernerfolge und sonstige Informationen für eine allfällige Portierung für Sie aufbewahrt (siehe dazu schon Punkt 2.1.2).

Soweit Sie auf der DBP präsentierte Lernangebote dritter Bildungspartner im Rahmen von deren Kanälen nutzen, verweisen wir auf deren datenschutzrechtliche Informationserteilung. Wir verarbeiten diesbezüglich lediglich Informationen zum erzielten Lernfortschritt auf der DBP, welche uns durch den jeweiligen Bildungspartner rückübermittelt werden (diese Daten speichern wir im Einklang mit den obigen Ausführungen).

Empfänger

Auf der DBP sind gewisse Daten der einzelnen Nutzer (wie etwa Name, Organisation, Position, Anzahl der Nutzer, denen der betreffende Nutzer folgt oder die dem betreffenden Nutzer folgen) für die anderen Nutzer ersichtlich. Dieses „Social Feature“ dient u.a. dazu, Nutzer in Gruppen auf der DBP einladen zu können, anderen Nutzern Lerninhalte zu empfehlen und sich je nach Interessen anderweitig vernetzen zu können.

Zur Nutzung der Lerninhalte von dritten Bildungsanbietern (z.B. LinkedIn Ireland Unlimited Company, ETC – Enterprise Training Center GmbH, Bundesinnung Bau, Sparte Handel der Wirtschaftskammer Tirol), die über eine Schnittstelle mit der DBP verknüpft sind, werden Zugangsdaten der Nutzer wie insbesondere die E-Mail-Adresse für die Kontoerstellung an den jeweiligen Bildungsanbieter übermittelt, sobald Sie das Bildungsangebot des jeweiligen Anbieters zum ersten Mal aufrufen. Die Übertragung sowie jede weitere Anmeldung erfolgt automatisch mithilfe der Single-Sign-On-Lösung der Okta Inc. (zum Empfänger siehe schon die Ausführungen unter Punkt 2.1.2). Auch ohne Aufruf eines solchen Drittanbieter-Angebots können insbesondere technische Verbindungsdaten im Sinne von Punkt 4.1 aufgrund der Anbindung an die DBP an die Kooperationspartner übertragen werden. Für die eigenständige Weiterverarbeitung der übermittelten Zugangsdaten und die etwaige Erhebung und Weiterverarbeitung sonstiger Daten der Nutzer im Rahmen des jeweiligen Lernangebots ist der jeweilige Bildungsanbieter verantwortlich. Bezüglich der Anbindung an die Plattform sowie der Übermittlung Ihrer Zugangsdaten und des Austausches von Lernfortschritten zum gemeinsamen Zweck der Bereitstellung der Bildungsangebote sind wir mit dem jeweiligen Bildungsanbieter gemeinsam für die Verarbeitung Ihrer Daten im Sinne von Art. 26 DSGVO verantwortlich; bei Fragen oder Anliegen können Sie sich jederzeit gerne an uns wenden, wenngleich es Ihnen freisteht, jeden der Verantwortlichen diesbezüglich zu kontaktieren. Die einzelnen Bildungsanbieter, mit welchen im Rahmen unserer Kooperation eine solche gemeinsame Verantwortlichkeit besteht, können Sie im Rahmen des Anhangs am Ende dieser Datenschutzerklärung einsehen. Andere Bildungsanbieter, deren Lernangebote bspw. ausschließlich mittels einfacher Verlinkung über die DBP zugänglich gemacht werden, sind durchwegs selbstständig für eine dadurch initiierte Verarbeitung Ihrer personenbezogenen Daten verantwortlich.

Im Rahmen der Erstellung eigener Lerninhalte haben Sie die Möglichkeit, Daten aus Ihren vom jeweiligen Drittanbieter verantworteten Cloud-Storage-Konten (z.B. Google Drive) in die DBP zu übertragen (siehe dazu Punkt 4.6.5). Bezüglich der Erstellung eigener Live-Events bietet die DBP lediglich die Möglichkeit, dass Unternehmenskunden Videokonferenzen über von ihnen genutzte Anbieter im Rahmen ihrer dort unterhaltenen Konten anbieten; der jeweilige Kunde ist für den Einsatz eines solchen Anbieter und die dadurch ausgelöste Verarbeitung personenbezogener Daten von Nutzern eigenständig verantwortlich im Sinne der DSGVO.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten einschließlich Weiterübermittlungen an dritte Bildungsanbieter ist die Notwendigkeit zur Erfüllung des mit Ihnen abgeschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Soweit ein Vertrag nicht mit Ihnen selbst als betroffene Person, deren Daten verarbeitet werden, abgeschlossen wird (z.B. Mitarbeiter der Organisation, welche unser Kunde ist), verarbeiten wir diese Daten auf Basis unseres berechtigten Interesses an der bedarfsgerechten Bereitstellung der DBP sowie auf Basis des berechtigten Interesses unseres jeweiligen Kunden an Ihrer der Nutzung der Plattform im Rahmen seiner Organisation (Art. 6 Abs. 1 lit. f DSGVO).

Die Verarbeitung der Daten von Business Nutzern einschließlich die Weitergabe von Zugangsdaten an dritte Bildungsanbieter sowie die Offenlegung von Nutzerdaten gegenüber anderen Nutzern im Rahmen des Social Feature beruhen auf unseren überwiegenden berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Zurverfügungstellung der DBP und der Erfüllung der mit den Kunden abgeschlossenen Verträge bzw. der Ermöglichung des effektiven Austausches und der Vernetzung zwischen den Nutzern.

Zum Widerspruchsrecht Betroffener im Falle von Verarbeitungstätigkeiten auf Basis berechtigter Interessen siehe Punkt 6.

2.2.4. Benachrichtigungen

Gegenstand und Zweck der Verarbeitung

Als Nutzer der DBP erhalten Sie gewisse Benachrichtigungen per E-Mail sowie – im Falle der Nutzung unserer App – ggfls. auch in Form von Push-Benachrichtigungen, um Sie direkt auf relevante Interaktionen in Zusammenhang mit dem Angebot auf der DBP aufmerksam machen zu können (z.B., wenn ein Nutzer in einem Kommentar erwähnt wird). Standardmäßig sind nur die wichtigsten E-Mail-Benachrichtigungen aktiviert (z.B., wenn eine Anmeldung für ein Live-Ereignis genehmigt wurde). Über die Benachrichtigungseinstellungen Ihres DBP-Profils können Sie zahlreiche weitere Benachrichtigungen aktivieren, diese allerdings gleichermaßen auch zur Gänze deaktivieren. Daten in diesem Zusammenhang werden zum Zweck der Zusendung relevanter oder gewünschter Informationen verarbeitet.

Im Falle der Installation unserer App werden Push-Benachrichtigungen je nach Software/Einstellungen auf Ihrem Endgerät automatisch aktiviert oder Sie werden gefragt, ob die App Ihnen Benachrichtigungen anzeigen darf. Push-Benachrichtigungen lassen sich in den Einstellungen des Endgeräts grundsätzlich auch für einzelne Apps deaktivieren, wobei sich je nach Plattform und Betriebssystem Unterschiede ergeben können. Sollte die Verwendung von Push-Benachrichtigungen im Rahmen der App aktiviert sein, registriert sich Ihr Mobilgerät bei einem vom jeweiligen Betriebssystem abhängigen Serviceprovider (grundsätzlich „Firebase Cloud Messaging“ für Android und „Apple Push Notification service“ für iOS). Danach wird dem Endgerät vom Serviceprovider eine ID (Android) bzw. ein Token (iOS) zugewiesen.

Diese ID bzw. dieser Token wird für eine spätere Benachrichtigungsübermittlung auf Ihrem Endgerät gespeichert und enthält eine Buchstaben- und Zahlenkombination. Weiters wird die ID bzw. der Token an Server unserer Dienstleister (insbesondere der EdCast LLC – vgl. zum Empfänger Punkt 2.2.2) gesendet und für eine spätere Verwendung gespeichert. Sollte nun ein Ereignis in Kraft treten, zu welchem eine Push-Benachrichtigung zu versenden ist, wird diese mit allen dazu passenden IDs und Tokens von diesen Servern zunächst an den entsprechenden Serviceprovider übermittelt und von diesem dann an die Endgeräte weitergeleitet.

Speicherdauer

Im Zusammenhang mit der Zusendung von Push-Benachrichtigungen werden lediglich die genannten gerätspezifischen Kennungen gespeichert und gelöscht, sofern Sie eine Einwilligung in die Zusendung von Push-Benachrichtigungen (technisch) widerrufen bzw. eine Löschung verlangen (vgl. auch Punkt 6 zu Ihren Rechten als betroffene Person).

Empfänger

Siehe schon die Ausführungen unter Punkt 2.2.2 zum allgemeinen Betrieb der DBP und den Empfänger von Daten. Darüber hinaus wird der Push-Benachrichtigungen-Service auf Ihrem Endgerät selbst grundsätzlich vom jeweiligen Anbieter Ihres Endgeräts und dessen Software eigenständig verantwortet.

