Datenverarbeitung

1. Grundsätze der Datenverarbeitung

Upskilly verarbeitet personenbezogene Daten stets im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO). Wir erheben Daten nur für festgelegte, eindeutige und legitime Zwecke und verarbeiten sie nicht in einer mit diesen Zwecken unvereinbaren Weise. Wir beschränken uns auf die Daten, die für den jeweiligen Verarbeitungszweck tatsächlich erforderlich sind (Datensparsamkeit), und stellen sicher, dass diese Daten sachlich richtig und aktuell gehalten werden.

2. Verarbeitungsvorgänge im Überblick

Im Rahmen unserer Plattform für KI-gestützte Finanzbildung führen wir verschiedene Verarbeitungsvorgänge durch. Bei der Registrierung und Anmeldung zu Kursen oder Webinaren werden Kontakt- und Identifikationsdaten erfasst, um die Buchung abzuwickeln und Ihnen Zugang zu den gebuchten Inhalten zu gewähren. Im laufenden Kursbetrieb werden Fortschrittsdaten erhoben, um Ihren Lernstand zu dokumentieren und kursbegleitende Funktionen bereitzustellen. Im Rahmen von Live-Webinaren und Coachings können mit Ihrer ausdrücklichen Einwilligung Sitzungen aufgezeichnet und für Teilnehmer bereitgestellt werden.

3. Automatisierte Verarbeitung und Profiling

Upskilly setzt keine vollständig automatisierten Entscheidungsprozesse ein, die rechtliche oder ähnlich bedeutende Auswirkungen auf Sie haben. Wir nutzen technische Systeme, um anonymisierte Nutzungsmuster zu analysieren und daraus Verbesserungen für unsere Kursstruktur und Plattformfunktionen abzuleiten. Eine individuelle Bewertung oder Kategorisierung von Nutzern zu Zwecken, die über die Lernfortschrittsdokumentation hinausgehen, findet nicht statt.

4. Auftragsverarbeitung

Für bestimmte technische Dienstleistungen – wie Hosting, Zahlungsabwicklung oder E-Mail-Versand – setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein. Diese Dienstleister handeln ausschließlich nach unseren Weisungen und sind vertraglich verpflichtet, angemessene technische und organisatorische Schutzmaßnahmen zu treffen. Mit jedem Auftragsverarbeiter schließen wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab, der die Pflichten und Rechte beider Parteien verbindlich regelt.

5. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt nur, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Dies kann durch einen Angemessenheitsbeschluss der Europäischen Kommission, durch Standardvertragsklauseln oder durch andere geeignete Garantien im Sinne der DSGVO gewährleistet werden. Soweit möglich, bevorzugen wir den Einsatz von Dienstleistern mit Serverstandorten innerhalb des EWR.

6. Technische und organisatorische Maßnahmen

Wir haben umfangreiche technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen die Verschlüsselung personenbezogener Daten bei der Übertragung und Speicherung, Zugriffskontrollen, die sicherstellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können, regelmäßige Überprüfungen und Aktualisierungen unserer Sicherheitsmaßnahmen sowie Verfahren zur regelmäßigen Datensicherung und zur Wiederherstellung im Störungsfall. Alle Mitarbeitenden, die mit personenbezogenen Daten in Berührung kommen, sind entsprechend geschult und zur Vertraulichkeit verpflichtet.

7. Daten im Kontext von KI-Werkzeugen

Im Rahmen unserer Bildungsangebote zu Künstlicher Intelligenz werden zu Demonstrationszwecken verschiedene KI-Werkzeuge vorgestellt und erläutert. Dabei werden keine echten personenbezogenen Daten der Teilnehmer in externe KI-Systeme eingespeist, es sei denn, dies erfolgt auf ausdrücklichen Wunsch und mit ausdrücklicher Einwilligung der betreffenden Person in einem klar definierten Übungskontext. Wir legen großen Wert darauf, einen verantwortungsvollen Umgang mit Daten als Teil unserer Bildungsinhalte zu vermitteln.

8. Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO führen wir ein internes Verzeichnis aller Verarbeitungstätigkeiten, das die wesentlichen Informationen zu jedem Verarbeitungsvorgang dokumentiert. Dieses Verzeichnis steht auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung. Es wird regelmäßig überprüft und bei Änderungen unserer Verarbeitungstätigkeiten aktualisiert.

9. Meldung von Datenpannen

Im unwahrscheinlichen Fall einer Verletzung des Schutzes personenbezogener Daten halten wir uns an die gesetzlichen Meldepflichten. Sofern eine Datenpanne voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, werden wir die zuständige Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, informieren. Wenn ein hohes Risiko für Sie als betroffene Person besteht, werden wir Sie ebenfalls direkt und ohne unangemessene Verzögerung benachrichtigen.