Datenverarbeitungsvertrag (DPA)
Diese Datenverarbeitungsvereinbarung (die "DSGVO") wird zwischen DreamApply OÜ (der "Auftragsverarbeiter"), dem Anbieter der Plattform für Studienbewerbungen "DreamApply" mit der eingetragenen Adresse Pärnu mnt 102b, Tallinn, Estland, und einer Universität oder einer anderen Bildungseinrichtung (dem "für die Verarbeitung Verantwortlichen") geschlossen, die Bewerbungen von Studieninteressierten über die Plattform für Studienbewerbungen "DreamApply" oder eine andere vom Auftragsverarbeiter bereitgestellte Plattform oder Dienstleistung annimmt und eine Vereinbarung mit dem Auftragsverarbeiter geschlossen hat. Diese DSGVO regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
1. Begriffsbestimmungen
1.1. Personenbezogene Daten der verantwortlichen Stelle sind personenbezogene Daten, die der Auftragsverarbeiter im Auftrag der verantwortlichen Stelle in Verbindung mit der Nutzung der Dienste des Auftragsverarbeiters verarbeitet.
1.2. Datenschutzanforderungen bedeutet die Allgemeine Datenschutzverordnung, lokale Datenschutzgesetze, alle untergeordneten Gesetze und Verordnungen zur Umsetzung der Allgemeinen Datenschutzverordnung.
1.3. Personenbezogene EU-Daten bezeichnet personenbezogene Daten, deren Weitergabe gemäß dieser DSGVO durch die Datenschutzgrundverordnung und die lokalen Datenschutzgesetze geregelt ist.
1.4. Allgemeine Datenschutzverordnung bezeichnet die Verordnung der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
1.5. Lokale Datenschutzgesetze sind alle untergeordneten Gesetze und Verordnungen zur Umsetzung der Allgemeinen Datenschutzverordnung, die auf diese DSGVO Anwendung finden können.
1.6. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Dazu gehören auch Daten, die der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter zur Verfügung stellt.
1.7. Verletzung des Schutzes personenbezogener Daten bedeutet jede zufällige oder unrechtmäßige Zerstörung, jeder Verlust, jede Änderung, jede unbefugte Offenlegung von oder jeder Zugriff auf die personenbezogenen Daten der verantwortlichen Stelle.
1.8. Datenschutzgesetze bezeichnet alle geltenden Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung und Textnachrichten, E-Mail und sonstige Kommunikation; und (b) die Verwendung, Erhebung, Aufbewahrung, Speicherung, Sicherheit, Offenlegung, Übertragung, Entsorgung und sonstige Verarbeitung personenbezogener Daten.
1.9. Verarbeitung und ihre Entsprechungen bezeichnen jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, wie z. B. das Erheben, das Aufzeichnen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Offenlegung durch
, die Übermittlung, die Verbreitung oder die anderweitige Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung.
1.10. Für die Verarbeitung Verantwortlicher - bezeichnet die Einrichtung, die die Dienste des Auftragsverarbeiters in Anspruch genommen hat.
1.11. Aufsichtsbehörde - die estnische Datenschutzaufsichtsbehörde.
2. Art der Datenverarbeitung
2.1. Der Auftragsverarbeiter ist ein Datenverarbeiter, der Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Der Auftragsverarbeiter verpflichtet sich, die im Rahmen der DSGVO erhaltenen personenbezogenen Daten nur für die in dieser DSGVO festgelegten Zwecke zu verarbeiten. Um Zweifel auszuschließen, werden die Kategorien der verarbeiteten personenbezogenen Daten in Anhang A und B dieser
DPA beschrieben.
3. Einhaltung der Gesetze
3.1. Die Parteien kommen ihren jeweiligen Verpflichtungen aus allen geltenden Datenschutzbestimmungen nach.
- Pflichten des Kontrolleurs
4.1. Der für die Verarbeitung Verantwortliche stimmt zu:
4.1.1. Erteilung von Anweisungen an den Auftragsverarbeiter und Festlegung der Zwecke und allgemeinen Mittel der Verarbeitung der personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter in Übereinstimmung mit dieser DSGVO;
4.1.2. Einhaltung seiner Datenschutz-, Sicherheits- und sonstigen Verpflichtungen in Bezug auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen gemäß den Datenschutzanforderungen für Datenverarbeiter durch: (a) ein Verfahren zur Ausübung der Rechte der Personen, deren personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet werden, einrichtet und aufrechterhält; (b) nur Daten verarbeitet, die rechtmäßig und gültig erhoben wurden, und sicherstellt, dass diese Daten für die jeweiligen Verwendungszwecke relevant und verhältnismäßig sind; und (c) sicherstellt, dass
die Bestimmungen dieser DSGVO von seinen Mitarbeitern oder von Dritten, die in seinem Auftrag auf die personenbezogenen Daten der verantwortlichen Stelle zugreifen oder diese verwenden, eingehalten werden.
