Datenschutzkonzept
des Weiterbildungsverbundes Common Swift
1. Präambel
Dieses Datenschutzkonzept dient dem sorgsamen Umgang mit personenbezogenen Daten von Dritten, die im Rahmen des Verbundprojektes Common Swift erhoben werden, und von personenbezogenen Daten, die die Verbundpartner projektbezogen untereinander austauschen. Alle Verbundpartner sowie die innerhalb des genannten Projektes involvierten Mitarbeiter der jeweiligen Organisationen sowie Auftragsverarbeiter verpflichten sich entsprechend der EU-Datenschutz-Grundverordnung (DSGVO) zur Einhaltung aller Regelungen. Die personenbezogenen Daten Dritter werden im Sinne der Grundsätze nach Art. 5 DSGVO verarbeitet und ausschließlich für dem Projekt dienliche Zwecke verwendet.
Die Kooperationspartner mit Weiterleitungsverträgen verarbeiten übermittelte bzw. ausgetauschte personenbezogene Daten eigenständig und getrennt nach den ihnen jeweils zufallenden Aufgaben und frei von Weisungen durch den jeweils anderen (keine Auftragsdatenverarbeitung im Sinne der DSGVO). Alle Verbundpartner verfügen zudem über eigene Datenschutzkonzepte.
Dieses gemeinsame projektbezogene Datenschutzkonzept gilt mit Projektbeginn ab 01.07.2021.
2. Verantwortlichkeiten und Datenschutzorganisation
Verantwortlicher im Sinne der EU-Datenschutz-Grundverordnung ist die
zwei P PLAN:PERSONAL gGmbH
Wendenstraße 493
20537 Hamburg
Telefon: +49 40 211 12 0
E-Mail: info@zwei-p.org
Vertreten durch Olav Vavroš, Geschäftsführer (Konsortialführung).
Datenschutzbeauftragter ist – aktualisiert 06/2022 –
Dr. Ralf C. Güstel
Gem.DataSecure GmbH Wirtschaftsprüfungsgesellschaft
Weidestr. 134
22083 Hamburg
E-Mail: datenschutz@gem-gruppe.de www.gem-gruppe.de
3. Dokumentation und kontinuierliche Verbesserung des Datenschutzmanagementsystems
Der Verantwortliche stellt unter Anwendung von für die betroffene Person sowie für Dritte geeigneten technischen und organisatorischen Maßnahmen eine ordnungsgemäße Umsetzung, Verarbeitung und Nachweisführung der personenbezogenen Daten sicher. Rechtsgrundlage ist dabei Art. 24 und 25 DSGVO. Entsprechend Art. 32 DSGVO stellt der Verantwortliche sowie ggf. der Auftragsverarbeiter die Sicherheit der Verarbeitung personenbezogener Daten sicher.
Als Unternehmen der Stiftung Berufliche Bildung (SBB) verfügt der Verantwortliche mit der IT-Abteilung der SBB-Gruppe über besondere Expertise im Umgang mit sensiblen Daten und gewährleistet die stetige Überwachung des Datenverkehrs sowie die kontinuierliche Fortentwicklung entsprechender Schutzsysteme.
Verletzungen des Schutzes personenbezogener Daten werden entsprechend Art. 33 Abs. 5 dokumentiert. Die personenbezogenen Daten werden im Rahmen des Projektes Common Swift zur Vorbereitung,
Umsetzung und Nachbereitung des Projektes gespeichert. Die im Rahmen des Projektes erhobenen
zwei P PLAN:PERSONAL gGmbH • Wendenstraße 493 • 20537 Hamburg • Geschäftsführung: Olav Vavroš • Amtsgericht Hamburg HRB 55215
personenbezogenen Daten werden spätestens mit Ende der durch die Prüfstellen vorgegebenen Aufbewahrungspflicht gelöscht.
4. Rechtliche Rahmenbedingungen und Grundsätze
- Pflichten des Verantwortlichen 1.1.Zweck und Nachweispflicht
Die Verarbeitung personenbezogener Daten dient ausschließlich dem Zweck der Durchführung des Projektes Common Swift. Rechtsgrundlage ist dabei Art. 6 Abs. 1 Buchst. a) DSGVO. Der Verantwortliche muss nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO). Der Verantwortliche stellt auf Anfrage der Aufsichtsbehörde geforderte Nachweise zur Verfügung und unterstützt diese bei der Erfüllung ihrer Aufgabe.
4.1.2. Kategorien personenbezogener Daten
Der Verantwortliche erhebt und verarbeitet ausschließlich Daten, die entsprechend Art. 9 Abs. 1 und Art. 10 DSGVO nicht ausgeschlossen sind. Der Verantwortliche verarbeitet Daten, die zur erfolgreichen Durchführung des Projektes Common Swift notwendig sind. Dies sind im Rahmen des Projektverlaufs in unterschiedlichen Arbeitspaketen vor allem:
- Zugangsdaten (Name, E-Mail-Adresse) für die Teilnahme an der Kommunikationsplattform
- Kontaktdaten (Name, E-Mail-Adresse, Unternehmen, Position) zur Erstellung des Verteilers von Informationen (Newsletter)
- Kontaktdaten (Name, Adresse, E-Mail-Adresse, Unternehmen) der Teilnehmenden an den verschiedenen Veranstaltungsformaten
- Kontaktdaten (Name, Adresse, Telefon, E-Mail-Adresse, Unternehmen, Position) aller teilnehmenden Partner im Rahmen des Partnermanagements
- Personenbezogene Daten (Name, Firma, Weiterbildungsmodul, Dauer der Teilnahme, Gehaltsangaben) von Kunden bei der Teilnahme an Weiterbildungsbausteinen
Für letztere gilt zudem: Daten zu Schul- und Berufsausbildung, Qualifizierungen, persönliche Interessen und Nutzungsverhalten neuer Technologien sowie andere Angaben, die der Verantwortliche, die Verbundpartner und Auftragsverarbeiter im Zusammenhang mit der Umsetzung des Projektes Common Swift erhalten, werden so erfasst und verarbeitet, dass eine eindeutige Identifizierung einer Person nicht möglich ist (Pseudonymisierung).
