Zum Hauptinhalt springen
Datenverarbeitung laut DSGVO

Hier finden Sie alle Informationen zur DSGVO-konformen Verarbeitung von personenbezogenen Daten.

Adrian Fuchsluger avatar
Verfasst von Adrian Fuchsluger
Vor über einer Woche aktualisiert

Welche personenbezogenen Daten speichert und verarbeitet ovos play?

ovos play verarbeitet Daten, die im Zusammenhang mit den Accounts der Benutzer*innen stehen. Je nach aktivierten und genutzten Modulen, werden mehr oder weniger Daten gespeichert. Auch die E-Mail-Adresse kann bei der Nutzung optional sein.

Kategorie der personenbezogenen Daten

Datenarten

Angaben über die betroffene Person

  • Nickname

  • E-Mail-Adresse

  • Vorname

  • Nachname

  • Passwort

  • Zeitpunkt der Registrierung/Accounterstellung

  • gewählter Avatar

Angaben zum System, das die betroffene Person verwendet

  • Betriebssystem

  • Browser Agent

Angaben zur Tool-Nutzung

  • Zeitpunkt der Accountaktivierung

  • Zeitpunkt der letzten Aktivität

  • Push Notifications aktiviert

  • Kartenperformance

  • Deckperformance

  • Themenperformance

  • Kompetenzwerte

  • Punktewerte

  • Prüfungsergebnisse

  • Anzahl der Prüfungsversuche

  • Gekaufte Produkte

  • Gelesene Artikel

  • Artikel mit "Gefällt mir" markiert

  • erzwungene Passwortwechsel des Accounts

  • Benutzerrollen

  • Duelle

  • Voucher Codes

  • Content Gruppen

  • Freunde

  • Firebase Push Notification Token

  • geschickte Push Notifications

  • Zustimmungen zu Agreement Pages

  • Änderungshistorie der Autoren und Admins

  • Gepinnte Lerninhalte

  • Registrierungen für Events

  • Teilnahmestatus von Events

  • Teilnahme an Live Sessions

  • Antworten in einer Live Session

  • Startdatum

  • Freischaltungen von Inhalten

Die Verarbeitung der Daten erfolgt bei der Nutzung der App durch die Benutzer*innen, bei der Registrierung in der App durch die Benutzer*innen selbst oder Administrator*innen, sowie bei der Bewertung bzw. Auswertung der Daten von ovos oder dem Auftraggeber.

Zu welchem Zweck werden die oben erwähnten personenbezogenen Daten gespeichert und verarbeitet?

Die Datenverarbeitung findet zu folgenden Zwecken statt:

  • Bereitstellung der App

  • Nutzung und Administration der App

  • Nachvollziehbarkeit des Lernerfolgs

Wie lange werden personenbezogene Daten gespeichert?

Personenbezogenen Daten werden grundsätzlich solange verarbeitet solange der Zweck der Verarbeitung gegeben ist (z.B. die Benutzer*innen an einer Ausbildung durch ovos play teilnehmen). Nach der Durchführung der Ausbildung werden die personenbezogenen Daten für die Dauer von drei Monaten für die Zwecke der Nachvollziehbarkeit des Lernerfolgs aufbewahrt.

Optional: Automatische Anonymisierung bzw. Löschung der Accounts von inaktiven Benutzer*innen

Benutzer*innen, die über einen bestimmten Zeitraum inaktiv (d.h. keinerlei Interaktion mit dem System) sind, werden automatisch anonymisiert (Username, E-Mail Adresse, Passwort und Avatar werden aus dem Datensatz gelöscht). Es nicht möglich die Anonymisierung rückgängig zu machen oder die Daten eines anonymisierten Benutzers auf eine Person zurückzuführen, wie laut DSGVO verordnet. Eine Rückführung kann nur mithilfe von Datenzugriff mit umfassenden Aufwand erreicht werden.

