Datenschutz
Datenschutzerklärung und Informationen zur Datenverarbeitung
1 Vorwort
Die BQS-Akademie legt großen Wert auf den Schutz personenbezogener Daten in all ihren Aus- und Weiterbildungsangeboten. Im Folgenden wird dargestellt, wie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) im Bildungskonzept der Akademie umgesetzt werden. Dies umfasst den Umgang mit Teilnehmerdaten, deren Speicherung und Archivierung, die Nutzung digitaler Plattformen, die Weitergabe von Daten an Dritte, die Datenschutzrechte der Teilnehmenden sowie Maßnahmen zur Sicherstellung der Datensicherheit. Zudem wird die verantwortliche Stelle benannt und eine Kontaktmöglichkeit für Datenschutzanliegen angegeben.
2 Verarbeitung von Teilnehmerdaten
Im Rahmen der Anmeldung und Durchführung von Aus- und Fortbildungen verarbeitet die BQS-Akademie diverse Teilnehmerdaten. Dazu gehören insbesondere:
Stammdaten: Name, Anschrift und Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer) der Teilnehmenden.
Organisationsbezogene Daten: Gegebenenfalls Angaben zum Arbeitgeber oder zur entsendenden Organisation, falls die Schulung über den Arbeitgeber gebucht wird.
Veranstaltungsbezogene Daten: Informationen zur Schulungsteilnahme, z. B. Anwesenheitslisten, Teilnahmebestätigungen, Prüfungsergebnisse und Angaben für Zertifikate.
Diese Daten werden erhoben und genutzt, um die Bildungsangebote durchführen zu können – etwa zur Teilnehmerverwaltung, Organisation der Veranstaltung, Kommunikation mit den Teilnehmenden, Erstellung von Teilnehmerlisten und Namensschildern sowie zum Ausstellen von personalisierten Teilnahmezertifikaten. Die Verarbeitung der Teilnehmerdaten ist für diese Zwecke erforderlich und durch eine Rechtsgrundlage gedeckt: In der Regel stützt sich BQS auf Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertragsverhältnisses, nämlich der Teilnahmevereinbarung an der Aus-/Fortbildung). Soweit besondere Vorgänge nicht bereits vom Vertragszweck umfasst sind, kann eine Verarbeitung auch auf rechtlichen Pflichten (Art. 6 Abs. 1 lit. c DSGVO) oder berechtigten Interessen des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) beruhen, beispielsweise, um die Qualität der Ausbildung zu sichern oder im Falle von rechtlichen Ansprüchen Verteidigungsnachweise zu führen. Eine Verarbeitung auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erfolgt nur in Fällen, in denen dies erforderlich ist (etwa wenn freiwillig zusätzliche Angebote wie Newsletter abonniert oder Foto-/Videoaufnahmen zu Marketingzwecken gemacht werden sollen). Erteilte Einwilligungen sind selbstverständlich freiwillig und können jederzeit mit Wirkung für die Zukunft widerrufen werden.
3 Speicherung und Archivierung der Daten
Die BQS-Akademie speichert personenbezogene Daten von Teilnehmenden grundsätzlich nur so lange, wie es für die Zwecke der Aus- und Fortbildung erforderlich ist. Teilnehmerlisten, Prüfungsdokumentationen, Zertifikatskopien und ähnliche Unterlagen werden unter Beachtung der gesetzlichen Aufbewahrungsfristen archiviert. Es bestehen z. B. handels- und steuerrechtliche Pflichten (nach Handelsgesetzbuch und Abgabenordnung), bestimmte Daten bis zu zehn Jahre aufzubewahren. Darüber hinaus kann eine längere Aufbewahrung im Einzelfall gerechtfertigt sein, solange mögliche Ansprüche aus der Teilnahme geltend gemacht werden könnten oder andere berechtigte Interessen bestehen (z. B. Nachweispflichten gegenüber Zertifizierungsstellen). Nach Ablauf der einschlägigen Fristen bzw. sobald kein Zweck und kein berechtigtes (oder gesetzliches) Aufbewahrungsinteresse mehr besteht, werden die personenbezogenen Teilnehmerdaten gelöscht oder anonymisiert.
