Datenschutz

Folgende Datenschutzerklärung ist Bestandteil des Internetauftritts von www.cimdata.de

cimdata Bildungsakademie GmbH

Wilmersdorfer Straße 50

10627 Berlin

Die cimdata Bildungsakademie GmbH ist Verantwortliche im Sinne der DSGVO. Sie nimmt den Schutz Ihrer persönlichen Daten gemäß Art. 13 DSGVO sehr ernst und hält sich strikt an die Regeln der Datenschutzgesetze.

Datenschutzbeauftragte

Datenschutzbeauftragte bei der cimdata Bildungsakademie GmbH ist Frau Claudia von Garnier. Sie erreichen sie telefonisch unter +49 30 327991-26, per Fax unter +49 30 327991-33 und per E-Mail unter datenschutz@cimdata.de.

Ihr Vertrauen ist uns wichtig. Daher möchten wir Ihnen jederzeit Rede und Antwort bezüglich der Verarbeitung Ihrer personenbezogenen Daten stehen. Wenn Sie Fragen haben, die Ihnen diese Datenschutzerklärung nicht beantworten konnte, oder wenn Sie zu einem Punkt vertiefte Informationen wünschen, wenden Sie sich bitte jederzeit an uns.

Hosting

Wir hosten die Inhalte unserer Website bei folgendem Anbieter Microsoft Azure.

Anbieter ist Microsoft Ireland Operations Limited, Rechtsform: Private Company Limited by Shares, Eingetragen in Irland, Nr. 256796, Office: 70 Sir John Rogerson's Quay, Dublin 2, Irland. Wenn Sie unsere Website besuchen, erfasst Microsoft Azure verschiedene Logfiles inklusive Ihrer IP-Adressen.
Weitere Informationen entnehmen Sie der Datenschutzerklärung von Microsoft: https://azure.microsoft.com/de-de/support/legal/

Die Verwendung von Microsoft erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den

Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Nutzerdaten

Wir erheben Daten von Ihnen. Weitere Informationen entnehmen Sie nachfolgend.

Gewährleisten wir hinreichende Datensicherheit?

Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst.

Server

Datenkategorie

IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware

Datenquelle

Diese Daten erhalten wir direkt von Ihrem Browser.

Aufbewahrungszweck

Die Erhebung dieser Daten ermöglicht die Sicherstellung der Funktionsfähigkeit sowie der IT-Sicherheit (z. B. Angriffserkennung, Missbrauchsverfolgung) beim Besuch unserer Internetseite.

Aufbewahrungsdauer

Die Server-Logfiles werden aus Sicherheitsgründen (z. B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für maximal 14 Monate gespeichert und danach automatisch gelöscht. Eine forensische Auswertung von Angriffen, die Nachverfolgbarkeit langfristiger Angriffsserien o.ä. macht es gegebenenfalls notwendig, eine Aufbewahrungsdauer von 14 Monaten zu gewährleisten. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des Vorfalls ausgenommen.

Rechtsgrundlage

Artikel 6 Absatz 1 lit. f DSGVO.

Wie setzen wir Cookies auf dieser Webseite ein?

Cookieeinstellungen

Wir verwenden auf unserer Website Cookies und ähnliche Technologien. Manche sind technisch notwendig, damit unsere Website funktioniert („essentielle“ Cookies). Andere setzen wir zu Statistik- oder Marketingzwecken ein.

Für den datenschutzrechtlichen Einsatz gelten folgende Grundsätze:

• Technisch notwendige Cookies (z. B. zur Darstellung der Website, zur Verwaltung Ihrer Einwilligungen oder zur Sicherstellung der IT-Sicherheit) setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG ein. Unser berechtigtes Interesse liegt in der Bereitstellung einer funktionsfähigen und sicheren Website.

• Nicht technisch notwendige Cookies (insbesondere Statistik-/Analyse-Cookies und Marketing-/Tracking-Cookies) setzen wir nur, wenn Sie hierin eingewilligt haben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG.

Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über unser Cookie-Control-Tool („Crumble“), erreichbar über das Symbol am unteren Bildschirmrand, ändern oder widerrufen.

Cookies: Typ Essentiell

1.1 Google Tag Manager als „essentiell“ (ohne GA-Cookies)

Name: Google Tag Manager - Google Tag Manager

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Der Google Tag Manager dient dazu, Website-Tags zentral zu verwalten und auszulösen. Dabei werden selbst noch keine Analyse- oder Marketing-Cookies gesetzt, sondern lediglich die Einbindung anderer Dienste gesteuert.

Cookie-Name: ggf. technisch notwendige Cookies/IDs zur Steuerung der Tag-Ausführung

Speicherdauer: bis zu 2 Jahre

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (berechtigtes Interesse an einer technisch fehlerfreien und effizienten Verwaltung unserer Website-Tags).

1.2 Crumble (Consent-Tool) als „essentiell“

Cookie Name: Crumble

Name: Crumble (Cookie-Consent-Tool)

Anbieter: cimdata Bildungsakademie GmbH, Wilmersdorfer Straße 50, 10627 Berlin

Zweck: Speicherung der von Nutzerinnen und Nutzern gewählten Cookie-Einstellungen (Einwilligung, Ablehnung, Kategorien), damit diese Einstellungen nicht bei jedem Seitenaufruf erneut abgefragt werden müssen.

Cookie-Name: z. B. crumble_consent, crumble_settings

Speicherdauer: bis zu 12 Monate

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (berechtigtes Interesse an einer rechtssicheren und nutzerfreundlichen Verwaltung von Einwilligungen).

1.3 Chatbot-Session-Cookie als „essentiell“

Name: CustomGPT.ai Chatbot

Name: Session-Cookie KI-Chatbot

Anbieter: cimdata Bildungsakademie GmbH / CustomGPT.ai

Zweck: Der Cookie dient dazu, Ihre Unterhaltung innerhalb einer Sitzung technisch aufrechtzuerhalten (z. B. Zuordnung der Chatnachrichten zu einer Sitzung). Ohne diesen Cookie funktioniert der Chatbot nicht zuverlässig.

Cookie-Name: z. B. cgpts-xxxxx (Session-ID)

Speicherdauer: bis zum Ende der Sitzung (Session-Cookie)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (berechtigtes Interesse an der Bereitstellung der vom Nutzer angefragten Chat-Funktion).

Cookies: Typ Statistik

2.1 Google Analytics

Name: Google Analytics

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Analyse der Nutzung unserer Website, um Reichweite und Inhalte statistisch auszuwerten und unser Angebot zu verbessern. Es werden u. a. Seitenaufrufe, Verweildauer, ungefährer Standort (auf Basis der IP, gekürzt), verwendetes Endgerät und Interaktionen erfasst.

Cookie-Namen: ga, gid, _gat (sowie ggf. weitere Analytics-Cookies)

Speicherdauer:

• _ga: bis zu 24 Monate

• _gid: bis zu 24 Stunden

• _gat: bis zu 1 Minute

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung).

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unser Cookie-Control-Tool („Crumble“) widerrufen.

2.2 Microsoft Bookings

Name: Microsoft Bookings – funktionale Cookies / Statistik

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

Zweck: Verwaltung und Vereinbarung von Terminen (funktionale Cookies) sowie ggf. Auswertung aggregierter Nutzungsstatistiken zur Verbesserung des Terminangebots.

Cookie-Namen: z. B. ClientId, OIDC, msal.cache.encryption

Speicherdauer: bis zu 1 Jahr (abhängig von der Konfiguration)

Rechtsgrundlage:

• Für technisch notwendige Cookies zur Terminbuchung: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (Vertrag / vorvertragliche Maßnahmen).