Anonymisierte Accounts können von Benutzer*innen nicht mehr verwendet werden. Ein Teil der Nutzungsdaten des Accounts wird weiterhin verarbeitet, jedoch ausschließlich für statistische Zwecke. Die Frist für die automatische Anonymisierung beträgt in der Standardkonfiguration 365 Tage und kann pro Tenant individuell eingestellt werden.

21 und 3 Tage vor der optionalen automatischen Anonymisierung wird jeweils eine Benachrichtigungen via E-Mail an die betroffenen Benutzer geschickt.

Manuelle Löschung eines Accounts

Benutzer*innen können jederzeit manuell gelöscht werden. Dies kann entweder durch die Benutzer*innen selbst oder durch Administrator*innen erfolgen. Bei einer Löschung werden alle personenbezogenen Daten unmittelbar (innerhalb von 5 Minuten) aus der Datenbank gelöscht.

Löschung des Systems

Wird eine Instanz von ovos play gelöscht, werden damit auch sämtliche auf dieser Instanz registrierte Benutzer*innen unmittelbar (innerhalb von 5 Minuten) gelöscht.

Datensicherungen (Backups)

Personenbezogene Daten sind nach erfolgter Anonymisierung oder Löschung noch in Backups der jeweiligen Datenbank vorhanden. Nach Ablauf einer Frist werden auch diese Backups endgültig gelöscht. Die Löschfrist der Backups beträgt in der Standardkonfiguration 3 Monate und kann pro Datenbank (= Tenant) individuell eingestellt werden.

Logfiles

Allgemeine Logfiles enthalten keine personenbezogene Daten. Ressourcen die Logs anlegen:

Auslöser

Kann personenbezogene Daten enthalten

Automatische Löschung

Standardmäßige Löschfrist (Tage)

Löschfrist pro Tenant konfigurierbar

ovos play services

Nein (u.u. gibt es ausnahmen wenn zb debug modus für SAML auth aktiviert ist)

ja

90

nein

Bugsnag

ja

ja

60

nein

Sparkpost

ja

ja

10

nein

pm2

nein

ja

14

nein

Wie lange müssen die Daten gespeichert bleiben (Aufbewahrungspflicht)?

Die von ovos play verarbeitetn Daten fallen in keine Kategorie für die eine gesetzliche Aufbewahrungspflicht besteht.

Wer hat Zugriff auf personenbezogene Daten?

Entwickler*innen, Projektmanager*innen und Qualitätsmanager*innen von ovos haben Zugriff personenbezogenen Daten der registrierten Benutzer*innen. Eine Übermittlung von personenbezogenen Daten an einen weiteren Verantwortlichen findet nicht statt.

Wo liegen die Daten (Provider)?

Falls nicht anders mit dem Auftraggeber vereinbart, werden die Daten in der Datenverarbeitungsanlage der internex GmbH gespeichert. Die Serverstruktur und die Verarbeitung liegt dabei in Österreich bzw. im Europäischen Wirtschaftsraum. Für die laufende ovos play Instanz kann der Betrieb auf Wunsch in Österreich, Deutschland oder der Schweiz stattfinden.

Provider: internex GmbH

Firmenbuchnummer: 342171v

Umsatzsteuer ID (UID): ATU65604535

Geschäftsführer Markus Böhm

Firmensitz Lagerstraße 15, 3950 Gmünd, AT

Büroadresse 1090 Wien, Alserbachstraße 30

Verarbeitungsort (Adresse)

Server Standort

Interxion Österreich

Louis-Häfliger-Gasse 10

1210 Wien, AUSTRIA

Leistungen des Providers

  • Serverhosting inkl. Gewährleistung der Verfügbarkeit von Services und Datenbanken

  • Trafficmonitoring

  • Abwehrinfrastruktur

Wie sind die Daten geschützt?

Zutrittskontrolle

internex / Serverhosting

Maßnahmen, die verhindern, dass Unbefugte Zutritt (räumlich zu verstehen) zu Rechenzentren erhalten, in welchen personenbezogene Daten verarbeitet werden.

