Vereinbarung über die Verarbeitung personenbezogener Daten

1. Präambel

Diese Vereinbarung über die Verarbeitung personenbezogener Daten (die "Verarbeitungsvereinbarung") wird zwischen dem Kunden (im Folgenden auch als "Verantwortlicher" bezeichnet) und Dugga (im Folgenden auch als "Verarbeiter" bezeichnet) geschlossen,

Mit dieser Auftragsverarbeitervereinbarung soll sichergestellt werden, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen im Einklang mit der Datenschutzgrundverordnung (2016/679) ("DSGVO"), den Anweisungen des für die Verarbeitung Verantwortlichen und dieser Auftragsverarbeitervereinbarung erfolgt.

Dieser Verarbeitungsvertrag ist ein Anhang zu einem zwischen dem Kunden und Dugga abgeschlossenen freien Lizenz- oder Hauptvertrag (der "Hauptvertrag"). Im Falle widersprüchlicher Bestimmungen hat der Hauptvertrag Vorrang vor diesem Verarbeitungsvertrag.

 

2. Zweck der Verarbeitung der personenbezogenen Daten

Der Zweck der Verarbeitung der personenbezogenen Daten und der von Dugga erbrachten Dienstleistung besteht darin, dem Kunden die Handhabung und Durchführung der digitalen Auswertung von Wissen zu ermöglichen. Personenbezogene Daten werden im System für Nutzungs- und Anmeldezwecke verwendet, je nach Rolle und Funktion des Nutzers. Der Kunde muss z.B. in der Lage sein, die Person zu identifizieren, die Tests zuweist oder erstellt, die Teilnehmer an den Tests sowie deren Antworten und Ergebnisse. Personenbezogene Daten werden auch für Support-, technische Wartungs- und Sicherungszwecke verwendet.

Der Auftragsverarbeiter ist nicht berechtigt, die personenbezogenen Daten für andere als die in dieser Auftragsverarbeitungsvereinbarung genannten Zwecke zu verarbeiten, es sei denn, es liegt in jedem Fall eine vorherige schriftliche Zustimmung vor.

 

3. Die Verantwortung des Verarbeiters

Der Auftragsverarbeiter ist dafür verantwortlich, die vom für die Verarbeitung Verantwortlichen in Anhang 2:1 oder anderweitig schriftlich geforderten Maßnahmen zur Verarbeitung personenbezogener Daten zu ergreifen und die Verarbeitung durchzuführen, die im Zusammenhang mit der Erbringung von Dienstleistungen für den für die Verarbeitung Verantwortlichen erforderlich oder nach den geltenden Rechtsvorschriften vorgeschrieben ist.

Nach Erhalt einer schriftlichen Weisung ergreift der Auftragsverarbeiter unverzüglich geeignete Maßnahmen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten entsprechend dieser Weisung angepasst wird.

Der Auftragsverarbeiter haftet nicht für etwaige Unklarheiten in solchen Anweisungen des für die Verarbeitung Verantwortlichen und ist nicht verpflichtet, andere als die vom für die Verarbeitung Verantwortlichen ausdrücklich verlangten Maßnahmen zu ergreifen.

Der Auftragsverarbeiter hat Anspruch auf eine Entschädigung gemäß der jeweils geltenden Preisliste des Auftragsverarbeiters für jede Maßnahme im Zusammenhang mit der Verarbeitung personenbezogener Daten, die vom für die Verarbeitung Verantwortlichen bei Inkrafttreten dieser Auftragsverarbeitervereinbarung nicht ausdrücklich festgelegt wurde.

 

4. Verpflichtungserklärung des für die Verarbeitung Verantwortlichen

Der für die Verarbeitung Verantwortliche verpflichtet sich, die Verarbeitung personenbezogener Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung so weit wie möglich zu erleichtern, indem er dem Auftragsverarbeiter unter anderem die erforderlichen Informationen unverzüglich zur Verfügung stellt und ihn rechtzeitig über etwaige Verwaltungsmaßnahmen informiert.

 

5. Zertifizierung

Der Auftragsverarbeiter bescheinigt, dass seine eigenen Geschäftstätigkeiten in jeder Hinsicht so geführt werden, dass die Einhaltung der Anforderungen der DSGVO gewährleistet ist, dass sie mit den vorherrschenden Normen in der Branche übereinstimmen und dass sie die Durchführung von Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten in Übereinstimmung mit dieser Auftragsverarbeitervereinbarung ermöglichen.

 

6. Schutzmaßnahmen

Bei jeder Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen ergreift der Auftragsverarbeiter die vom für die Verarbeitung Verantwortlichen in Anlage 2:1 genannten technischen und organisatorischen Schutzmaßnahmen.