• Für optionale Statistikfunktionen: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung über das Cookie-Control-Tool).

Die Verarbeitung erfolgt im Rahmen von Microsoft 365 auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO mit Microsoft. Soweit Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies auf Basis der von der EU-Kommission verabschiedeten Standardvertragsklauseln bzw. des EU-US Data Privacy Frameworks.

2.3 Chatbot-Tracking

Name: Statistik-Cookies für KI-Chatbot

Anbieter: CustomGPT.ai / OpenAI / cimdata Bildungsakademie GmbH

Zweck: Anonyme oder pseudonyme Auswertung der Nutzung des Chatbots (z. B. wie häufig welche Themen angefragt werden), um den Service zu verbessern.

Cookie-Namen: z. B. cgpts-analytics, weitere Analytics-IDs

Speicherdauer: bis zu 12 Monate

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung).

Widerruf: Sie können Ihre Einwilligung jederzeit über unser Cookie-Control-Tool („Crumble“) widerrufen.

3. Marketing

Name: Meta Pixel (Facebook/Instagram)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland

Zweck: Wiedererkennung von Nutzerinnen und Nutzern, um ihnen auf Basis ihres Nutzungsverhaltens personalisierte Werbung auf Facebook, Instagram und im Meta-Werbenetzwerk anzuzeigen (Remarketing) sowie zur statistischen Auswertung der Wirksamkeit unserer Werbekampagnen (Conversion-Messung).

Cookie-Namen: z. B. fbp (Browser-ID), fbc (Facebook Click ID, wenn über fbclid-Parameter gesetzt)

Speicherdauer: in der Regel bis zu 3 Monate ab Setzen bzw. Aktualisierung des jeweiligen Cookies

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung).

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unser Cookie-Control-Tool („Crumble“) widerrufen und dort die Kategorie „Marketing“ deaktivieren. Weitere Informationen zur Verarbeitung durch Meta finden Sie im Abschnitt „Meta Pixel (Facebook/Meta)“ in dieser Datenschutzerklärung.

Kontaktformulare

Datenkategorien

• Pflichtangaben: Name, E-Mail-Adresse, Telefonnummer, Grund der Kontaktaufnahme, Standort der cimdata Bildungsakademie.

• Optionale Angaben: Inhalt Ihrer Nachricht, hochgeladene Dokumente, ggf. weitere freiwillige Angaben.

Datenquelle

Wir verarbeiten die personenbezogenen Daten, die Sie uns im Rahmen der Kontaktaufnahme über das bereitgestellte Formular selbst mitteilen.

Zwecke der Verarbeitung

• Bearbeitung und Beantwortung Ihrer Anfrage

• Durchführung vorvertraglicher Maßnahmen bzw. Anbahnung und ggf. Abschluss eines Vertragsverhältnisses

• (Optional, nur bei Einwilligung) Nutzung Ihrer Kontaktdaten zur Übersendung von Informationsmaterialien oder Angeboten

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen)

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen, soweit keine vertragliche Beziehung besteht)

• Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG (für die Übersendung von Werbung / Newsletter nach vorheriger Einwilligung)

Aufbewahrungsdauer

Wir speichern Ihre Angaben nur so lange, wie dies zur Bearbeitung Ihrer Anfrage erforderlich ist. Sofern es im Anschluss zu einem Vertragsverhältnis kommt, bewahren wir Ihre Daten für die Dauer der gesetzlichen Aufbewahrungsfristen (regelmäßig 6 bis 10 Jahre) auf. Wenn Sie uns eine Einwilligung erteilt haben, speichern wir Ihre Daten, bis Sie diese widerrufen.

Merkliste zur Angebotsauswahl

Datenkategorien

Pflichtangaben: Name, E-Mail-Adresse, bevorzugte Kontaktmöglichkeit, Inhalt der Merkliste

Datenquelle

Wir verarbeiten ausschließlich personenbezogenen Daten, die Sie uns über die Merkliste-Funktion selbst mitteilen.

Zwecke der Verarbeitung

• Bearbeitung Ihrer konkreten Kursanfrage

• Versand der Merkliste an die von Ihnen angegebene E-Mail-Adresse

• Weiterleitung derselben Merkliste an cimdata, damit cimdata Sie zu den ausgewählten Kursen/Produkten kontaktieren kann

• Durchführung vorvertraglicher Maßnahmen bzw. Anbahnung und ggf. Abschluss eines Vertragsverhältnisses

• Nutzung Ihrer Kontaktdaten zur Übersendung von Informationsmaterialien oder Angeboten

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen)

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen, soweit keine vertragliche Beziehung besteht)

Empfänger der Daten

• cimdata als Betreiber dieser Website (zur Bearbeitung Ihrer Anfrage und zum Versand der Merkliste)

• cimdata als Bildungsanbieter der ausgewählten Kurse/Produkte, ausschließlich sofern Sie hierzu eingewilligt haben

Aufbewahrungsdauer

Wir speichern Ihre Angaben nur so lange, wie dies zur Bearbeitung Ihrer Anfrage erforderlich ist. Sofern es im Anschluss zu einem Vertragsverhältnis kommt, bewahren wir Ihre Daten für die Dauer der gesetzlichen Aufbewahrungsfristen (regelmäßig 6 bis 10 Jahre) auf. Wenn Sie uns eine Einwilligung erteilt haben, speichern wir Ihre Daten, bis Sie diese widerrufen.

Freiwilligkeit der Bereitstellung

Die Nutzung der Merkliste ist freiwillig. Sie können die Merkliste auch lokal auf der Website verwenden, ohne diese per E-Mail versenden zu müssen. Ohne die Pflichtangaben können wir Ihre Merkliste jedoch nicht an Sie übermitteln und keine Kontaktaufnahme ermöglichen

Empfänger personenbezogener Daten

Wir geben Ihre personenbezogenen Daten (ggf. im Rahmen einer Vertragsanbahnung) an folgende Empfänger oder Kategorien von Empfängern weiter: Auftragsverarbeiter, z.B. einen externen Zustelldienstleister.

Hinweis zur Datenweitergabe in die USA

Auf unserer Webseite sind unter anderem Tools von Unternehmen mit Sitz in den USA eingebunden. Wenn diese Tools aktiv sind, können Ihre personenbezogenen Daten an die US-Server der jeweiligen Unternehmen weitergegeben werden. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss

Nutzung des KI-Chatbots (CustomGPT.ai auf Basis von ChatGPT)

KI-Chatbot (CustomGPT.ai auf Basis von OpenAI) – gilt für alle unsere thematisch getrennten Chatbots desselben Anbieters. Wir betreiben themenspezifische Chatbots (für die Weiterbildung, Umschulung, Firmenseminare, FAQ) desselben Anbieters; die nachfolgenden Informationen gelten für alle.

Präambel

Der KI-Chatbot ist ein auf KI-gestütztes Dialogsystem. Die Eingaben und Antworten werden nicht von Mitarbeitenden von cimdata verfasst, sondern von einem Sprachmodell. Der KI-Chat stellt Informationen bereit, die unverbindlich sind und keine vollumfängliche Beratung mit Mitarbeitenden von cimdata ersetzen. Die Antworten des KI-Chatbots basieren auf Daten und Informationen der internen Systeme von cimdata und es werden regelmäßig auf die Richtigkeit der Antworten überprüft. Bitte geben Sie keine personenbezogenen und sensiblen Daten ein. Die Informationen, Chatverläufe und Inhalte, welche von Usern in den KI-Chatbot eingegeben worden sind, kann cimdata auslesen und können gespeichert werden. Dies dient dazu, die Funktionalität des KI-Chatbots sicherzustellen und stetig zu verbessern. Es dient ebenso zu Qualitätszwecken für die Verbesserung der Antworten des KI-Chatbots und der Fehleranalyse. Es kann dazu führen, dass die Antworten des KI-Chatbots fehlerhaft oder unvollständig sind sowie es besteht keine Gewähr auf Vollständigkeit, Aktualität der Ausgaben und Richtigkeit der Antworten bzw. generierten Inhalte. Der KI-Chatbots darf nicht für rechtswidrige, diskriminierende Inhalte verwendet werden.

