Datenschutz­erklärung & Informationspflichten.

Stand: 21. Mai 2026
Geltungsbereich: Diese Datenschutzerklärung gilt für die Plattform ERASMIO unter den Domains erasmio.de, www.erasmio.de, erasmio.com und www.erasmio.com. erasmio.de dient als deutsche Sprach-/Länderversion, erasmio.com als englische bzw. internationale Version. Beide Domains nutzen dieselbe technische Plattform, dieselbe Serverinfrastruktur und dieselbe Datenbank.

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten ist:

E-Mail: contact@erasmio.com
Datenschutzanfragen: contact@erasmio.com
Website: erasmio.com

Vertreten durch: Pepe Schmidt.

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Datenschutzanfragen können an die oben genannte E-Mail-Adresse gerichtet werden.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten, soweit dies erforderlich ist, um die ERASMIO-Plattform bereitzustellen, Nutzerkonten zu verwalten, Kursangebote darzustellen, Anfragen, unverbindliche Anmeldungen, Buchungen und Zahlungen abzuwickeln, Schulen, Anbieter, Organisationen und Projektbeteiligte zu verbinden, die Plattform technisch zu sichern und gesetzliche Pflichten zu erfüllen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Name, E-Mail-Adresse, Telefonnummer, Adress- und Rechnungsdaten, Teilnehmerdaten, Accountdaten, Rollen, Buchungsdaten, Kommunikationsinhalte, Nutzungsdaten, technische Protokolldaten, IP-Adressen, Standort- und Organisationsdaten sowie Inhalte, die Nutzer, Anbieter oder Organisationen auf der Plattform hinterlegen.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, insbesondere bei Registrierung, Nutzerkonto, Kursanfragen, unverbindlichen Anmeldungen, Buchungen, Zahlungsabwicklung, Anbieterprofilen, Schul- und Projektfunktionen.
• Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung gesetzlicher Pflichten, insbesondere steuerlicher, handelsrechtlicher, buchhalterischer und sonstiger gesetzlicher Aufbewahrungs- und Nachweispflichten.
• Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung auf Grundlage berechtigter Interessen, insbesondere für IT-Sicherheit, Missbrauchsprävention, Fehleranalyse, Plattformadministration, Verbesserung der Plattform, technische und aggregierte Analytics, Anbieter- und Kursdarstellung, Durchsetzung von Rechten und Nachvollziehbarkeit von Vorgängen.
• Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage einer Einwilligung, soweit wir eine solche gesondert einholen, etwa für künftig eingesetzte nicht erforderliche Tracking-, Marketing- oder Analysefunktionen.

Soweit Cookies oder vergleichbare Technologien eingesetzt werden, erfolgt der Zugriff auf Endgeräteinformationen, soweit erforderlich, auf Grundlage der jeweils anwendbaren Vorschriften, insbesondere § 25 Abs. 2 TDDDG für technisch erforderliche Speicherungen. Für nicht erforderliche Speicherungen holen wir, soweit erforderlich, eine Einwilligung ein.

4. Hosting, Serverbetrieb und technische Infrastruktur

Unsere Plattform wird auf Serverinfrastruktur der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben.

Die Anwendung läuft auf einem Hetzner-Cloud-Server in Helsinki, Finnland. Die Datenbank wird als PostgreSQL-16-Datenbank innerhalb derselben Serverinfrastruktur via Docker betrieben und befindet sich ebenfalls in Helsinki, Finnland. Als Reverse Proxy wird Caddy auf dem Hetzner-Server eingesetzt.

Hochgeladene Dateien und Bilder werden derzeit auf der Serverinfrastruktur der Hetzner Online GmbH gespeichert, insbesondere in einem persistenten Docker-Volume auf dem Produktionsserver. Die Nutzung von Hetzner Object Storage für Mediendateien ist vorbereitet; soweit Object Storage eingesetzt wird, erfolgt dies in der Region HEL1 / Helsinki, Finnland.

Beim Aufruf der Plattform werden technisch notwendige Daten verarbeitet, insbesondere:

• IP-Adresse,
• Datum und Uhrzeit des Zugriffs,
• aufgerufene Seiten und Dateien,
• Browser- und Geräteinformationen,
• Referrer-Informationen,
• technische Request- und Fehlerdaten,
• Server-, Docker-, Caddy- und Systemlogs.

Diese Verarbeitung dient der Bereitstellung, Stabilität, Sicherheit, Fehleranalyse und Missbrauchsprävention der Plattform.

Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und funktionsfähigen Bereitstellung der Plattform.

5. Cloudflare: DNS, Proxy, CDN, Sicherheit und technische Analytics

Wir nutzen Cloudflare für die Verwaltung unserer Domains, DNS, Proxy-/CDN-Funktionen, technische Auslieferung, Sicherheitsfunktionen und DDoS-Schutz. Website-Anfragen an erasmio.de, www.erasmio.de, erasmio.com und www.erasmio.com laufen über Cloudflare und werden anschließend an unsere Serverinfrastruktur bei Hetzner weitergeleitet.

Dabei können insbesondere folgende Daten verarbeitet werden:

• IP-Adresse,
• technische Request-Daten,
• Header-Informationen,
• Zeitpunkte von Zugriffen,
• aufgerufene Domains und Pfade,
• Browser- und Geräteinformationen,
• HTTP-Statuscodes,
• Cache- und Performanceinformationen,
• Sicherheitsereignisse,
• Informationen zu automatisiertem oder missbräuchlichem Traffic.

