Datenschutzkonzept
des Weiterbildungsverbundes Common Swift

1. Präambel

Dieses Datenschutzkonzept dient dem sorgsamen Umgang mit personenbezogenen Daten von Dritten, die im Rahmen des Verbundprojektes Common Swift erhoben werden, und von personenbezogenen Daten, die die Verbundpartner projektbezogen untereinander austauschen. Alle Verbundpartner sowie die innerhalb des genannten Projektes involvierten Mitarbeiter der jeweiligen Organisationen sowie Auftragsverarbeiter verpflichten sich entsprechend der EU-Datenschutz-Grundverordnung (DSGVO) zur Einhaltung aller Regelungen. Die personenbezogenen Daten Dritter werden im Sinne der Grundsätze nach Art. 5 DSGVO verarbeitet und ausschließlich für dem Projekt dienliche Zwecke verwendet.

Die Kooperationspartner mit Weiterleitungsverträgen verarbeiten übermittelte bzw. ausgetauschte personenbezogene Daten eigenständig und getrennt nach den ihnen jeweils zufallenden Aufgaben und frei von Weisungen durch den jeweils anderen (keine Auftragsdatenverarbeitung im Sinne der DSGVO). Alle Verbundpartner verfügen zudem über eigene Datenschutzkonzepte.

Dieses gemeinsame projektbezogene Datenschutzkonzept gilt mit Projektbeginn ab 01.07.2021.

2. Verantwortlichkeiten und Datenschutzorganisation

Verantwortlicher im Sinne der EU-Datenschutz-Grundverordnung ist die
zwei P PLAN:PERSONAL gGmbH
Wendenstraße 493
20537 Hamburg
Telefon: +49 40 211 12 0
E-Mail: info@zwei-p.org
Vertreten durch Olav Vavroš, Geschäftsführer (Konsortialführung).
Datenschutzbeauftragter ist – aktualisiert 06/2022 –

 

Dr. Ralf C. Güstel
Gem.DataSecure GmbH Wirtschaftsprüfungsgesellschaft
Weidestr. 134
22083 Hamburg

E-Mail: datenschutz@gem-gruppe.de www.gem-gruppe.de

3. Dokumentation und kontinuierliche Verbesserung des Datenschutzmanagementsystems

Der Verantwortliche stellt unter Anwendung von für die betroffene Person sowie für Dritte geeigneten technischen und organisatorischen Maßnahmen eine ordnungsgemäße Umsetzung, Verarbeitung und Nachweisführung der personenbezogenen Daten sicher. Rechtsgrundlage ist dabei Art. 24 und 25 DSGVO. Entsprechend Art. 32 DSGVO stellt der Verantwortliche sowie ggf. der Auftragsverarbeiter die Sicherheit der Verarbeitung personenbezogener Daten sicher.

Als Unternehmen der Stiftung Berufliche Bildung (SBB) verfügt der Verantwortliche mit der IT-Abteilung der SBB-Gruppe über besondere Expertise im Umgang mit sensiblen Daten und gewährleistet die stetige Überwachung des Datenverkehrs sowie die kontinuierliche Fortentwicklung entsprechender Schutzsysteme.

Verletzungen des Schutzes personenbezogener Daten werden entsprechend Art. 33 Abs. 5 dokumentiert. Die personenbezogenen Daten werden im Rahmen des Projektes Common Swift zur Vorbereitung,

Umsetzung und Nachbereitung des Projektes gespeichert. Die im Rahmen des Projektes erhobenen

zwei P PLAN:PERSONAL gGmbH • Wendenstraße 493 • 20537 Hamburg • Geschäftsführung: Olav Vavroš • Amtsgericht Hamburg HRB 55215

personenbezogenen Daten werden spätestens mit Ende der durch die Prüfstellen vorgegebenen Aufbewahrungspflicht gelöscht.

4. Rechtliche Rahmenbedingungen und Grundsätze

  • Pflichten des Verantwortlichen 1.1.Zweck und Nachweispflicht

Die Verarbeitung personenbezogener Daten dient ausschließlich dem Zweck der Durchführung des Projektes Common Swift. Rechtsgrundlage ist dabei Art. 6 Abs. 1 Buchst. a) DSGVO. Der Verantwortliche muss nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO). Der Verantwortliche stellt auf Anfrage der Aufsichtsbehörde geforderte Nachweise zur Verfügung und unterstützt diese bei der Erfüllung ihrer Aufgabe.

4.1.2. Kategorien personenbezogener Daten

 

Der Verantwortliche erhebt und verarbeitet ausschließlich Daten, die entsprechend Art. 9 Abs. 1 und Art. 10 DSGVO nicht ausgeschlossen sind. Der Verantwortliche verarbeitet Daten, die zur erfolgreichen Durchführung des Projektes Common Swift notwendig sind. Dies sind im Rahmen des Projektverlaufs in unterschiedlichen Arbeitspaketen vor allem:

  • Zugangsdaten (Name, E-Mail-Adresse) für die Teilnahme an der Kommunikationsplattform
  • Kontaktdaten (Name, E-Mail-Adresse, Unternehmen, Position) zur Erstellung des Verteilers von Informationen (Newsletter)
  • Kontaktdaten (Name, Adresse, E-Mail-Adresse, Unternehmen) der Teilnehmenden an den verschiedenen Veranstaltungsformaten
  • Kontaktdaten (Name, Adresse, Telefon, E-Mail-Adresse, Unternehmen, Position) aller teilnehmenden Partner im Rahmen des Partnermanagements
  • Personenbezogene Daten (Name, Firma, Weiterbildungsmodul, Dauer der Teilnahme, Gehaltsangaben) von Kunden bei der Teilnahme an Weiterbildungsbausteinen

Für letztere gilt zudem: Daten zu Schul- und Berufsausbildung, Qualifizierungen, persönliche Interessen und Nutzungsverhalten neuer Technologien sowie andere Angaben, die der Verantwortliche, die Verbundpartner und Auftragsverarbeiter im Zusammenhang mit der Umsetzung des Projektes Common Swift erhalten, werden so erfasst und verarbeitet, dass eine eindeutige Identifizierung einer Person nicht möglich ist (Pseudonymisierung).