Verantwortliche:

cimdata Bildungsakademie GmbH (siehe Impressum/Datenschutz „Verantwortliche“).

Empfänger / Rollen:

Wir setzen den Dienst „CustomGPT“ der Poll the People, Inc. (dba: CustomGPT), 16192 Coastal Highway, Lewes, DE 19958, USA, ein. CustomGPT verarbeitet Daten als Auftragsverarbeiter für uns. Unterauftragsverarbeiter können insbesondere sein: OpenAI (Sprachmodelle), Amazon Web Services (Hosting/Infra), ggf. Pinecone (Vektorspeicher) und – nur bei kostenpflichtigen Diensten – Stripe (Zahlungen). Soweit erforderlich haben wir mit allen Dienstleistern datenschutzrechtliche Verträge (Art. 28 DSGVO) und geeignete Garantien für Drittlandübermittlungen vereinbart.

Aufbewahrungszweck, Datenübermittlung und Drittlandtransfer:

Beantwortung und Bearbeitung von Nutzeranfragen, Durchführung von Beratungen und Serviceleistungen, Verbesserung unseres Kundenservice, Technische Funktionssicherung und Sicherheit. Die Daten werden an den Dienstleister customGPT.ai (Kleanvoice Inc., USA) übermittelt, der als technischer Betreiber des Chatbots fungiert. Die Chatverarbeitung erfolgt auf Servern des Anbieters. Ein Datentransfer in die USA kann nicht ausgeschlossen werden. Für diese Fälle berufen wir uns auf die EU-Standardvertragsklauseln (SCCs) gem. Art. 46 DSGVO, die von customGPT.ai zur Verfügung gestellt werden. Darüber hinaus ist eine automatische Anonymisierung personenbezogener Inhalte („Remove PII“) aktiviert. Weitere Informationen zum Datenschutz von CustomGPT unter: https://customgpt.ai/privacy-policy/

Verarbeitete Daten:

Eingaben im Chat (Texte/Fragen, optionale Angaben), technische Nutzungsdaten (IP-Adresse, Zeitstempel, Browser/Endgerät, Session-ID, Spracheinstellungen), Sitzungsverläufe zur Dialogführung; freiwillig angegebene Kontaktdaten (z. B. E-Mail, Telefon). Personenbezug entsteht nur, wenn Sie solche Daten eingeben. Wir speichern Chatverläufe in der Regel nur in pseudonymisierter Form und ohne Zuordnung zu Ihrer Person. Soweit wir Sie ohne zusätzliche Informationen nicht identifizieren können, gelten Ihre Rechte nach Art. 15–22 DSGVO nur, wenn Sie uns zusätzliche Angaben machen, die eine Zuordnung ermöglichen.

Zwecke:

Bereitstellung des Chatbots und Beantwortung von Anfragen, Durchführung vorvertraglicher Kommunikation/Beratung, Qualitätssicherung/Fehleranalyse, IT- und Betriebssicherheit; optional (nur mit Einwilligung) Reichweitenmessung/Statistik über das Chat-Widget.

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Anbahnung, z. B. Kurs- oder Beratungsanfragen),

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und IT-Sicherheit),

Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (sofern im Chat-Widget nicht notwendige Cookies/Tracking eingesetzt werden).

Technisch erforderliche Funktionen/Cookies des Chat-Widgets beruhen auf Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.

Cookies/Tracking im Chat-Widget

Das Chat-Widget ist ein für die Statistik erforderliches Session-Cookie (z. B. cgpts-xxxxx) und erfolgt mit einer Einwilligung. Optional eingesetzte Mess-/Marketing-Technologien werden nur nach Einwilligung über die Cookie-Einstellungen geladen (Widerruf jederzeit mit Wirkung für die Zukunft möglich).

Zugriff durch cimdata

Administrativ können wir Chat-Inhalte im Backend einsehen, um Anfragen zu bearbeiten und die Servicequalität zu sichern. Die Inhalte sind grundsätzlich nicht einer Person zugeordnet, es sei denn, Sie geben personenbezogene Daten im Chat ein. Eine Weitergabe an Dritte außerhalb unserer Auftragsverarbeiter erfolgt nicht, außer es besteht eine gesetzliche Pflicht.

Speicherdauer:

Die Chatverläufe werden durch den Dienstleister auf dessen Servern gespeichert. In unserem Fall werden die anonymisierten Chat-Inhalte im Admin-Portal für einen Zeitraum von bis zu 30 Tagen vorgehalten. Diese Speicherung erfolgt ausschließlich in anonymisierter Form, ohne Personenbezug, und dient internen Zwecken wie der Qualitätssicherung. Eine weitergehende lokale oder personenbezogene Speicherung erfolgt nicht. Für weitere Informationen zur Speicherdauer und Datenverarbeitung durch den Dienstleister verweisen wir auf die Datenschutzerklärung von Custom GPT: https://customgpt.ai/privacy-policy/

Drittlandtransfer (USA):

Eine Datenübermittlung in die USA kann im Rahmen der Leistungserbringung durch CustomGPT und dessen Unterauftragsverarbeiter stattfinden (insb. OpenAI, AWS, Pinecone). Wir verwenden hierfür die Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO); ergänzend kommen – sofern der jeweilige Empfänger zertifiziert ist – Regelungen des EU-US Data Privacy Framework in Betracht. Ein Zugriff durch US-Behörden kann nicht vollständig ausgeschlossen werden.

Sicherheit:

Der Anbieter setzt nach eigenen Angaben angemessene technische und organisatorische Maßnahmen ein (u. a. Transport- und ruhende Verschlüsselung, rollenbasierte Zugriffe, isolierte Umgebungen). Details ergeben sich aus den Vertragsunterlagen des Anbieters.

Keine Trainingsnutzung der Inhalte:

Nach Anbieterangaben werden Daten aus API-gestützten Anfragen nicht zum Training der KI-Modelle verwendet (dies gilt nicht für die frei zugängliche Endnutzer-Version öffentlicher KI-Dienste).

Hinweis zu sensiblen Daten

Bitte geben Sie im Chat keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten) oder Zahlungsdaten ein.

Ihre Rechte

Da uns die Daten ausschließlich in anonymisierter Form vorliegen, ist eine personenbezogene Auskunft, Berichtigung und Löschung von Chatdaten nicht möglich.

Server

Bei Herunterladen der mobilen App werden die erforderlichen Informationen an den jeweiligen App Store übertragen, also insbesondere Ihre im App-Store hinterlegten Nutzerdaten, wie Name, E-Mail-Adresse, Kundennummer Ihres Accounts, Zeitpunkt des Downloads und die individuelle Gerätekennziffer. Zudem erhebt der App-Store noch eigenständig verschiedene Daten und stellt Ihnen Analyseergebnisse zur Verfügung. Auf diese Datenverarbeitung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der mobilen App auf Ihr mobiles Endgerät notwendig ist.

