Die Plattform Lernen.Cornelsen ermöglicht die Nutzung der folgenden Produkte:
- E-Book Einzellizenz
- E-Book PrintPlus-Lizenz
- Unterrichtsmanager Einzellizenz
- Unterrichtsmanager Kollegiumslizenz
- Digitale Materialpakete
Wenn Produkte auf den Plattformen Lernen.Cornelsen und cornelsen.ai im Unterricht eingesetzt werden, ist die jeweilige Bildungsinstitution die Verantwortliche für die Datenverarbeitung. Der Cornelsen Verlag verarbeitet personenbezogene Daten im Auftrag, daher ist der Abschluss eines Auftragsverarbeitungs-Vertrages (AVV) entsprechend der EU-Datenschutz-Grundverordnung erforderlich. Der Vertrag kann online abgeschlossen und jederzeit eingesehen werden. Dies gilt entsprechend für die Nutzung der Plattform mit Hilfe von Apps (wie der Cornelsen Lernen App).
Die Plattform Lernen.Cornelsen ermöglicht die Nutzung der folgenden Produkte:
Vertrag zur Auftragsverarbeitung zwischen
der Bildungsinstitution
– nachfolgend Verantwortlicher genannt –
und
Cornelsen Verlag GmbH
Mecklenburgische Straße 53
14197 Berlin
– nachfolgend Auftragsverarbeiter genannt –
Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche oder eine von ihm beauftragte Person berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und Anforderung von relevanten Unterlagen, die Einsichtnahme in die Verarbeitungsprogramme oder durch Zutritt zu den Arbeitsräumen des Auftragsverarbeiters zu den ausgewiesenen Geschäftszeiten nach vorheriger Anmeldung. Durch geeignete und gültige Zertifikate zur IT-Sicherheit (z.B. IT-Grundschutz, ISO 27001) kann auch der Nachweis einer ordnungsgemäßen Verarbeitung erbracht werden, sofern hierzu auch der jeweilige Gegenstand der Zertifizierung auf die Auftragsverarbeitung im konkreten Fall zutrifft. Die Vorlage eines relevanten Zertifikats ersetzt jedoch nicht die Pflicht des Auftragsverarbeiters zur Dokumentation der Sicherheitsmaßnahmen im Sinne des § 3 dieser Vereinbarung.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten des Verantwortlichen mit sich bringen, sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten des Verantwortlichen. Gleiches gilt, wenn der Auftragsverarbeiter feststellt, dass die bei ihm getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen. Dem Auftragsverarbeiter ist bekannt, dass der Verantwortliche verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person unverzüglich zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen dem Verantwortlichen unverzüglich melden und hierbei zumindest folgende Informationen mitteilen:
a) eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
b) Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
d) eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
Soweit es sich bei dem Verantwortlichen um eine kirchliche Stelle handelt, für die
unterwirft sich der Auftragsverarbeiter zusätzlich den gesetzlichen Regelungen des KDG, insbesondere den Regelungen des § 31 Abs. 2 KDG bzw. den gesetzlichen Regelungen des EKD, insbesondere den Regelungen der §§ 43, 44 EKD.
Bereitstellung und Betrieb von Produkten auf der Lernplattform „Lernen.Cornelsen“ (lernen.cornelsen.de sowie Cornelsen Lernen App) inklusive Wartungs- und Supportdienstleistungen
Schüler/-innen und Lehrkräfte
Für jeden Nutzer der Plattform wird ein Nutzerprofil eingerichtet, bei dessen Einrichtung die folgenden personenbezogenen Daten/Informationen erfasst werden:
Schüler/-innen
Name, Vorname, E-Mail-Adresse, Passwort und Schulzugehörigkeit, IP-Adresse
Zwecke: Nutzeridentifikation; Zuordnung Schüler-Lehrer
Die E-Mail-Adresse wird zu folgenden Zwecken genutzt:
Die IP-Adresse wird aus Gründen der technischen Sicherheit in Logfiles gespeichert und nach 7 Tagen gelöscht.