Rechtsgrundlage

Voreingestellte Push-Benachrichtigungen werden auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer standardmäßigen Erteilung der als besonders wesentlich eingestuften Interaktionsinformationen als nützliche Plattformfunktion versendet (diese können Sie jederzeit deaktivieren). Die übrigen auswählbaren Benachrichtigungen werden von Ihnen über die Benachrichtigungseinstellungen Ihres DBP-Profils selbstständig aktiviert und deren Versendung basiert somit auf Ihrer entsprechenden vorherigen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche Sie durch die jeweils erforderliche aktive Handlung bestätigen. Auf das Widerspruchs- und Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

2.3. Gemeinsame Verarbeitungstätigkeiten

2.3.1. Nutzer-Kommunikation

Gegenstand und Zweck der Datenverarbeitung

Abseits unserer Newsletter kommunizieren wir über verschiedene Kanäle mit den Kunden und Nutzern. Insbesondere haben Nutzer die Möglichkeit, durch ein Kontaktformular in der DBP („Service Desk“), via suport@wise-up.at oder telefonisch mit uns Kontakt aufzunehmen. Außerdem verarbeiten wir personenbezogenen Daten im Zusammenhang mit der Lösung von technischen Problemen. In solchen Fällen kann es auch dazu kommen, dass wir E-Mails und Push-Notifications an unsere Kunden und Nutzer senden. In diesem Zusammenhang können insbesondere folgende personenbezogenen Daten verarbeitet werden: Name des Kommunikationspartners, Kontaktdaten (wie etwa E-Mail-Adresse, Telefonnummer), Kommunikationsinhalte wie die jeweilige Anfrage oder Fehlerbeschreibung und der Zeitpunkt der letzten Kommunikation. Sie sind zur Bereitstellung dieser Daten nicht verpflichtet; wenn Sie uns die Daten aber nicht zur Verfügung stellen, können Sie mit uns nicht in Kontakt treten.

Speicherdauer

Wir löschen etwaige Nachrichten und darin enthaltene personenbezogene Daten nach dem Ablauf von 12 Monaten ab dem letzten Kontakt (Erhalt Ihrer Anfrage bzw. Versand unserer Antwort).

Empfänger

Für die Bereitstellung und den Betrieb unseres Service Desks verwenden wir die Plattform Jira Service Management und Confluence von „Atlassian“. Unsere Vertragspartner, die in diesem Zusammenhang als unsere Auftragsverarbeiter agieren, sind die Atlassian PTY Ltd (New South Wales, Australien) und die Atlassian Inc. (Kalifornien, USA). Die Atlassian PTY Ltd und die Atlassian Inc. haben ihren Sitz in Drittländern, die aus datenschutzrechtlicher Sicht derzeit über kein angemessenes Datenschutzniveau verfügen bzw. für die derzeit kein Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO besteht. Außerdem setzen die genannten Dienstleister zur Erfüllung ihrer Leistungen weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, welche ihren Sitz teils ebenfalls in solchen Drittländern, insbesondere den USA haben – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Die Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Zusammenhang mit einer Übermittlung in die USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der Atlassian PTY Ltd und der Atlassian Inc. sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen (dies kann im Sub-Auftragsverhältnis ggfls. auch andere Drittländer als die USA betreffen). Aufgrund der direkten Einbindung des Service Desks sowohl in das AMM als auch in die DBP kommt es beim bloßen Aufruf beider Verarbeitungsumgebungen zu einer automatischen Übertragung Ihrer technischen Verbindungsdaten im Sinne von Punkt 4.1; möchte ein Nutzer keine Anfragen über den Service Desk verschicken, kann er uns alternativ über die unter Punkt 7 angeführten Kontaktdaten kontaktieren.

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Kommunikation mit unseren Nutzern und sonstigen Interessenten, die mit uns Kontakt aufnehmen. Auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Soweit sich Ihre Anfrage auf ein bestehendes Vertragsverhältnis mit Ihnen bezieht oder Sie an einem Vertragsabschluss interessiert sind, erfolgt die Datenverarbeitung zur entsprechenden Vertragsabwicklung bzw. zur Setzung vorvertraglicher Maßnahmen auf Ihre Anfrage gemäß Art. 6 Abs. 1 lit. b DSGVO.

2.3.2. Funktionale Einbindungen

Gegenstand und Zweck der Verarbeitung

Im Rahmen der Plattform können durch Einbindung von Drittanbieter-Software zusätzliche Verarbeitungsvorgänge initiiert werden, die jeweils bestimmte Funktionen erfüllen. Die einzelnen Einbindungen und ihr Funktionszweck sind unter Punkt 4.3 überblicksmäßig dargestellt; Detailinformationen können Sie den detaillierten Beschreibungen unter den Punkten 4.4, 4.5 sowie 4.6 entnehmen.

Sie sind nicht zur Bereitstellung Ihrer Daten verpflichtet, können die DBP ohne Bereitstellung derselben allerdings ggfs. nicht nutzen.

Speicherdauer

Wir speichern die generierten Daten im Rahmen der Vorgaben und Möglichkeiten des jeweiligen Dienstes solange sie für die Erfüllung des jeweiligen Verarbeitungszwecks benötigt werden.

Empfänger

Die jeweiligen Empfänger ergeben sich aus den Detailangaben zu den einzelnen Diensten.

Rechtsgrundlage

Die Rechtsgrundlagen werden im Zuge der Detaildarstellung des jeweiligen Dienstes entsprechend ausgewiesen.

2.3.3. Datenverarbeitung durch Einsatz von Speicher- und anderen Technologien

Wir verwenden im Rahmen der Plattform die nachfolgenden Technologien zu unterschiedlichen Zwecken. Soweit es dabei zur Speicherung von Informationen auf Ihrem Endgerät oder zu einem Zugriff auf dort gespeicherte Informationen kommt, spricht man von Speichertechnologien, welche besonderen Datenschutzregeln unterliegen. Soweit ein Einsatz derselben für die Aufrechterhaltung unseres Plattformbetriebs technisch nicht erforderlich ist, holen wir Ihre vorhergehende Einwilligung ein. Zusätzlich verwenden wir andere Technologien zu ähnlichen Zwecken und verarbeiten dieserart erhobene Daten ggfls. mithilfe von Speichertechnologien weiter. Speichertechnologien werden auch im Rahmen der unter Punkt 4 dargestellten Drittanbieter-Dienste genutzt.

Sie sind nicht zur Bereitstellung Ihrer Daten verpflichtet. Bestimmte Daten, welche wir auf Basis unserer berechtigten Interessen (Art. 6. Abs. 1 lit. f DSGVO) verarbeiten, werden ggfls. beim Aufruf der Plattform automatisch übertragen. Daten, welche wir auf Basis Ihrer Einwilligung (Art. 6. Abs. 1 lit. a DSGVO) verarbeiten, werden uns erst bereitgestellt, nachdem Sie die entsprechende Einwilligung abgegeben haben.

Cookies

Auf der Plattform kommen sogenannte „Cookies“ zum Einsatz. Sogenannte technisch notwendige Cookies, die wir im Einklang mit § 165 Abs. 3 TKG zur Aufrechterhaltung der Funktionalität Plattform benötigen (siehe dazu unten), nutzen wir sowohl im Rahmen des AMM als auch der DBP auf Basis unseres diesbezüglichen berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), soweit es in diesem Zusammenhang zur Verarbeitung personenbezogener Daten kommt. Weiters kommen insbesondere im Rahmen der DBP andere Arten von Cookies zum Einsatz, für deren Nutzung wir Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. § 165 Abs. 3 TKG) benötigen. (Zu den Rechten Betroffener auf Widerruf und Widerspruch siehe Punkt 6.)

Bitte beachten Sie: Um Nutzern ein zufriedenstellendes und einheitliches Erlebnis bieten und die Plattform gleichzeitig technisch sowie wirtschaftlich realisieren zu können, ist es uns allerdings leider nicht möglich, unsere entsprechenden Leistungen Nutzern anzubieten, welche uns Ihre Einwilligung für die Cookie-Setzung im Rahmen der DBP nicht erteilen. Diese Einwilligung ist daher für einen Vertragsabschluss konkret erforderlich (vgl. Punkt 2.2.2 sowie Punkt 4.6) und betrifft eine Reihe an Cookies (sowie weitere unter Punkt 2.3.3 beschriebene Speichertechnologien). Konkrete Informationen zu den Verarbeitungsvorgängen im Einzelnen bzw. zu deren Hintergründen finden Sie im Rahmen der Darstellungen unter Punkt 2 sowie Punkt 4. Dieser Punkt dient im weiteren einer allgemeinen Informierung über Cookies (bzw. Speichertechnologien).