Unser Server steht in Deutschland und verarbeitet ausschließlich das Portal studierende.cimdata.de und dozenten.cimdata.de. Auch für die Nutzung unserer mobilen App werden die Daten, die Sie über das Studierendenportal eingeben oder die Inhalte, die über unser internes Vertragsverwaltungsprogramm abgerufen werden, ausschließlich auf unserem Server in Deutschland verarbeitet. Es laufen keinerlei Analyse- und Monitoringtools zur Erfassung irgendwelcher Daten. Die automatisch erfassten Zeit- und Adressdaten des Webservers werden in keinster Weise ausgewertet oder weitergeleitet. Zum Betrieb der Website wird ein Session-Cookie mit einem Session-Token für die Dauer Ihres Logins auf Ihrem Rechner vom Browser zwischengespeichert. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Mit Abmeldung oder Schließen des Browsers wird dieser Cookie automatisch entfernt. Weiterführende Informationen zu automatisch erfassten Zeit- und Adressdaten des Webservers sowie zu den Cookies erhalten Sie in unserer allgemeinen Datenschutzerklärung unter folgendem Link: https://cimdata.de/datenschutz/.

Nutzerdaten

Datenkategorie und -quelle

In der Datenbank des Portals studierende.cimdata.de sowie in der mobilen App sind nach Ihrem Log-In personenbezogene Daten aus Ihrem Vertrag gespeichert und vor fremdem Zugriff durch Ihr Passwort geschützt. Die Übertragung vom Server zu Ihrem Browser bzw. in die App erfolgt ausschließlich verschlüsselt. Folgende Daten sind gespeichert:

Name, Vorname, E-Mail-Adresse, Passwort, Buchungsdaten, Anwesenheitsdaten, Bewertungen der Dozenten, Ihre Feedbackbewertung der Kurse.

Durch Einloggen mit dem von Ihnen vergebenen Passwort haben Sie sowohl über das Studierendenportal auf unserer Website als auch über die mobile App Zugriff auf diese Informationen und haben die Möglichkeit, über einen Teilnahmebutton an Ihrem aktuellen Kurs teilzunehmen. Die Einwahl in Ihren aktuellen Kurs erfolgt über eine automatisierte Weiterleitung an eine Meeting Software. Es werden keinerlei Daten aus dem Portal an diese Software weitergeleitet. Sie geben nur Ihren Alias-Namen in einem externen Abfragefenster an. Es gibt keinerlei Referenz Ihrer gespeicherten Vertragsdaten zu der Meeting Software.

Wenn Dozent*innen Ihre Kurse bewerten, können nur Sie diese Bewertung im Portal bzw. in Ihrer App einsehen. Weiterhin können Sie die Dozent*innen bewerten und sich in diesem Zuge entscheiden, ob Sie das anonym machen wollen. In diesem Fall werden die Bewertungen ohne Bezug auf Sie abgespeichert.

Die im Portal studierende.cimdata.de bzw. in Ihrer mobilen App gespeicherten Bewertungen und Ihre Anwesenheitsdaten werden von unserem internen Vertragsverwaltungsprogramm abgefragt und in der internen Verwaltungsdatenbank gespeichert.

Aufbewahrungszweck

Wir verarbeiten Daten von Ihnen, um einen reibungslosen Ablauf Ihrer Weiterbildung sicherstellen zu können. Welche? Woher? Wie lange? Und dürfen wir das überhaupt? Eine übersichtliche Antwort auf diese Fragen können Sie folgender Übersicht entnehmen:

Aufbewahrungsdauer

Ihre Portaldaten sowie die Daten in Ihrer mobilen App werden für den gesamten Vertragszeitraum und bis 3 Monate danach zur Verfügung gestellt. Danach werden sie automatisiert gelöscht.

Die mobile App speichert Ihre Login-Daten nur dann, wenn Sie die App auf einem persönlichen Gerät nutzen. Alle sonstigen Daten werden nicht lokal gespeichert, sondern über die Kommunikation mit dem Server des Studierendenportals bei Bedarf aus unserem internen Vertragsverwaltungsprogramm eingeladen und dargestellt. Wenn Sie z.B. auf Ihre Anwesenheitslisten oder Bewertungen zugreifen, so kann dies nur geschehen, wenn Ihr Gerät eine Verbindung zum Internet hat. Offline sind Ihre Inhalte nicht zugänglich, da Sie sich nicht einloggen können, um die Verbindung mit dem Server herzustellen.

Ihren Log-In können Sie jederzeit aus der App löschen. Es wird kein Kommunikationsverlauf gespeichert. Sie können die mein.cimdata App jederzeit über Ihr Mobilgerät oder im App-Store löschen.

Sämtliche Daten, die in der App verarbeitet werden, werden von Ihrem Gerät gelöscht, sobald Sie die App auf Ihrem mobilen Gerät löschen.

Rechtsgrundlage

Artikel 6 Absatz 1 lit. b und f DSGVO, § 25 TDDDG

Personenbezogene Daten

Bei Nutzung der mobilen App verarbeiten wir die nachfolgend beschriebenen personenbezogenen Daten, um die komfortable Nutzung der Funktionen zu ermöglichen. Wenn Sie unsere mobile App nutzen möchten, verarbeiten wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Funktionen unserer mobilen App anzubieten und die Stabilität und Sicherheit zu gewährleisten, sodass sie von uns verarbeitet werden müssen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO:

• Datum und Uhrzeit der Anfrage

• Zeitzonendifferenz zur Greenwich Mean Time (GMT)

• Inhalt der Anforderung (besuchte Seite)

• Zugriffsstatus/HTTPS-Statuscode

• jeweils übertragene Datenmenge

• vorher besuchte Seite

• Browser

• Betriebssystem

• Sprache und Version der Browsersoftware.

Sowohl bei der Nutzung des Studierendenportals auf unserer Website als auch bei der Nutzung über unsere mobile App vergeben wir zum Log-In keine automatisierten Passwörter. Sie legen selbst ein Passwort fest. Um ein Passwort anzufordern, geben Sie Ihre korrekten Daten aus dem Bildungsvertrag (Nachname, Vorname, E-Mail) an. Sie bekommen eine E-Mail mit einem zeitlich begrenzten Link zum Festlegen Ihres Passworts. Der Inhalt der E-Mail enthält keine personenbezogenen Daten. Das Passwort wird nach dem neuesten Stand der Verschlüsselungstechnik verschlüsselt gespeichert.

Google Tag Manager

Wir setzen den Google Tag Manager ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Google Tag Manager ist ein Tool, mit dessen Hilfe wir Tracking- oder Statistik-Tools und andere Technologien auf unserer Website einbinden können. Der Google Tag Manager selbst erstellt keine Nutzerprofile, speichert keine Cookies und nimmt keine eigenständigen Analysen vor. Er dient lediglich der Verwaltung und Ausspielung der über ihn eingebundenen Tools. Der Google Tag Manager erfasst jedoch Ihre IP-Adresse, die auch an das Mutterunternehmen von Google in die Vereinigten Staaten übertragen werden kann. Der Einsatz des Google Tag Managers erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und ggf. § 25 TDDDG. Der Websitebetreiber hat ein berechtigtes Interesse an einer schnellen und unkomplizierten Einbindung und Verwaltung verschiedener Tools auf seiner Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Die Einwilligung ist jederzeit widerrufbar. Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?contact=true&id=a2zt000000001L5AAI&status=Active

Datenkategorie

Google Tag Manager, vgl. unsere Ausführungen unter „Wie setzen wir Google Tag Manager ein?“ (auch mit Blick auf Quellen, Zwecke, Speicherungsdauer)

Datenquelle

Ihr Besucherverhalten auf unserer Internetseite

Aufbewahrungszweck

Werbung, Marktforschung, oder zur bedarfsgerechten Gestaltung unserer Internetseite

Aufbewahrungsdauer

Wir löschen die Daten, sobald sie nicht mehr für den oben genannten Zweck erforderlich sind, oder bis Sie deren Löschung verlangen, spätestens jedoch nach zwei Jahren.

