eDoer logo
Legal

Datenschutz

Stand: 02.06.2026

1. Verantwortliche

Soweit eDoer als Verantwortliche handelt (siehe Abschnitt 4), ist die Verantwortliche:

Education4All GmbH
Angoulemeplatz 2
31134 Hildesheim, Deutschland
E-Mail: [email protected]

Für Bildungsdaten, die im Auftrag von Organisationen verarbeitet werden, ist die jeweilige Organisation die Verantwortliche.

2. Struktur der Datenverarbeitungsrollen

eDoer wird als Multi-Tenant-Lernplattform betrieben.

Abhängig von der Verarbeitungstätigkeit gilt:

  • Bildungsdaten werden im Auftrag von Organisationen verarbeitet (Art. 28 DSGVO).
  • Bestimmte technische, sicherheitsbezogene und analytische Daten verarbeitet eDoer als eigenständige Verantwortliche.

3. Verarbeitung im Auftrag von Organisationen

Organisationen, die eDoer nutzen, handeln als eigenständige Verantwortliche für:

  • Registrierung und Einschreibung von Lernenden
  • Lernfortschritt und Bewertungsergebnisse
  • Zertifikate und Benotung
  • Bildungsbezogene Kommunikation
  • Kurs- und Inhaltsverwaltung
  • KI-Konfiguration und Referenzmaterialien, einschließlich organisationsbezogener Wissensbasis-Dateien und, soweit aktiviert, Hintergrunddokumenten von Lernenden
  • Optionale Dokumentquellen-Integrationen, die von autorisierten Nutzer*innen initiiert werden (falls aktiviert)

eDoer verarbeitet diese Daten ausschließlich auf dokumentierte Weisung im Rahmen von Auftragsverarbeitungsvereinbarungen.

3.1. Datenkategorien

  • Kontodaten (Name, E-Mail, Rolle, Organisation)
  • Lernfortschritt und Bewertungsergebnisse
  • Eingereichte Antworten und hochgeladene Dateien
  • Organisationsbezogene Wissensbasis-Dateien und zugehörige Referenzmaterialien (falls aktiviert)
  • Hintergrunddokumente von Lernenden (falls aktiviert)
  • Optionale Verbindungs- und Importdaten für Dokumentquellen Dritter für autorisierte Nutzer*innen (z. B. Roxtra-Benutzername, verschlüsseltes Zugangsmaterial, importierte Dateien) (falls aktiviert)
  • Zertifikate (Name, Note, Ausstellungsdatum)
  • Forenbeiträge und Anhänge

3.2. Rechtsgrundlage

Die Rechtsgrundlage für diese Verarbeitung wird durch die jeweilige Organisation festgelegt (typischerweise Art. 6 Abs. 1 lit. b DSGVO - Vertrag).

4. Verarbeitung als eigenständige Verantwortliche

eDoer verarbeitet bestimmte Daten als eigenständige Verantwortliche zu folgenden Zwecken:

4.1. Plattform-Sicherheit und Stabilität

  • Systemprotokolle
  • Fehlerberichte
  • Zugriffs-Metadaten (IP-Adresse, Zeitstempel)
  • Betrugsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse.

4.2. Verhaltensanalysen (einwilligungsbasiert)

Wenn Nutzer*innen einwilligen, erhebt eDoer Nutzungsverhaltensdaten auf der Plattform, um:

  • Produktfunktionen zu verbessern
  • Benutzbarkeit zu analysieren
  • Leistung und Zuverlässigkeit sicherzustellen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO - Einwilligung.
Die Einwilligung kann jederzeit widerrufen werden.

Die Analyseverarbeitung:

  • ist optional
  • beeinträchtigt nicht die Bildungsfunktionalität
  • wird nach Widerruf unverzüglich beendet.

4.3. Einwilligungsmanagement

Einwilligungsnachweise werden zur Erfüllung von Compliance-Anforderungen gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO - rechtliche Verpflichtung.