Der Auftragsverarbeiter legt fest, wie diese Maßnahmen durchzuführen sind, damit das erforderliche Schutzniveau erreicht wird.

Der Auftragsverarbeiter ist nicht verpflichtet, Schutzmaßnahmen zu ergreifen, die nicht ausdrücklich in dieser Auftragsverarbeitungsvereinbarung oder in den Anhängen zu dieser Vereinbarung genannt sind.

Die Parteien können erhöhte oder zusätzliche Schutzmaßnahmen vereinbaren; sofern nicht schriftlich etwas anderes vereinbart wird, hat der Verarbeiter Anspruch auf eine gesonderte Vergütung für diese Maßnahmen gemäß der jeweils gültigen Preisliste des Verarbeiters.

Falls der für die Verarbeitung Verantwortliche keine derartigen Schutzmaßnahmen in Anhang 2.1 oder anderweitig festlegt, wird der Auftragsverarbeiter auf Kosten des für die Verarbeitung Verantwortlichen die in der Branche unter vergleichbaren Umständen üblichen Schutzmaßnahmen ergreifen.

 

7. Informationen

Um die Durchführung der Verarbeitung personenbezogener Daten zu überprüfen, ist der für die Verarbeitung Verantwortliche berechtigt, Unterlagen über die Geschäftstätigkeit und die Systeme des Auftragsverarbeiters anzufordern, soweit sie sich auf die Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen beziehen.

 

8. Nachbereitung

Vereinbaren die Parteien neue Schutzmaßnahmen für die Verarbeitung personenbezogener Daten, so ist der für die Verarbeitung Verantwortliche berechtigt, Unterlagen über die vom Auftragsverarbeiter getroffenen Maßnahmen zu verlangen, um die vereinbarte Umsetzung zu erreichen.

 

9. Offenlegung von Daten

Der Auftragsverarbeiter ist nicht berechtigt, personenbezogene Daten ohne die vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen an Dritte weiterzugeben, es sei denn, eine solche Weitergabe ist gesetzlich vorgeschrieben.

Ordnet eine Behörde dem Auftragsverarbeiter an, Daten offenzulegen oder andere Maßnahmen zu ergreifen, die sich aus der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen ergeben, so hat der Auftragsverarbeiter Anspruch auf eine angemessene Entschädigung für diese Arbeit.

Der Auftragsverarbeiter hat ferner Anspruch auf eine angemessene Entschädigung für jede sonstige Weitergabe personenbezogener Daten auf Ersuchen des für die Verarbeitung Verantwortlichen oder aufgrund gesetzlicher Vorschriften oder dieser Vereinbarung an eine andere Partei als den für die Verarbeitung Verantwortlichen sowie für die mit einer solchen Weitergabe verbundenen Maßnahmen.

 

10. Übermittlung an Drittländer

Der Auftragsverarbeiter darf personenbezogene Daten nur mit vorheriger schriftlicher Zustimmung des für die Verarbeitung Verantwortlichen in ein Land übermitteln, das nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist.

Ist für die Übermittlung personenbezogener Daten in ein Drittland der Abschluss einer gesonderten Vereinbarung zur Wahrung eines angemessenen Schutzniveaus gesetzlich vorgeschrieben, so ist der für die Verarbeitung Verantwortliche nicht berechtigt, seine Zustimmung zu einer solchen Übermittlung zu verweigern, wenn der Auftragsverarbeiter nachweisen kann, dass eine solche Vereinbarung besteht.

Einzelheiten zu den Verfahren des Auftragsverarbeiters für die Speicherung und Verarbeitung personenbezogener Daten sind in den Anhängen 2.1 und 2.2 aufgeführt.

 

11. Vergabe von Unteraufträgen

Der Auftragsverarbeiter wird die in Anlage 2:2 genannten Unterauftragnehmer für die dort genannten Zwecke einsetzen.

Der Verarbeiter kann nach eigenem Ermessen weitere Unterauftragnehmer ersetzen oder ernennen, vorausgesetzt, diese verpflichten sich, diese Verarbeitungsvereinbarung einzuhalten.

Der Auftragsverarbeiter ist in Bezug auf den für die Verarbeitung Verantwortlichen für die Handlungen und Unterlassungen der Unterauftragnehmer wie für seine eigenen Handlungen und Unterlassungen verantwortlich.

 

12. Entschädigung

Wie oben und unten dargelegt, hat der Auftragsverarbeiter Anspruch auf Entschädigung für die Verarbeitung personenbezogener Daten und die damit zusammenhängenden Maßnahmen, soweit diese Verarbeitung und die damit zusammenhängenden Maßnahmen nicht ausdrücklich in dieser Auftragsverarbeitungsvereinbarung und den Anhängen dazu vereinbart sind.