Cookies sind kleine Datensätze, die auf Ihrem Endgerät grundsätzlich von Ihrem Browser verwaltet und dort gespeichert werden. Sie werden zunächst von einem Webserver platziert und an diesen zurückgesendet, sobald eine neue Verbindung aufgebaut wird, um den Nutzer und seine Einstellungen wiederzuerkennen. Ihrem Endgerät wird dabei eine spezifische Identität aus Nummern und Buchstaben zugeordnet.

Cookies können diverse Zwecke erfüllen und bspw. dabei helfen, die Funktionalität einer Website hinsichtlich Funktionen und Nutzererfahrung dem Stand der Technik entsprechend aufrechtzuerhalten. Der tatsächliche Inhalt eines spezifischen Cookies wird immer von der Website bestimmt, die es erstellt hat.

Cookies enthalten jedenfalls immer folgende Informationen:

  • Bezeichnung des Cookies;
  • Bezeichnung des Servers, von dem das Cookie stammt;
  • ID-Nummer des Cookies;
  • ein Enddatum, nach dessen Ablauf das Cookie automatisch gelöscht wird.

Nach Art. und Zweck lassen sich Cookies folgendermaßen unterscheiden:

  • Erforderliche Cookies: Technisch notwendige (auch: essentielle, erforderliche) Cookies helfen dabei, eine Website nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Website ermöglichen. Eine Website kann ohne diese Cookies vielfach nicht richtig funktionieren. Bei technisch notwendigen Cookies handelt es sich immer um First-Party-Cookies. Diese Cookies können in den Einstellungen Ihres Browsers nur deaktiviert werden, indem ausnahmslos alle Cookies abgelehnt werden (siehe dazu unten) und werden auch im Rahmen unserer Plattform rechtlich zulässig ohne Einholung von Einwilligungen eingesetzt.
  • Präferenz-Cookies: Präferenz-Cookies ermöglichen einer Website sich an Informationen zu erinnern, die die Art. beeinflussen, wie sich eine Website verhält oder aussieht, wie z.B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.
  • Statistik-Cookies: Statistik-Cookies helfen Websitebetreibern zu verstehen, wie Besucher mit Websites interagieren, indem Informationen anonym gesammelt und ausgewertet werden. Solche Cookies werden folglich eingesetzt, um Informationen über das Nutzerverhalten zu sammeln. Dabei können etwa folgende Informationen gespeichert werden: aufgerufene Sub-Seiten (Dauer und Häufigkeit); Reihenfolge besuchter Seiten; verwendete Suchbegriffe, die zum Besuch einer Website geführt haben; Bewegungen der Maus (Scrollen und Klicks); Land und Region des erfolgten Zugriffs. Die Cookies ermöglichen zu bestimmen, woran ein Nutzer interessiert ist und die Inhalte und Funktionalität einer Website dadurch an die individuellen Nutzerbedürfnisse anzupassen.
  • Tracking-Cookies: Tracking-Cookies werden verwendet, um Besucher auf Websites zu verfolgen. Die Absicht ist, Anzeigen zu schalten, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittanbieter. Dies wird durch eine Analyse Ihres Nutzungsverhaltens ermöglicht, das auf Basis der dadurch ermittelten Interessen eine entsprechende Personalisierung von Werbung zulässt.
  • Social-Media-Inhalte: Solche Cookies entstammen Drittanbieter-Plattformen und -Diensten und sind notwendig, um Inhalte der jeweiligen Plattform bzw. des jeweiligen Dienstes abzurufen, die in eine Website eingebunden sind. Sie können ihrerseits vom jeweiligen Drittanbieter zu gewissen Analyse- und Trackingzwecken verwendet werden (insbesondere in Zusammenhang mit dort unterhaltenen Accounts).

Nach der Speicherdauer unterscheidet man außerdem zwischen:

  • Session-Cookies: Diese Cookies werden ohne Ihr Zutun gelöscht, sobald Sie Ihre aktuelle Browser-Sitzung beenden.
  • Persistente Cookies: Diese Cookies (bspw. zur Speicherung Ihrer Spracheinstellung) bleiben bis zu einem im Vorhinein definierten Ablaufdatum oder bis zu einer etwaigen manuellen Entfernung durch Sie auf Ihrem Endgerät gespeichert.

Nach dem Zurechnungssubjekt lässt sich weiters folgendermaßen differenzieren:

  • First-Party-Cookies: Solche Cookies werden von uns selbst verwendet und direkt von unserer Plattform gesetzt. Sie werden von Browsern grundsätzlich nicht domainübergreifend zugänglich gemacht, weshalb der Nutzer nur von der Seite wiedererkannt werden kann, von der das Cookie stammt.
  • Third-Party-Cookies: Solche Cookies (auch Drittanbieter-Cookies) werden nicht von uns selbst, sondern von Dritten insbesondere zu Werbezwecken (etwa zur Verfolgung des Surfverhaltens) beim Aufruf unserer Plattform gesetzt. Die betrifft bspw. Informationen über verschiedene Seitenaufrufe sowie die Häufigkeit derselben.

Die meisten Browser akzeptieren Cookies automatisch. Sie haben die Möglichkeit, Ihre Browser-Einstellungen anzupassen, sodass Cookies entweder generell abgelehnt oder nur bestimmte Arten zugelassen werden (z.B. Beschränkung der Verweigerung auf Third-Party-Cookies). Sollten Sie die Cookie-Einstellungen Ihres Browsers ändern, kann die Plattform allerdings ggfls. nicht mehr in vollem Umfang genutzt werden. Über die Browser-Einstellungen haben Sie ebenfalls die Möglichkeit, sämtliche bereits in Ihrem Endgerät gespeicherte Cookies zu löschen. Dies entspricht einem Widerruf Ihrer Einwilligung.

Local Storage; Session Storage

Wir nutzen neben Cookies auch die Speicherkapazität Ihrer Browser-Software, bspw. zu Zwecken der Verbesserung der Bedienbarkeit der Plattform, ihrer Benutzerfreundlichkeit sowie unseres Angebots im Allgemeinen (z.B. zur Sicherung Ihrer Spracheinstellung). Zu diesem Zweck benutzen wir den sogenannten Local Storage bzw. Session Storage, um bestimmte Daten auf Ihrem Endgerät zu speichern, wobei Ihr Browser den Local Storage bzw. Session Storage für verschiedene Domains jeweils separat anlegt. Neben Ihnen selbst können ausschließlich wir auf die Daten zugreifen, die in diesem Zusammenhang verarbeitet werden. Unbeteiligte Dritte haben in keinem Fall die Möglichkeit, auf diese Informationen zuzugreifen; sie können allerdings in unserem Auftrag zu bestimmten Zwecken von unseren Partnern (Drittanbieter) auf Ihrem Endgerät gespeichert werden. Im Gegensatz zu Cookies ist diese Methode schneller und sicherer, da Daten nicht automatisch bei jeder HTTP-Anfrage zum jeweiligen Server transferiert, sondern lediglich von Ihrer Browser-Software gespeichert werden; außerdem bietet der Local Storage bzw. Session Storage jeweils bis zu 5 Megabyte Speichervolumen, während ein einzelnes Cookie maximal 4096 Bytes betragen kann.

Da die Funktionalitäten Ähnlichkeiten zu Cookies aufweisen, gilt das zu Cookies Gesagte sinngemäß. Bitte beachten Sie, dass Informationen im Local Storage kein vordefiniertes Ablaufdatum haben (sie sind vergleichbar mit persistenten Cookies). Informationen im Session Storage bleiben dagegen nur für die Dauer der jeweiligen Browser-Sitzung gespeichert (sie sind vergleichbar mit Session-Cookies).

Daten manuell aus dem Local Storage bzw. Session Storage zu entfernen, funktioniert im Rahmen der Einstellungen der meisten Browser genau wie bei der manuellen Entfernung von Cookies, da Cookies innerhalb dieser Option zumeist mit anderen Websitedaten zusammengefasst werden (z.B. „Cookies und andere Websitedaten“); es wird insofern auf die obigen Ausführungen zu Cookies verwiesen. Soweit die von Ihnen eingesetzte Browser-Software Cookies und andere Websitedaten in diesem Sinn zusammenfasst, wird durch das Blockieren von Cookies gleichermaßen auch der Zugriff auf den Local Storage bzw. Session Storage blockiert (was gleichfalls zu Nutzungseinschränkungen der Plattform führen kann). Sollten Sie JavaScript deaktivieren, kann der Local Storage bzw. Session Storage ebenfalls nicht mehr von uns genutzt werden, dies kann allerdings generell zu erheblichen Nutzungseinschränkungen führen.