Cloudflare stellt uns aggregierte technische Auswertungen zur Verfügung. Dazu können insbesondere Requests nach Zeitraum und Domain, Bandbreite, HTTP-Statuscodes, Cache-Status, grobe Länder- oder Regionenverteilungen, Sicherheitsereignisse, blockierte oder herausgeforderte Anfragen sowie Hinweise auf automatisierten oder Bot-Traffic gehören.

Diese Cloudflare-Auswertungen dienen der technischen Reichweitenmessung, Performanceanalyse, Fehlererkennung, Sicherheitsüberwachung und Missbrauchsprävention. Cloudflare-Daten werden in unserer Admin-Oberfläche nur aggregiert angezeigt. Wir zeigen keine Cloudflare-Rohlogs mit vollständigen IP-Adressen in der Admin-Oberfläche an und erstellen keine personenbezogenen Besucherprofile aus Cloudflare-Daten.

Cloudflare Real User Measurements (RUM) bzw. das Cloudflare-Web-Analytics-JavaScript-Snippet ist derzeit deaktiviert. Wir nutzen derzeit kein Google Analytics, keine Marketing-Pixel, kein Retargeting und keine externen Werbe-Tracking-Skripte.

Wir nutzen Cloudflare außerdem für technische Schutzmaßnahmen gegen Angriffe, missbräuchlichen Traffic, DDoS-Angriffe und unerwünschte automatisierte Zugriffe. Cloudflare Turnstile, Cloudflare Workers, Cloudflare Pages und Cloudflare Zaraz werden derzeit nicht für die ERASMIO-Domains eingesetzt.

Cloudflare kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere vertraglicher Datenschutzbedingungen, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, performanten und zuverlässigen Bereitstellung der Plattform sowie in der Erkennung und Abwehr technischer Störungen, Missbrauch und Angriffen.

6. Registrierung, Login und Nutzerkonten

Nutzer können auf der Plattform ein Konto erstellen. Je nach Nutzung und Rolle verarbeiten wir dabei insbesondere:

• Vor- und Nachname,
• E-Mail-Adresse,
• Passwort-Hash,
• Nutzerrolle, z. B. Kunde, Anbieter, Organisation, Admin,
• E-Mail-Verifizierungsstatus,
• Registrierungs- und Verifizierungszeitpunkt,
• Login-, Session- und Authentifizierungsdaten,
• technische Sicherheits- und Zugriffsdaten,
• gegebenenfalls Anbieter- oder Referrer-Zuordnungen.

Passwörter werden nicht im Klartext gespeichert, sondern gehasht. E-Mail-Verifizierungstokens werden zeitlich begrenzt verwendet und nach Ablauf bzw. Nutzung invalidiert oder gelöscht. Verifizierungstokens sind in der Regel 48 Stunden gültig.

Die Verarbeitung dient der Einrichtung und Verwaltung von Nutzerkonten, der Authentifizierung, Zugriffskontrolle, Sicherheit, Kommunikation und rollenbasierten Bereitstellung der Plattformfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Kontobereitstellung und Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsmaßnahmen, Missbrauchsprävention und Nachvollziehbarkeit.

7. Kundenprofile, Merkliste und Plattformnutzung

Bei Kunden und sonstigen Nutzern verarbeiten wir je nach Nutzung insbesondere:

• Name und Kontaktdaten,
• Land,
• Telefonnummer,
• Rechnungsadresse,
• gespeicherte Kurse auf der Merkliste,
• Kursaufrufe,
• Suchvorgänge,
• Kursanfragen,
• unverbindliche Anmeldungen,
• Buchungen,
• Bewertungen,
• Zuordnungen zu Schulen, Organisationen oder Anbietern, soweit vorhanden.

Merklisten und gespeicherte Präferenzen werden grundsätzlich gespeichert, solange das Nutzerkonto besteht oder bis der Nutzer die betreffenden Inhalte entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Nutzung der Plattformfunktionen erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Plattformverbesserung, Missbrauchsschutz und interne Auswertungen.

8. Anbieterprofile, Kurse, Termine und Verfügbarkeiten

Bei Anbietern verarbeiten wir je nach Nutzung insbesondere:

• Firmenname,
• Kontaktperson,
• E-Mail-Adresse und Telefonnummer,
• Organisations-ID,
• Umsatzsteuer-ID,
• Stripe-Account-ID,
• Prüf-, Onboarding- und Sichtbarkeitsstatus,
• Website- und Kontaktdaten,
• Standortdaten,
• Ansprechpartner an Standorten,
• Kursräume,
• Unterkunftsdaten,
• hochgeladene Bilder, Logos und Galerieinhalte,
• Kalenderfeed-Tokens,
• Daten zu Kursen, Terminen, Preisen und Verfügbarkeiten.

Diese Daten dienen der Erstellung und Verwaltung von Anbieterprofilen, der Darstellung von Kursangeboten, der Kommunikation mit Interessenten und Kunden, der Abwicklung von Anfragen, unverbindlichen Anmeldungen, Buchungen und Zahlungen sowie der Prüfung und Administration von Anbietern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Durchführung des Anbieter- und Plattformverhältnisses, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO für Qualitätskontrolle, Missbrauchsprävention und Plattformadministration.

9. Schulen, Lehrkräfte, Organisationen und Projektfunktionen

Bei Schulen, Lehrkräften, Organisationen und Projektbeteiligten verarbeiten wir je nach Nutzung insbesondere:

• Name der Organisation oder Schule,
• Kontaktperson,
• E-Mail-Adresse und Telefonnummer,
• Organisations-ID,
• Land,
• Standortdaten und Koordinaten,
• Umsatzsteuer-ID und Prüfergebnis,
• Freigaberegeln und Schulverbindungen,
• verbundene Lehrkräfte,
• Partnerschulprofile,
• Projekt-, Chat-, Agenda- und Budgetdaten,
• gegebenenfalls Unterkunftsdaten wie Gastname oder Host-Kontakt.