4.1.3. Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, gegebenenfalls die Einwilligung der betroffenen Personen einzuholen. Die Einwilligung ist ein Zeichen der betroffenen Person, dass sie der Verarbeitung ihrer personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen zustimmt. Die Einwilligung muss in schriftlicher oder elektronischer Form erfolgen.
4.1.4. Der Controller ist verantwortlich für die Nutzung von DreamApply-Integrationen mit Drittanbietern https://www.dreamapply.com/integrations. Solche Drittanbieter sind separate Datenverarbeiter, über die DreamApply keine Kontrolle hat. Obwohl DreamApply die Integrationsanbieter auf der Grundlage des Gesamtniveaus der Konformität auswählt, sollte der für die Verarbeitung Verantwortliche die Bedingungen und die Datenschutzdokumentation des Drittanbieters lesen, bevor er ihn in seine Prozesse und Systeme integriert.
- Verpflichtungen des Verarbeiters
5.1. Processor will:
5.1.1. Process Controller’s Personal Data (i) only for the purpose of providing, supporting and improving Processor’s services, using appropriate technical and organizational security measures; and (ii) in compliance with the instructions received from Controller. Processor will not use or process the
Controller’s Personal Data for any other purpose. Processor will promptly inform Controller if it cannot comply with the requirements under Sections 5-8 of this DPA, in which case Controller may terminate this DPA or take any other reasonable action, including suspending data processing operations;
5.1.2. Inform Controller promptly if, in Processor’s opinion, an instruction from Controller violates applicable Data Protection Requirements;
5.1.3. Take commercially reasonable steps to ensure that persons employed by it and other persons engaged to perform on Processor’s behalf comply with the terms of this DPA;
5.1.4. Ensure that its employees, authorized agents and any sub-processors are required to comply
with and acknowledge and respect the confidentiality of the Controller’s Personal Data, including after the end of their respective employment, contract or assignment. The Processor and any person acting under its authority who has access to Controller’s Personal Data, shall not process that data unless upon instructions by the Controller, including the powers granted under this DPA, unless they are required to do so by law;
5.1.5. Upon request, provide Controller with a summary of Processor’s privacy and security policies or other documented evidence that the Processor has implemented necessary technical and organizational measures;
5.1.6. Inform Controller if Processor undertakes an independent security review;
5.1.7. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Controller’s Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Controller’s Personal Data;
5.1.8. Be responsible for the sufficiency of the security, privacy, and confidentiality safeguards of all Processor personnel with respect to Controller’s Personal Data and liable for any failure by such Processor personnel to meet the terms of this DPA;
5.1.9. Take reasonable steps to confirm that all Processor personnel are protecting the security, privacy and confidentiality of Controller’s Personal Data consistent with the requirements of this DPA, and
5.1.10. Notify Controller of any Personal Data Breach by Processor, its sub-processors, or any other third parties acting on Processor’s behalf without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach.
5.2. Processor will inform Controller if Processor becomes aware of:
5.2.1. Any non-compliance by Processor or its employees with Sections 5-8 of this DPA or the Data Protection Requirements relating to the protection of Controller’s Personal Data processed under this DPA;
5.2.2. Any legally binding request for disclosure of Controller’s Personal Data by a law enforcement authority, unless Processor is otherwise forbidden by law to inform Controller, for example to preserve the confidentiality of an investigation by law enforcement authorities;
5.2.3. Any notice, inquiry or investigation by a Supervisory Authority with respect to Controller’s Personal Data or
5.2.4. Any complaint or request (in particular, requests for access to, rectification or blocking of Controller’s Personal Data) received directly from Controller’s data subjects. Processor will not respond to any such request without Controller’s prior written authorization.
5.3. Processor will provide reasonable assistance to Controller regarding:
5.3.1. Any requests from Controller’s data subjects in respect of access to or the rectification, erasure, restriction, portability, blocking or deletion of Controller’s Personal Data that Processor processes for Controller. If a data subject sends such a request directly to Processor, Processor will promptly send such request to Controller. Such requests shall be fulfilled by the Processor in accordance with documented instructions by the Controller without undue delay.