Lehrkräfte
Name, Vorname, E-Mail-Adresse, Passwort und Schulzugehörigkeit, IP-Adresse
Zwecke: Nutzeridentifikation; Zuordnung Schüler-Lehrer
Die E-Mail-Adresse wird zu folgenden Zwecken genutzt:
Die IP-Adresse wird aus Gründen der technischen Sicherheit in Logfiles gespeichert und nach 7 Tagen gelöscht.
Nutzungsdaten
Während der Nutzung durch den Schüler werden bei der Verwendung von Inhalten folgende Daten erhoben:
genutzte Inhalte, Häufigkeit der Nutzung konkreter Inhalte, Verweil- und Nutzungsdauern, Auswahl von Antwortoptionen in Übungen und Tests, Anzahl der Versuche eine Übung durchzuführen, richtige und falsche Eingaben in Übungen je Versuch, Niveaustufe der durchgeführten Übung, Lesezeichen, Erledigungsstatus von Aufgaben, Lernstandsdaten, Kommunikationsdaten (Text, Audio, Video)
Zwecke: Diese Daten dienen der Leistungsmessung und -auswertung sowie Kommunikation der Nutzer auf der Plattform
Zudem werden diese Daten vollständig anonymisiert und diese anonymisierten Daten vom Auftragnehmer zur Weiterentwicklung und Produktverbesserung genutzt, soweit nicht widersprochen wurde. Bei der Anonymisierung der Daten werden sämtliche personenbezogenen Daten (wie IDs, Namen, E-Mail-Adresse oder der Schulkontext) nicht wiederherstellbar durch zufällige Zeichenfolgen ersetzt.
Sämtliche bei der Nutzung der Plattform generierten Daten (Schüler- und Lehreraccounts sowie die zugehörigen Nutzungsdaten) werden durch den vom Auftraggeber benannten Schuladministrator verwaltet und können von diesem entsprechend des schulspezifischen Löschkonzepts gelöscht werden.
-----------
Bereitstellung und Betrieb von KI-Tools auf der digitalen Plattform „cornelsen.ai“ inklusive Wartungs- und Supportdienstleistungen
Lehrkräfte
Name, Vorname, IP-Adresse, E-Mail-Adresse, Passwort und Schulzugehörigkeit
Zwecke: Nutzeridentifikation
Die E-Mail-Adresse wird zu folgenden Zwecken genutzt:
Die IP-Adresse wird aus Gründen der technischen Sicherheit in Logfiles gespeichert und nach 7 Tagen gelöscht.
Nutzungsdaten
Die Eingabe der Nutzer wird an eine Software der Auftragnehmerin übergeben, dort anonymisiert, bevor die Eingabe an ein Sprachmodell übergeben wird, das Antworten/ Ausgaben an den Nutzer zurückliefert.
Während der Nutzung werden die Anfragen der Nutzer sowie die Antworten/Ergebnisse der KI-Tools gespeichert und können so von dem Nutzer wiederverwendet werden („Prompthistorie“).
Zwecke: Diese Daten dienen der komfortablen Nutzung der KI-Tools.
Zudem werden diese Daten vollständig anonymisiert und diese anonymisierten Daten vom Auftragnehmer zur Weiterentwicklung und Produktverbesserung genutzt, soweit nicht widersprochen wurde. Bei der Anonymisierung der Daten werden sämtliche personenbezogenen Daten (wie IDs, Namen, E-Mail-Adresse oder der Schulkontext) nicht wiederherstellbar durch zufällige Zeichenfolgen ersetzt.
Sämtliche bei der Nutzung der Plattform generierten Daten (Accounts sowie die zugehörigen Nutzungsdaten) werden automatisch gelöscht, wenn dem Nutzer keine aktive Lizenz zugeordnet ist und er sich seit 6 Monaten nicht mehr in seinen Account auf cornelsen.ai eingeloggt hat.