Rechtsgrundlage

Artikel 6 Absatz 1 lit. f DSGVO

Google Analytics

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Website-Aktivitäten zusammenzustellen und um weitere, mit der Website-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Website-Betreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen werden können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plug-in herunterladen und installieren:

https://tools.google.com/dlpage/gaoptout?hl=de.

Diese Website verwendet Google Analytics mit der Erweiterung „_anonymizeIp()“. Dadurch werden IP-Adressen gekürzt weiterverarbeitet, eine Personenbeziehbarkeit kann damit ausgeschlossen werden. Soweit den über Sie erhobenen Daten ein Personenbezug zukommt, wird dieser also sofort ausgeschlossen und die personenbezogenen Daten damit umgehend gelöscht.

Wir nutzen Google Analytics, um die Nutzung unserer Website analysieren und regelmäßig verbessern zu können. Über die gewonnenen Statistiken können wir unser Angebot verbessern und für Sie als Nutzer interessanter ausgestalten. Für die Ausnahmefälle, in denen personenbezogene Daten in die USA übertragen werden, hat sich Google den EU-Standard-Vertragsklauseln unterworfen

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de

Informationen des Drittanbieters: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland, Fax: +353 (1) 436 1001.

Nutzerbedingungen: https://www.google.com/analytics/terms/de.html,

Übersicht zum Datenschutz: https://safety.google/intl/de/privacy/privacy-controls/, sowie die Datenschutzerklärung: https://www.google.de/intl/de/policies/privacy.

Möchten Sie nicht, dass diese Daten an Google übermittelt werden, so klicken Sie einfach auf folgenden Link:

Google Analytics für diese Seite deaktivieren

Datenkategorie

Google Analytics, vgl. unsere Ausführungen unter „Wie setzen wir Google Analytics ein?“ (auch mit Blick auf Quellen, Zwecke, Speicherungsdauer)

Datenquelle

Ihr Besucherverhalten auf unserer Internetseite, Cookies

Aufbewahrungszweck

Werbung, Marktforschung, oder zur bedarfsgerechten Gestaltung unserer Internetseite

Aufbewahrungsdauer

Wir löschen die Daten, sobald sie nicht mehr für den oben genannten Zweck erforderlich sind, oder bis Sie deren Löschung verlangen, spätestens jedoch nach Ablauf von 14 Monaten.

Rechtsgrundlage

Artikel 6 Absatz 1 lit. a DSGVO

Meta Pixel (Facebook/Meta)

Wir setzen das Meta Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland, ein. Eine Übermittlung in die USA an Meta Platforms, Inc. kann stattfinden. Für Übermittlungen an Meta USA stützen wir uns auf die Angemessenheitsentscheidung „EU-US Data Privacy Framework (DPF)“; Meta ist hierfür zertifiziert. Für etwaige weitere Drittländer kommen Standardvertragsklauseln (SCC) zum Einsatz. Details bei Meta: DPF-Hinweise / Teilnehmerverzeichnis. Facebook+1

Das Verhalten der Seitenbesucher nachverfolgt werden, nachdem diese durch Klick auf eine Facebook-Werbeanzeige auf die Website des Anbieters weitergeleitet wurden. Dadurch können die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke ausgewertet werden und zukünftige Werbemaßnahmen optimiert werden.

Datenkategorie

Meta Pixel, vgl. unsere Ausführungen unter „Wie setzen wir den Meta Pixel ein?“ (auch mit Blick auf Quellen, Zwecke, Speicherungsdauer)

Datenquelle

Ihr Besucherverhalten auf unserer Internetseite. Aufgerufene Seiten/Events (z. B. PageView, ViewContent, Lead, Purchase), Zeitpunkt, Referrer-URL, Geräte-/Browser-Informationen, IP-Adresse, Pixel-IDs und Cookie-Kennungen wie fbp (Browser-ID) und fbc (Click-ID aus fbclid-Parametern), ggf. weitere Parameter. Sofern aktiviert: Advanced Matching/Conversions API (z. B. gehashte E-Mail/Telefon, Server-Events). developers.facebook.com

Aufbewahrungszweck

Reichweitenmessung (Konversionsmessung), statistische Auswertung der Wirksamkeit unserer Werbeanzeigen, Remarketing/Custom Audiences sowie Optimierung unseres Online-Angebots und künftiger Werbemaßnahmen.

Gemeinsame Verantwortlichkeit mit Meta (Art. 26 DSGVO)

Für die Erhebung und Übermittlung der Daten über das Pixel sind wir und Meta Platforms Ireland Ltd. gemeinsam Verantwortliche.

Die gemeinsame Verantwortlichkeit beschränkt sich dabei ausschließlich auf die Erfassung der Daten und deren Weitergabe an Facebook. Die nach der Weiterleitung erfolgende Verarbeitung durch Facebook ist nicht Teil der gemeinsamen Verantwortung. Die uns gemeinsam obliegenden Verpflichtungen wurden in einer Vereinbarung über gemeinsame Verarbeitung festgehalten. Den Wortlaut der Vereinbarung finden Sie unter: https://www.facebook.com/legal/controller_addendum. Laut dieser Vereinbarung sind wir für die Erteilung der Datenschutzinformationen beim Einsatz des Facebook-Tools und für die datenschutzrechtlich sichere Implementierung des Tools auf unserer Website verantwortlich. Für die Datensicherheit der Facebook-Produkte ist Facebook verantwortlich. Betroffenenrechte (z. B. Auskunftsersuchen) hinsichtlich der bei Facebook verarbeiteten Daten können Sie direkt bei Facebook geltend machen. Wenn Sie die Betroffenenrechte bei uns geltend machen, sind wir verpflichtet, diese an Facebook weiterzuleiten.

Die Weiterverarbeitung durch Meta liegt in alleiniger Verantwortung von Meta. Die Zuweisung der Pflichten ist in den Meta Business Tools Terms inkl. Controller Addendum geregelt. Facebook+1

Rechtsgrundlage / Einsatz nur nach Einwilligung

Der Einsatz des Meta Pixels erfolgt nur nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Ohne Einwilligung wird das Pixel nicht geladen (Vorab-Blockade über unser Consent-Banner). Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft in den Cookie-Einstellungen widerrufen.

Aufbewahrungsdauer/Cookies

Das Pixel verwendet u. a. folgende Cookies/Parameter:

• _fbp (Meta Browser-ID) – typ. Laufzeit ~3 Monate

• _fbc (Meta Click-ID aus fbclid) – typ. Laufzeit im Bereich einiger Monate

Die konkrete Speicherdauer hängt von Ihrer Einwilligung/Browser-/Cookie-Einstellung und der Implementierung ab. Es gibt keine festgelegte, allgemeingültige Dauer, sondern die Speicherung erfolgt innerhalb der genannten Zeiträume oder kürzer, je nach Nutzerkonfiguration. Weitere Informationen entnehmen Sie den Entwicklerhinweisen von Meta. cookiedatabase.org+1

Datenübermittlung

Folgende Unternehmen empfangen die o.g. Daten, wobei wir nachfolgend darauf hinweisen, falls die Daten die Europäische Union oder den Europäischen Wirtschaftsraum verlassen. Drittlandbezug: Google Inc.

1600 Amphitheater Parkway, Mountainview, California 94043, USA;

https://www.google.com/policies/privacy/partners/?hl=de.

Widerspruchs-/Opt-out-Möglichkeiten

Sie können personalisierte Werbung zusätzlich in Ihren Meta-Werbeeinstellungen deaktivieren und bei der EDAA nutzungsbasierte Werbung ausschalten. (Vgl. Links im bestehenden Text.)