Gebäudesicherung

  • Gebäude- und Infrastruktur Monitoring

  • Videoüberwachung

  • Automatisches Zutrittskontrollsystem

  • Absicherung von Gebäudeschächten außerhalb der Perimeter Abgrenzung

  • Protokollierung der Besucher

  • Sorgfältige Auswahl von Reinigungspersonal und Wachpersonal

  • Schriftliche Zutrittsregelungen

Sicherung der Räume

  • Biometrische Zutrittskontrolle zum Rechenzentrumsbereich

  • Zutrittskarte für den Zutritt zu einem Rechenzentrumsraum

ovos / Entwicklung

Gebäudesicherung

  • versperrbare Bürotüre

  • Empfang mit Zutrittskontrolle zu den Büroräumlichkeiten

  • Mitarbeiterweisung beim Verlassen des Büros

Sicherung der Räume

  • Getrennt versperrter Serverraum mit Schlüssel in Keylock.

  • Zutritt für

    • Hannes Amon

    • Milan Orszagh

    • Jochen Kranzer

    • Sigrid Cichocki

    • Jörg Hofstätter

Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können:

Zugang zu den Serversystemen

  • Server-Passwörter und Zugänge werden dem Auftraggeber bei der erstmaligen Inbetriebnahme übergeben. Der Auftraggeber ändert die Passwörter selbstständig sofort nach der Übernahme und wählt ein komplexes Passwort unter Berücksichtigung allgemeingültiger Standards.

  • Der Auftraggeber verwaltet die Zugangsdaten selbstständig und ist für deren Sicherheit und periodische Änderungen verantwortlich.

Zugriffskontrolle

Zur Verwaltung von internen Serversystemen durch berechtigte Administratoren kommt beim Hostingpartner internex ezeelogin (https://www.ezeelogin.com/) zum Einsatz. Folgende Maßnahmen werden umgesetzt:

  • Berechtigungskonzept inkl. Rollendefinition

  • Passwortpolicy (Mindestlänge, Sonderzeichen, periodischer Wechsel)

  • Social Engineering Prevention

  • Mehr-Weg-Authentifizierung

Die Verantwortung der Zugriffskontrolle von Kundensystemen obliegt dem Auftraggeber.

Zugriffsprotokoll

Ein Zugriffsprotokoll kann aus ezeelogin exportiert werden.

Weitergabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können:

  • Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der beauftragten Leistung des Hauptauftrages zur Verfügung gestellt. Der Auftraggeber bewertet seine betriebenen Datenverarbeitungsanwendungen und beauftragt auf Basis dessen erforderliche technische Maßnahmen.

  • Alle Mitarbeiter sind unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

  • kritische Interfaces sind immer IP restricted

Eingabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen bei internen Serversystemen um sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind:

  • Protokollierung über Logfiles (ezeelogin)

  • User-Identifikation

Auf Kundensystemen oder Serversystemen des Auftraggebers obliegt die Verantwortung der Eingabekontrolle dem Auftraggeber.

Auftragskontrolle (Art. 32 Abs. 1 lit. d DSGVO)

Maßnahmen, dass personenbezogene Daten gemäß den Weisungen des Auftraggebers verarbeitet werden:

  • Definition der Weisungsbefugnisse lt. Kundenanforderungen

  • Auftragsannahme nur in Schriftform oder von autorisierten Personen

Verfügbarkeitskontrolle (Art. 32 Abs. 1 lit. b DSGVO)

internex / Serverhosting

Maßnahmen bei internen Serversystemen zur Verwaltung um sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden:

  • Brandschutzmaßnahmen

  • Überspannungsschutz

  • Unterbrechungsfreie Stromversorgung

  • Klimaanlage (Redundantes System) (Harald bekommt eine Meldung)

  • Luftfeuchtigkeit zwischen 40% und 60%

  • 24/7 Monitoring der Serversysteme

  • Separate Brandabschnitte

  • Backupkonzept für interne Serversysteme zur Verwaltung

Auf Kundensystemen oder Serversystemen des Auftraggebers obliegt die Verantwortung der Verfügbarkeitskontrolle, insbesondere der Datensicherung, dem Auftraggeber, falls dies nicht schriftlich im Hauptvertrag anders vereinbart wurde.

