Impressum & Datenschutzerklärung

Impressum

Angaben gemäß § 5 TMG

educaro Deutschland GmbH
Bolkerstraße 14-16
40213 Düsseldorf

Vertreten durch:
Christian Sassin, Detlef Friedrich, Klaus Kleber

Geschäftssitz:
Gesundheitscampus-Süd 29
44801 Bochum

Kontakt:
Telefon: +49 211 545 610 1
E-Mail: info@educaro.de

Registereintrag:
Eintragung im Registergericht: Amtsgericht Bochum, HRB 20192

Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:
Christian Sassin
Bolkerstraße 14-16
40213 Düsseldorf

Datenschutzerklärung

1. Einleitung

1.1. Verantwortlicher

Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist educaro Deutschland GmbH, Bolkerstraße 14-16, 40213 Düsseldorf, Deutschland, E-Mail: info@educaro.de. Gesetzlich vertreten werden wir durch Christian Sassin, Detlef Friedrich, Klaus Kleber, Geschäftsführer.

1.2. Datenschutzbeauftragter

Unser Datenschutzbeauftragter ist die heyData UG (haftungsbeschränkt), Gormannstr. 14, 10119 Berlin, www.heydata.eu, E-Mail: info@heydata.de.

2. Sicherheitspolitik

Primäres Ziel der auf organisatorischer und technischer Ebene umgesetzten Schutzmaßnahmen ist, educaro Deutschland GmbH und ihre Kunden vor Schäden zu bewahren, die stetige Arbeitsfähigkeit der Mitarbeiter  sicherzustellen und Datenverluste zu verhindern. Hierzu gehört auch der sichere Umgang mit  sensiblen Informationen.

Es ist daher Aufgabe aller Mitarbeiter, den Grad und die Qualität an Sicherheit zu gewährleisten, die educaro Deutschland GmbH-Kunden und -Geschäftspartner erwarten und die entsprechend des Geschäftsauftrags sichergestellt werden müssen.

Das Senior Management trägt die Gesamtverantwortung für ein ausreichendes und fachlich wie  wirtschaftlich angemessenes Sicherheitsniveau, um Schäden vom Unternehmen abzuwenden und  den langfristigen Geschäftserfolg zu gewährleisten. 

Verpflichtet werden unterbeauftragte Firmen, freie Mitarbeiter, Rechenzentrumspartner und natürlich die eigenen Mitarbeiter. Der Schutz personenbezogener Daten muss zudem nach Art. 32 DSGVO durch geeignete technische und organisatorische Maßnahmen sichergestellt werden. Durch die  fortlaufende externe Überprüfung werden die Erhaltung und vor allem die stetige Verbesserung der Datenschutzmaßnahmen sichergestellt. 

Dieses Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Im Folgenden werden die technischen und  organisatorischen Maßnahmen zum Schutz der Daten beschrieben, die die educaro Deutschland GmbH standardmäßig ergreift, um die Anforderungen aus Art. 32 DSGVO zu erfüllen.

3. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1. Zutrittskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  • Schlüsselregelung / Schlüsselbuch
  • Sorgfältige Auswahl von Sicherheitspersonal
3.2. Zugangskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:

  • Authentifikation mit Benutzer und Passwort
  • Einsatz von Firewalls
  • Einsatz von VPN-Technologie bei Remote-Zugriffen
  • Verwaltung von Benutzerberechtigungen
  • Erstellen von Benutzerprofilen
  • Schlüsselregelung / Schlüsselbuch
  • Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren
3.3. Zugriffskontrolle

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:

  • Protokollierung der Vernichtung von Daten
  • Protokollierung von Zugriffen auf Anwendungen (insbesondere bei der Eingabe, Änderung und Löschung von Daten)
  • Einsatz eines Berechtigungskonzepts
  • Anzahl der Administratoren ist so klein wie möglich gehalten
  • Verwaltung der Benutzerrechte durch Systemadministratoren
3.4. Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:

  • Trennung von Produktiv- und Testsystem
  • Logische Mandantentrennung (softwareseitig)
  • Erstellung eines Berechtigungskonzepts
  • Festlegung von Datenbankrechten

4. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

4.1. Weitergabekontrolle

Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  • Einrichtungen von VPN-Tunneln
  • Protokollierung von Zugriffen und Abrufen
  • Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
  • Nutzung von Signaturverfahren
4.2. Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Aufbewahrung von Formularen, deren Daten in automatisierte Verarbeitungen übernommen worden sind
  • Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

5. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:

  • Erstellung eines Backup- & Recoverykonzepts
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Trennung von Betriebssystemen und Daten

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

6.1. Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Verwendung der heyData-Plattform zum Datenschutz-Management
  • Bestellung des Datenschutzbeauftragten heyData
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Regelmäßige Schulungen der Mitarbeiter im Datenschutz
  • Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
6.2. Incident-Response-Management

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
  • Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Einsatz von Firewalls
6.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien “Privacy by design” und “Privacy by default” Rechnung:

  • Schulung der Mitarbeiter im “Privacy by design” und “Privacy by default”
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
6.4. Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:

  • Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
  • Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)
  • Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)

7. Datenverarbeitung auf unserer Website

7.1. Informatorische Nutzung der Website

Bei der bei der informatorischen Nutzung der Website, also wenn Seitenbesucher uns nicht gesondert Informationen übermitteln, erheben wir die personenbezogenen Daten, die der Browser an unseren Server übermittelt, um die Stabilität und Sicherheit unserer Website zu gewährleisten. Darin liegt unser berechtigtes Interesse, so dass Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

Diese Daten sind:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus/HTTP-Statuscode
  • jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt
  • Browser
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware.

Diese Daten werden außerdem in Logfiles gespeichert. Sie werden gelöscht, wenn ihre Speicherung nicht mehr erforderlich ist, spätestens nach 14 Tagen.

7.2. Webhosting und Bereitstellung der Website

Unsere Website hostet auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) die GoDaddy.com LLC, Corporate Headquarters 14455 N. Hayden Rd., Ste. 226, Scottsdale, AZ 85260 USA (Datenschutzerklärung: https://de.godaddy.com/legal/agreements/privacy-policy). Der Anbieter verarbeitet dabei die über die Website übermittelten personenbezogene Daten, z.B. auf Inhalts-, Nutzungs-, Meta-/Kommunikationsdaten oder Kontaktdaten. Es ist unser berechtigtes Interesse, eine Website zur Verfügung zu stellen, so dass die Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

7.3. Kontaktformular

Bei Kontaktaufnahme über das Kontaktformular auf unserer Website speichern wir die dort abgefragten Daten und den Inhalt der Nachricht.
Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse, an uns gerichtete Anfragen zu beantworten. Rechtsgrundlage für die Verarbeitung ist deshalb Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

7.4. Stellenanzeigen

Wir veröffentlichen Stellen, die in unserem Unternehmen frei sind, auf unserer Website, auf mit der Website verbundenen Seiten oder auf Websites von Dritten.
Die Verarbeitung der im Rahmen der Bewerbung angegebenen Daten erfolgt zur Durchführung des Bewerbungsverfahrens. Soweit diese für unsere Entscheidung, ein Beschäftigungsverhältnis zu begründen, erforderlich sind, ist Rechtsgrundlage Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 1 BDSG. Die zur Durchführung des Bewerbungsverfahrens erforderlichen Daten haben wir entsprechend gekennzeichnet oder weisen auf sie hin. Wenn Bewerber diese Daten nicht angeben, können wir die Bewerbung nicht bearbeiten.
Weitere Daten sind freiwillig und nicht für eine Bewerbung erforderlich. Falls Bewerber weitere Angaben machen, ist Grundlage ihre Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).