5. KI-basierte Verarbeitung und optionale Dokumentquellen-Integrationen

Bestimmte Funktionen können KI-Dienste (z. B. Large Language Models) nutzen, um Folgendes zu unterstützen:

  • Bildungsunterstützung
  • Erstellung von Bildungsinhalten und Metadaten
  • Abruf und Grounding auf Basis organisationsbezogener Wissensbasis-Dateien und, soweit aktiviert, Hintergrunddokumenten von Lernenden

Wenn KI-Funktionen aktiviert sind, können an KI-Dienste übermittelte Daten Folgendes umfassen:

  • Bildungsinhalte und Lernpfad-Metadaten
  • Von der Organisation bestimmte Wissensbasis-Dateien
  • Von Nutzerinnen und Nutzern hochgeladene Hintergrunddokumente von Lernenden, soweit Lernende-KI aktiviert ist
  • Von Nutzern übermittelte Prompts und Anhänge

Wenn KI organisationsbezogene Bildungsdaten verarbeitet:

  • handelt eDoer als Auftragsverarbeiterin
  • handeln KI-Anbieter*innen als Unterauftragsverarbeiter*innen unter vertraglichen Schutzmaßnahmen
  • werden Daten soweit möglich minimiert und pseudonymisiert
  • fügt eDoer nicht absichtlich unzusammenhängende Leistungsdaten von Lernenden oder Plattform-Konto-Identifikatoren als separate KI-Eingabefelder hinzu, es sei denn, diese Informationen sind in Inhalten, Dateien, Prompts oder Anhängen enthalten, die absichtlich für die KI-Verarbeitung übermittelt wurden

KI-Anbieter sind vertraglich daran gehindert, übermittelte Daten für eigene Zwecke zu nutzen, sofern Unternehmens-Vereinbarungen gelten.

Wenn anerkannte Dokumentquellen-Integrationen wie z. B. Roxtra durch die plattformseitige Administration und die Organisation aktiviert werden, kann eDoer die Integrationszugangsdaten der verbindenden Nutzerin oder des verbindenden Nutzers verarbeiten, um sich beim Drittanbieter zu authentifizieren, Dokumente zu durchsuchen und von der oder dem Nutzer*in ausgewählte Dateien in eDoer zu importieren. Importierte Dateien werden anschließend wie andere Plattformdateien auf Weisung der Organisation verarbeitet.

6. Administrativer Zugriff

In begrenzten Fällen können autorisierte eDoer-Mitarbeitende auf Organisationsdaten zugreifen für:

  • Technische Fehlerbehebung
  • Sicherheitsuntersuchungen
  • Supportanfragen

Ein solcher Zugriff:

  • ist auf autorisiertes Personal beschränkt
  • wird protokolliert
  • ist zeitlich begrenzt
  • erfordert einen dokumentierten Zweck
  • unterliegt Vertraulichkeitspflichten

7. Internationale Datentransfers

Wenn Drittanbieter außerhalb der Europäischen Union ansässig sind, erfolgen Übermittlungen auf Grundlage von:

  • Standardvertragsklauseln (SCCs), und
  • EU-US Data Privacy Framework

8. Speicherdauer

Bildungsdaten:

  • werden gemäß den Weisungen der Organisation gespeichert
  • werden bei Konto- oder Organisationsbeendigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen

Analysedaten:

  • werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist
  • werden regelmäßig gelöscht oder anonymisiert

Sicherheitsprotokolle:

  • werden für einen begrenzten Zeitraum aufbewahrt (z. B. 90 Tage)

Einwilligungsprotokolle:

  • werden zu Nachweis- und Compliance-Zwecken aufbewahrt

Optionale Integrationszugangsdaten:

  • werden nur solange gespeichert, wie die Integration verbunden bleibt oder dies für Sicherheit und Fehlerbehebung erforderlich ist
  • werden nach Trennung oder Ersetzung gelöscht oder überschrieben, vorbehaltlich von Backup-Aufbewahrungsfristen

9. Rechte der betroffenen Personen

Nutzer*innen können folgende Rechte ausüben:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf der Einwilligung (Art. 7)

Für Bildungsdaten sollten Anfragen in der Regel an die jeweilige Organisation gerichtet werden. Für Analyse- oder plattformbezogene Verarbeitung können Anfragen an eDoer gerichtet werden.
Anfragen werden innerhalb eines Monats bearbeitet.

10. Sicherheitsmaßnahmen

eDoer implementiert angemessene technische und organisatorische Maßnahmen, einschließlich:

  • Verschlüsselte Übertragung (TLS)
  • Passwort-Hashing
  • Verschlüsselte Speicherung von Integrationszugangsdaten Dritter
  • Rollenbasierte Zugriffskontrolle
  • Organisationsbezogene Datenisolierung
  • Protokollierter administrativer Zugriff
  • Verfahren zur Reaktion auf Sicherheitsvorfälle

11. Beschwerden

Nutzer*innen können bei der zuständigen Aufsichtsbehörde Beschwerde einlegen. In Deutschland ist dies typischerweise die Datenschutzbehörde des Bundeslandes des Wohnsitzes.

12. Aktualisierungen dieser Richtlinie

Diese Datenschutzerklärung kann aktualisiert werden, um rechtliche oder technische Änderungen abzubilden.