Alle Archivierungen erfolgen sicher und zugriffsbeschränkt. Physische Unterlagen (etwa unterschriebene Teilnehmerlisten oder Prüfungsbögen) werden in abschließbaren Schränken oder Räumen verwahrt. Elektronische Daten werden in geschützten Systemen gespeichert, sodass unberechtigte Personen keinen Zugriff haben.
4 Nutzung digitaler Plattformen (z. B. Microsoft Teams)
Für Online-Schulungen, Webinare oder digitale Unterrichtsformen setzt die BQS-Akademie bewährte Plattformen wie Microsoft Teams ein. Dabei werden zur Teilnahme erforderliche Daten – insbesondere der Name der Teilnehmenden sowie deren E-Mail-Adresse für die Einladung – auf den Servern des Dienstanbieters verarbeitet. Microsoft Teams wird ausschließlich genutzt, um das jeweilige Online-Seminar durchzuführen und somit unsere vertraglichen Pflichten gegenüber den Teilnehmenden zu erfüllen.
Datenschutz bei der Plattformnutzung:
Microsoft agiert hierbei als Auftragsverarbeiter gemäß Art. 28 DSGVO, d. h. es besteht ein Vertrag, der Microsoft zur DSGVO-konformen Verarbeitung der Teilnehmerdaten in unserem Auftrag verpflichtet. Die im Rahmen der Teams-Nutzung anfallenden personenbezogenen Daten (z. B. Kommunikationsinhalte, Chat-Beiträge, Verbindungsmetadaten) werden nicht zu eigenen Zwecken von Microsoft oder unbeteiligten Dritten verwendet, sondern nur zur technischen Durchführung der Veranstaltung. Eine Übermittlung von Teilnehmerdaten an unberechtigte Dritte durch die BQS-Akademie erfolgt nicht.
Datenübermittlung und -speicherung:
Microsoft betreibt für Teams Server in europäischen Rechenzentren; dennoch kann nicht ausgeschlossen werden, dass im Rahmen des Dienstes Daten temporär in den USA oder anderen Drittstaaten verarbeitet werden (z. B. zur Unterstützung durch amerikanische Support-Einheiten). Für solche Fälle hat die BQS-Akademie mit Microsoft geeignete Garantien vereinbart: Insbesondere werden EU-Standardvertragsklauseln eingesetzt, um bei Datenübermittlungen in Drittstaaten ein angemessenes Datenschutzniveau sicherzustellen. Die Teilnehmenden werden darauf hingewiesen, dass bei Nutzung von Microsoft Teams zumindest ihr Name für andere Teilnehmer sichtbar ist und – falls sie Kamera oder Mikrofon aktivieren – Bild- bzw. Tondaten in die Konferenz übertragen werden. Aufzeichnungen von Online-Seminaren erfolgen nur, wenn dies vorher ausdrücklich angekündigt und rechtlich zulässig ist (i.d.R. nur mit Einwilligung der Betroffenen).
5 Weitergabe von Daten an Dritte
Personenbezogene Daten der Teilnehmerinnen und Teilnehmer werden grundsätzlich nicht an Dritte weitergegeben, es sei denn, dies ist zur Durchführung der Bildungsmaßnahme erforderlich oder es besteht eine gesetzliche Verpflichtung. In einigen Fällen arbeitet die BQS-Akademie mit externen Partnern oder Dienstleistern zusammen. Dabei wird darauf geachtet, dass diese Dritten vertraglich oder gesetzlich zur Vertraulichkeit und DSGVO-Konformität verpflichtet sind. Typische Fälle einer zulässigen Datenweitergabe sind:
Externe Trainer und Fachdienstleister: Für bestimmte Schulungsbestandteile zieht die BQS-Akademie externe Trainer oder spezialisierte Dienstleister hinzu – z. B. einen Firetrainer-Dienstleister für praktische Feuerlöschübungen. Diesen externen Partnern werden ausschließlich die notwendigen Teilnehmerinformationen (etwa Name der Teilnehmer für Anwesenheitslisten oder Zertifikatsanforderungen) bereitgestellt. Die Weitergabe erfolgt zum Zweck der Durchführung der Schulung und unterliegt einem Auftragsverarbeitungsvertrag oder einer vergleichbaren Vereinbarung, die den Dienstleister zur vertraulichen und weisungsgebundenen Verarbeitung verpflichtet.
