Datenschutzerklärung

1. Verantwortliche Stelle und Kontakt

Verantwortliche Stelle

2. Datenerhebung und -verarbeitung

2.1 Personenbezogene Daten, die wir erheben

Wir erheben und verarbeiten die folgenden Kategorien personenbezogener Daten:

Kontodaten:

• E-Mail-Adresse, Benutzername
• Vorname, Nachname
• Profilbild
• Datum der Kontoerstellung und des letzten Logins
• Kontoeinstellungen

Profilinformationen (optional):

• Berufsbezeichnung
• Geburtsdatum
• Adresse, Postleitzahl, Stadt, Land
• Telefon- und Mobilnummern
• Berufliche Biografie und Fachgebiete
• Geschlecht

Anmelde- und Workshop-Daten:

• Informationen zur Workshop-Anmeldung
• Anmeldemethode (direkt, Code oder administrativ)
• Zahlungsstatus und -historie
• Aufzeichnungen der Workshop-Teilnahme
• Status der Teilnehmer-Checkliste

Lernfortschrittsdaten:

• Status der Vorlesungs- und Aufgabenbearbeitung
• Abgaben und Lösungen von Übungen
• Metriken zur Workshop-Teilnahme und -Engagement
• Chat-Nachrichten und Diskussionsforum-Beiträge

Zahlungsdaten:

• Rechnungsdaten
• Details zur Zahlungsmethode (sicher über Drittanbieter verarbeitet)
• Rechnungshistorie und Transaktionsaufzeichnungen

Technische Daten:

• IP-Adresse
• Browsertyp und -version
• Geräteinformationen
• Betriebssystem
• Sitzungsdaten und Cookies
• Protokolle zur Plattformnutzung

Kommunikationsdaten:

• Supportanfragen und Korrespondenz
• Feedback und Umfrageantworten
• Chat-Nachrichten innerhalb von Workshop-Sitzungen
• E-Mail-Interaktionen

2.2 Workshop-Inhalte und Aufzeichnungen

Workshop-Sitzungen können zur Überprüfung durch die Teilnehmer und zur Qualitätssicherung aufgezeichnet werden. Aufzeichnungen können Folgendes umfassen:

• Trainer-Präsentationen und Bildschirmfreigaben
• Video und Audio der Teilnehmer (wenn Kameras/Mikrofone aktiviert sind)
• Chat-Nachrichten und kollaborative Aktivitäten

Teilnehmer werden benachrichtigt, wenn eine Aufzeichnung aktiv ist, und können ihre Kamera/Mikrofon deaktivieren. Aufzeichnungen sind nur für angemeldete Teilnehmer und autorisierte Trainer zugänglich.

2.3 Daten, die wir nicht erheben

Wir tun nicht:

• Sensible personenbezogene Daten (z.B. Gesundheit, Religion, politische Meinungen) erheben, es sei denn, sie werden freiwillig bereitgestellt
• Das Surfverhalten auf anderen Websites verfolgen
• Personenbezogene Daten an Dritte verkaufen
• Personenbezogene Daten ohne Zustimmung für nicht verwandte Marketingzwecke verwenden

3. Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf der Grundlage der folgenden Rechtsgrundlagen gemäß DSGVO:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):

• Erstellung und Verwaltung Ihres Kontos
• Verarbeitung von Workshop-Anmeldungen und Zahlungen
• Bereitstellung von Workshop-Inhalten und -Materialien
• Erleichterung der Interaktionen zwischen Trainer und Teilnehmer
• Ausstellung von Abschlusszertifikaten

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):

• Plattformsicherheit und Betrugsprävention
• Serviceverbesserung und Funktionsentwicklung
• Analysen und Nutzungsmuster (wenn möglich anonymisiert)
• Technische Fehlerbehebung und Support
• Interne Geschäftsabläufe

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):

• Marketingkommunikation und Newsletter
• Optionale Profilverbesserungen
• Teilnahme an Umfragen und Feedback-Programmen
• Aufzeichnung von Workshop-Sitzungen mit Video/Audio

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):

• Steuer- und Buchhaltungsanforderungen
• Einhaltung des deutschen Handelsrechts
• Beantwortung von rechtlichen Anfragen und Gerichtsbeschlüssen

4. Datenweitergabe und Dritte

4.1 Dienstleister

Wir arbeiten mit vertrauenswürdigen Drittanbietern zusammen, die uns bei der Bereitstellung unserer Dienste unterstützen:

• Clerk: Authentifizierungs- und Benutzerverwaltungsdienste
• Payment Processors: Zahlungsdienstleister: Sichere Zahlungsabwicklung (Stripe, PayPal)
• Cloud Infrastructure: Cloud-Infrastruktur: Datenbank-Hosting (PostgreSQL), Anwendungs-Hosting (Vercel)
• Communication Services: Kommunikationsdienste: E-Mail-Zustellung (Resend), Videokonferenzen (Zoom, Microsoft Teams)