----------
Thomas Schiller
Datenschutzkoordinator der Cornelsen Gruppe
Cornelsen Verlag GmbH, Mecklenburgische Straße 53,
14197 Berlin
Tel: +49 30 897 85-8471
E-Mail: datenschutz@cornelsen.de
datenschutz nord GmbH
E-Mail: office@datenschutz-nord.de
Telefon: 0421/6966320
Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft): VBM Service GmbH, Kurfürstenstraße 49, 60486 Frankfurt am Main
Verarbeitungsstandort: DE
Art der Dienstleistung: Übermittlung pseudonymer Nutzerkennungen
Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft): Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
Verarbeitungsstandort: DE
Art der Dienstleistung: Cloud-Computing für Anwendungen (SaaS), Plattform (PaaS) und Infrastruktur (IaaS)
Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft): Step-Byte-Service GmbH, Bundesallee 86/89, 12161 Berlin
Verarbeitungsstandort: Berlin, DE
Art der Dienstleistung: Kundenservice/Support
Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft): trbo GmbH, Leopoldstr. 41, 80802 München
Verarbeitungsstandort: DE
Art der Dienstleistung: Onsite-Umfragen zur Produktverbesserung
Personenbezogene Daten werden soweit möglich pseudonymisiert in den IT-Systemen verarbeitet. Kann die Verarbeitung auch anonym erfolgen, wird der Personenbezug aufgelöst. Soweit technisch umsetzbar, wird zusätzlich eine Verschlüsselung für die Übermittlung und Speicherung eingesetzt.
Maßnahmen zur Absicherung der physischen Räumlichkeiten mit IT-Systemen
Maßnahmen zur Verhinderung der unbefugten Nutzung von IT-Systemen (Zugang)
Implementierte Maßnahmen zur Verhinderung des unbefugten Lesens, Kopierens, Verändern oder Löschens von Datenträgern:
Eingeführte Maßnahmen zur Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderungen und Löschung von personenbezogenen Daten:
Maßnahmen zur Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte:
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben:
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können:
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur durch entsprechende Weisungen des Auftraggebers verarbeitet werden können:
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können:
Maßnahmen zur Gewährleistung der Überprüfung und Feststellung, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden:
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind:
Maßnahmen zur Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind:
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können:
Es erfolgt eine regelmäßige Überprüfung und Analyse bzw. die Anpassung der Systeme an den Geschäftsbetrieb. Eingesetzte Software wird mit Updates aktuell gehalten und neue Programmversionen zeitnah eingesetzt.
Neue Software wird neben der fachlichen Nutzung / Einsatzfähigkeit auch auf Wirksamkeit hinsichtlich Datenschutz und Datensicherheit bewertet.
Erkenntnisse über Schwachstellen bei Hard- und Software werden mit der eigenen Systemlandschaft abgeglichen und Maßnahmen zur Beseitigung oder Risikominimierung – bis zur Beseitigung umgesetzt.
Die eingesetzte Hardware wird durch Service- und Wartungsverträge abgesichert. Der Austausch von Hardware erfolgt regelmäßig hinsichtlich der zu erwartenden Einsatzdauer oder Instandsetzbarkeit / Ersatzteilbeschaffung.
Durch regelmäßige Schulungen werden unsere Mitarbeiter sensibilisiert. Über benannte Kontakte (Datenschutzbeauftragter, Administratoren, Vorgesetzte) werden Rückmeldungen zu Abläufen und Maßnahmen gegeben bzw. Gefahren aufgezeigt.
Ein Change-Prozess ermöglicht - neben der fachlichen Beurteilung - auch die Bewertung der notwendigen Anpassungen und Erweiterungen der bestehenden Maßnahmen. Zur Absicherung der geplanten Verarbeitung und der Einbindung in das Sicherheitskonzept werden diese stetig weiterentwickelt.