5.3.2. The investigation of Personal Data Breaches and the notification to the Supervisory Authority and Controller ‘s data subjects regarding such Personal Data Breaches
5.3.3. Where appropriate, the preparation of data protection impact assessments and, where necessary, carrying out consultations with any Supervisory Authority.
5.4. Processor may claim a reasonable fee for support services which are not included in the description of the services, and which are not attributable to failures on the part of the Processor.
5.5. If Processor is required by Data Protection Requirements to process any Controller’s Personal Data for a reason other than providing the services described in the DPA, Processor will inform Controller of this requirement in advance of any processing, unless Processor is legally prohibited from
informing Controller of such processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).
5.6. If Processor intends to engage sub-processors to help it satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such sub-processors, Processor must
(i) keep an exclusive of the list of sub-processors which Processor maintains online; (ii) remain liable to Controller for the sub-processors’ acts and omissions with regard to data protection where such sub-processors act on Processor’s instructions; and (iii)enter into contractual arrangements with such sub-processors binding them to provide the same level of data protection and information security to that provided for in this DPA. Current sub-processors are listed in the Annex A. Hereby Controller provides
Processor with general written authorization for engaging sub-processors, Processor shall inform Controller of any intended changes concerning the addition or replacement of other sub-processors, thereby giving Controller the opportunity to object to such changes.
- Haftung und Audits
6.1. Jede Person, die infolge eines Verstoßes gegen die Datenschutzbestimmungen einen materiellen oder immateriellen Schaden erlitten hat, hat das Recht, von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter Ersatz für den erlittenen Schaden zu verlangen. Der für das schadensverursachende Ereignis Verantwortliche hat der betroffenen Person den Schaden zu ersetzen.
6.2. Der für die Verarbeitung Verantwortliche haftet für den Schaden, der durch eine gegen die Datenschutzbestimmungen verstoßende Verarbeitung verursacht wird. Der Auftragsverarbeiter haftet für den durch die Verarbeitung verursachten Schaden nur dann, wenn er die speziell an die Auftragsverarbeiter gerichteten Verpflichtungen aus den Datenschutzbestimmungen nicht eingehalten hat oder wenn er außerhalb der rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen oder entgegen diesen Anweisungen gehandelt hat.
6.3. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ist von der Haftung befreit, wenn er nachweist, dass er in keiner Weise für das schadensbegründende Ereignis verantwortlich ist.
6.4. Verlangt eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungsanlagen, in denen der für die Verarbeitung Verantwortliche die personenbezogenen Daten des für die Verarbeitung Verantwortlichen verarbeitet, um die Einhaltung der Datenschutzanforderungen durch den für die Verarbeitung Verantwortlichen festzustellen oder zu überwachen, so wird der Auftragsverarbeiter bei einer solchen Prüfung kooperieren.
6.5. Der für die Verarbeitung Verantwortliche hat das Recht, nach Rücksprache mit dem Auftragsverarbeiter Inspektionen durchzuführen oder durch einen im Einzelfall zu bestimmenden Prüfer durchführen zu lassen. Der Prüfer hat das Recht, die Einhaltung dieser DSGVO in der Geschäftstätigkeit des Auftragsverarbeiters anhand von
stichprobenartigen Kontrollen zu beurteilen, die in der Regel im Voraus anzukündigen sind.
6.6. Der Auftragsverarbeiter gestattet dem für die Verarbeitung Verantwortlichen, die Einhaltung seiner Verpflichtungen gemäß der Datenschutz-Grundverordnung zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, dem für die Verarbeitung Verantwortlichen auf Verlangen die erforderlichen Auskünfte zu erteilen und insbesondere die Durchführung der technischen und organisatorischen Maßnahmen nachzuweisen
- Rückgabe und Löschung von Daten
7.1.Der Auftragsverarbeiter darf ohne Wissen und Zustimmung des Verantwortlichen keine Kopien oder Duplikate der personenbezogenen Daten des Verantwortlichen erstellen, es sei denn, es handelt sich um Sicherungskopien, die zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie um Daten, die zur Erfüllung gesetzlicher Aufbewahrungspflichten benötigt werden.