Tracking-Pixel

Eine weitere Möglichkeit abseits von Speichertechnologien, bestimmte Nutzerdaten zu erheben, besteht durch sogenannte Tracking-Pixel (auch: Zählpixel, Pixel-Tags oder Web-Beacons). Dabei handelt es sich um transparente Bilder, die praktisch unsichtbar sind, da sie lediglich aus einem einzigen Pixel bestehen. Das Tracking-Pixel liegt dabei auf einem Server und wird geladen, sobald eine dafür vorgesehene Sub-Seite aufgerufen wird. Sie ermöglichen es uns, den Umstand des Aufrufs einer Webseite sowie daran anschließende Benutzeraktivitäten zu verfolgen, um zielgerichtetes Marketing schalten zu können. Mithilfe des Tracking-Pixels können grundsätzlich folgende Informationen abgerufen werden: (i) verwendetes Betriebssystem; (ii) verwendete Browser-Software; (iii) Zeitpunkt des Aufrufs einer Webseite; (iv) Nutzerverhalten auf der besuchten Webseite; (v) IP-Adresse und ungefährer Standort des Benutzers.

Tracking-Pixel kommen auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer dem Stand der Technik entsprechenden Analyse von Zugriffen zum Einsatz; ggfls. holen wir in bestimmten Fällen auch Ihre vorhergehende Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO). (Zu den Rechten Betroffener auf Widerruf und Widerspruch siehe Punkt 6.) Da es sich lediglich um ein von einem Server geladenes Bild handelt, kann die Lebensdauer eines Tracking-Pixels nicht über eine einzelne Browser-Sitzung hinausreichen. Allerdings können durch Tracking-Pixel generierte Informationen im Anschluss ggfls. mittels Speichertechnologien (siehe schon oben) gespeichert werden.

3. Links zu Seiten Dritter

Wir verwenden im Rahmen der Plattform sowie innerhalb dieser Datenschutzerklärung Verlinkungen auf die Seiten Dritter. Wenn Sie auf einen dieser Links klicken, werden Sie direkt auf die jeweilige Seite weitergeleitet. Für die Websitebetreiber ist einzig ersichtlich, dass Sie über unsere Plattform zugegriffen haben. Dementsprechend verweisen wir im Allgemeinen auf die gesonderten Datenschutzerklärungen dieser Websites. Bitte beachten Sie aber, dass Sie durch den Umstand des Zugriffs auf eine solche Seite einer neuerlichen Verarbeitung Ihrer Daten in der Einflusssphäre des jeweiligen Dritten (sowie ggfls. einer Übermittlung Ihrer Daten in unsichere Drittländer) ausgesetzt werden! Im Hinblick auf kooperierende Bildungsanbieter, deren Lerninhalte über die DBP verlinkt werden, gilt dies sinngemäß (zum Datenaustausch mit dritten Bildungsanbietern siehe aber schon Punkt 2.2.3).

4. Drittanbieter-Dienste

4.1. Gemeinsame Hinweise

Gegenstand und Zweck der Datenverarbeitung

Um die Plattform für die vorgesehenen Einsatzzwecke zu optimieren und Funktionen bereitstellen zu können, welche zur Leistungserbringung bzw. für einen wirtschaftlich sinnhaften Betrieb notwendig oder nützlich sind, sowie um Nutzern im Rahmen unseres Geschäftsbetriebs gewöhnlich erwartete Eigenschaften zur Verfügung stellen zu können, setzen wir eine Reihe von Diensten ein, welche von Drittanbietern erbracht und nachfolgend dargestellt werden.

Verarbeitungsrollen

Soweit nichts anderes angegeben wird, agieren die jeweiligen Dienstleister als unsere Auftragsverarbeiter oder Sub-Auftragsverarbeiter und erbringen ihre Leistungen daher in unserem Namen auf Basis einer entsprechenden Vereinbarung. Ggfls. können eingesetzte Dienstleister erhaltene Daten aber auch als Verantwortliche zu eigenen Zwecken, insbesondere zur Optimierung ihres eigenen Angebots verwenden. Unabhängig von ihrer konkreten Rolle im Verarbeitungskontext gelten sie jedenfalls als Empfänger bestimmter Ihrer Daten, da der Einsatz des jeweiligen Dienstes auf der Plattform eine Verarbeitung durch den zugehörigen Dienstleister erfordert.

Notwendige Datenverarbeitung

Schon aus rein technischer Sicht werden beim Besuch jeder Website bestimmte Daten übertragen, welche grundsätzlich auch an alle eingebundenen Dienste weitergegeben werden und in ihrer Gesamtheit den digitalen Fingerabdruck darstellen, welchen Sie im Zuge Ihrer Online-Aktivitäten hinterlassen – dieser Fingerabdruck (Browser-Fingerprint) kann dazu verwendet werden, bestimmte Rückschlüsse auf Sie bzw. Ihr Endgerät zu ziehen.

Dabei lassen sich die folgenden Kategorien von „Verbindungsdaten“ unterscheiden, welche an den Server übertragen werden (können), an den sich die Anfrage richtet, die Plattform bzw. eine spezifische Datei bereitzustellen:

  • Implizite Verbindungsdaten (automatische, zwangsweise und unaufgeforderte Übertragung):
  • IP-Adresse des zugreifenden Rechners;
  • User-Agent (Browsertyp/-version, Betriebssystem);
  • aufgerufene Seite (URL);
  • Seite, von welcher der Nutzer kam (Referrer);
  • Zeitpunkt des Zugriffs;
  • Explizite Verbindungsdaten (Übertragung, soweit im Code des jeweiligen Dienstes vorgesehen):
  • Bildschirmauflösung;
  • Farbtiefe;
  • Zeitzone;
  • Touchscreen-Unterstützung;
  • Browser-Plugins.

Rechtsgrundlage

Die Verarbeitung Ihrer Daten im Rahmen von reinen Anfragen an Drittserver, welche automatisch durch Aufruf einer Sub-Seite unserer Plattform ausgelöst werden, auf der ein Drittanbieter-Dienst eingebunden ist, stützen wir auf unser berechtigtes Interesse (Art. 6 Abs 1 lit. f DSGVO) derartige Dienste mit technisch angemessenem Aufwand in unsere Plattform zu integrieren – auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Diese Daten werden von den jeweiligen Drittanbietern grundsätzlich zu keinen eigenen Zwecken verwendet. Soweit Verbindungsdaten neben der Übertragungsherstellung unter anderem auch zu Analysezwecken, insbesondere in unserem Auftrag, verwendet werden, wird die entsprechende Verarbeitungstätigkeit gesondert gerechtfertigt – die jeweilige Rechtsgrundlage können Sie der Kurzdarstellung der Drittanbieter-Dienste unter Punkt 4.3 entnehmen (Gleiches gilt im Hinblick auf von zahlreichen Diensten eingesetzte Cookies oder ähnliche Speicher- bzw. Trackingtechnologien im Sinne von Punkt 2.3.3).

4.2. Drittlandübermittlung; Risiken bei Datentransfers in die USA

Manche von uns eingesetzte Dienstleister haben Ihren Sitz oder ihre Serverlandschaft außerhalb der EU bzw. des EWR oder setzen zur Leistungserbringung (weitere) Auftragsverarbeiter ein, auf welche dies zutrifft. Sobald personenbezogene Daten in die Rechtssphäre eines Landes übertragen werden, welches nicht dem EU-/EWR-Raum angehört, findet das V. Kapitel der DSGVO Anwendung, wonach eine von der DSGVO vorgegebene Grundlage für eine solche Übermittlung sicherzustellen ist. Sofern kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO im Hinblick auf das vorherrschende Datenschutzniveau eines Landes besteht, müssen geeignete Garantien gemäß Art. 46 DSGVO herangezogen oder Ausnahmen für bestimmte Fälle im Sinne von Art. 49 DSGVO fruchtbar gemacht werden. Besteht kein Angemessenheitsbeschluss, schließen wir im Normalfall Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit. c DSGVO ab, welche auf vertraglicher Basis als Grundlage für die jeweilige Übermittlung dienen.

Ein besonderes Problem besteht allerdings im Hinblick auf die Rechtsordnung der USA, da nach Aufhebung des sogenannten „EU-US Privacy Shield“ durch den Gerichtshof der Europäischen Union („EuGH“) in der Rechtssache C‑311/18 (Schrems II) – mangels adäquaten Datenschutzniveaus – im Moment kein Angemessenheitsbeschluss (mehr) für dieses Drittland besteht (sogenanntes „unsicheres Drittland“). Diese Aufhebung wurde insbesondere mit den aus europäischer Sicht sehr umfassenden Befugnissen von US-Behörden begründet, auf Daten betroffener Personen aus dem EU-/EWR-Raum zuzugreifen, die von bestimmten US-Anbietern verarbeitet werden (bzw. auf US-Servern gespeichert oder mittels US-Infrastruktur übertragen werden) – dies ohne dass die betroffenen Personen darüber informiert werden müssten oder sich selbstständig dagegen zur Wehr setzen könnten. Folglich bereitet die Zusammenarbeit mit zahlreichen Unternehmen, welche US-amerikanischem Recht unterliegen, derzeit datenschutzrechtliche Probleme; unter anderem, da das Heranziehen vertraglicher Garantien (z.B. Standarddatenschutzklauseln) Behörden sowie den US-amerikanischen Gesetzgeber nicht zu binden vermag.