In den genannten Fällen wird Transparenz gewahrt: Die Teilnehmenden werden – soweit nicht aus gesetzlichen Gründen ohnehin bekannt – informiert, wenn ihre Daten an Dritte weitergegeben werden sollen. Ohne rechtliche Grundlage oder Einwilligung der Betroffenen findet keine Datenweitergabe zu Marketingzwecken oder ähnlichem statt.
6 Datenschutzrechte der Teilnehmenden
Als Teilnehmende einer Aus- oder Fortbildung bei der BQS-Akademie haben Sie gemäß DSGVO verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten. Diese Rechte können jederzeit gegenüber der verantwortlichen Stelle (siehe Kontakt unten) geltend gemacht werden. Im Einzelnen bestehen insbesondere folgende Ansprüche:
Recht auf Auskunft: Sie können Auskunft darüber verlangen, welche personenbezogenen Daten von Ihnen bei uns gespeichert sind und zu welchem Zweck diese verarbeitet werden.
Recht auf Berichtigung: Sollten unrichtige oder unvollständige personenbezogene Daten gespeichert sein, haben Sie das Recht, die Berichtigung bzw. Vervollständigung dieser Daten zu verlangen.
Recht auf Löschung: Sie sind berechtigt, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn deren Speicherung unzulässig ist oder die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden. Dieses „Recht auf Vergessenwerden“ gilt unter den Voraussetzungen des Art. 17 DSGVO.
Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen (z. B. während der Prüfung einer von Ihnen beanstandeten Datenrichtigkeit) können Sie die Einschränkung der Verarbeitung Ihrer Daten verlangen. Dann dürfen Ihre Daten – abgesehen von der Speicherung – nur noch mit engen Ausnahmen verarbeitet werden.
Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, sofern diese auf einem öffentlichen Interesse oder berechtigten Interesse von BQS beruht (Art. 21 Abs. 1 DSGVO). Wenn Sie Widerspruch einlegen, werden wir die betroffenen Daten nicht mehr für diese Zwecke verarbeiten, es sei denn, es liegen zwingende schutzwürdige Gründe vor. Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen (Art. 21 Abs. 2 DSGVO).
Recht auf Datenübertragbarkeit: Soweit Sie uns Daten bereitgestellt haben und wir diese automatisiert auf Basis Ihrer Einwilligung oder eines Vertrags verarbeiten, können Sie verlangen, dass wir diese Daten in einem gängigen, maschinenlesbaren Format an Sie oder – falls technisch machbar – an einen Dritten übermitteln.
Recht auf Widerruf von Einwilligungen: Wenn eine Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht rückwirkend beseitigt, aber wir werden Ihre Daten ab Zugang des Widerrufs nicht weiter nutzen.
Recht auf Beschwerde: Ihnen steht schließlich das Recht zu, sich bei Fragen oder Beschwerden zum Datenschutz an eine Aufsichtsbehörde zu wenden. Sie können Beschwerde bei der für uns zuständigen Datenschutzaufsichtsbehörde einlegen oder bei der Behörde in dem EU-Mitgliedstaat Ihres Aufenthaltsorts. Dieses Beschwerderecht besteht z. B. dann, wenn Sie der Ansicht sind, dass wir Ihre Daten unrechtmäßig verarbeiten. Die Kontaktdaten der zuständigen Aufsichtsbehörde für Baden-Württemberg (LfDI Baden-Württemberg in Stuttgart) geben wir Ihnen auf Anfrage gern bekannt, oder Sie entnehmen sie öffentlichen Verzeichnissen.
Hinweis: Zur Ausübung Ihrer Rechte genügt in der Regel eine formlose Mitteilung (per E-Mail oder Post) an uns. Ggf. benötigen wir einen Nachweis Ihrer Identität, um Ihre Anfrage zu schützen und sicherzustellen, dass keine unbefugte Person Auskunft über Ihre Daten erhält.