Wir bitten Bewerber, in Lebenslauf und Anschreiben auf Angaben zu politischen Meinungen, religiösen Anschauungen und ähnlich sensiblen Daten zu verzichten. Sie sind nicht für eine Bewerbung erforderlich. Wenn Bewerber dennoch entsprechende Angaben machen, können wir ihre Verarbeitung im Rahmen der Verarbeitung des Lebenslaufes oder Anschreibens nicht verhindern. Ihre Verarbeitung beruht dann auch auf der Einwilligung der Bewerber (Art. 9 Abs. 2 lit. a DSGVO).

Schließlich verarbeiten wir die Daten der Bewerber für weitere Bewerbungsverfahren, wenn sie uns dazu ihre Einwilligung erteilt haben. In diesem Fall ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Die Daten der Bewerber geben wir an die zuständigen Mitarbeiter der Personalabteilung, an unsere Auftragsverarbeiter im Bereich Recruiting und an die im Übrigen im Bewerbungsverfahren beteiligten Mitarbeiter weiter.

Wenn wir im Anschluss an das Bewerbungsverfahren ein Beschäftigungsverhältnis mit dem Bewerber eingehen, löschen wir die Daten erst nach Beendigung des Beschäftigungsverhältnisses. Andernfalls löschen wir die Daten spätestens sechs Monate nach Ablehnung eines Bewerbers.

Wenn Bewerber uns ihre Einwilligung erteilt haben, ihre Daten auch für weitere Bewerbungsverfahren zu verwenden, löschen wir ihre Daten erst ein Jahr nach Erhalt der Bewerbung.

7.5. Buchung von Terminen

Seitenbesucher können auf unserer Website Termine mit uns buchen. Dafür verarbeiten wir neben den eingegebenen Daten Meta- oder Kommunikationsdaten. Wir haben ein berechtigtes Interesse daran, Interessenten eine nutzerfreundliche Möglichkeit zur Vereinbarung von Terminen anzubieten. Deshalb ist Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 S. 1 lit. f DSGVO. Soweit wir für die Vereinbarung ein Tool eines Drittanbieters verwenden, sind die Informationen dazu unter “Tools von Drittanbietern” zu finden.

7.6. Tools von Drittanbietern

7.6.1. ​Videos von YouTube​

Wir verwenden das Tool Videos von YouTube für Videos auf unserer Website. Der Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Anbieter verarbeitet Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen) und Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) in den USA. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Verarbeitung erfolgt auf der Basis von Einwilligungen. Betroffene können ihre Einwilligung jederzeit widerrufen, indem sie uns z.B. unter den in unser Datenschutzerklärung angegebenen Kontaktdaten kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Rechtsgrundlage der Übermittlung in ein Land außerhalb des EWR ist eine Einwilligung. Weitere Informationen sind in der Datenschutzerklärung des Anbieters unter https://policies.google.com/privacy abrufbar.

7.6.2. ​Google Analytics​

Wir verwenden das Tool Google Analytics für Analyse. Der Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Dublin, D04e5w5, Irland. Der Anbieter verarbeitet Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) und Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen) in den USA. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Verarbeitung erfolgt auf der Basis von Einwilligungen. Betroffene können ihre Einwilligung jederzeit widerrufen, indem sie uns z.B. unter den in unser Datenschutzerklärung angegebenen Kontaktdaten kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Rechtsgrundlage der Übermittlung in ein Land außerhalb des EWR ist Standardvertragsklauseln. Die Sicherheit der in das Drittland (also einem Land außerhalb des EWR) übermittelten Daten ist gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassene Standarddatenschutzklauseln gewährleistet (Art. 46 Abs. 2 lit. c DSGVO), die wir mit dem Anbieter vereinbart haben. Die Daten werden gelöscht, wenn der Zweck ihrer Erhebung entfallen ist und keine Aufbewahrungspflicht entgegensteht. Weitere Informationen sind in der Datenschutzerklärung des Anbieters unter https://policies.google.com/privacy?hl=de abrufbar.