Im Einklang mit den auffindbaren Informationen könnten sich insbesondere die folgenden US-amerikanischen Rechtsgrundlagen als Hürden einer Datenübermittlung im Einklang mit der DSGVO darstellen:

  • Title 50 United States Code (U.S.C.) 1881a (FISA 702)
    „FISA“ steht für Foreign Intelligence Surveillance Act und dient der Rechtfertigung von Auslandsüberwachungen und Maßnahmen zur Spionageabwehr durch die USA.
  • US Executive Order 12.333 (EO 12.333)
    Ein präsidialer Erlass, welcher Befugnisse US-amerikanischer Geheimdienste ausweitet.
  • US-CLOUD-ACT
    Der Clarifying Lawful Overseas Use of Data Act regelt Überwachungsbefugnisse von US-Strafverfolgungsbehörden und gestattet unter bestimmten Umständen auch Zugriff auf Daten, welche außerhalb der USA gespeichert werden.

In seiner Schrems II-Entscheidung führte der EuGH aus, dass weder FISA 702 noch die EO 12333 den Anforderungen der DSGVO genügen: „Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen […]“ Zur Herausgabe von Daten (z.B. nach FISA 702 oder dem US-CLOUD-ACT) sind unter anderem Anbieter elektronischer Kommunikationsdienste verpflichtet, was konkret auf die meisten relevanten US-Dienstleister zutrifft. Es kann angenommen werden, dass die relevanten US-Dienstleister unter den Begriff „Anbieter elektronischer Kommunikationsdienste“ fallen. Andere Rechtsnormen wiederum (z.B. jene der EO 12333) erlauben vor allem „direkte“ nachrichtendienstliche Überwachungsmaßnahmen und sind daher nicht auf die Mitwirkung von Unternehmen ausgelegt (wobei dies selbstverständlich eine freiwillige Mitwirkung nicht ausschließt).

Zum erst 2018 erlassenen US-CLOUD-Act, der sich – soweit ersichtlich – auf Befugnisse von US-Strafverfolgungsbehörden im Bereich schwerer Straftaten bezieht, konnte sich der EuGH indes nicht äußern, da sich der entscheidungserhebliche Sachverhalt vor diesem Zeitpunkt zutrug. Zwar ist aus europäischer Sicht bislang nicht abschließend geklärt, wie weitreichend sich der US-CLOUD-Act auf die genannte Problematik auswirkt – allerdings scheint er US-Behörden unter gewissen Voraussetzungen auch eine Zugriffsmöglichkeit auf Daten zu gewähren, welche (i) auf in der EU/im EWR betriebenen Servern liegen und/oder (ii) datenschutzrechtlich von in der EU/im EWR ansässigen Tochtergesellschaften eines US-Dienstleisters verantwortet werden (allerdings scheint es auch nicht von vornherein ausgeschlossen zu sein, dass die Regelungen gemäß FISA 702 und EO 12.333 auf solche Daten angewendet werden).

Von seinem Umfang her ist der US-CLOUD-ACT gleichwohl nicht auf weitreichende Massenüberwachungsmaßnahmen ausgelegt, sondern befasst sich vorrangig mit spezifischen Anfragen zu bestimmten Personen. Zudem scheint der US-CLOUD-ACT keine Vorschriften zu enthalten, welche Unternehmen zu einer Entschlüsselung verschlüsselter Daten verpflichten könnte.

Zusätzlich haben neue rechtliche Entwicklungen die vom EuGH festgestellte Problematik inzwischen entschärft: Am 7. Oktober 2022 unterzeichnete der US-Präsident eine neue Executive Order (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities [EO-ES 2022]), welche den Zweck verfolgt, die bisherigen Schutzmaßnahmen für personenbezogene Daten und die bürgerlichen Freiheiten im Rahmen von bestimmten nachrichtendienstlichen Aktivitäten weiter zu stärken. Zudem sollen durch die EO-ES 2022 weiterführende Rechtsschutzmechanismen für Einzelpersonen in qualifizierten Staaten verankert werden. Aus Sicht der EU-Kommission wurden durch die EO-ES 2022 die Probleme, welche vom EuGH im Zuge seiner Schrems II-Entscheidung aufgegriffen wurden, angemessen adressiert. Damit wurden letzte rechtliche Hindernisse beseitigt und der Weg für einen erneuten Angemessenheitsbeschluss (siehe schon oben) eröffnet.

Da wir im Hinblick auf den Betrieb der Plattform in gewissem Umfang auf die Zusammenarbeit mit US-Dienstleistern (bzw. mit ihren verbundenen Unternehmen) angewiesen sind, versuchen wir den bestmöglichen Kompromiss zum Schutz Ihrer Daten zu finden. Diesbezüglich setzen wir die folgenden Schritte:

  • Geeignete Garantien gemäß Art. 46 Abs. 2 lit. c DSGVO: Wir stützen Datenübermittlungen an Dienstleister mit einem problematischen Nahebezug zur Rechtsordnung der USA auf Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der EU-Kommission. Diese Klauseln wurden im Lichte der dargestellten Problematik ausgearbeitet und enthalten bereits dezidierte Vorgaben zur Risikominimierung.
  • Ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO: Soweit dies zielführend und technisch für uns realisierbar ist, holen wir bei jedem auch nur potentiell problembehafteten Verarbeitungsvorgang zusätzlich Ihre ausdrückliche Einwilligung ein, welche von der gegenständlichen, umfassenden Risikoaufklärung begleitet wird, und unterbinden jedwede Übertragung Ihrer Daten an den jeweiligen Dienstleister vor der Abgabe derselben. Dies bietet Ihnen auch im Hinblick auf die jederzeitige Widerrufsmöglichkeit Ihrer einmal erteilten Einwilligung die weitreichendste Kontrolle über Ihre Daten. Diesbezügliche Anwendungsfälle finden sich insbesondere im Rahmen unserer dem AMM und der DBP vorgeschalteten Marketing-Website.
  • Nutzung von Serverinfrastruktur im EU-/EWR-Raum: Obwohl ein Zugriff von US-Behörden auf Ihre Daten dadurch ggfls. nicht in jedem Fall vollständig unterbunden werden kann, gilt es anzunehmen, dass der Spielraum zulässiger Behördenzugriffe durch die Nutzung von in der EU/im EWR gelegener Serverinfrastruktur zumindest eingeschränkt werden kann. Folglich instruieren wir die jeweiligen Dienstleister stets, Server im EU-/EWR-Raum heranzuziehen, soweit von ihrer Seite ein entsprechendes Angebot besteht.

Durch die obengenannten Schritte können wir einen Zugriff von US-Behörden auf Ihre Daten nicht mit absoluter Sicherheit verhindern. Allerdings können wir dadurch: (i) die Wahrscheinlichkeit minimieren, dass es zu solchen Zugriffen kommt; (ii) Ihnen vielfach die Dispositionsbefugnis über Ihre Daten bis zur Freigabe der jeweiligen Übermittlung erhalten; (iii) Transparenz schaffen, indem wir über die Plattform initiierte Datenflüsse nach bestem Wissen und Gewissen darstellen.

Weiters wird die Risikolage schon durch die neue EO-ES 2022 angemessen entschärft.

4.3. Übersicht und Kurzdarstellung

Nachfolgend finden Sie eine gedrängte Darstellung der eingesetzten Dienste sowie der wesentlichen rechtlichen Begleitinformationen.

Indem Sie auf den Namen des jeweiligen Dienstes klicken, gelangen Sie zur verlinkten Datenschutzerklärung des jeweiligen Anbieters (nach Verfügbarkeit in deutscher Sprache). Bitte beachten Sie aber, dass Sie durch den Umstand des Zugriffs auf eine solche Drittseite einer neuerlichen Verarbeitung Ihrer Daten in der Einflusssphäre des jeweiligen Drittanbieters ausgesetzt sind (vgl. Punkt 3).