Hinweis zur Seitennutzung ohne Einwilligung

Eine gesetzliche Pflicht zur Datenbereitstellung besteht nicht. Ohne Einwilligung bleibt die Website grundsätzlich voll nutzbar; lediglich personalisierte Werbung/Statistiken werden nicht eingesetzt.

Wie setzen wir Microsoft Dienste ein?

Verantwortlichkeit & Empfänger

Wir nutzen Dienste der Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin, Irland. Microsoft verarbeitet Kundendaten im Rahmen von Microsoft 365 als Auftragsverarbeiter (Art. 28 DSGVO). Bestimmte Dienst-/Telemetriedaten (z. B. Sicherheits-, Abrechnungs-, Diagnosedaten) verarbeitet Microsoft in eigener Verantwortlichkeit. Konzernweite Unterstützungs-/Betriebsleistungen können eine Übermittlung an die Microsoft Corporation, Redmond, USA, erfordern. Für Übermittlungen in die USA stützen wir uns auf die Angemessenheitsentscheidung EU-US Data Privacy Framework (DPF); ergänzend kommen Standardvertragsklauseln (SCC) zum Einsatz, soweit erforderlich. Wir empfehlen Ihnen, sich vor Nutzung der Tools mit den Datenschutzregelungen des Anbieters vertraut zu machen.

Präambel zu Diensten von Microsoft

Der Auftragnehmer im Sinne der DSGVO, Art. 28 ist die Telekom Deutschland GmbH, mit Sitz in Deutschland. Mit dem Auftragnehmer hat die cimdata Bildungsakademie GmbH einen Auftragsverarbeitungsvertrag bezgl. der Microsoft Dienste Office365, Dynamics 365, Azure, CompanyFlex und DeutschlandLAN Cloud PBX. Die Verarbeitung erfolgt grundsätzlich auf Servern innerhalb der EU und dient bei Microsoft unter anderem dem Zweck der Kontaktaufnahme zur Beratung, Information, gegebenenfalls Angebotserstellung, Durchführung der Lerndienstleistung, interne und externe Kommunikation, im Sinne der DSGVO, Art. 6 Abs. 1 lit. b DSGVO; § 25 TDDDG für Kunden und Teilnehmende. Zudem für interne und externe Kommunikation nach § 26 BDSG; Art. 6 (1) f DSGVO; § 25 TDDDG für Beschäftigte. Eine Übermittlung personenbezogener Daten in Drittländer wie die USA kann im Rahmen der technischen Bereitstellung durch Microsoft jedoch nicht vollständig ausgeschlossen werden. Microsoft hat sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet und garantiert damit ein angemessenes Datenschutzniveau.

I. Microsoft Bookings zur Terminvereinbarung

II. Microsoft Teams für Beratungsgespräche

III. Weitere Dienste aus dem Microsoft 365-Paket, wie Microsoft-Exchange zur E-Mail-Kommunikation

I. Datenverarbeitung im Rahmen von Microsoft Bookings für Beratungsgespräche

Zweck und Datenkategorien:

Terminverwaltung und Kontaktaufnahme; Name, E-Mail, Telefon, Terminwunsch, Freitext; Systemdaten (Zeitstempel, IP, Browser). Power Automate kann zur internen Weiterleitung eingesetzt werden.

Datenquelle

Wenn Sie über unsere Website einen Beratungstermin über Microsoft Bookings vereinbaren, werden personenbezogene Daten wie Ihr Name, Ihre E-Mail-Adresse, Ihre Telefonnummer sowie Angaben zum gewünschten Termin über das Tool Microsoft-Power Automate verarbeitet, das den Kalendereintrag an die E-Mailadresse unseres Beratungsteams weiterleitet. Diese Daten erhalten wir von Ihnen und nutzen sie ausschließlich zur Bearbeitung Ihrer Terminanfrage, zur Terminorganisation und zur Kontaktaufnahme. Nach dem Erstkontakt kann eine erneute Kontaktaufnahme zur Nachverfolgung erfolgen – jedoch nicht zu Werbe- oder Marktforschungszwecken.

Aufbewahrungszweck, Datenübermittlung und Drittlandtransfer

Die Verarbeitung erfolgt grundsätzlich auf Servern innerhalb der EU und dient bei Microsoft Bookings dem Zweck der Kontaktaufnahme zur Beratung, Information und gegebenenfalls Angebotserstellung. Termindaten bis Abschluss/Absage des Termins und ggf. Nachbearbeitung, anschließend Löschung; Log-/Fehlerdaten kürzer. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

Eine Übermittlung personenbezogener Daten in Drittländer wie die USA kann im Rahmen der technischen Bereitstellung durch Microsoft jedoch nicht vollständig ausgeschlossen werden. Microsoft hat sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet und garantiert damit ein angemessenes Datenschutzniveau.

Aufbewahrungsdauer/Löschung der Daten

Die im Rahmen der Terminbuchung über Microsoft Bookings erhobenen personenbezogenen Daten werden nach Wegfall des Zwecks – spätestens jedoch 90 Tage nach dem letzten Kontakt – gelöscht. Eine Vertragsanbahnung kann mindestens 90 Tage dauern, daher ist dies die kürzest notwendige

Aufbewahrungsdauer. Dies gilt gleichermaßen für das Tool Power-Automate, auch hier werden die personenbezogenen Daten nach Wegfall des Zwecks – spätestens jedoch 90 Tage nach dem letzten Kontakt – gelöscht. Eine Vertragsanbahnung kann mindestens 90 Tage dauern, daher ist dies die kürzest notwendige Aufbewahrungsdauer.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt:

• zur Anbahnung vertraglicher Maßnahmen, Schulungsangeboten oder Beratungsgesprächen gemäß Art. 6 Abs. 1 lit. b DSGVO

• auf Basis unseres berechtigten Interesses an einer effizienten Organisation und digitalen Kommunikation gemäß Art. 6 Abs. 1 lit. f DSGVO im Beschäftigungskontext gemäß § 26 Abs. 1 BDSG

• Sofern das Bookings-Formular eingebettet ist und Cookies/ähnliche Technologien setzt, erfolgt der Einsatz nur nach Einwilligung (§ 25 Abs. 1 TDDDG; Widerruf jederzeit im Cookie-Banner).

II. Nutzung Microsoft Teams: Dienste für Beratungsgespräche

Datenkategorien

Anzeige-/Benutzernamen, (dienstliche/anonymisierte) E-Mail, Meeting-Metadaten (Meeting-ID, Beitritt/Verlassen, Dauer, Rolle), ggf. Audio/Video-/Bildschirmübertragung, Chat-/Reaktionsdaten, Geräte-/Nutzungsdaten

Datenquelle

Wenn Sie an einem Beratungstermin mit Microsoft-Teams teilnehmen, werden personenbezogene Daten wie Ihr Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Geräteinformationen sowie Inhalte aus Audio-, Video- und Texteingaben (z. B. Chatnachrichten) im Rahmen von Online-Besprechungen und Videokonferenzen verarbeitet. Diese Daten erhalten wir von Ihnen und nutzen sie ausschließlich zur Bearbeitung Ihrer Beratungsgespräche.

Aufbewahrungszweck, Datenübermittlung und Drittlandtransfer

Die Verarbeitung erfolgt grundsätzlich auf Servern innerhalb der EU und dient bei Microsoft Bookings und Microsoft-Teams dem Zweck der Kontaktaufnahme zur Beratung und Erprobungsunterricht. Eine Übermittlung personenbezogener Daten in Drittländer wie die USA kann im Rahmen der technischen Bereitstellung durch Microsoft jedoch nicht vollständig ausgeschlossen werden. Microsoft hat sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet und garantiert damit ein angemessenes Datenschutzniveau.