Diese Verarbeitung dient der Verwaltung von Schul- und Organisationsprofilen, der Zusammenarbeit zwischen Schulen, Lehrkräften, Organisationen und Anbietern, der Planung und Durchführung von Erasmus- und Bildungsprojekten, der Kommunikation, der Buchungs- und Projektorganisation sowie der Abrechnung.

Soweit Schulen oder Organisationen personenbezogene Daten von Teilnehmenden, Lehrkräften oder weiteren Kontaktpersonen übermitteln, sind sie dafür verantwortlich, dass sie zur Übermittlung dieser Daten berechtigt sind und betroffene Personen entsprechend informiert wurden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Nutzung der Plattform und Durchführung von Projekten erforderlich ist, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO für sichere Administration, Projektorganisation und Missbrauchsprävention.

10. Kursanfragen, Interessenbekundungen und unverbindliche Anmeldungen

Bei Kursanfragen, Interessenbekundungen und unverbindlichen Anmeldungen verarbeiten wir insbesondere:

• Name und E-Mail-Adresse des anfragenden Kontos,
• Kurs- und Termininformationen,
• Anbieter- und Schulzuordnung,
• Teilnehmernamen,
• Status der Anfrage oder Anmeldung,
• Historien- und Statusdaten,
• interne Entscheidungs- und Kommunikationsdaten,
• gegebenenfalls Daten zum Anfrageverwaltungsentgelt oder Abrechnungsdaten.

Bei unverbindlichen Schulanmeldungen können synthetische E-Mail-Adressen erzeugt werden, um keine echten einzelnen Teilnehmer-E-Mail-Adressen verarbeiten zu müssen.

Die Verarbeitung dient der Bearbeitung von Anfragen, der unverbindlichen Vormerkung, der Kommunikation zwischen Kunden, Schulen und Anbietern sowie der internen Nachverfolgung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Maßnahmen und Art. 6 Abs. 1 lit. f DSGVO für Nachverfolgung, Plattformorganisation und Missbrauchsprävention.

11. Buchungen, Checkout, Rechnungen und Zahlungsbezug

Bei Buchungen und im Checkout verarbeiten wir insbesondere:

• Teilnehmername,
• Teilnehmer-E-Mail-Adresse,
• Rechnungsname,
• Rechnungs-E-Mail-Adresse,
• Firma,
• Rechnungsadresse,
• Land,
• Umsatzsteuer-ID,
• Kurs-, Termin- und Buchungsdaten,
• Zahlungsstatus,
• Rechnungslinks,
• Buchungs-Snapshots,
• Stripe-IDs,
• Plattform-Softwaregebühren,
• Anfrageverwaltungsentgelte,
• gespeicherte Rechnungsadressdaten, soweit im Profil gespeichert.

Die Verarbeitung dient der Durchführung der Buchung, der Vertragsabwicklung, der Zahlungsabwicklung, der Rechnungsstellung, der Kommunikation und der Erfüllung gesetzlicher Nachweis- und Aufbewahrungspflichten.

Zahlungsdaten werden teilweise durch Stripe verarbeitet und gespeichert. ERASMIO speichert zusätzlich eigene buchungs-, abrechnungs-, plattform- und nachweisbezogene Daten, soweit dies für Vertragsdurchführung, Plattformbetrieb, Nachvollziehbarkeit sowie gesetzliche Aufbewahrungspflichten erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Buchungsabwicklung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungs-, Steuer- und Buchhaltungspflichten sowie Art. 6 Abs. 1 lit. f DSGVO für Betrugsprävention, Nachweisführung und sichere Plattformabwicklung.

12. Zahlungsabwicklung mit Stripe

Für Zahlungsabwicklung, Zahlungsstatus, Rechnungsinformationen, Stripe Connect, Auszahlungen an Anbieter und damit verbundene Finanzprozesse nutzen wir Stripe.

An Stripe können insbesondere folgende Daten übermittelt werden:

• Name und E-Mail-Adresse des Kunden,
• Rechnungsadresse,
• Teilnehmerdaten,
• Kurs-, Termin- und Buchungsmetadaten,
• Umsatzsteuer-ID-Kontext,
• Zahlungsbetrag,
• Zahlungsstatus,
• Stripe-Customer-ID,
• Stripe-Account-ID bei Anbietern,
• Auszahlungs- und Payout-Informationen,
• Bankname und Bank-Endziffern bei Anbieter-Auszahlungen,
• technisch erforderliche Zahlungs- und Transaktionsdaten.

Die konkrete Zahlungsdateneingabe erfolgt je nach Integration direkt über Stripe. Wir speichern keine vollständigen Kreditkarteninformationen auf unseren eigenen Systemen.

Stripe kann je nach Verarbeitung als Auftragsverarbeiter, eigenständig Verantwortlicher oder gemeinsam mit anderen Beteiligten in eigener datenschutzrechtlicher Rolle auftreten. Anbieter können im Rahmen ihrer Zahlungsabwicklung und ihrer Vertragsbeziehung zu Kunden ebenfalls eigene Verantwortlichkeiten haben.

Stripe kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere vertraglicher Datenschutzbedingungen, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Zahlungsabwicklung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten und Art. 6 Abs. 1 lit. f DSGVO für Betrugsprävention und sichere Zahlungsprozesse.