Dienst Verarbeitung Zweck Rechtsgrundlage Einsatzgebiet
Google Analytics Verarbeitung von Daten über das Verhalten von Nutzern Webanalyse (Tracking) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) AMM, DBP
Google Tag
Manager
Verarbeitung von technischen Verbindungsdaten Technischer Aufbau des AMM Berechtigtes Interesse
(Art. 6 Abs. 1 lit. f DSGVO)
AMM
Google Fonts Verarbeitung von technischen Verbindungsdaten Einheitliche Darstellung von Schriftarten auf der Plattform Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) DBP
Domo Verarbeitung von Daten über die Nutzung der DBP Visualisierung der Nutzung der DBP in Form von Dashboards
(Tracking)
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) DBP
New Relic Verarbeitung von Daten über das Verhalten von Nutzern Analyse und bessere Individualisierung unseres Angebotes und Gewährleistung der technischen Verfügbarkeit der DBP Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) DBP
CleverTap Verarbeitung von Daten über das Verhalten von Kunden/Nutzern Analyse und bessere Individualisierung unseres Angebotes; Definierung von Kampagnen; Lebenszyklusmanagement Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) DBP
Filestack Verarbeitung technischer Schnittstellendaten Herstellung einer Verbindung mit Drittanbieter-Lösungen über eine eigene API zur Einspielen von Inhalten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) DBP

4.4. Drittanbieter-Dienste im Rahmen der Nutzung der Plattform

4.4.1. Google-Dienste

Die nachfolgend dargestellten Dienste werden uns gegenüber jeweils von der Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Irland („Google Ireland“) erbracht, die – soweit nichts anderes angegeben – im Hinblick auf das AMM als unsere Auftragsverarbeiterin, und im Hinblick auf die DBP als unsere von der EdCast LLC (zum Empfänger siehe Punkt 2.2.2) beauftragte Sub-Auftragsverarbeiterin, tätig wird.

Google Ireland setzt zur Leistungserbringung weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) ein, etwa die Google LLC (Kalifornien, USA) – eine Liste der beauftragten Sub-Auftragsverarbeiter können wir Ihnen auf Anfrage zur Verfügung stellen. Sowohl durch den Einsatz von Google Ireland selbst als auch durch die Beauftragung von Sub-Auftragsverarbeitern seitens der Anbieterin kann es zu einer Übermittlung Ihrer Daten in die Rechtssphäre der USA kommen bzw. kann eine solche zumindest nicht mit Sicherheit ausgeschlossen werden. Die diesbezügliche Problematik, damit verbundene Konsequenzen und die Risiken für Ihre Daten im Falle einer Übermittlung in die Rechtsphäre der USA haben wir unter Punkt 4.2 im Detail aufgeschlüsselt. Grundlage für sämtliche Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes von Google Ireland (insbesondere im Sub-Auftragsverhältnis) sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, von denen wir Ihnen auf Anfrage eine Kopie zur Verfügung stellen.

Google Ireland versucht Daten von Nutzern aus dem EWR-Raum allerdings möglichst in europäischen Rechenzentren zu verarbeiten. Eine Übersicht aller Standorte von Google-Rechenzentren finden Sie hier: https://www.google.com/about/datacenters/inside/locations/?hl=de.

Weitere Informationen zur Datennutzung durch Google Ireland und verbundene Unternehmen sowie zu Einstellungs- und Widerspruchsmöglichkeiten, entnehmen Sie bitte der Google-Datenschutzerklärung unter https://policies.google.com/privacy?hl=de.

Google Analytics

Wir nutzen im Rahmen der Plattform das Webanalyse- und Onlinemarketingtool „Google Analytics“, wodurch uns eine Analyse der Benutzung der Plattform ermöglicht wird. Das Tool erfasst etwa die Zeit, welche Nutzer auf Sub-Seiten der Plattform verbracht haben, oder auf welche Links von den Nutzern geklickt wurde. Weiters erlaubt uns Google Analytics aufzuzeichnen, wann ein Nutzer bestimmte vorgegebene Ziele (sogenannte Conversions) erreicht. Das Tracking erfolgt mithilfe von Google Ireland bereitgestellter JavaScript-Bibliotheken. Google Analytics arbeitet mit Speichertechnologien (vgl. Punkt 2.3.3). Im Rahmen des Einsatzes von Google Analytics werden technische Verbindungsdaten (vgl. Punkt 4.1) an Google-Server übertragen und dort gespeichert. Google Ireland nutzt die erhobenen Informationen, um die Nutzung der Plattform auszuwerten, Reports über dahingehende Aktivitäten zu erstellen und weitere mit der Nutzung der Plattform und der Internetnutzung verbundene Dienstleistungen zu erbringen.

Wir stützen den Einsatz von Google Analytics auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); im Hinblick auf die DBP gelten diesbezüglich die allgemeinen Ausführungen unter Punkt 4.6 sinngemäß; auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkte 2.2.2 und 6). Die Daten über die Nutzung der Plattform werden nach Ende der für Google Analytics jeweils eingestellten Aufbewahrungsdauer von maximal 14 Monaten automatisch gelöscht.

4.5. Drittanbieter-Dienste im Rahmen der Nutzung des AMM

4.5.1. Google Tag Manager

Wir nutzen im Rahmen des AMM den Google Tag Manager („GTM“). Der GTM ist ein Dienst, mit dem wir Website-Tags über eine eigene Oberfläche verwalten können. So können wir Code-Snippets wie Tracking-Code oder Tracking-Pixel in das AMM einbauen, ohne dabei in den Quellcode einzugreifen. Dabei werden die Daten vom GTM nur weitergeleitet, jedoch nicht erhoben oder gespeichert. Der GTM selbst verwendet keine Speichertechnologien und dient uns rein für die Verwaltung von anderen Diensten. Der GTM sorgt für die Auflösung anderer Tags, die ihrerseits unter Umständen Daten erfassen. Der GTM greift jedoch nicht auf diese Daten zu (es erfolgt lediglich eine einfache Anfrage an die entsprechenden Google-Server und damit verbundene Verarbeitung technischer Verbindungsdaten im Sinne von Punkt 4.1).

Wir stützen den Einsatz des GTM auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einem wirtschaftlich sinnvollen und einfach zu verwaltendem Aufbau des AMM; auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6). Die Verarbeitung verfolgt den Zweck, durch effektiven und gezielten Einsatz von Drittanbieter-Diensten unser Angebot besser an die Interessenlage unserer Nutzer anzupassen und entsprechende Auswertungen zu generieren.

Im Übrigen gelten die allgemeinen Ausführungen zu Google-Diensten unter Punkt 4.4.1 sinngemäß.

4.6. Drittanbieter-Dienste im Rahmen der Nutzung der DBP

Bei den nachfolgend dargestellten Dienstleistern handelt es sich um Sub-Auftragsverarbeiter, welche im Rahmen der Bereitstellung der DBP von der EdCast LLC beauftragt werden.

Ohne den Einsatz dieser Sub-Auftragsverarbeiter und ihrer entsprechenden Dienste könnten wir Nutzern kein zufriedenstellendes und einheitliches Erlebnis bieten und eine Aus- und Weiterbildungsplattform wie die DBP technisch sowie wirtschaftlich nicht realisieren. Da diese Drittanbieter-Dienste allerdings mit Speichertechnologien (vielfach First-Party-Cookies) arbeiten (vgl. Punkt 2.3.3), benötigen wir aufgrund gesetzlicher Vorgaben vor deren Nutzung Ihre Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO. Aufgrund der genannten Faktoren ist Ihre Einwilligung in diese Reihe an Verarbeitungstätigkeiten erforderlich für die Vertragserfüllung (Bereitstellung der DBP). Folglich wird sie bereits im Rahmen Ihrer Registrierung/Anmeldung über das AMM eingeholt. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe auch Punkt 6); da unser Angebot ohne diese Einwilligung allerdings nicht bereitgestellt werden kann, müssen wir Sie im Falle eines derartigen Widerrufs leider von der weiteren Nutzung der DBP ausschließen.

Die jeweiligen Sub-Auftragsverarbeiter haben ihren Sitz teilweise in Drittländern und/oder setzen zur Leistungserbringung ggfls. weitere Sub-Auftragsverarbeiter ein, wodurch es zur Übermittlung bestimmter Ihrer Daten in die Rechtssphäre von Drittländern kommen kann (zum Risiko für Ihre Daten durch von der EdCast LLC im Zuge des Betriebs der DBP eingesetzte Auftragsverarbeiter siehe schon Punkt 2.2.2 sowie Punkt 4.2). Grundlage für etwaige Übermittlungen Ihrer personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss im Zuge des Einsatzes der nachfolgenden Sub-Auftragsverarbeiter sind die Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als geeignete Garantien, welche entsprechend von der EdCast LLC mit den jeweiligen Dienstleistern abgeschlossen werden.

4.6.1. Google Fonts

Wir binden im Rahmen der DBP die Schriftarten „Google Fonts“ von Google Ireland (siehe schon Punkt 4.4.1) ein, da diese weboptimiert sind und Datenvolumen sparen. Dies führt zu einer kürzeren Ladezeit und zu einem einheitlichen Erscheinungsbild auf allen Endgeräten und gängigen Browsern. Bei der Verwendung von Google Fonts werden technische Verbindungsdaten (vgl. Punkt 4.1) an Google Ireland übermittelt. Google Ireland agiert im Hinblick auf Ihre übertragenen Daten als eigenständiger Verantwortlicher und nutzt diese zu Analysezwecken.

Wir stützen den Einsatz von Google Fonts auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer einheitlichen und ansprechenden Darstellung der DBP; auf das Widerspruchsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkt 6).

Im Übrigen gelten die allgemeinen Ausführungen zu Google-Diensten unter Punkt 4.4.1 sinngemäß.