7.2. Die Parteien vereinbaren, dass der Auftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste oder auf begründetes Verlangen der verantwortlichen Stelle alle personenbezogenen Daten der verantwortlichen Stelle und Kopien dieser Daten nach Wahl der verantwortlichen Stelle an die verantwortliche Stelle zurückgibt oder sicher vernichtet
und der verantwortlichen Stelle gegenüber nachweist, dass er diese Maßnahmen ergriffen hat, es sei denn, die Datenschutzbestimmungen hindern den Auftragsverarbeiter daran, alle oder einen Teil der übermittelten personenbezogenen Daten der verantwortlichen Stelle zurückzugeben oder zu vernichten. In diesem Fall verpflichtet sich der Auftragsverarbeiter, die Vertraulichkeit der von ihm aufbewahrten personenbezogenen Daten des für die Verarbeitung Verantwortlichen zu wahren und die personenbezogenen Daten des für die Verarbeitung Verantwortlichen nach diesem Zeitpunkt nur noch aktiv zu verarbeiten, um die geltenden Gesetze einzuhalten. Der Auftragsverarbeiter ist von dieser Verpflichtung befreit, wenn er gesetzlich zur Aufbewahrung der Daten verpflichtet ist.
- Dritte Datenverarbeiter
8.1.Der Auftragsverarbeiter erkennt an, dass er bei der Erbringung einiger Dienstleistungen auf Anweisung des für die Verarbeitung Verantwortlichen personenbezogene Daten des für die Verarbeitung Verantwortlichen an dritte Datenverarbeiter übermitteln und anderweitig mit diesen zusammenarbeiten kann. Der Auftragsverarbeiter erklärt sich damit einverstanden, dass, wenn und soweit solche Übermittlungen stattfinden, der Auftragsverarbeiter
dafür verantwortlich ist, gesonderte vertragliche Vereinbarungen mit diesen dritten Datenverarbeitern zu treffen, die sie zur Einhaltung der Verpflichtungen gemäß den Datenschutzanforderungen verpflichten. Um Zweifel auszuschließen, sei darauf hingewiesen, dass solche dritten Datenverarbeiter keine Unterauftragsverarbeiter sind.
- Laufzeit
9.1.Diese DPA bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, oder bis zur Beendigung der Vereinbarung. Alle personenbezogenen Daten müssen in Übereinstimmung mit Abschnitt 7 zurückgegeben oder gelöscht werden.
- Sonstiges
Diese DPA unterliegt estnischem Recht, und alle Klagen oder Verfahren im Zusammenhang mit dieser DPA (einschließlich solcher, die sich aus außervertraglichen Streitigkeiten oder Ansprüchen ergeben) werden vor dem Bezirksgericht Harju, Tallinn, Estland, verhandelt.
ANHANG A zur DPA
Studienbewerbungsplattform "DreamApply"
1. Betroffene Personen.
Die verarbeiteten personenbezogenen Daten betreffen (i) die Bewerber (eine natürliche Person), die sich für ein Studium an der Einrichtung der verantwortlichen Stelle bewerben (eingereichte und nicht eingereichte Bewerbungen), (ii) Berater (eine natürliche Person, die Bewerber an die verantwortliche Stelle schickt und der von der verantwortlichen Stelle Zugang und Rechte gewährt werden), (iii) Kontaktpersonen (eine natürliche Person, eine natürliche Person, deren Informationen vom jeweiligen Bewerber zur Verfügung gestellt werden), (iv) Referenzpersonen (eine natürliche Person, deren Informationen vom jeweiligen Bewerber zur Verfügung gestellt werden) und Administratoren, die auf der DreamApply-Plattform
von und/oder im Namen der verantwortlichen Stelle registriert sind (Administratoren), (v) Personen, deren Daten durch funktionale Add-ons erfasst werden.
2. Zweck der Verarbeitung.
Die Verarbeitung soll es dem für die Verarbeitung Verantwortlichen ermöglichen, Bewerbungen über die Plattform für Studienbewerbungen "DreamApply" zu verwalten und durch funktionale Add-ons Marketing zu betreiben. Der Auftragsverarbeiter muss bei Bedarf Unterstützung leisten. Der für die Verarbeitung Verantwortliche legt die Zwecke der
Verarbeitung personenbezogener Daten fest und genehmigt und überwacht über die vom Auftragsverarbeiter bereitgestellte Plattform jede derartige Datenverarbeitung. Der für die Verarbeitung Verantwortliche sammelt und prüft die Informationen, die von den Bewerbern über die DreamApply-Plattform eingereicht werden.