13. Umsatzsteuer-ID-Prüfung über EU VIES

Zur Prüfung von Umsatzsteuer-Identifikationsnummern nutzen wir den VIES-Dienst der Europäischen Union. Dabei wird die eingegebene Umsatzsteuer-ID an den VIES-Dienst übermittelt.

Wir speichern insbesondere:

• Umsatzsteuer-ID,
• Prüfstatus,
• Quelle,
• Zeitpunkt der Prüfung,
• Rückmeldung oder Meldung des Dienstes.

Die Verarbeitung dient der steuerlichen Prüfung, Rechnungsstellung und korrekten Abwicklung von B2B-Vorgängen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO, soweit die Prüfung zur Erfüllung steuerlicher Pflichten erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO zur Vermeidung fehlerhafter Abrechnungen und Missbrauchsprävention.

14. Transaktions-E-Mails mit Resend

Für den Versand von Transaktions-E-Mails nutzen wir Resend. Dazu gehören insbesondere:

• Verifizierungs-E-Mails,
• Buchungsbestätigungen,
• Rechnungs- und Zahlungsinformationen,
• Benachrichtigungen zu Anfragen, Anmeldungen und Buchungen,
• Review- oder Bewertungsbenachrichtigungen,
• System- und Sicherheitsinformationen.

Dabei können je nach E-Mail insbesondere verarbeitet werden:

• Empfängeradresse,
• Name,
• Account- und Buchungsdaten,
• Teilnehmerdaten,
• Anbieter- und Kursinformationen,
• Rechnungsinformationen,
• Verifizierungs- und Aktionslinks,
• Template-Informationen,
• Versandstatus,
• Fehler- und Zustellinformationen.

Wir protokollieren E-Mail-Versandaktivitäten, um Zustellung, Fehleranalyse, Sicherheit und Nachvollziehbarkeit zu gewährleisten.

Resend kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere eines Data Processing Addendum, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für vertragsbezogene oder kontobezogene E-Mails, Art. 6 Abs. 1 lit. c DSGVO für gesetzlich relevante Mitteilungen und Art. 6 Abs. 1 lit. f DSGVO für Fehleranalyse, Zustellbarkeit und Sicherheit.

15. E-Mail-Kommunikation mit Google Workspace

Für unsere E-Mail-Kommunikation unter contact@erasmio.com nutzen wir Google Workspace.

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir insbesondere:

• Ihre E-Mail-Adresse,
• Ihren Namen,
• den Inhalt Ihrer Nachricht,
• Anhänge,
• Zeitpunkte der Kommunikation,
• technische E-Mail-Metadaten.

Die Verarbeitung dient der Bearbeitung Ihrer Anfrage, der Kommunikation mit Ihnen, der Dokumentation geschäftlicher Vorgänge und der Erfüllung vertraglicher oder gesetzlicher Pflichten.

Google kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere vertraglicher Datenschutzbedingungen, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation mit einem Vertrag oder vorvertraglichen Maßnahmen zusammenhängt, Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten betroffen sind, und im Übrigen Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der effizienten und nachvollziehbaren Kommunikation.

16. Karten, Standortsuche und Geocoding mit Mapbox

Für Karten, Standortsuche, Adressvorschläge, Geocoding und Reverse-Geocoding nutzen wir Mapbox.

Dabei können insbesondere verarbeitet werden:

• eingegebene Adressen oder Suchanfragen,
• Standort- und Koordinatendaten,
• technische Request-Daten,
• IP-Adresse,
• Browser- und Geräteinformationen,
• Zeitpunkte der Anfragen.

Die Verarbeitung dient der Darstellung von Standorten, der Suche nach Adressen, der Zuordnung von Kursen, Schulen und Anbietern zu Orten und der Verbesserung der Nutzerfreundlichkeit.

Mapbox kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere vertraglicher Datenschutzbedingungen, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit Karten- und Standortfunktionen für gewünschte Plattformfunktionen erforderlich sind, sowie Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer nutzerfreundlichen Standortsuche und korrekten Darstellung von Kurs-, Anbieter- und Schulstandorten.

17. KI-gestützte Suche, Embeddings und Verbesserungsvorschläge mit OpenAI

Wir nutzen die OpenAI API serverseitig für KI-gestützte Funktionen, insbesondere für:

• semantische Suche,
• Embeddings,
• bessere Auffindbarkeit von Kursen,
• Verarbeitung von Kursdaten und Kursbeschreibungen,
• KI-gestützte Verbesserungsvorschläge für Kursinhalte.

Dabei können insbesondere Kursdaten, Kursbeschreibungen, Suchbegriffe, Kurstitel, Metadaten und vergleichbare Inhalte an OpenAI übermittelt werden. Personenbezogene Daten werden nicht gezielt an OpenAI übermittelt. Eine Verarbeitung personenbezogener Daten kann technisch dennoch möglich sein, wenn solche Inhalte in Kursbeschreibungen, Suchanfragen oder sonstigen übermittelten Inhalten enthalten sind.

OpenAI wird nicht für einen vollwertigen Nutzer-Chat oder einen Nutzer-Assistenten eingesetzt. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung statt.

OpenAI API-Schlüssel werden ausschließlich serverseitig verwendet und nicht im Browser der Nutzer eingebunden. Nach Angaben von OpenAI werden Daten, die über die API übermittelt werden, standardmäßig nicht zum Training oder zur Verbesserung der OpenAI-Modelle verwendet, sofern keine ausdrückliche Freigabe hierfür erfolgt.