4.6.2. EdCast Analytics; Domo

Wir erhalten direkt über die von der EdCast LLC implementierten Analysefunktionen diverse Informationen („Insights“) über Ihre Benutzung der DBP. Aktivitäten von Nutzern werden grundsätzlich in Echtzeit als Events nachverfolgt und genutzt, um eine sogenannte „Data Lake“ zu kreieren, welche tiefgreifende Einsichten in das Nutzerverhalten und somit die stetige Verbesserung und Effektivierung unseres Angebots erlaubt. Die als Events definierten Vorgänge werden einerseits zum Zweck der Herstellung solcher Insights bezüglich der generellen Nutzung der DBP aufgezeichnet, im Weiteren aber auch, um Schlüsselfunktionen der DBP mittels Ausnutzung von maschinellem Lernen und künstlicher Intelligenz umzusetzen und auszubauen.

Die generierten Insights werden dabei für drei verschiedene Features genutzt, die uns zugutekommen:

  • „EdData“ – eine Funktion, welche uns Daten aus der Data Lake in Form von CSV-Dateien insbesondere über die „Athena Client API“ der Amazon Web Services EMEA Sàrl (zum Empfänger siehe schon Punkt 2.2.1) exportieren lässt;
  • „Admin Reports“ – einfache Dashboards, welche uns eine Übersicht der DBP-Nutzung im Allgemeinen sowie im Hinblick auf einzelne Nutzer, Gruppen, Inhalte und Kanäle gewähren;
  • „EdGraph“ – eine Business-Intelligence-Suite, welche uns über diverse Filtermöglichkeiten tiefgreifende Einblicke in Nutzeraktivitäten auf der Plattform über sechs Dashboards (Nutzeraktivitäten, Inhaltsanalyse, Suchbegriffsanalyse, Gruppenanalyse sowie strukturierte Inhaltsanalyse) gewährt.

Für die Aufbereitung der komplexen Analysevorgänge im Rahmen der Funktion „EdGraph“ nutzen wir eine Business-Intelligence- und Visualisierungslösung der Domo Inc., 772 East Utah Valley Drive, American Fork, UT 84003, USA („Domo“), welche von der EdCast LLC als Sub-Auftragsverarbeiter beauftragt wird. Dazu werden Ihre Analysedaten von Domo verarbeitet und im Wege des jeweiligen Dashboards aufbereitet, das uns schließlich zu den obengenannten Zwecken verfügbar gemacht wird. Für weitere Informationen zur Datenschutzpraxis von Domo vgl. auch die (leider nur in Englisch verfügbare) Datenschutzerklärung des Anbieters unter https://www.domo.com/company/privacy-policy.

Wir nutzen das Analyseangebot der EdCast LLC auf Basis Ihrer vorherigen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche wir vor dem Aufruf der DBP von Ihnen einholen; auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkte 2.2.2 und 6). Die genannten Datensätze werden im Rahmen von generalisierten Profilen und Dashboards zur DBP-Nutzung gespeichert; Daten, mit deren Hilfe sich individuelle Nutzer identifizieren ließen, werden nicht langfristig gespeichert – personalisierte Profile einzelner Nutzer werden folglich nicht gebildet.

4.6.3. New Relic

Zur Generierung der unter Punkt 4.6.2 genannten Analysedaten nutzen wir im Rahmen der DBP unter anderem den Dienst „New Relic“ der New Relic Inc., 188 Spear Street, Suite 1000, San Francisco, CA 94105, USA, welcher uns eine Analyse der Nutzererfahrung auf der DBP ermöglicht. Hierbei werden von New Relic unter anderem Ihre Verbindungsdaten (vgl. Punkt 4.1), Daten zu Ihrem Interaktionsverhalten mit der DBP sowie technische Daten, welche uns Einblicke in die Verfügbarkeit der DBP geben, aufgezeichnet. Diesbezüglich erfassen wir unter anderem die Zeit, welche Sie auf Sub-Seiten der DBP verbringen.

Um diese Daten zu erheben, nutzt New Relic JavaScript-Elemente, welche auf der DBP eingebunden sind. Die Verarbeitung dient dem Zweck der Generierung von statistischen Informationen, die uns Rückschlüsse auf die generelle Nutzung der DBP bieten und die bessere Aufbereitung von technischen Fehlern erlauben, damit wir unsere Inhalte dahingehend anpassen können.

Wir stützen den Einsatz von New Relic auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche wir vor dem Aufruf der DBP von Ihnen einholen; auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkte 2.2.2 und 6).

Ihre in diesem Zusammenhang erhobenen Daten werden grundsätzlich nur für kurze Zeiträume gespeichert und gelöscht, sobald sie zur Erreichung der obengenannten Zwecke nicht mehr notwendig sind (vgl. im Weiteren schon Punkt 4.6.2).

Für weitere Informationen zur Datenschutzpraxis der New Relic Inc. vgl. auch die (leider nur in Englisch verfügbaren) produktspezifischen Datenschutzinformationen des Anbieters unter https://newrelic.com/termsandconditions/services-notices#:~:text=New%20Relic%20does%20not%20sell%20any%20personal%20information%20in,or%20in%20Systems%20Operations%20Data.&text=Direct%20identifiers%20(such%20as%20name%20and%20email%20address).&text=Commercial%20Information%20(such%20as%20transaction%20and%20operational%20data).

4.6.4. CleverTap

Wir nutzen im Rahmen der DBP den Dienst „CleverTap“ der WizRocket Inc., 607 W Dana St, Mountain View, CA 94041, USA („WizRocket“), welcher uns einerseits eine Analyse der Nutzung der DBP zur Generierung der unter Punkt 4.6.2 genannten Analysedaten ermöglicht; darüber hinaus können wir dank CleverTap ein fortgeschrittenes Management des Kunden- bzw. Nutzerlebenszyklus auf der DBP vornehmen. So können wir das Verhalten unserer Nutzer auf der DBP analysieren und auf dessen Basis Kampagnen für spezifische Nutzergruppen innerhalb sogenannter Segmente erstellen. Dadurch können wir den einzelnen Gruppen bspw. Empfehlungen bzw. Erinnerungen aussprechen oder weiterführende Hinweise erteilen, die gerade für sie von besonderer Relevanz sind.

WizRocket verarbeitet Ihre Interaktionsdaten in unserem Auftrag zu den obengenannten Zwecken. Dabei werden neben Ihren Verbindungsdaten (vgl. Punkt 4.1) auch Daten mittels Speichertechnologien auf Ihrem Endgerät abgelegt (vgl. Punkt 2.3.3) und zur Auswertung an WizRocket übertragen.

Wir stützen den Einsatz von CleverTap auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche wir vor dem Aufruf der DBP von Ihnen einholen; auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkte 2.2.2 und 6).

Für weitere Informationen zur Datenschutzpraxis von WizRocket vgl. auch die (leider nur in Englisch verfügbare) Datenschutzerklärung des Anbieters unter https://clevertap.com/privacy-policy/.

4.6.5. Filestack

Im Rahmen der Erstellung eigener Lerninhalte für die DBP (vgl. Punkt 2.2.3) haben Sie die Möglichkeit, Daten aus Ihren Cloud-Storage-Konten bei Drittanbietern (z.B. Google Drive) in die DBP zu übertragen. Dazu wird eine API der Filestack Inc., 122 E Houston St, San Antonio, TX 78205, USA („Filestack“) genutzt, welche als technische Zwischenstelle mit der DBP und dem jeweiligen Drittanbieter kommuniziert. Die Bereitstellung der Funktion dient dem Zweck, Nutzern möglichst umfassende Möglichkeiten zu bieten, auf Wunsch ihre eigenen Inhalte einzubringen, und dabei ein möglichst nahtloses Zusammenspiel mit anderen von den Nutzern verwendeten Diensten zu erreichen (Verbesserung der Nutzererfahrung).

Möchten Sie Inhalte Ihrer Cloud-Storage-Konten über die entsprechende Funktion in die DBP laden, werden Sie über Filestack zum jeweiligen Drittanbieter weitergeleitet, bei dem Sie sich in Ihrem Konto einloggen und die weiteren Schritte beachten müssen. Für Ihr beim jeweiligen Drittanbieter geführtes Konto ist dieser eigenständig verantwortlich (beachten Sie daher bitte ebenso dessen Geschäftsbedingungen und Datenschutzinformationen). Neben Ihren technischen Verbindungsdaten (vgl. Punkt 4.1) verarbeitet Filestack auch Informationen mittels Speichertechnologien (vgl. Punkt 2.3.3).