Sofern an Weiterbildungsbausteinen Teilnehmende in eigene Förderprojekte wie etwa den

„Hamburger Weiterbildungsbonus PLUS“ münden, gelten die umfassenden datenschutzrechtlichen Bestimmungen des entsprechenden Förderprojekts.

4.1.3.   Quellen zur Erhebung

Die personenbezogenen Daten werden über im Projekt eingesetzte Technologien und Methoden erhoben. Darüber hinaus können Daten per E-Mail und Telefon erfasst werden (z.B. Änderung von Kontaktdaten etc.).

4.1.4.   Nutzung personenbezogener Daten durch Dritte

Beauftragt der Verantwortliche eine Verarbeitung personenbezogener Daten durch einen Dritten, stellt der Auftragnehmer eine der DSGVO entsprechende Verarbeitung sicher. Rechtsgrundlage für den Verantwortlichen und für den Auftragnehmer ist dabei Art. 28 und 29 DSGVO.

Empfänger personenbezogener Daten sind neben den unter Punkt 1 genannten Verbundpartnern vom Verantwortlichen beauftragte Verarbeiter, die für die Umsetzung des Projektes Common Swift relevant sind. Auftragsverarbeiter sind über ein Ausschreibungsverfahren nach der geltenden Vergabe- und Vertragsordnung zu benennen.

Die Übermittlung von Daten in ein Drittland ist nicht beabsichtigt.

4.1.5.   Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche binnen 72 Stunden der zuständigen Aufsichtsbehörde, dass die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führen wird. Art und Umfang der Informationen entsprechen Art. 33 Abs. 3 DSGVO.

Geht im Falle einer Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen einher, benachrichtigt der Verantwortliche die betroffene Person unverzüglich entsprechend Art. 34 DSGVO Abs. 2. Die Einschätzung des Risikos nimmt der Verantwortliche entsprechend Art. 34 Abs. 3 DSGVO vor.

In Folge der Erprobung und Anwendung neuer Technologien innerhalb des Projektes Common Swift nimmt der Verantwortliche vorab eine Abschätzung der Folgen möglicher vorhersehbarer Verarbeitungsvorgänge für den Schutz personenbezogener Daten vor. Rechtsgrundlage ist dabei Art. 35 DSGVO. Maßnahmen zur Eindämmung des Risikos nimmt der Verantwortliche entsprechend den Vorgaben der Verordnung vor.

4.2.  Rechte der betroffenen Person

Die betroffene Person hat je nach Situation im Einzelfall folgende Datenschutzrechte, zu deren Ausführung sie den Verantwortlichen jederzeit kontaktieren kann (s. unter 2. genannte Daten):

4.2.1.   Auskunft

Die betroffene Person hat das Recht, Auskunft über ihre beim Verantwortlichen verarbeiteten personenbezogenen Daten zu erhalten sowie Zugang zu ihren personenbezogenen Daten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein.

4.2.2.   Berichtigung

Die betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung ihrer betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

4.2.3.   Widerspruchsrecht

Soweit die Verarbeitung betreffender personenbezogener Daten aufgrund von Art. 6 Abs. 1 Buchst.

  1. f) DSGVO erfolgt, hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung dieser Daten einzulegen. Der Verantwortliche verarbeitet diese personenbezogenen Daten dann nicht mehr, es sei denn, er kann

zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4.2.4.   Widerrufsrecht

Wenn die Verarbeitung auf einer Einwilligung beruht, hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Hierzu kann die betroffene Person den Verantwortlichen jederzeit kontaktieren (s. unter 2. genannte Daten).

4.2.5.   Recht auf Löschung

Die betroffene Person hat das Recht, vom Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr
  • Die betroffene Person legt gemäß obiger Nummer 2.3. Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Europäischen Union oder dem Recht der Mitgliedstaaten erforderlich, dem die Verbundpartner

Dies gilt nicht, soweit die Verarbeitung erforderlich ist:

  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem die Verbundpartner unterliegen,
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4.2.6.   Recht auf Einschränkung der Verarbeitung

Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
  • die betroffene Person Widerspruch gegen die Verarbeitung gemäß obiger Nummer 4.2.3. eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Wurde die Verarbeitung gemäß den Bestimmungen in Nummer 4.2.6. eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die betroffene Person oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaates verarbeitet werden. Hat die betroffene Person eine Einschränkung der

Verarbeitung erwirkt, wird der Verantwortliche die betroffene Person unterrichten, bevor die Einschränkung aufgehoben wird.

4.2.7.   Beschwerderecht

Die betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

4.3.  Erforderlichkeit des Bereitstellens personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben, noch ist die betroffene Person verpflichtet, die personenbezogenen Daten bereitzustellen. Die Bereitstellung personenbezogener Daten ist für eine aktive Teilnahme am Projekt Common Swift jedoch erforderlich.

Hamburg, 01.07.2021

zwei P PLAN:PERSONAL gGmbH

– Projektleitung Common Swift –