Aufbewahrungsdauer/Löschung der Daten

Bei der Nutzung von Microsoft 365 werden – je nach Nutzung – personenbezogene Daten verarbeitet, z. B. Name, E-Mail-Adresse, IP-Adresse, Geräteinformationen sowie Inhalte aus Audio-, Video- und Texteingaben (z. B. Chatnachrichten) im Rahmen von Beratungsgesprächen. Eine Aufzeichnung von Meetings findet nicht statt.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt:

• zur Anbahnung vertraglicher Maßnahmen (als Teilnehmende), Schulungsangeboten oder Beratungsgesprächen gemäß Art. 6 Abs. 1 lit. b DSGVO

• auf Basis unseres berechtigten Interesses an einer effizienten Organisation und digitalen Kommunikation gemäß Art. 6 Abs. 1 lit. f DSGVO im Beschäftigungskontext gemäß § 26 Abs. 1 BDSG

III. Nutzung von Microsoft 365: Outlook

Für die Organisation von Terminabsprachen und den E-Mail-Verkehr im Beratungskontext setzen wir Outlook ein.

Im Rahmen dieses Dienstes können unter anderem folgende personenbezogene Daten verarbeitet werden:

Datenkategorie

• Nutzerdaten (Anzeigename, anonymisierte E-Mail-Adresse)

• Inhaltsdaten (z. B. Dokumente, Tabellen, Präsentationen, Kommentare),

• Kommunikationsdaten (z. B. Chat)

• Technische Metadaten (z. B. Zeitpunkt der Nutzung, Geräteinformationen, IP-Adresse)

Aufbewahrungszweck, Datenübermittlung und Drittlandtransfer

Die Verarbeitung dieser Daten erfolgt ausschließlich zur Durchführung und Verbesserung unseres digitalen Bildungsangebots. Die Verarbeitung erfolgt grundsätzlich auf Servern innerhalb der EU und dient dem Zweck der Vertragsanbahnung. Eine Übermittlung personenbezogener Daten in Drittländer wie die USA kann im Rahmen der technischen Bereitstellung durch Microsoft jedoch nicht vollständig ausgeschlossen werden. Microsoft hat sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet und garantiert damit ein angemessenes Datenschutzniveau. Verarbeitungen erfolgen überwiegend in der EU/EEA. Übermittlungen an die Microsoft Corporation (USA) können im Support-/Betriebsfall erfolgen und beruhen auf DPF, ergänzend SCC.

Sicherheit: Microsoft setzt angemessene technische und organisatorische Maßnahmen; Details ergeben sich aus dem Microsoft-Datenschutznachtrag (DPA) und der Online-Doku.

Hinweise

Es findet keine Aufzeichnung von Meetings statt.

Aufbewahrungsdauer/Löschung der Daten

Nach Beendigung des Zwecks, spätestens jedoch nach 90 Tagen erfolgt die vollständige Löschung der Daten in Microsoft 365.

Ausnahme sind im Bereich der beruflichen Umschulung die gruppeninternen Kommunikationskanäle der Lerngruppen. Diese werden erst 90 Tage nach Beendigung der Umschulung gelöscht.

Ausnahme bildet gemäß Aufbewahrungskonzept (vertragliche/gesetzliche Pflichten 10 Jahre für Geschäftsunterlagen); danach Löschung/Anonymisierung.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt:

• zur Durchführung von Beratungsgesprächen und vertraglicher Maßnahmen wie der Durchführung des Live-Unterrichts gemäß Art. 6 Abs. 1 lit. b DSGVO

• auf Basis unseres berechtigten Interesses an einer effizienten Organisation und digitalen Kommunikation gemäß Art. 6 Abs. 1 lit. f DSGVO im Beschäftigungskontext gemäß § 26 Abs. 1 BDSG

Soziale Medien

Verantwortlichkeit / gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Wir betreiben öffentliche Auftritte bei folgenden Anbietern: Facebook/Instagram (Meta), LinkedIn, TikTok, XING, YouTube, Kleinanzeigen. Beim Besuch unserer Auftritte verarbeiten wir gemeinsam mit dem jeweiligen Plattformbetreiber Nutzungs-/Interaktionsdaten (z. B. Seitenaufrufe, Interaktionen, demografische/Interessen-„Insights“). Wir nutzen nicht die Safe-Sharing Button Lösung, wir haben keine Share-Buttons auf unsere Webseite, nur Verlinkungen auf die jeweilige Profile.

• Meta (Facebook/Instagram): Gemeinsame Verantwortlichkeit für Page-Insights; wesentliche Inhalte der Vereinbarung und Zuständigkeiten siehe Plattformbedingungen von Meta (Art.-26-Addendum).

• LinkedIn: Gemeinsame Verantwortlichkeit für Page-Insights; wesentliche Inhalte und Ansprechpartner siehe LinkedIn Page-Insights Joint Controller Addendum.

• Bei anderen Plattformen richtet sich die Verantwortlichkeit nach deren Bedingungen; weitergehende Verarbeitung erfolgt in alleiniger Verantwortung des jeweiligen Anbieters.

Datenkategorien (Beispiele)

• Profil-/Kontaktdaten (sofern sichtbar/übermittelt), Inhalts-/Kommunikationsdaten (Kommentare, Nachrichten), Nutzungs-/Meta-Daten (Zeitstempel, Interaktion, Reichweitenstatistiken), ggf. Wettbewerbs-/Teilnahmedaten.

Datenquelle

Soziale Medien können beim direkten Besuch der jeweiligen Website oder bei einem Besuch über eine Website mit integrierten Social-Media-Inhalten (z. B. Like-Buttons oder Werbebannern, vgl. auch Ziff. 2.) das Nutzerverhalten in der Regel umfassend analysieren. Durch den Besuch unserer Präsenzen in den sozialen Medien werden die folgenden datenschutzrelevanten Verarbeitungsvorgänge ausgelöst.

Ist ein Besucher in seinem Social-Media-Account angemeldet und besucht er unsere Social-Media-Präsenzen, kann der Betreiber des Social-Media-Portals diesen Besuch dem Benutzerkonto zuordnen. Die personenbezogenen Daten können ggf. auch bereits dann erfasst werden, wenn der Benutzer nicht eingeloggt ist oder keinen Account beim jeweiligen Social-Media-Portal besitzt. Diese Datenerfassung erfolgt in diesem Fall beispielsweise über Cookies, die auf Ihrem Endgerät gespeichert werden oder durch Erfassung der IP-Adresse.

Mit Hilfe der so erfassten Daten können die Betreiber der Social-Media-Portale Nutzerprofile erstellen, in denen die Präferenzen und Interessen des Besuchers hinterlegt sind. Auf diese Weise kann dem Benutzer interessenbezogene Werbung in- und außerhalb der jeweiligen Social-Media-Präsenz angezeigt werden. Sofern ein Account beim jeweiligen sozialen Medium existiert, kann die interessenbezogene Werbung auf allen Geräten angezeigt werden, auf denen der Benutzer eingeloggt ist oder eingeloggt war.

Aufbewahrungszwecke / Unsere eigene Verarbeitung

• Community-Management (Kommentare, Nachrichten

• Beantwortung von Anfragen

• Öffentlichkeitsarbeit

• Reichweitenanalyse/Statistik (Seiten-Insights)

• ggf. Gewinnspiel-/Kampagnenabwicklung

• Rechtsdurchsetzung

Aufbewahrungsdauer und Löschung

Inhalte/Kommunikation, die wir verarbeiten, speichern wir zweckbezogen (z. B. bis zur abschließenden Bearbeitung Ihrer Anfrage, zur Rechtsverteidigung nach Verjährungsfristen) und löschen/anonymisieren anschließend. Plattformseitige Speicherungen (Cookies/Tracking, Profil-/Nutzungsdaten) erfolgen in alleiniger Verantwortung der Anbieter; deren Speicherdauern entnehmen Sie bitte den jeweiligen Datenschutzhinweisen.