Wie sind die (personenbezogenen) Daten verschlüsselt?

Daten werden in der Datenbank unverschlüsselt gespeichert. Datenübertragungen/Requests verwenden das SSL/TLS Protokoll. Passwörter sind in der Datenbank gehasht (bcrypt, 12 Rounds)

"Although the GDPR obviously requires that organizations take the appropriate technical and organizational measures regarding the protection and security of personal data, whereby pseudonymization and encryption of personal data are recommended, the GDPR strictly speaking does not say you must use encryption as some claim since the GDPR says what it says and only jurisprudence and instances such as supervisory authorities and the proper EU authorities have the power of interpreting and/or amending it (and common sense dictates that in specific circumstances encryption is important when considering context and risks)."

Wie ist die Backupstrategie?

Wie regelmäßig werden die Backups gelöscht?

Backups werden nur zeitlich begrenzt gespeichert und nach Ablauf der Frist automatisch gelöscht:

ovos play Kubernetes Production

Uploaded files as well as the MongoDB and MySQL database

  • 1x/Woche für letzte 14 Wochen

  • 1x/Tag für letzte 30 Tage

internex Backupcluster

  • makes multiple daily backups of the server which are stored 10 days

local mysql and mongodb databases

  • dumped daily (10d as well)

Wie ist die Auskunftsstrategie?

  • Zur Authentifizierung berechtigter Personen für eine Anfrage dient die E-Mail Adresse des angefragten Benutzerkontos

  • Ist eine Authentifizierung nicht zweifelsfrei möglich (zB. keine E-Mail Adresse vorhanden) dann erfolgt Auskunft nur nach vorheriger Prüfung und Freigabe durch den Auftraggeber.

  • Ein Datenexport kann jederzeit durchgeführt werden.

  • Dabei werden alle dem User zugehörigen Daten in einem maschinenlesbaren Format exportiert.

Wie ist die Löschstrategie?

  • Die Authentifizierung der anfragenden Person erfolgt wie bei der Auskunftsstrategie

  • Bei erfolgreicher Authentifizierung werden die Daten

    • Variante A: manuell von ovos Mitarbeiter*innen gelöscht (Löschung erfolgt innerhalb von 30 Tagen - Backups bleiben eine Zeit lang gespeichert und werden danach automatisch gelöscht)

    • Variante B: manuell vom Benutzer*innen selbst über einen Button in der App (abgesichert durch Nickname-Eingabe) gelöscht (Löschung erfolgt sofort - Backups bleiben auch hier noch eine Zeit lang erhalten)

Ablaufprozesse

Registrierung

Daten werden über SSL/TLS verschlüsselte Verbindung an den Server geschickt.

Im Falle einer erfolgreichen Registrierung (E-Mail Adresse, Username, Passwort valide) wird das Passwort mit bcrypt (12 Rounds) gehasht und gespeichert. Andernfalls werden die Daten verworfen.

*Der tatsächliche Registrierungsprozess kann je nach zur Anwendung kommender Authentifizierungsmethode abweichen.

Login

User loggt sich mit E-Mail und Passwort ein. Daten werden über SSL/TLS verschlüsselte Verbindung an den Server geschickt.

Im Falle eines erfolgreichen Logins erhält der User einen JWT Token mit dem er sich authentifizieren kann. Der Token Payload enthält nur die User ID.

* Der tatsächliche Login-Prozess kann je nach zur Anwendung kommender Authentifizierungsmethode abweichen.

Passwort zurücksetzen

User können einen Link zum Zurücksetzen des Passworts beantragen. Der Link wird an die bei der Registrierung (oder anderweitig hinterlegte) E-Mail Adresse geschickt. Der Link ist auf unbegrenzte Zeit, bis zum Anfordern eines neuen Zurücksetzen-Links oder bis zum Zurücksetzen des Passworts über den Link gültig.