Wir stützen den Einsatz von Filestack auf Ihre vorhergehende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), welche wir vor dem Aufruf der DBP von Ihnen einholen – die konkrete Nutzung der API zum Einspielen von Inhalten wird im Weiteren selbstständig von Ihnen durch die entsprechende aktive Handlung ausgelöst; auf das Widerrufsrecht der betroffenen Nutzer wird hingewiesen (siehe dazu auch Punkte 2.2.2 und 6). Die von Filestack in diesem Zusammenhang erhobenen und generierten Daten werden grundsätzlich nur zur bedarfsgerechten Verbindungsherstellung verarbeitet und nicht langfristig gespeichert.

Für nähere Informationen zur Datenschutzpraxis von Filestack im Allgemeinen vgl. auch das (leider nur auf Englisch verfügbare) Privacy Statement unter https://www.ideracorp.com/Legal/PrivacyShield.

5. Empfänger von Daten

Im Rahmen der unter Punkt 2 sowie Punkt 4 dargestellten Verarbeitungstätigkeiten werden Ihre Daten unter Umständen an die jeweils bezeichneten Empfänger übermittelt, welche nachfolgend überblicksmäßig für Sie dargestellt werden:

Von uns beauftragte Auftragsverarbeiter erhalten Ihre Daten, sofern diese die Daten (bzw. eine Zugriffsmöglichkeit) zur Erbringung ihrer jeweiligen Leistung benötigen; viele unserer Auftragsverarbeiter setzen außerdem selbst Auftragsverarbeiter ein, welche uns gegenüber als sogenannte Sub-Auftragsverarbeiter agieren. Sie können von uns auf Anfrage jederzeit eine Auflistung unserer Sub-Auftragsverarbeiter erhalten; ausdrücklich ausgewiesen werden neben Auftragsverarbeitern im Weiteren allerdings nur jene Sub-Auftragsverarbeiter, deren Leistungserbringung in unmittelbarem Zusammenhang mit der Bereitstellung unserer Plattform steht.

Im Rahmen unserer Plattform können folgende von uns eingesetzte (Sub-)Auftragsverarbeiter Zugriff auf Ihre Daten erhalten:

  • die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzhausen, Deutschland (als Hosting-Anbieterin im Rahmen des AMM – vgl. Punkt 2.1.1);
  • die The Rocket Science Group LLC, 675 Ponce De Leon Ave NE, Atlanta, GA 30308, USA (als Dienstleisterin für den E-Mail-Versand im Rahmen des AMM – vgl. Punkt 2.1.2);
  • die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Deutschland (als Dienstleisterin für die Verwaltung unserer [Kunden-]Datenbank im Rahmen des AMM – vgl. Punkt 2.1.2);
  • die Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (als Dienstleisterin zur technischen Abwicklung von Zahlungen im Rahmen des AMM – vgl. Punkt 2.1.3);
  • die Wirtschaftskammer Österreich, Wiedner Hauptstraße 63, 1045 Wien, Österreich (im Zusammenhang mit Aufgaben im Rahmen der Verrechnung von Plattformleistungen – vgl. Punkt 2.1.3);
  • die Amazon Web Services EMEA Sàrl, 38 Avenue John F. Kennedy, 1855 Luxembourg, Luxemburg (als Sub-Auftragsverarbeiterin betreffend das Hosting der DBP – vgl. Punkt 2.2.1);
  • die Okta Inc., 100 First Street, 6th Floor, San Francisco, CA 94105, USA (als Sub-Auftragsverarbeiterin für die Umsetzung einer Single-Sign-On-Lösung im Rahmen der Plattform – vgl. Punkt 2.1.2, 2.2.3);
  • die EdCast LLC, 1901 Old Middlefield Way #21, Mountain View, CA 94043, USA (als Dienstleisterin für die Bereitstellung der DBP – vgl. Punkt 2.2.2);
  • die Filestack Inc., 122 E Houston St, San Antonio, TX 78205, USA (als Sub-Auftragsverarbeiterin zur Bereitstellung einer Schnittstelle für die Einbringung von Cloud-Content in die DBP – vgl. Punkt 4.6.4);
  • die Atlassian PTY Ltd., Level 6, 341 George Street, Sydney NSW 2000, Australien, und die Atlassian Inc., 350 Bush Street, Floor 13, San Francisco, CA 94104, USA (als Dienstleister für die Nutzerkommunikation im Rahmen der Plattform – vgl. Punkt 2.3.1);
  • die Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Irland (als Sub-Auftragsverarbeiterin betreffend den Einsatz verschiedener Plattform-Dienste im Rahmen der DBP – vgl. Punkt 4.4.1, 4.6.1);
  • die Domo Inc., 772 East Utah Valley Drive, American Fork, UT 84003, USA (als Sub-Auftragsverarbeiterin für Analysedienstleistungen im Rahmen der DBP – vgl. Punkt 4.6.2);
  • die New Relic Inc., 188 Spear Street, Suite 1000, San Francisco, CA 94105, USA (als Sub-Auftragsverarbeiterin für Analysedienstleistungen im Rahmen der DBP – vgl. Punkt 4.6.3);
  • die WizRocket Inc., 607 W Dana St, Mountain View, CA 94041, USA (als Sub-Auftragsverarbeiterin für Analysedienstleistungen und Eventmanagement im Hinblick auf Kunden/Nutzer im Rahmen der DBP – vgl. Punkt 4.6.4).

Darüber hinaus übermitteln wir Ihre Daten an eigenständige Verantwortliche, soweit dies erforderlich ist oder wir rechtlich entsprechend dazu verpflichtet sind.

Zusätzlich besteht mit den im Anhang dieser Datenschutzerklärung ersichtlichen Bildungsanbietern eine gemeinsame Verantwortlichkeit im Sinne von Art 26 DSGVO (siehe dazu auch Punkt 2.2.3).

6. Ihre Rechte

Sie haben die folgenden Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:

Recht auf Widerruf der Einwilligung

Sofern wir Sie betreffende Daten aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) verarbeiten, können Sie Ihre Einwilligung jederzeit widerrufen. Ab Erhalt Ihres Widerrufs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten. Die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung wird durch den Widerruf der Einwilligung jedoch nicht berührt.

Recht auf Auskunft

Sie können Auskunft über die zu Ihrer Person verarbeiteten personenbezogenen Daten verlangen, insbesondere zu den Verarbeitungszwecken, verarbeiteten Datenkategorien, Empfängern oder Empfängerkategorien, welchen wir Ihre personenbezogenen Daten offenlegen, und der Herkunft der Daten. Auf Verlangen stellen wir Ihnen eine Kopie der zu Ihrer Person verarbeiteten personenbezogenen Daten zur Verfügung. Wir weisen darauf hin, dass keine Auskunft zu erteilen ist, wenn dadurch Geschäfts- oder Betriebsgeheimnisse des Verantwortlichen oder Dritter gefährdet sind.

Recht auf Berichtigung

Falls wir Daten zu Ihrer Person verarbeiten, die unrichtig oder unvollständig sind, können Sie deren Berichtigung oder Vervollständigung verlangen.

Recht auf Löschung

Sie haben das Recht, von uns zu verlangen, dass wir Sie betreffende personenbezogene Daten löschen. Wir werden die Löschung gerne durchführen, soweit dies nach der DSGVO vorgesehen ist. Die Löschung ist etwa nicht vorzunehmen, wenn die Verarbeitung der Daten erforderlich ist, um eine rechtliche Verpflichtung zu erfüllen oder Rechtsansprüche geltend machen, ausüben oder verteidigen zu können.

Recht auf Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen können Sie verlangen, dass wir den Gebrauch Ihrer personenbezogenen Daten einschränken. Dies ist etwa der Fall, wenn die Richtigkeit der Sie betreffenden personenbezogenen Daten bestritten wird, und zwar für die notwendige Dauer, um die Richtigkeit zu überprüfen.

Recht auf Widerspruch

Insoweit wir Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, sind Sie berechtigt, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. In diesem Fall werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, welche Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Datenübertragbarkeit

Wenn wir von Ihnen bereitgestellte personenbezogene Daten auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung verarbeiten, können Sie verlangen, dass Sie diese Daten erhalten oder dass wir sie an einen anderen Verantwortlichen übermitteln.

Recht auf Beschwerde

Auch wenn wir uns bestmöglich um den Schutz und die Integrität Ihrer personenbezogenen Daten bemühen, können Meinungsverschiedenheiten über die Art, wie wir Ihre personenbezogenen Daten verwenden, nicht ausgeschlossen werden. Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, können Sie uns natürlich jederzeit gerne unter den nachstehend genannten Kontaktdaten kontaktieren. Außerdem sind Sie zur Erhebung einer Beschwerde bei der österreichischen Datenschutzbehörde berechtigt.

7. Kontakt

Bildungsplattform der Wirtschaftskammer Österreich GmbH
FN 529267i, Handelsgericht Wien
Gußhausstraße 21/25, 1040 Wien

0664 817 94 92
office@wise-up.at

Für all Ihre datenschutzrechtlichen Anliegen, insbesondere zur Geltendmachung Ihrer Rechte,
wenden Sie sich bitte schriftlich oder per E-Mail an support@wise-up.at.