 

13. Kontaktpersonen usw.

Jede Partei benennt eine Kontaktperson, die in erster Linie für die Kommunikation zwischen den Parteien im Zusammenhang mit dieser Auftragsverarbeitervereinbarung zuständig ist. Die Parteien teilen sich gegenseitig die benannte Kontaktperson und deren Kontaktdaten mit, und jede Partei informiert die andere Partei unverzüglich, wenn die Kontaktperson ersetzt wird. Bei Gratislizenzen ist die Person, die die Gratislizenz beantragt, die Kontaktperson.

 

14. Sicherstellung der Rechte der registrierten

Der Auftragsverarbeiter berichtigt, extrahiert oder löscht auf Anfrage unverzüglich und gemäß den Anweisungen des für die Verarbeitung Verantwortlichen die personenbezogenen Daten, die unter diese Auftragsverarbeitervereinbarung fallen.

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen darüber hinaus bei der Wahrung der Rechte der registrierten Personen gemäß Kapitel III der DSGVO.

Der Auftragsverarbeiter hat Anspruch auf eine angemessene Vergütung für diese Maßnahmen.

Stellt der für die Verarbeitung Verantwortliche einen schriftlichen Antrag auf Löschung personenbezogener Daten, so hat der Auftragsverarbeiter die betreffenden personenbezogenen Daten spätestens 90 Tage nach dem Antrag zu löschen.

 

15. Beendigung

Bei Beendigung dieser Auftragsverarbeitervereinbarung sind die personenbezogenen Daten des für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung zurückzugeben oder zu löschen.

Der für die Verarbeitung Verantwortliche muss dem Auftragsverarbeiter spätestens drei Monate vor Ablauf dieser Vereinbarung mitteilen, wie die personenbezogenen Daten des für die Verarbeitung Verantwortlichen gehandhabt werden sollen und ob der Auftragsverarbeiter bei der Übermittlung der personenbezogenen Daten Unterstützung benötigt. Unterbleibt eine solche Mitteilung, so löscht der Auftragsverarbeiter die personenbezogenen Daten im Zusammenhang mit dem Auslaufen dieser Auftragsverarbeitervereinbarung.

Der Auftragsverarbeiter unterstützt die Übermittlung personenbezogener Daten in angemessenem Umfang und soweit Ressourcen zur Verfügung stehen. Der Auftragsverarbeiter hat Anspruch auf eine Entschädigung für diese Unterstützung gemäß seiner jeweils geltenden Preisliste für derartige Dienstleistungen.

 

16. Begrenzung der Haftung

Die Haftung des Auftragsverarbeiters im Rahmen dieser Auftragsverarbeitungsvereinbarung ist auf unmittelbare Schäden beschränkt, die sich aus der Verarbeitung personenbezogener Daten ergeben, die eindeutig im Widerspruch zu den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen oder den geltenden Rechtsvorschriften steht. Ansprüche von Dritten oder Behörden gelten für die Zwecke dieser Vereinbarung als direkte Schäden. Die Haftung des Auftragsverarbeiters erstreckt sich jedoch in keinem Fall auf indirekte Schäden, wie z. B. Einnahmeausfälle.

 

17. Rechtsstreitigkeiten

Alle Streitigkeiten, die sich aus dieser Verarbeitungsvereinbarung ergeben oder mit ihr in Zusammenhang stehen, werden wie in der Hauptvereinbarung vereinbart beigelegt.

 

18. Änderungen des Abkommens

Ergänzungen oder Änderungen dieser Auftragsverarbeitervereinbarung bedürfen zu ihrer Verbindlichkeit der Schriftform und der Unterzeichnung durch beide Parteien.

 

____________________

Anhang 2:1
Die Anweisungen des Kontrolleurs und die erforderlichen Schutzmaßnahmen
Zweck

 

Der Zweck des Dugga Learning Assessment Service ist es, die Durchführung von digitalen Wissensbewertungen zu ermöglichen, vor allem in einem Bildungsumfeld. Die Datenverarbeitung in der Plattform erfolgt, um die Anmeldung und die Nutzung der Plattform auf die verschiedenen Arten zu ermöglichen, die sich aus der/den Rolle/n und der/den Funktion/en ergeben, die ein Nutzer innehat. Der Kunde wird in der Lage sein, diejenigen zu identifizieren, die Prüfungen und Aufgaben verwalten, erstellen und abnehmen, sowie die Ergebnisse dieser Wissensbewertungsaktivitäten.

Personenbezogene Daten werden auch zum Zweck des Supports, der technischen Wartung und für Sicherheitskopien verwendet.

Die Daten werden innerhalb der EU/EES gespeichert.

Bei den verarbeiteten Daten handelt es sich um die folgenden Arten von personenbezogenen Daten.