4.2 Datenschutzmaßnahmen

Alle Drittanbieter sind:

• An Datenverarbeitungsvereinbarungen (DPAs) gebunden
• Verpflichtet, DSGVO-Konformitätsstandards einzuhalten
• Regelmäßigen Sicherheits- und Datenschutzprüfungen unterzogen
• Vertraglich zum Schutz personenbezogener Daten verpflichtet
• In der Nutzung von Daten für eigene Zwecke eingeschränkt

4.3 Datenweitergabe an Trainer und Organisationen

Workshop-Trainer haben Zugriff auf:

• Namen und E-Mail-Adressen der Teilnehmer für ihre Workshops
• Lernfortschritt und Status der Aufgabenbearbeitung
• Workshop-Chat- und Diskussionsinhalte
• Anmelde- und Anwesenheitsinformationen

Firmenkunden (für private Workshops) erhalten:

• Anmelde- und Anwesenheitsaufzeichnungen der Teilnehmer
• Aggregierte Lernfortschrittsmetriken
• Abschlusszertifikate
• Individuelle Lerndaten nur mit Zustimmung des Teilnehmers oder wie vertraglich vereinbart

4.4 Kein Verkauf personenbezogener Daten

Wir verkaufen, vermieten oder handeln personenbezogene Daten nicht zu Marketingzwecken an Dritte.

5. Ihre Rechte gemäß DSGVO

Als betroffene Person gemäß DSGVO haben Sie die folgenden Rechte:

• Auskunftsrecht (Art. 15): Fordern Sie eine Kopie aller personenbezogenen Daten an, die wir über Sie speichern
• Recht auf Berichtigung (Art. 16): Korrigieren Sie ungenaue oder unvollständige personenbezogene Daten
• Recht auf Löschung (Art. 17) - „Recht auf Vergessenwerden“: Fordern Sie die Löschung Ihrer personenbezogenen Daten an
• Recht auf Einschränkung der Verarbeitung (Art. 18): Begrenzen Sie, wie wir Ihre Daten verarbeiten
• Recht auf Datenübertragbarkeit (Art. 20): Erhalten Sie Ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format
• Widerspruchsrecht (Art. 21): Widersprechen Sie der Verarbeitung aufgrund berechtigten Interesses
• Recht auf Widerruf der Einwilligung: Widerrufen Sie die Einwilligung zur einwilligungsbasierten Verarbeitung jederzeit
• Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22): Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling mit rechtlichen oder erheblichen Auswirkungen

5.1 Wie Sie Ihre Rechte ausüben können

Um diese Rechte auszuüben, kontaktieren Sie uns unter:

E-Mail: privacy@nextacademy.io
Betreff: „DSGVO-Anfrage betroffener Person“

Wir werden innerhalb von 30 Tagen nach Erhalt Ihrer Anfrage antworten.

6. Datenaufbewahrung und -löschung

6.1 Aufbewahrungsfristen

• Kontodaten: Gespeichert, solange Ihr Konto aktiv ist, plus 3 Jahre für rechtliche Verpflichtungen (Steuern, Verträge)
• Workshop-Anmelde- und Lerndaten: Dauer der Anmeldung + mindestens 90 Tage
• Fortschrittsverfolgung: Gespeichert, solange das Konto aktiv ist
• Zertifikate: Unbefristet zur Verifizierung gespeichert
• Aufzeichnungen und Sitzungsdaten: 90 Tage nach Workshop-Enddatum
• Chat-Protokolle: Dauer des Workshops + 1 Jahr
• Zahlungs- und Rechnungsdaten: 10 Jahre gemäß deutschem Steuer- und Handelsrecht
• Technische Protokolle: 12 Monate (nach 6 Monaten anonymisiert)
• Kommunikationsdaten: Support-Korrespondenz (3 Jahre), Marketing (bis zum Widerruf der Einwilligung)

6.2 Sichere Löschung

Wenn Daten gelöscht werden, stellen wir sicher:

• Sichere Entfernung aus aktiven Datenbanken
• Löschung aus Backups innerhalb von 6 Monaten
• Irreversible Löschung mittels sicherer Methoden
• Drittanbieter löschen Daten ebenfalls
• Überprüfung, dass die Löschung vollständig ist

6.3 Ausnahmen von der Löschung

Wir können Daten länger aufbewahren, wenn:

• Gesetzlich vorgeschrieben (Steuern, rechtliche, regulatorische)
• Für aktive Rechtsansprüche oder Streitigkeiten erforderlich
• Zur Betrugs- oder Missbrauchsprävention benötigt
• Anonymisiert für Forschung oder Analysen (keine personenbezogenen Daten mehr)

7. Sicherheitsmaßnahmen

Wir implementieren umfassende Sicherheitsmaßnahmen zum Schutz Ihrer personenbezogenen Daten:

Technische Maßnahmen:

• Verschlüsselung von Daten während der Übertragung (TLS/SSL)
• Verschlüsselung von Daten im Ruhezustand (AES-256)
• Sichere Datenbankzugriffskontrollen
• Regelmäßige Sicherheitspatches und Updates
• Automatisierte Bedrohungserkennung
• DDoS-Schutz und Firewalls

Organisatorische Maßnahmen:

• Zugriffskontrollen basierend auf dem Prinzip der geringsten Privilegien
• Multi-Faktor-Authentifizierung für administrativen Zugriff
• Regelmäßige Schulungen zur Sicherheitsbewusstsein für Mitarbeiter
• Hintergrundüberprüfungen für Mitarbeiter mit Datenzugriff
• Vertraulichkeitsvereinbarungen für alle Mitarbeiter

Betriebliche Sicherheit:

• Regelmäßige Sicherheitsbewertungen und Penetrationstests
• Incident-Response-Plan und -Verfahren
• Verfahren zur Benachrichtigung bei Datenpannen
• Sichere Entwicklungspraktiken (Code-Review, Tests)
• Regelmäßige Backups mit Verschlüsselung

8. Internationale Datenübermittlungen

Wenn wir personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, stellen wir einen angemessenen Schutz sicher durch:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)
• Verschlüsselung während der Übertragung
• Eingeschränkte Zugriffskontrollen

9. Cookies und Tracking-Technologien

9.1 Essenzielle Cookies

Wir verwenden essenzielle Cookies, die für die Funktionalität der Plattform notwendig sind:

• Authentifizierung und Sitzungsverwaltung
• Sicherheit und Betrugsprävention
• Lastverteilung und Leistung
• Benutzereinstellungen und Präferenzen

Diese Cookies erfordern keine Zustimmung, da sie für den Dienst unbedingt erforderlich sind.

9.2 Analyse- und optionale Cookies

Wir können Analyse-Cookies verwenden, um unseren Dienst zu verbessern:

• Nutzungsmuster und Funktionsakzeptanz
• Leistungsüberwachung
• Fehlerverfolgung
• A/B-Tests von Funktionen

Sie können optionale Cookies über Ihre Browsereinstellungen oder unser Cookie-Consent-Banner steuern.

9.3 Cookies von Drittanbietern

Dienste von Drittanbietern (z.B. Videokonferenzen, Zahlungsdienstleister) können eigene Cookies setzen. Diese unterliegen der jeweiligen Datenschutzerklärung des Drittanbieters.

10. Datenschutz für Kinder

Unser Dienst ist für die berufliche Aus- und Weiterbildung bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren ohne elterliche Zustimmung.

11. Benachrichtigung bei Datenpannen

Im Falle einer Datenpanne, die ein Risiko für Ihre Rechte und Freiheiten darstellt:

• Wir werden die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen
• Sie werden unverzüglich benachrichtigt, wenn die Panne ein hohes Risiko darstellt
• Die Benachrichtigung enthält Art der Panne, wahrscheinliche Folgen und Minderungsmaßnahmen
• Wir werden alle Pannen und unsere Reaktion dokumentieren

12. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung regelmäßig aktualisieren, um Folgendes widerzuspiegeln:

• Änderungen unserer Datenpraktiken
• Neue Funktionen oder Dienste
• Gesetzliche oder regulatorische Anforderungen
• Feedback von Nutzern und Aufsichtsbehörden

Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail oder Plattformhinweis mitgeteilt. Die fortgesetzte Nutzung nach der Benachrichtigung stellt die Annahme der aktualisierten Richtlinie dar.

Zuletzt aktualisiert: Januar 2025

13. Kontakt & Datenschutzbeauftragter

13.1 Verantwortlicher

Für alle datenschutzbezogenen Anfragen, Anfragen betroffener Personen oder zur Ausübung Ihrer DSGVO-Rechte kontaktieren Sie uns bitte unter privacy@nextacademy.io

13.2 Beschwerden und Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzbehörde einzureichen, wenn Sie der Meinung sind, dass wir Ihre Daten nicht angemessen behandelt haben.

Deutsche Aufsichtsbehörde:

Wir ermutigen Sie, uns zuerst zu kontaktieren, um Bedenken zu klären, bevor Sie eine Beschwerde bei der Aufsichtsbehörde einreichen.