7 Sicherstellung der Datensicherheit
Die BQS-Akademie trifft umfassende technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Dies bedeutet, dass wir ein dem jeweiligen Risiko angemessenes Schutzniveau bieten. Einige zentrale Vorkehrungen zur Datensicherheit sind:
Zugriffskontrolle: Personenbezogene Teilnehmerdaten werden in Systemen gespeichert, die nur von befugten Mitarbeitenden mit individuellen Zugangsdaten eingesehen und bearbeitet werden können. Interne Berechtigungskonzepte stellen sicher, dass jeder Mitarbeiter nur auf die Daten zugreifen kann, die er zur Erfüllung seiner Aufgaben benötigt.
Datenträger- und Speichersicherheit: Elektronische Datenbanken sind passwortgeschützt, mit aktuellen Firewall- und Antivirensystemen gesichert und – wo angemessen – verschlüsselt. Bei Speicherung in Cloud-Diensten achten wir auf zertifizierte Anbieter und vertragliche Garantien. Physische Dokumente (z. B. Papierlisten) werden sicher verwahrt, und unbefugter Zutritt zu Büroräumen oder Aktenschränken ist durch geeignete Schließsysteme verhindert.
Übertragungs- und Weitergabekontrolle: Bei der elektronischen Übermittlung sensibler Daten (z. B. Teilnehmerlisten an externe Trainer) nutzen wir, wo möglich, verschlüsselte Kommunikationswege. E-Mails mit personenbezogenen Daten werden nur im notwendigen Umfang versendet.
Datenschutz durch Voreinstellung: Wir achten darauf, nur diejenigen personenbezogenen Daten zu erheben, die für den jeweiligen Zweck erforderlich sind (Datenminimierung). Unsere Anmeldeformulare und IT-Systeme sind datenschutzfreundlich vorkonfiguriert – z. B. werden besonders sensitive Angaben nur auf freiwilliger Basis erhoben und standardmäßig nicht veröffentlicht.
Mitarbeiterschulung und Vertraulichkeit: Alle in die Datenverarbeitung eingebundenen Mitarbeiterinnen und Mitarbeiter der BQS-Akademie sind auf das Datengeheimnis verpflichtet und wurden hinsichtlich der DSGVO-Anforderungen geschult. Regelmäßige Sensibilisierung im Umgang mit Teilnehmerdaten trägt dazu bei, versehentliche Datenpannen zu vermeiden.
Trotz aller technischen Schutzmechanismen weist die BQS-Akademie darauf hin, dass eine Übertragung von Daten über das Internet (z. B. bei Kommunikation per E-Mail) gewisse Sicherheitsrisiken bergen kann. Wir nutzen daher sichere Kanäle, wo immer möglich, und verbessern kontinuierlich unsere Sicherheitsmaßnahmen. Im Falle eines Datenschutzvorfalls (z. B. Verlust oder unbefugter Zugriff auf Daten) existieren interne Prozesse, um diesen Vorfall unverzüglich zu erkennen, zu melden (sofern erforderlich) und zu beheben.
8 Verantwortliche Stelle und Kontakt
Verantwortlicher im Sinne der DSGVO für die Datenverarbeitung im Rahmen der BQS-Akademie ist die:
Biffar Quality Solutions GmbH
Herr Christopher Biffar
Theodor-Heuss-Anlage 12
68165 Mannheim
Telefon: 0175 – 6602036
E-Mail: info@biffar-ac.de
Bei Anliegen zum Datenschutz – etwa zur Ausübung der oben genannten Rechte oder für weitere Informationen – können sich Teilnehmende jederzeit unter den angegebenen Kontaktdaten an uns wenden. Alternativ kann ein schriftliches Ersuchen mit dem Betreff “Datenschutz” an die postalische Adresse gerichtet werden. Die BQS-Akademie wird Anfragen zum Datenschutz zeitnah prüfen und gemäß den gesetzlichen Vorgaben beantworten.