OpenAI kann personenbezogene Daten auch außerhalb der EU/des EWR verarbeiten. Soweit erforderlich, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere eines Data Processing Addendum, Standardvertragsklauseln und/oder eines Angemessenheitsbeschlusses wie dem EU-U.S. Data Privacy Framework, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung der Suchfunktion, der besseren Auffindbarkeit passender Kursangebote und der Unterstützung von Anbietern bei der Verbesserung von Kursinhalten. Soweit die Suche unmittelbar zur Nutzung gewünschter Plattformfunktionen erforderlich ist, kann zusätzlich Art. 6 Abs. 1 lit. b DSGVO einschlägig sein.

18. Interne Plattform- und Admin-Analytics

Wir verarbeiten aggregierte Plattform- und Nutzungsdaten, um die Nutzung, Stabilität, Sicherheit und wirtschaftliche Entwicklung unserer Plattform nachvollziehen und verbessern zu können.

Dabei werten wir insbesondere interne Plattformereignisse aus, zum Beispiel:

• Seiten- und Kursaufrufe,
• Suchvorgänge,
• Anbieterprofilaufrufe,
• hinzugefügte Favoriten,
• Kursanfragen,
• Buchungsstarts,
• abgeschlossene Buchungen,
• Registrierungen,
• aggregierte Umsatz-, Kurs-, Anbieter-, Schul- und Buchungskennzahlen.

Die Auswertung erfolgt als internes Admin-Werkzeug und ist nur berechtigten Administratoren zugänglich. Die Daten werden grundsätzlich aggregiert dargestellt. Wir erstellen keine personenbezogenen Besucherprofile für anonyme Nutzer und zeigen keine vollständigen Nutzerpfade einzelner Besucher in der Admin-Oberfläche an.

Für das eigene Analytics-Modul verwenden wir keine Google Analytics, keine Marketing-Pixel, keine externen Tracking-Skripte, keine dauerhafte Besucher-ID per Cookie oder LocalStorage und keine Fingerprinting-Logik. Vollständige IP-Adressen werden nicht dauerhaft als Analysemerkmal gespeichert.

Verarbeitet werden können insbesondere Zeitpunkt, Domain, Pfad oder Seitentyp, Sprach- oder Länderversion, Rolle eingeloggter Nutzer, optionale Objekt-IDs wie Kurs- oder Anbieter-ID, Referrer-Domain, grobe Länderinformation und grober Gerätetyp, soweit dies technisch verfügbar und datenschutzkonform möglich ist.

Rohdaten interner Nutzungs- und Analytics-Ereignisse werden grundsätzlich für maximal 90 Tage gespeichert. Aggregierte, nicht personenbezogene Analyse- und Statistikdaten können für maximal 24 Monate gespeichert bleiben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen, wirtschaftlichen und nutzerfreundlichen Weiterentwicklung der Plattform, der Erkennung technischer Auffälligkeiten und der operativen Plattformsteuerung.

19. Kursaufrufe und interne Nutzungsereignisse

Bei eingeloggten Nutzern können Kursaufrufe und bestimmte interne Nutzungsereignisse gespeichert werden, etwa zur Darstellung von Anbieterstatistiken, internen Analytics und zur Verbesserung der Plattform.

Dabei können insbesondere verarbeitet werden:

• Kurs-ID,
• Nutzer-ID,
• Nutzerrolle,
• Zeitpunkt des Aufrufs,
• Seitentyp oder Ereignistyp.

Kursaufrufe und vergleichbare interne Nutzungsereignisse werden grundsätzlich aggregiert ausgewertet. Es werden keine personenbezogenen Besucherprofile erstellt und keine vollständigen Nutzerpfade einzelner Besucher in der Admin-Oberfläche angezeigt.

Rohdaten werden grundsätzlich maximal 90 Tage gespeichert; aggregierte Statistikdaten können maximal 24 Monate gespeichert bleiben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung und operativen Steuerung der Plattform sowie in der Bereitstellung aussagekräftiger Anbieter- und Admin-Statistiken.

20. Bewertungen und Reviews

Nutzer können Kurse bewerten. Dabei verarbeiten wir insbesondere:

• Nutzer-ID,
• Kurs-ID,
• Rating,
• Kommentar,
• Zeitpunkt,
• Angabe, ob die Bewertung öffentlich anonymisiert angezeigt werden soll.

Wenn eine Bewertung als anonym markiert ist, kann sie auf der Plattform ohne sichtbaren Namen angezeigt werden. Technisch kann die Bewertung intern dennoch dem Nutzerkonto zugeordnet bleiben, insbesondere zur Missbrauchsprävention, Nachvollziehbarkeit und Durchsetzung unserer Plattformregeln.

Bewertungen und Review-Inhalte können grundsätzlich dauerhaft gespeichert bleiben, soweit sie für die Plattformdarstellung, historische Bewertungsdarstellung, Nachvollziehbarkeit oder Missbrauchsprävention erforderlich sind. Bei Löschung von Nutzerkonten können Bewertungen anonymisiert weitergeführt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Bewertungsfunktion und Art. 6 Abs. 1 lit. f DSGVO für Qualitätssicherung, Missbrauchsprävention und Nachweisführung.

21. Uploads, Bilder, Logos und öffentliche Inhalte

Anbieter, Schulen, Organisationen oder berechtigte Nutzer können Bilder, Logos, Galerieinhalte und andere Inhalte hochladen. Diese Inhalte können je nach Funktion öffentlich sichtbar sein. Wenn hochgeladene Inhalte personenbezogene Daten enthalten, etwa erkennbare Personen, Namen oder Kontaktdaten, verarbeitet die Plattform auch diese Daten.