 

Zu den personenbezogenen Daten auf der Plattform können gehören:

  • Nutzername, Vorname, Nachname, Gruppenzugehörigkeit (Klasse/Klassen/Gruppen), Bilder, Handynummer.
  • Schülertests, Ergebnisse und gelegentlich auch Noten und Feedback von Lehrern.
  • Die E-Mail-Adresse des Benutzers (bei Verwendung von Konten).
  • Dugga verlangt keine persönlichen Nummern oder Sozialversicherungsnummern, aber der Kunde hat die Möglichkeit, solche Informationen hinzuzufügen.
  • Die Verarbeitung bestimmter Arten personenbezogener Daten gemäß Artikel 9.1 i des Datenverarbeitungsrahmens kann in Abhängigkeit von den Informationen erfolgen, die die einzelnen Nutzer hinzufügen können.

 

Die Verarbeitung der Daten umfasst die folgenden Kategorien/Rollen

 

  • Lehrerinnen und Lehrer
  • Verwalter
  • Studenten
  • Prüfer/Prüferinnen
  • Verwalter der Studie
Besondere Vorschriften für die Datenverarbeitung und die Löschung personenbezogener Daten durch den Auftragsverarbeiter.

 

  • Personenbezogene Daten werden nach der Anzahl der Jahre gelöscht, die der für die Verarbeitung Verantwortliche schriftlich bei Dugga angibt. Ein solcher Antrag auf Löschung von Daten muss spätestens 90 Tage vor der Löschung bei Dugga eingereicht werden. Der für die Verarbeitung Verantwortliche hat die Möglichkeit, Daten jederzeit auf der Plattform zu löschen.
  • Sicherungskopien werden nicht länger als 2 Jahre aufbewahrt.
Technische Maßnahmen zum Schutz personenbezogener Daten.
Dugga wurde in mehreren von Kunden, Forschern, Partnern und unabhängigen Organisationen durchgeführten Überprüfungen zur Datensicherheit zugelassen. Technische Überprüfungen zur Datensicherheit werden jährlich und in Übereinstimmung mit den Vorschriften zur Datensicherheit durchgeführt.
Protokollierung der Verarbeitung personenbezogener Daten und des Zugriffs darauf.

Die Protokollierung der Daten umfasst:

  • Benutzer, die Bewertungen durchgeführt, Ergebnisse und Noten für einzelne Schüler und Gruppen von Schülern geliefert haben.
  • Zugang zu solchen Informationen haben Lehrkräfte, Administratoren und Studienadministratoren.
Übermittlung personenbezogener Daten an Drittländer.
Die Übermittlung personenbezogener Daten erfolgt nicht über das hinaus, was im Abschnitt "Zweck" angegeben ist.
Sonstige Anweisungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter.

1. Einrichtung eines Fernzugriffs auf das Steuerungssystem, um technische Probleme zu untersuchen und zu lösen und;

2. Veröffentlichung von Statistiken über die Datenverarbeitung auf der Plattform.

Zusätzlich zu diesem Auftragsverarbeitervertrag hat der Auftragsverarbeiter das Recht, dem für die Verarbeitung Verantwortlichen die Daten nur im XML-Format zur Verfügung zu stellen, falls der Kundenvertrag ausläuft.


Der Auftragsverarbeiter hat das Recht, während und nach Ablauf des Vertrages Metadaten/De-Identifizierungsdaten zum Zwecke der wissenschaftlichen Forschung und Entwicklung zu speichern, zu nutzen und zu analysieren. Alle diese Daten werden in einen Modus umgewandelt, in dem keine natürliche Person identifiziert werden kann. Somit kann keine natürliche Person in den für die oben genannten Zwecke gespeicherten Daten zurückverfolgt oder identifiziert werden.

 

 

Anhang 2:2

 

Speicherung und Verarbeitung von personenbezogenen Daten

Die folgenden Unterauftragnehmer werden zum Zeitpunkt des Abschlusses der Auftragsverarbeitungsvereinbarung vom Auftragsverarbeiter für die unten genannten Zwecke eingesetzt. Die Unterauftragnehmer haben ihren Sitz in den unten angegebenen Ländern.

Einrichtung eines Fernzugriffs auf das System des für die Verarbeitung Verantwortlichen, um technische Probleme zu analysieren und zu lösen:

Eventful AB (Schweden)
FastDev AB (Schweden)

 

Speicherung und Verarbeitung von personenbezogenen Daten:

Microsoft Azure (die Niederlande)
Microsoft Azure (Irland)
Microsoft Azure (Schweden)

 

Kontakta oss

Torsgatan 39, 113 62 Stockholm

Länkar

Logga in

Dugga Plugga

Nyheter

Hur hanterar vi din data

Unterstützung

Dugga-API