3. Datenkategorien.
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:
3.1. Benutzerdaten (personenbezogene Daten) der Bewerber: personenbezogene Informationen, die für die Einreichung der Bewerbung(en) an den für die Verarbeitung Verantwortlichen erforderlich sind - Kontaktinformationen, Informationen über frühere Ausbildung und Erfahrungen auf dem Gebiet, Identifikationsinformationen, Informationen über Sprachkenntnisse und andere relevante Informationen, die für die Bewerbung erforderlich sind (die vollständige Liste ist auf der Plattform verfügbar). Der für die Verarbeitung Verantwortliche entscheidet über die für die Bewerbung erforderlichen Informationen auf der Grundlage der nationalen Gesetze, der Praxis des für die Verarbeitung Verantwortlichen und des spezifischen Programms, für das sich der Bewerber bewirbt.
3.2. Nutzerdaten (sensible Daten) der Bewerber: Sensible Daten dürfen von dem für die Verarbeitung Verantwortlichen nicht erhoben werden, mit Ausnahme von Daten über Gesundheit (Behinderungen). Gesundheitsdaten dürfen von der für die Verarbeitung Verantwortlichen nur auf freiwilliger Basis zum Zweck der Anerkennung besonderer Anforderungen an die Einrichtungen erhoben werden oder wenn dies gesetzlich vorgeschrieben ist. Falls der für die Verarbeitung Verantwortliche sensible Daten über die DreamApply-Plattform sammelt, ist er verpflichtet, den Bewerber darüber zu informieren.
3.3. Daten (personenbezogene Daten) der Berater: Name, Gebiet, Tracker, E-Mail, Postanschrift, Login-Code, Vertragsgültigkeit (und Datum der Unterzeichnung), Gruppe, Notizen, Anhänge, Zugriffsrechte (Möglichkeit der Verwaltung und/oder Einsicht in die eingereichten Bewerbungen).
3.4. Daten (personenbezogene Daten) der Kontaktpersonen (Notfallkontakt für den Bewerber): Name, E-Mail, Telefonnummer, Postanschrift, Beziehung zum jeweiligen Bewerber (z. B. Mutter, Vater).
3.5. Daten (persönliche Daten) des Schiedsrichters (falls vom Antragsteller angegeben): Name, E-Mail, berufliche Position.
3.6. Daten über die vom für die Verarbeitung Verantwortlichen auf DreamApply registrierten Administratoren: Name, E-Mail, Position, Zugangsrechte und Aktionen auf der Plattform.
4. Verarbeitungstätigkeiten
Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungstätigkeiten:
4.1. Einreichung und Bearbeitung von Bewerbungen;
4.2. Erhebung statistischer Berichte;
4.3. automatische Bedarfsanalyse;
4.4. Erstellung von Angeboten und Dokumenten;
4.5. unterstützende (gegenüber dem für die Verarbeitung Verantwortlichen und Nutzung von "DreamApply") Verarbeitungstätigkeiten;
4.6. Berater und deren Vertragsverwaltung;
4.8. Verwaltung von Leads (potenziellen Bewerbern);
4.9. während der Marketingaktivitäten durch funktionale Add-Ons Sammlung von Kontakten, Studieninteressen und Daten über Informationskanäle
Der für die Verarbeitung Verantwortliche gewährt das Recht und ist sich dessen bewusst, dass der Auftragsverarbeiter nicht-personenbezogene Daten über die Bewerber zu Forschungszwecken (einschließlich für nicht-personenbezogene Statistiken) verwendet, um die Effizienz und Qualität des Systems zu verbessern, Informations- und Datenflüsse vorherzusagen, um besser auf die Bedürfnisse des für die Verarbeitung Verantwortlichen
(einschließlich der Bewerber) zu reagieren und die Bekanntheit der angebotenen Dienstleistungen für potenzielle Partner zu verbessern. Der für die Verarbeitung Verantwortliche gewährt dem Auftragsverarbeiter das ausschließliche und unwiderrufliche Recht, anonyme Statistiken über die Nutzung der DreamApply-Plattform zu erstellen und diese Statistiken für die Entwicklung von Geschäften
sowie für Marketing- und Werbezwecke in allen Medienformaten und über alle Websites, sozialen Netzwerke oder Medienkanäle, die jetzt bekannt sind oder später entdeckt oder entwickelt werden, zu analysieren und weiterzugeben. Solche anonymen Statistiken werden nur weitergegeben, wenn sie verallgemeinert werden (einschließlich, aber nicht beschränkt auf die Verallgemeinerung auf
Universitäts-, Stadt- oder Landesebene). Der Umfang und die Art der gesammelten Daten hängen von dem für die Verarbeitung Verantwortlichen und den Anforderungen der Anwendung ab. Der für die Verarbeitung Verantwortliche hat die Möglichkeit, auf Antrag der betroffenen Person unrichtige Daten über die betroffenen Personen zu berichtigen, zu entfernen oder zu sperren. Der für die Verarbeitung Verantwortliche muss sicherstellen, dass eine betroffene Person eine gültige Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt und über ihre Rechte informiert wird.