Anbieter und sonstige hochladende Nutzer sind dafür verantwortlich, nur Inhalte hochzuladen, für die sie die erforderlichen Rechte, Einwilligungen oder sonstigen rechtlichen Grundlagen besitzen.

Hochgeladene Bilder, Dateien und sonstige Inhalte werden grundsätzlich gespeichert, solange sie für aktive Kurs-, Anbieter-, Schul- oder Plattformdarstellungen erforderlich sind. Gelöschte Inhalte werden gelöscht oder anonymisiert, soweit keine gesetzlichen, vertraglichen, buchungsbezogenen, nachweisbezogenen oder sicherheitsrelevanten Gründe entgegenstehen. Bestimmte Inhalte können länger archiviert bleiben, wenn sie mit historischen Buchungen, Nachweisen oder Rechtsansprüchen verbunden sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Profil-, Kurs- und Plattformdarstellung sowie Art. 6 Abs. 1 lit. f DSGVO für die Darstellung, Nachvollziehbarkeit, Qualitätssicherung und Missbrauchsprävention.

22. Cookies, LocalStorage und SessionStorage

Wir verwenden Cookies und vergleichbare Speichertechnologien, um die Plattform technisch bereitzustellen, Nutzer anzumelden, Sicherheitsfunktionen umzusetzen und die Bedienbarkeit zu verbessern.

22.1 Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies, insbesondere für Login, Authentifizierung, Sessions, Sicherheit und rollenbasierte Plattformfunktionen.

Rechtsgrundlage für den Zugriff auf das Endgerät: § 25 Abs. 2 TDDDG, soweit die Speicherung oder der Zugriff technisch erforderlich ist.
Rechtsgrundlage für die anschließende Verarbeitung personenbezogener Daten: Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO.

22.2 provider_referrer Cookie

Das Cookie provider_referrer dient der technischen Zuordnung eines Anbieter-Einstiegs innerhalb der Plattform, beispielsweise wenn ein Nutzer eine öffentliche Anbieter-Seite besucht und sich anschließend registriert. Dabei kann kurzlebig ein Anbieter-Slug gespeichert und bei Registrierung dem Nutzerkonto zugeordnet werden, um einen geschlossenen Anbieter-Funnel oder eine passende Kursanzeige innerhalb der Plattform zu ermöglichen.

Das Cookie wird nicht für externes Marketing-, Affiliate-, Werbe- oder Kampagnentracking verwendet. Es erfolgt keine Weitergabe an Werbenetzwerke und keine Bildung von Marketing-Zielgruppen. Das Cookie wird maximal 30 Tage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Anbieterzuordnung und der konsistenten Bereitstellung gewünschter Plattformfunktionen.

22.3 Dashboard-, Filter- und UI-Speicherungen

Wir verwenden funktionale Cookies sowie LocalStorage- und SessionStorage-Speicherungen für:

• Dashboard-Präferenzen,
• Filtereinstellungen,
• Zeitraumfilter,
• Theme- und UI-Zustände,
• Sidebar-Zustände,
• gesehene Tabs,
• Formular-Zwischenspeicher.

Dashboard-, Filter-, Theme-, Sidebar- und UI-Präferenzen werden grundsätzlich für maximal 12 Monate oder bis zur manuellen Löschung durch den Nutzer gespeichert. Formular-Zwischenspeicher im SessionStorage werden grundsätzlich bis zum Ende der Browser-Session gespeichert.

Diese Speicherungen dienen ausschließlich der technischen Bereitstellung und nutzerfreundlichen Bedienung der Plattform. Wir nutzen derzeit keine Marketing-/Tracking-Cookies, keine externen Werbe-Pixel, keine Retargeting-Tools, keine Cross-Site-Identifier und keine Fingerprinting-Logik.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, soweit die Speicherung der Bedienbarkeit und Nutzerfreundlichkeit dient. Soweit die Speicherung technisch erforderlich ist, zusätzlich § 25 Abs. 2 TDDDG.

23. Adminbereich, Sicherheit und Protokollierung

Zur Administration, Sicherheit, Fehleranalyse und Nachvollziehbarkeit verarbeiten wir interne technische Daten. Dazu können gehören:

• API-Aktivitätslogs,
• Webhook-Logs,
• E-Mail-Versandstatus,
• Fehler- und Statusinformationen,
• betroffene Templates,
• Zeitpunkte,
• technische Request-Daten,
• Admin-Audit-Logs,
• aggregierte Plattformdaten,
• Buchungs-, Herkunfts- und Zielstandorte für Admin-Analytics.

Sensible Felder wie Passwörter, Tokens, Secrets, API-Keys, Webhooks oder vollständige Zahlungsdaten werden nach Möglichkeit nicht gespeichert oder maskiert. Admin-Analytics erfolgt soweit möglich aggregiert.

Für Protokolldaten gelten grundsätzlich folgende Speicherfristen:

• Server-, Docker-, Caddy- und Fehlerprotokolle: maximal 14 Tage.
• Technische API-, Webhook- und Aktivitätsprotokolle: maximal 14 Tage sowie zusätzlich im Rahmen technischer Mengenbegrenzungen.
• Administrative Audit- und Nachvollziehbarkeitsprotokolle: maximal 180 Tage.
• Protokolle im Zusammenhang mit Sicherheitsvorfällen, Missbrauch, Betrugsprävention oder Angriffserkennung: einzelfallbezogen länger, soweit dies zur Aufklärung, Rechtsdurchsetzung oder Systemsicherheit erforderlich ist; als Richtwert gilt eine maximale Aufbewahrung von 12 Monaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in IT-Sicherheit, Fehlerbehebung, Plattformadministration, Betrugs- und Missbrauchsprävention sowie der stabilen Bereitstellung der Plattform.

