Informationen zur Auftragsverarbeitung

1. Zweck und Geltungsbereich

Die nachfolgenden Informationen gelten für Verarbeitungsvorgänge, bei denen subtleusagecanvas.info personenbezogene Daten nicht ausschließlich für eigene Zwecke als Verantwortlicher verarbeitet, sondern im Auftrag eines anderen Verantwortlichen (z. B. einer Kooperationspartnerin im Bildungsbereich) oder durch von uns beauftragte Dienstleister erfolgt. Sie dienen der Transparenz gegenüber betroffenen Personen und Vertragspartnern und ergänzen — ohne sie zu ersetzen — individuelle Auftragsverarbeitungsverträge (AV-Verträge).

2. Rollen: Verantwortlicher und Auftragsverarbeiter

Der Verantwortliche bestimmt Zwecke und Mittel der Verarbeitung und stellt Weisungen. subtleusagecanvas.info tritt als Auftragsverarbeiter auf, soweit wir Daten ausschließlich nach dokumentierten Weisungen im vertraglich vereinbarten Rahmen bearbeiten. Umgekehrt kann subtleusagecanvas.info als Verantwortlicher auftreten, wenn wir eigene Dienstleister mit der Verarbeitung personenbezogener Daten im Auftrag beauftragen; diese Dienstleister sind dann unsere Auftragsverarbeiter.

3. Art des Auftrags und Weisungsgebundenheit

Der Auftragsgegenstand wird in den jeweiligen AV-Verträgen oder Anlagen konkret beschrieben (z. B. Hosting, E-Mail-Versand, Auswertung von Nutzungsstatistiken für ein gemeinsames Projekt). subtleusagecanvas.info verarbeitet personenbezogene Daten nur im Umfang und zu den Zwecken, die der Verantwortliche schriftlich oder in elektronischer Form mitgeteilt hat. Abweichende Nutzungen erfolgen nur nach vorheriger Abstimmung oder wenn eine gesetzliche Verpflichtung dies erfordert — in diesem Fall informieren wir den Verantwortlichen vorbehaltlich gesetzlicher Ausschlüsse.

4. Kategorien betroffener Daten und Verarbeitungsgegenstände

Je nach Projekt können insbesondere folgende Kategorien verarbeitet werden: Stammdaten (z. B. Name, E-Mail), technische Metadaten zu Nutzungsvorgängen, Inhalte von Anfragen oder eingereichten Formularen sowie — soweit vereinbart — pseudonymisierte Kennungen für Auswertungen. Eine vollständige Aufzählung der Zwecke und Speicherdauer ergibt sich aus dem jeweiligen Vertrag und den Informationspflichten des Verantwortlichen gegenüber den Betroffenen; diese Seite ersetzt keine Einwilligungserklärung oder Projektinformation.

5. Technische und organisatorische Maßnahmen (TOM)

subtleusagecanvas.info setzt angemessene technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere Zugriffsbeschränkungen auf personenbezogene Daten, Verschlüsselung bei der Übertragung, soweit üblich (z. B. TLS), regelmäßige Sicherung der Systeme, Schulung der mit der Verarbeitung befassten Personen sowie Verfahren zur Reaktion auf Datenschutzvorfälle. Einzelheiten können in Anlagen zu AV-Verträgen oder in einem internen Verzeichnis von Verarbeitungstätigkeiten dokumentiert sein.

6. Einsatz von Unterauftragsverarbeitern

Zur Erbringung der Leistungen können wir Unterauftragsverarbeiter einsetzen (z. B. Hosting-Provider, E-Mail-Dienste, Analyseplattformen nach Einwilligung). Die Einbindung erfolgt nur auf Grundlage eines Vertrags nach Art. 28 Abs. 4 DSGVO mit gleichen datenschutzrechtlichen Pflichten. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter stellen wir Vertragspartnern auf Anfrage oder wie in den jeweiligen Vereinbarungen vorgesehen zur Verfügung; Änderungen werden mit angemessener Vorankündigung mitgeteilt, soweit gesetzlich oder vertraglich erforderlich.

7. Unterstützung bei Betroffenenrechten

subtleusagecanvas.info unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), soweit dies technisch möglich ist und der Auftrag dies umfasst. Direkt an uns gerichtete Betroffenenrechte leiten wir — sofern erkennbar — an den jeweiligen Verantwortlichen weiter oder beantworten sie im abgestimmten Verfahren.

8. Löschung, Rückgabe und Drittlandübermittlungen

Nach Beendigung der Auftragsverarbeitung löschen oder geben wir die Daten an den Verantwortlichen zurück, es sei denn, eine gesetzliche Aufbewahrungspflicht steht entgegen. Drittlandübermittlungen finden nur statt, wenn ein angemessenes Schutzniveau besteht (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) und dies vertraglich oder in der Datenschutzerklärung des Verantwortlichen beschrieben ist.

9. Kontrollrechte und Ansprechpartner

Vertragspartner können im Rahmen der vereinbarten Kontrollrechte die Einhaltung der Auftragsverarbeitung prüfen, etwa durch Fragebögen oder — soweit vereinbart — begleitete Einsichtnahmen. Für organisatorische Fragen zur Auftragsverarbeitung wenden Sie sich an:

Für allgemeine datenschutzrechtliche Themen verweisen wir ergänzend auf die Datenschutzerklärung.