5. Dauer der Verarbeitung
Der für die Verarbeitung Verantwortliche entscheidet über die Dauer der Verarbeitung auf der Grundlage der nationalen Gesetze sowie des Studienzeitraums. Der für die Verarbeitung Verantwortliche entscheidet über die Dauer der Speicherung der Daten. Der für die Verarbeitung Verantwortliche hat die technische Möglichkeit und löscht die personenbezogenen Daten gemäß seinen Vorschriften, wenn die Verarbeitung für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich ist und die Verarbeitung nicht durch das Gesetz vorgeschrieben ist. Nach der Löschung werden die Daten innerhalb von 15-45 Tagen automatisch auch aus den Sicherungskopien gelöscht.
6. Infrastrukturanbieter und Unterauftragsverarbeiter
Die Infrastrukturanbieter und Unterauftragsverarbeiter des Prozessors werden in diesem Abschnitt ausführlich beschrieben: https://www.dreamapply.com/gdpr-sub-processors. Darüber hinaus ist eine Liste der optionalen Integrationen (Unterauftragsverarbeiter) unter https://www.dreamapply.com/integrations abrufbar . Diese Listen werden sorgfältig gepflegt und regelmäßig aktualisiert. Die Website der Lernvereinbarung nutzt auch den Drittanbieter Google für funktionale Web-Cookies.
7. Zusätzliche nützliche Informationen
7.1. Der für die Verarbeitung Verantwortliche, der im Rahmen der Datenschutzbestimmungen der Europäischen Union tätig ist, informiert die Bewerber über die Datenverarbeitung, einschließlich der Rechtsgrundlage, der Aufbewahrungsfrist, der Sicherheitsmaßnahmen, der Prüfungen, der Berichtigung, der Löschung, der Empfänger, der Beschwerdeverfahren usw. Der für die Verarbeitung Verantwortliche stellt den Datenschutzhinweis und den Cookie-Hinweis auf der Plattform für die Zulassung von Studenten "DreamApply" bereit. Jede Partei ist für die Einrichtung eines Cookie-Banners verantwortlich, der sich auf die von der jeweiligen Partei (als für die Datenverarbeitung Verantwortlicher) verwendeten Cookies bezieht, und haftet für dessen Existenz und Inhalt. Der Auftragsverarbeiter kann auf Anfrage des für die Verarbeitung Verantwortlichen
eine Schulung zur Einrichtung des Cookie-Banners anbieten.
7.2. Die Administratoren können je nach den Rechten, die ihnen der für die Verarbeitung Verantwortliche (direkt und/oder indirekt über andere Administratoren) eingeräumt hat, Bewerbungen von Bewerbern löschen - entweder von Fall zu Fall oder in großen Mengen (z. B. Auswahl aller Bewerber des letzten Semesters). Wenn ein Bewerber seine Bewerbung für den Studiengang
des Controllers löscht, muss der Administrator die Löschung bestätigen, bevor die Löschung auf der DreamApply-Seite erfolgt.
7.3. Die Abteilung Kundenzufriedenheit (Unterstützung des für die Verarbeitung Verantwortlichen bei der Nutzung von "DreamApply" durch den Auftragsverarbeiter) hat Zugriff auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen. Alle Zugriffe werden protokolliert - sowohl von der Abteilung für Kundenzufriedenheit als auch von der Seite des für die Verarbeitung Verantwortlichen (Administrator). Die Protokolle von
zeigen nur, wann der Zugriff begann, aber nicht, wann er endete. Das Konfigurationsteam des Auftragsverarbeiters hat während des ersten Jahres der Geschäftsbeziehung Zugang zu den personenbezogenen Daten des Verantwortlichen, um Unterstützung zu leisten; nach einem Jahr wird der Zugang widerrufen. Der Zugriff von Seiten des Auftragsverarbeiters erfolgt nur über das interne Netzwerk
und/oder über VPN, ggf. mit 2-Faktor-Identifizierung für jeden Nutzer. Der Grund für den Zugang muss angegeben und im System gespeichert werden.