Sollte keine E-Mail Adresse für den User gespeichert sein, kann eine Löschung des Benutzerkontos durch eine Kontaktaufnahme mit dem ovos play support ( support@ovos.at) beantragt werden. Nach Prüfung und Freigabe der Anfrage durch den Auftraggeber erfolgt eine Rücksprache mit der anfragenden Person zum weiteren Ablauf.

Account löschen

Der User kann über sein User-Profil das Benutzerkonto löschen. Bei einer Löschung werden alle personenbezogene Daten des Benutzers aus der Datenbank gelöscht.

Benutzt ovos play Subauftragnehmer?

Ja, ovos play beauftrag Subauftragnehmer zur Gewährleistung des Software-Betriebs:

  • Internex GmbH, 1090 Wien, Alserbachstraße 30, Wien; für den Betrieb der Software

  • Bugsnag zur Fehlerbehebung, 110 Sutter St, San Francisco, CA 94104, Vereinigte Staaten

  • Sparkpost für den E-Mail Versand, Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland

  • Firebase für den Push-Notification Versand, Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland

Bugsnag beinhaltet nur in Ausnahmefällen personenbezogene Daten. Firebase kommt nur zum Einsatz, wenn die native App verwendet wird. Als Alternative zum E-Mail-Versand mit Sparkpost kann auch ein eigener SMTP-Server konfiguriert werden.

Sonstiges

Gibt es einen Datenschutzbeauftragten bei ovos?

Nein, denn die Verpflichtung zur Ernennung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter) nur, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive) oder wenn „sensible Daten“ (DSGVO Art 9 Abs 1) oder „personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“ (DSGVO Art 10) verarbeitet werden. Auf ovos trifft das nicht zu.

Trotzdem ist uns das Thema Datenschutz so wichtig, dass wir zwei verantwortliche (und dafür ausgebildete) Mitarbeiter zu diesem Thema haben:

Gibt es einen CISO (Chief Information Security Officer) bei ovos?

Ja, CISO bei ovos ist Milan Orszagh (mo@ovos.at)

Kontaktperson für datenschutzrechtliche Fragen

Für Fragen rund um die Sie betreffenden personenbezogenen Daten oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an datenschutz@ovos.at.


Datenverarbeitung bei Nutzung des KI-Moduls

Bei optionaler Nutzung des KI-Moduls von ovos play findet die Datenverarbeitung über weitere Subauftragnehmer statt. In diesem Abschnitt finden Sie alle notwendigen Informationen dazu.

Wo werden die Daten verarbeitet?

Für das KI-Modul in ovos play werden LLMs (Large Language Models) von OpenAI verwendet. Die Services von OpenAI werden durch den persönlichen API-Key der Kund*innen angesteuert. Sie haben hier die Möglichkeit einen API-Key für die Services von OpenAI mit Hosting in Amerika oder auf Azure OpenAI mit Hosting in West-Europa zu verwenden.

Durch die Nutzung Ihres persönlichen API-Keys liegt der Ort der Verarbeitung und die Nutzungs-Kontrolle in Ihrer Hand.

Hinweis: Die Infrastruktur von Azure OpenAI Services kann derzeit nicht dieselbe Performance wie die offiziellen OpenAI Services garantieren.

Datenverarbeitung durch OpenAI

Das KI-Modul nutzt die LLMs von OpenAI. Bei Nutzung der zur Verfügung gestellten API werden laut OpenAI keine gesendeten Daten für das Training der LLMs verwendet.

Gesendete Daten an OpenAI werden 30 Tage lang aufbewahrt. Detaillierte und aktuelle Informationen finden Sie hier: https://platform.openai.com/docs/models/how-we-use-your-data

Datenverarbeitung durch LangSmith

LangSmith ist eine Entwicklungs- und Monitoring-Plattform für LLM's. Durch das Monitoring werden Prompts an das LLM zwischenzeitlich auf der Plattform gespeichert. Gesendete Daten an LangSmith werden 14 Tage lang aufbewahrt.

Hat dies deine Frage beantwortet?