Rechtsgrundlage der Datenverarbeitung

Art. 6 Abs. 1 lit. f DSGVO (Öffentlichkeitsarbeit, Kommunikation, Auswertung von Reichweite/Interesse); soweit eine konkrete Anfrage Vertragsbezug hat: Art. 6 Abs. 1 lit. b DSGVO. Hinweis: Sie können der Verarbeitung zu Zwecken der Direktwerbung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO).

Datenweitergabe an Dritte / Drittlandübermittlungen

Je nach Anbieter kann eine Übermittlung in Drittländer (insb. USA) stattfinden. Diese stützt sich – je nach Plattform – auf einen Angemessenheitsbeschluss (EU-US Data Privacy Framework) oder auf Standardvertragsklauseln der EU-Kommission. Details finden Sie in den Datenschutzhinweisen der jeweiligen Plattform.

Betroffenenrechte

Sie können Ihre Rechte (Art. 15–22 DSGVO) sowohl uns gegenüber als auch gegenüber dem jeweiligen Plattformbetreiber geltend machen. Im Rahmen der gemeinsamen Verantwortlichkeit unterstützen wir uns gegenseitig entsprechend der jeweiligen Art.-26-Vereinbarungen.

Verarbeitung von Bewerberdaten (Bewerbungsportal Personio)

Verantwortlicher

cimdata Bildungsakademie GmbH (Kontaktdaten siehe Impressum/Datenschutzhinweise).

Dienstleister / Auftragsverarbeitung

Wir nutzen das Bewerbungsportal Personio (Anbieter mit Sitz in München; Hosting in der EU). Personio verarbeitet Bewerberdaten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags; dabei können Unterauftragsverarbeiter eingesetzt werden (Details siehe Personio-Daten-schutz/AVV).

Datenkategorien

Stammdaten (Vor-/Nachname, Kontaktangaben), Bewerbungsdaten (z. B. Anschreiben, Lebenslauf, Zeugnisse, Qualifikationen), Prozess-/Kommunikationsdaten (Korrespondenz, Termine, Notizen), technisch erforderliche Verarbeitungsdaten (Zeitstempel, Protokolle).

Datenquellen

In der Regel direkt von Ihnen (Portal/Upload). Gegebenenfalls aus anderen Quellen, soweit zulässig und erforderlich (z. B. Personalvermittler, Jobportale, öffentlich zugängliche berufliche Profile).

Aufbewahrungszweck

Prüfung und Bearbeitung Ihrer Bewerbung, Entscheidung über die Begründung eines Beschäftigungsverhältnisses, Kommunikation, Terminorganisation; Rechtsverteidigung (z. B. nach AGG).

Speicherdauer / Löschung

• Abschluss des Verfahrens (Absage): Speicherung der Bewerbungsunterlagen bis zu 6 Monate zum Nachweis/Abwehr etwaiger Ansprüche; anschließend Löschung/Anonymisierung.

• Einstellung: Übernahme der relevanten Unterlagen in die Personalakte; es gelten die dortigen Aufbewahrungsfristen.

• Abschluss des Verfahrens (Absage): Speicherung der Bewerbungsunterlagen bis zu 6 Monate zum Nachweis/Abwehr etwaiger Ansprüche; anschließend Löschung/Anonymisierung.

• Einstellung: Übernahme der relevanten Unterlagen in die Personalakte; es gelten die dortigen Aufbewahrungsfristen.

• Talentpool (freiwillig): Speicherung nur auf Basis gesonderter Einwilligung und nur für die vereinbarte Dauer (z. B. 12 Monate); Widerruf jederzeit möglich.

Umgang mit besonderen Kategorien personenbezogener Daten

Wir fordern keine Angaben zu besonderen Kategorien (Art. 9 DSGVO) an. Bitte reichen Sie solche Angaben nur ein, wenn sie für die Auswahl erforderlich sind (z. B. Nachteilsausgleich). Soweit besondere Daten ausnahmsweise verarbeitet werden müssen, erfolgt dies nach § 26 Abs. 3 BDSG i. V. m. Art. 9 Abs. 2 b DSGVO. Nicht erforderliche sensible Angaben werden von uns nicht berücksichtigt und nach Möglichkeit gelöscht/geschwärzt.

Empfänger / Weitergabe

Innerhalb unseres Unternehmens erhalten nur die mit der Stellenbesetzung betrauten Personen Zugriff. Externe Empfänger sind Auftragsverarbeiter (z. B. Personio/IT-Dienstleister). Eine Weitergabe an sonstige Dritte erfolgt nur, wenn hierfür eine rechtliche Pflicht besteht (z. B. Behörden/Gerichte).

Drittlandübermittlungen

Eine Übermittlung in Drittländer findet nicht statt, es sei denn, der Auftragsverarbeiter setzt ausnahmsweise einen Unterauftragsverarbeiter außerhalb der EU ein; in diesem Fall erfolgen geeignete Garantien (z. B. SCC) gemäß Art. 46 DSGVO. Hinweis: Wir wählen nach Möglichkeit Unterauftragsverarbeiter in der EU/EEA.

Rechtsgrundlagen

• § 26 Abs. 1 BDSG, Art. 6 Abs. 1 b DSGVO (Anbahnung eines Beschäftigungsverhältnisses),

• Art. 6 Abs. 1 f DSGVO (Rechtsverteidigung/Abwehr von Ansprüchen),

• § 26 Abs. 3 BDSG i. V. m. Art. 9 Abs. 2 b DSGVO (soweit die Verarbeitung besonderer Kategorien erforderlich ist, z. B. Berücksichtigung einer Schwerbehinderung), ggf. Art. 9 Abs. 2 e DSGVO (Bewerber macht Daten offenkundig öffentlich).

• Talentpool / längere Aufbewahrung nur mit gesonderter Einwilligung (Art. 6 Abs. 1 a DSGVO; bei besonderen Kategorien zusätzlich Art. 9 Abs. 2 a DSGVO).

Sicherheit / automatisierte Entscheidungen

Übermittlungen erfolgen TLS-verschlüsselt. Personio setzt angemessene technische und organisatorische Maßnahmen. Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.

Betroffenenrechte (DSGVO)

Unter den Voraussetzungen der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO),

• Berichtigung unrichtiger bzw. Vervollständigung unvollständiger Daten (Art. 16 DSGVO),

• Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO),

• Einschränkung der Verarbeitung (Art. 18 DSGVO),

• Datenübertragbarkeit (Art. 20 DSGVO),

• Widerspruch gegen Verarbeitungen aus Gründen Ihrer besonderen Situation sowie gegen Direktwerbung (Art. 21 DSGVO),

• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zudem haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere an Ihrem Aufenthaltsort, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes.

Zuständig für uns ist u. a.:

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin.

Geltendmachung Ihrer Rechte

Wenden Sie sich hierzu an die in dieser Datenschutzerklärung genannten Kontaktadressen. Aus Sicherheitsgründen erteilen wir telefonisch keine inhaltlichen Auskünfte zu personenbezogenen Daten; stellen Sie Anfragen bitte schriftlich (E-Mail oder Post). Gegebenenfalls müssen wir zur Identifizierung zusätzliche Informationen anfordern.

Unsere Kontaktdaten sind:

cimdata Bildungsakademie GmbH

Wilmersdorfer Straße 50

10627 Berlin

datenschutz@cimdata.de