24. Backups, Snapshots und Wiederherstellung

Zur Wiederherstellung und Betriebssicherheit nutzen wir automatisierte serverseitige Backups innerhalb der Hetzner-Cloud-Infrastruktur. Die Backups sind für den Produktionsserver aktiviert und werden nach der technisch vorgesehenen Rotation automatisch gelöscht.

Manuelle Snapshots können vor größeren technischen Änderungen, vor Migrationen oder zur Fehleranalyse erstellt werden. Solche Snapshots werden nur so lange aufbewahrt, wie sie für Wiederherstellung, Fehleranalyse oder Systemsicherheit erforderlich sind.

Separate dedizierte PostgreSQL-Datenbank-Backups, etwa per pg_dump, sind derzeit geplant, aber nach aktuellem Stand nicht produktiv eingerichtet. Die Datenschutzerklärung wird bei relevanten Änderungen der Backup-Strategie angepasst, soweit erforderlich.

Backups können dieselben personenbezogenen Daten enthalten wie die produktive Plattform. Eine Löschung einzelner Daten aus Backups kann technisch verzögert erfolgen; die Daten werden jedoch nach Ablauf der Backup-Rotation bzw. nach Löschung nicht mehr erforderlicher Snapshots entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in Betriebssicherheit, Wiederherstellbarkeit, Ausfallsicherheit und Schutz vor Datenverlust.

25. Kalenderfeeds und Feed-Tokens

Anbieter können Kalenderfeeds oder vergleichbare Funktionen nutzen. Dabei können Feed-Tokens, Kurs-, Termin- und Verfügbarkeitsdaten verarbeitet werden.

Feed-Tokens sind vertraulich zu behandeln. Bei Verdacht auf Missbrauch können Tokens deaktiviert oder erneuert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Funktion sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und Missbrauchsprävention.

26. Empfänger personenbezogener Daten

Personenbezogene Daten können je nach Nutzung an folgende Empfänger oder Kategorien von Empfängern übermittelt werden:

• Anbieter, soweit dies zur Bearbeitung von Anfragen, Anmeldungen oder Buchungen erforderlich ist,
• Schulen, Lehrkräfte oder Organisationen, soweit dies für Schul-, Projekt- oder Buchungsfunktionen erforderlich ist,
• Kunden oder Teilnehmer, soweit dies zur Buchungs- und Projektabwicklung erforderlich ist,
• Zahlungsdienstleister, insbesondere Stripe,
• E-Mail-Dienstleister, insbesondere Resend,
• E-Mail-/Mailbox-Anbieter, insbesondere Google Workspace,
• Karten- und Standortdienstleister, insbesondere Mapbox,
• KI-/Suchdienstleister, insbesondere OpenAI,
• DNS-, CDN-, Proxy- und Sicherheitsdienstleister, insbesondere Cloudflare,
• EU-VIES-Dienst zur Umsatzsteuer-ID-Prüfung,
• Hosting- und Infrastruktur-Dienstleister, insbesondere Hetzner,
• IT-, Support- und Wartungsdienstleister,
• Steuerberater, Rechtsberater, Behörden oder Gerichte, soweit dies gesetzlich erforderlich ist oder der Rechtsdurchsetzung dient.

Eine Weitergabe erfolgt nur, soweit dies für die genannten Zwecke erforderlich ist, eine gesetzliche Grundlage besteht oder eine Einwilligung vorliegt.

27. Internationale Datenübermittlungen

Einige eingesetzte Dienstleister können personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA.

Dies betrifft insbesondere:

• Cloudflare,
• Google Workspace,
• Stripe,
• Resend,
• OpenAI,
• Mapbox.

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur auf Grundlage geeigneter Garantien, insbesondere:

• Angemessenheitsbeschluss der Europäischen Kommission,
• EU-U.S. Data Privacy Framework, soweit anwendbar,
• Standardvertragsklauseln der Europäischen Kommission,
• ergänzende technische und organisatorische Maßnahmen,
• oder andere gesetzlich zulässige Übermittlungsmechanismen.

28. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

Es gelten insbesondere folgende Grundsätze:

• Nutzerkonten werden gespeichert, solange das Konto besteht.
• Eine Selbstlöschung von Konten ist vorgesehen. Bis dahin können Nutzer Löschanfragen über contact@erasmio.com stellen.
• Nach Löschung eines Nutzerkontos werden personenbezogene Profildaten gelöscht oder anonymisiert, soweit keine gesetzlichen, steuerlichen, buchungsbezogenen, nachweisbezogenen oder vertraglichen Pflichten entgegenstehen.
• Eine automatische Inaktivitätslöschung findet derzeit nicht statt.
• Buchungs-, Plattformabrechnungs-, Rechnungs-, Zahlungs-, USt- und Reverse-Charge-Daten werden grundsätzlich für 10 Jahre gespeichert, soweit dies für gesetzliche, steuerliche, buchhalterische oder nachweisbezogene Zwecke erforderlich ist.
• Kursanfragen, Interessenbekundungen, Anfragedaten und unverbindliche Anmeldungen werden grundsätzlich maximal 36 Monate gespeichert, sofern keine längeren gesetzlichen, vertraglichen oder nachweisbezogenen Gründe entgegenstehen.
• Bewertungen und Reviews können grundsätzlich dauerhaft gespeichert bleiben, soweit sie für Plattformdarstellung, historische Bewertungsdarstellung, Nachvollziehbarkeit oder Missbrauchsprävention erforderlich sind. Bei Konto-Löschung können Bewertungen anonymisiert weitergeführt werden.
• Uploads, Bilder, Logos und Dateien werden gespeichert, solange sie für aktive Kurs-, Anbieter-, Schul- oder Plattformdarstellungen erforderlich sind. Gelöschte Inhalte werden gelöscht oder anonymisiert, soweit keine gesetzlichen, vertraglichen, buchungsbezogenen, nachweisbezogenen oder sicherheitsrelevanten Gründe entgegenstehen.
• Rohdaten interner Analytics-, Nutzungs- und CourseView-Ereignisse werden grundsätzlich maximal 90 Tage gespeichert.
• Aggregierte Analytics- und Statistikdaten können maximal 24 Monate gespeichert bleiben.
• Cloudflare-Analytics-Daten werden nach Cloudflare-Verfügbarkeit bzw. Cloudflare-Plan verarbeitet; in ERASMIO werden sie nur aggregiert abgerufen und angezeigt.
• Server-, Docker-, Caddy- und Fehlerprotokolle werden grundsätzlich maximal 14 Tage gespeichert.
• Technische API-, Webhook- und Aktivitätsprotokolle werden grundsätzlich maximal 14 Tage sowie zusätzlich im Rahmen technischer Mengenbegrenzungen gespeichert.
• Administrative Audit-Logs werden maximal 180 Tage gespeichert.
• Sicherheitsvorfall-Logs können im Einzelfall länger gespeichert werden, soweit dies zur Aufklärung, Rechtsdurchsetzung oder Systemsicherheit erforderlich ist; als Richtwert gilt maximal 12 Monate.
• Backups werden nach der technisch vorgesehenen Rotation gelöscht. Manuelle Snapshots werden nur so lange aufbewahrt, wie sie für Wiederherstellung, Fehleranalyse oder Systemsicherheit erforderlich sind.
• E-Mail-Verifizierungstokens sind zeitlich begrenzt, in der Regel 48 Stunden, und werden nach Ablauf oder Nutzung invalidiert oder gelöscht.
• Projekt-, Chat-, Agenda- und Budgetdaten werden grundsätzlich für die Dauer des Projekts und anschließend so lange gespeichert, wie sie für Projektabwicklung, Dokumentation, Nachweisführung oder gesetzliche Pflichten erforderlich sind. Soweit sie buchungs-, abrechnungs- oder steuerrelevant sind, können sie entsprechend den vorgenannten Fristen bis zu 10 Jahre gespeichert werden.

Sobald Daten nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsgründe entgegenstehen, werden sie gelöscht oder anonymisiert.

29. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung bestimmter personenbezogener Daten ist erforderlich, um ein Nutzerkonto zu erstellen, Kurse anzufragen, unverbindliche Anmeldungen vorzunehmen, Buchungen durchzuführen, Zahlungen abzuwickeln, Anbieter- oder Schulprofile zu verwalten oder gesetzliche Pflichten zu erfüllen.

Ohne die erforderlichen Daten können bestimmte Funktionen der Plattform nicht oder nur eingeschränkt genutzt werden.

30. Automatisierte Entscheidungen und Profiling

Wir verwenden keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

Wir führen keine automatisierte Bewertung von Personen, kein personenbezogenes Besucherprofiling, keine Fingerprinting-Logik und keine automatisierte Förder-, Kreditwürdigkeits-, Ablehnungs- oder Preisentscheidung durch.

KI-gestützte Suche, Embeddings, Rankings und Verbesserungsvorschläge dienen der Auffindbarkeit, Qualitätssicherung und Unterstützung bei der Plattformnutzung, treffen aber keine rechtlich verbindlichen Entscheidungen über Nutzer.

31. Datensicherheit

Wir treffen technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen.

Dazu gehören insbesondere:

• rollenbasierte Zugriffskonzepte,
• Zugriffsbeschränkungen auf Adminbereiche,
• Passwort-Hashing,
• Session- und Authentifizierungsschutz,
• verschlüsselte Datenübertragung per HTTPS/TLS,
• Protokollierung sicherheitsrelevanter Vorgänge,
• Backup- und Wiederherstellungsmaßnahmen,
• regelmäßige Sicherheits- und Systemupdates,
• technische und organisatorische Zugriffsbeschränkungen,
• schrittweise vorgesehene Zwei-Faktor-Authentifizierung für wichtige Admin- und Dienstzugänge.

Die Sicherheitsmaßnahmen werden entsprechend dem Stand der Technik, dem Risiko und der technischen Entwicklung fortlaufend überprüft und angepasst.

32. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO folgende Rechte:

• Recht auf Auskunft,
• Recht auf Berichtigung,
• Recht auf Löschung,
• Recht auf Einschränkung der Verarbeitung,
• Recht auf Datenübertragbarkeit,
• Recht auf Widerspruch gegen bestimmte Verarbeitungen,
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft,
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung Ihrer Rechte können Sie uns unter contact@erasmio.com kontaktieren.

33. Widerspruchsrecht bei Verarbeitung auf Grundlage berechtigter Interessen

Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können betroffene Personen aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einlegen.

Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

34. Widerruf von Einwilligungen

Soweit eine Verarbeitung auf Grundlage einer Einwilligung erfolgt, können betroffene Personen diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

35. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde für ERASMIO LIMITED ist:

Betroffene Personen können sich auch an eine andere zuständige Datenschutzaufsichtsbehörde wenden.

36. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die Plattform, eingesetzte Dienste, Datenverarbeitungen, technische Funktionen oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist auf unserer Plattform abrufbar.