8. Datenverarbeitung auf Social Media-Plattformen

Wir sind in Social Media-Netzwerken vertreten, um dort unser Unternehmen und unsere Leistungen vorzustellen. Die Betreiber dieser Netzwerke verarbeiten Daten ihrer Nutzer regelmäßig zu Werbezwecken. Unter anderem erstellen sie aus ihrem Onlineverhalten Nutzerprofile, die beispielsweise dazu verwendet werden, um auf den Seiten der Netzwerke und auch sonst im Internet Werbung zu zeigen, die den Interessen der Nutzer entspricht. Dazu speichern die Betreiber der Netzwerke Informationen zu dem Nutzungsverhalten in Cookies auf dem Rechner der Nutzer. Es ist außerdem nicht auszuschließen, dass die Betreiber diese Informationen mit weiteren Daten zusammenführen. Weitere Informationen sowie Hinweise, wie Nutzer der Verarbeitung durch die Seitenbetreiber widersprechen können, erhalten Nutzer in den unten aufgeführten Datenschutzerklärungen der jeweiligen Betreiber. Es kann auch sein, dass die Betreiber oder ihre Server in Nicht-EU-Staaten sitzen, so dass sie Daten dort verarbeiten. Hierdurch können sich für die Nutzer Risiken ergeben, z.B. weil die Durchsetzung ihrer Rechte erschwert wird oder staatliche Stellen Zugriff auf die Daten nehmen.

Wenn Nutzer der Netzwerke mit uns über unsere Profile in Kontakt treten, verarbeiten wir die uns mitgeteilten Daten, um die Anfragen zu beantworten. Darin liegt unser berechtigtes Interesse, so dass Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

8.1. Facebook

Wir unterhalten ein Profil auf Facebook. Betreiber ist Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://www.facebook.com/policy.php. Eine Möglichkeit, der Datenverarbeitung zu widersprechen, ergibt sich über Einstellungen für Werbeanzeigen: https://www.facebook.com/settings?tab=ads.
Wir sind auf Grundlage einer Vereinbarung gemeinsam im Sinne von Art. 26 DSGVO mit Facebook für die Verarbeitung der Daten der Besucher unseres Profils verantwortlich. Welche Daten genau verarbeitet werden, erklärt Facebook unter https://www.facebook.com/legal/terms/information_about_page_insights_data. Betroffene können ihre Rechte sowohl gegenüber uns als auch gegenüber Facebook wahrnehmen. Nach unserer Vereinbarung mit Facebook sind wir aber dazu verpflichtet, Anfragen an Facebook weiterzuleiten. Betroffene erhalten also eine schnellere Rückmeldung, wenn sie sich direkt an Facebook wenden.

8.2. Instagram

Wir unterhalten ein Profil auf Instagram. Betreiber ist Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://help.instagram.com/519522125107875.

8.3. YouTube

Wir unterhalten ein Profil auf YouTube. Betreiber ist Google Ireland Limited Gordon House, Barrow Street Dublin 4. Ireland. Die Datenschutzerklärung ist hier abrufbar: https://policies.google.com/privacy?hl=de.

8.4. LinkedIn

Wir unterhalten ein Profil auf LinkedIn. Betreiber ist LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://www.linkedin.com/legal/privacy-policy?_l=de_DE. Eine Möglichkeit, der Datenverarbeitung zu widersprechen, ergibt sich über die Einstellungen für Werbeanzeigen: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.

8.5. Xing

Wir unterhalten ein Profil auf Xing. Betreiber ist New Work SE, Dammtorstraße 29-32, 20354 Hamburg. Die Datenschutzerklärung ist hier abrufbar: https://privacy.xing.com/de/datenschutzerklaerung.