ANHANG B zur DPA
Lernvereinbarungsplattform dream-agreement.eu
1. Betroffene Personen.
Die verarbeiteten personenbezogenen Daten betreffen Austauschstudenten und -mitarbeiter (Koordinator oder Kontaktperson) der für die Verarbeitung Verantwortlichen (entsendende oder empfangende Einrichtung), die die Plattform für Lernvereinbarungen nutzen.
2. Zweck der Verarbeitung.
Die Verarbeitung soll es dem für die Verarbeitung Verantwortlichen ermöglichen, Lernvereinbarungen zu verwalten. Der Auftragsverarbeiter stellt die Plattform für den Austausch und die Unterzeichnung von Vereinbarungen zur Verfügung. Der für die Verarbeitung Verantwortliche kann als entsendende oder empfangende Einrichtung fungieren. Die entsendende Einrichtung ist die Hochschuleinrichtung, die den Studenten zum Austauschprogramm schickt, und die aufnehmende Einrichtung ist die Hochschuleinrichtung, die den Studenten als Austauschstudenten an ihrer Einrichtung
aufnimmt. Die Datenverarbeitung wird von allen Parteien durchgeführt (Student, entsendende Einrichtung, aufnehmende Einrichtung, Dream Apply als Datenverarbeiter). Alle Parteien verpflichten sich, bei der Nutzung der Plattform die Datenschutzgesetze und -grundsätze zu befolgen. Die detaillierten Informationen und Rollen können auf der Website der Plattform nachgelesen werden. Abschnitt 7 dieses Anhangs B ist in dieser Hinsicht ebenfalls relevant.
3. Datenkategorien.
Die Identifikationsdaten der Mitarbeiter des für die Verarbeitung Verantwortlichen als Nutzer der Plattform sowie die Identifikations- und Ausbildungsdaten der Studenten und/oder Austauschstudenten bei der Verwaltung der Austauschverträge auf der Plattform.
4. Verarbeitungstätigkeiten
Verwaltung von Studentenaustauschprogrammen und Zulassungen, Unterzeichnung von Lernvereinbarungen.
5. Dauer der Verarbeitung
Der für die Verarbeitung Verantwortliche entscheidet über die Dauer der Verarbeitung auf der Grundlage der nationalen Gesetze sowie des Studienzeitraums. Der für die Verarbeitung Verantwortliche entscheidet über die Dauer der Speicherung der Daten. Der für die Verarbeitung Verantwortliche hat die technische Möglichkeit und löscht die personenbezogenen Daten gemäß seinen Vorschriften, wenn die Verarbeitung für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich ist und die Verarbeitung nicht durch das Gesetz vorgeschrieben ist. Nach der Löschung werden die Daten innerhalb von 15-45 Tagen automatisch auch aus den Sicherungskopien gelöscht.
6. Infrastrukturanbieter und Unterauftragsverarbeiter
Die Infrastrukturanbieter und Unterauftragsverarbeiter des Prozessors werden in diesem Abschnitt ausführlich beschrieben: https://www.dreamapply.com/gdpr-sub-processors. Darüber hinaus ist eine Liste der optionalen Integrationen (Unterauftragsverarbeiter) unter https://www.dreamapply.com/integrations abrufbar . Diese Listen werden sorgfältig gepflegt und regelmäßig aktualisiert. Die Website der Lernvereinbarung nutzt auch den Drittanbieter Google für funktionale Web-Cookies.
7. Zusätzliche nützliche Informationen
Die Website dream-agreement.eu und die Learning Agreement Plattform, die von Dream Apply OÜ (der Auftragsverarbeiter) zur Verfügung gestellt wird, ist ein kostenloser Service, der durch die allgemeinen Geschäftsbedingungen des Auftragsverarbeiters und diese Datenverarbeitungsvereinbarung geregelt wird. Bitte lesen Sie auch die spezifischen Informationen und Bedingungen bezüglich der Learning Agreement Plattform auf der Website www.dream-agreement.eu, nachdem Sie sich eingeloggt haben. Die damit verbundene Verarbeitung personenbezogener Daten unterliegt denselben Datenschutzgarantien und -richtlinien wie der Hauptdienst des Auftragsverarbeiters, die DreamApply-Plattform.
Ähnlichkeitsprüfungsdienste (bereitgestellt vom Unterprozessor Turnitin LCC)
1. Betroffene Personen.
Die verarbeiteten personenbezogenen Daten betreffen die Bewerber (natürliche Personen), die sich für ein Studium an einer Hochschuleinrichtung bewerben.