Sofern an Weiterbildungsbausteinen Teilnehmende in eigene Förderprojekte wie etwa den
„Hamburger Weiterbildungsbonus PLUS“ münden, gelten die umfassenden datenschutzrechtlichen Bestimmungen des entsprechenden Förderprojekts.
4.1.3. Quellen zur Erhebung
Die personenbezogenen Daten werden über im Projekt eingesetzte Technologien und Methoden erhoben. Darüber hinaus können Daten per E-Mail und Telefon erfasst werden (z.B. Änderung von Kontaktdaten etc.).
4.1.4. Nutzung personenbezogener Daten durch Dritte
Beauftragt der Verantwortliche eine Verarbeitung personenbezogener Daten durch einen Dritten, stellt der Auftragnehmer eine der DSGVO entsprechende Verarbeitung sicher. Rechtsgrundlage für den Verantwortlichen und für den Auftragnehmer ist dabei Art. 28 und 29 DSGVO.
Empfänger personenbezogener Daten sind neben den unter Punkt 1 genannten Verbundpartnern vom Verantwortlichen beauftragte Verarbeiter, die für die Umsetzung des Projektes Common Swift relevant sind. Auftragsverarbeiter sind über ein Ausschreibungsverfahren nach der geltenden Vergabe- und Vertragsordnung zu benennen.
Die Übermittlung von Daten in ein Drittland ist nicht beabsichtigt.
4.1.5. Verletzung des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche binnen 72 Stunden der zuständigen Aufsichtsbehörde, dass die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führen wird. Art und Umfang der Informationen entsprechen Art. 33 Abs. 3 DSGVO.
Geht im Falle einer Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen einher, benachrichtigt der Verantwortliche die betroffene Person unverzüglich entsprechend Art. 34 DSGVO Abs. 2. Die Einschätzung des Risikos nimmt der Verantwortliche entsprechend Art. 34 Abs. 3 DSGVO vor.
In Folge der Erprobung und Anwendung neuer Technologien innerhalb des Projektes Common Swift nimmt der Verantwortliche vorab eine Abschätzung der Folgen möglicher vorhersehbarer Verarbeitungsvorgänge für den Schutz personenbezogener Daten vor. Rechtsgrundlage ist dabei Art. 35 DSGVO. Maßnahmen zur Eindämmung des Risikos nimmt der Verantwortliche entsprechend den Vorgaben der Verordnung vor.
4.2. Rechte der betroffenen Person
Die betroffene Person hat je nach Situation im Einzelfall folgende Datenschutzrechte, zu deren Ausführung sie den Verantwortlichen jederzeit kontaktieren kann (s. unter 2. genannte Daten):
4.2.1. Auskunft
Die betroffene Person hat das Recht, Auskunft über ihre beim Verantwortlichen verarbeiteten personenbezogenen Daten zu erhalten sowie Zugang zu ihren personenbezogenen Daten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein.
4.2.2. Berichtigung
Die betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung ihrer betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
4.2.3. Widerspruchsrecht
Soweit die Verarbeitung betreffender personenbezogener Daten aufgrund von Art. 6 Abs. 1 Buchst.
- f) DSGVO erfolgt, hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung dieser Daten einzulegen. Der Verantwortliche verarbeitet diese personenbezogenen Daten dann nicht mehr, es sei denn, er kann
zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
4.2.4. Widerrufsrecht
Wenn die Verarbeitung auf einer Einwilligung beruht, hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Hierzu kann die betroffene Person den Verantwortlichen jederzeit kontaktieren (s. unter 2. genannte Daten).
4.2.5. Recht auf Löschung
Die betroffene Person hat das Recht, vom Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr
- Die betroffene Person legt gemäß obiger Nummer 2.3. Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Europäischen Union oder dem Recht der Mitgliedstaaten erforderlich, dem die Verbundpartner
Dies gilt nicht, soweit die Verarbeitung erforderlich ist:
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem die Verbundpartner unterliegen,
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
4.2.6. Recht auf Einschränkung der Verarbeitung
Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
- die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
- die betroffene Person Widerspruch gegen die Verarbeitung gemäß obiger Nummer 4.2.3. eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Wurde die Verarbeitung gemäß den Bestimmungen in Nummer 4.2.6. eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die betroffene Person oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaates verarbeitet werden. Hat die betroffene Person eine Einschränkung der
Verarbeitung erwirkt, wird der Verantwortliche die betroffene Person unterrichten, bevor die Einschränkung aufgehoben wird.
4.2.7. Beschwerderecht
Die betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
4.3. Erforderlichkeit des Bereitstellens personenbezogener Daten
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben, noch ist die betroffene Person verpflichtet, die personenbezogenen Daten bereitzustellen. Die Bereitstellung personenbezogener Daten ist für eine aktive Teilnahme am Projekt Common Swift jedoch erforderlich.
Hamburg, 01.07.2021
zwei P PLAN:PERSONAL gGmbH
– Projektleitung Common Swift –