2. Zweck der Verarbeitung.
Die Verarbeitung soll den für die Verarbeitung Verantwortlichen in die Lage versetzen, mögliche Plagiate im akademischen Bereich aufzudecken. Erhebung, Speicherung, Abruf, Nutzung (im Rahmen von Textabgleichsfunktionen).
3. Datenkategorien.
Vorname, Nachname, E-Mail-Adresse, Studentenausweisnummer, Inhalt, akademische Arbeiten oder vorgeschlagene veröffentlichte Texte.
4. Begünstigte.
Die verarbeiteten personenbezogenen Daten dürfen nur an Einrichtungen weitergegeben werden, bei denen der Antragsteller einen Antrag gestellt hat.
5. Zusätzliche nützliche Informationen
Die personenbezogenen Daten des für die Verarbeitung Verantwortlichen werden verschlüsselt und getrennt von allen anderen Daten gespeichert, die von Turnitin LCC gespeichert und verarbeitet werden, und werden nur dann entschlüsselt, wenn der Auftragsverarbeiter eine Anfrage an Turnitin LCC gestellt hat, um die Einzelheiten der personenbezogenen Daten zu überprüfen. Die vom Auftragsverarbeiter bereitgestellten personenbezogenen Daten des für die Verarbeitung Verantwortlichen können nicht für die Indexierung oder die Bereitstellung von Übereinstimmungen für andere Kunden von Turnitin LCC oder für das Training von Algorithmen für maschinelles Lernen verwendet werden, es sei denn, die personenbezogenen Daten sind vollständig anonymisiert und die Anonymisierungsmethode wurde vom Auftragsverarbeiter genehmigt.
6. DreamID Produkt (bereitgestellt von DreamApply OÜ als Data Controller)
6.1. Controller - Prozessor Rollen
DreamID Produkt wird von DreamApply OÜ als sicher authentifizierter Bewerberkontomanager für Universitäten und/oder andere Hochschuleinrichtungen (HEI) bereitgestellt. Um Bewerbern die Möglichkeit zu geben, sich mit einem DreamID-Konto bei den Anwendungen verschiedener Hochschuleinrichtungen zu registrieren/einzuloggen, muss DreamApply den Namen und die E-Mail-Adresse des Bewerbers als Mindestdatensatz erfassen, um eine sichere Authentifizierung des jeweiligen Bewerbers zu ermöglichen. DreamApply agiert als Datenverantwortlicher in Bezug auf das DreamID-Produkt auf der Grundlage der Erstellung von DreamID-Konten für die Bewerber, unabhängig von der spezifischen Hochschuleinrichtung, bei der sich der Bewerber bewirbt, und verwendet dasselbe Konto für die Bewerbung bei einer anderen Hochschuleinrichtung. Da DreamApply der Datenverantwortliche für das DreamID-Produkt ist, trägt DreamApply auch die Verantwortung für die Rechte der betroffenen Personen (z.B. Zugang und Löschung) und die Sicherheit der persönlichen Daten. DreamApply entscheidet als Data Controller auch über die Zwecke und Mittel der Datenverarbeitung in Bezug auf DreamID.
6.2. Betroffene Personen.
Die verarbeiteten personenbezogenen Daten betreffen die Bewerber (eine natürliche Person), die sich für ein Studium an einer Hochschuleinrichtung bewerben.
6.3. Zwecke der Verarbeitung.
Die Verarbeitung dient dazu, das DreamID-Konto und den sicheren Anmeldedienst zu ermöglichen.
6.4. Datenkategorien.
Vollständiger Name, E-Mail-Adresse, Passwort, Sicherheitshistorie (Login-Historie).
Optional: Angaben zur Multi-Faktor-Authentifizierung, wie z. B. ein Backup-Code, eine Authentifizierungs-App (TOTP), eine Telefonnummer oder Sicherheitsschlüssel (z. B. YubiKey)
6.5. Empfänger.
Die verarbeiteten personenbezogenen Daten dürfen nur an die Hochschuleinrichtung weitergegeben werden, bei der der Antragsteller seinen Antrag eingereicht hat.
6.6. Zusätzliche nützliche Informationen
Die Funktionalitäten des DreamID-Produkts sind in der DreamID-Datenschutzerklärung beschrieben, die hier verfügbar ist: https://id.dreamapply.com/privacy.