Gilt bei Nutzung der Tutlio-Plattform.
1. Allgemeine Bestimmungen
Diese Datenschutzrichtlinie (im Folgenden die Richtlinie) legt fest, wie MB Tutlio (Unternehmenscode 307617263), Betreiber der Plattform Tutlio (im Folgenden der Dienstleister, wir), personenbezogene Daten erhebt, nutzt und schützt. Wir handeln in Übereinstimmung mit den Rechtsvorschriften der Republik Litauen: der Datenschutz-Grundverordnung (DSGVO) (EU 2016/679), dem Gesetz der Republik Litauen über den rechtlichen Schutz personenbezogener Daten, den Gesetzen über elektronische Dienstleistungen und elektronische Kommunikation sowie anderen anwendbaren Rechtsvorschriften.
2. Verantwortlicher und Auftragsverarbeiter (Rollen)
Bei der Bereitstellung von B2B-Cloud-Diensten (Business-to-Business) sind die Datenschutzrollen gemäß den Anforderungen der DSGVO strikt getrennt: Der Tutor / die Organisation (Kunde der Plattform) handelt ausschließlich als Verantwortlicher in Bezug auf alle in die Plattform eingegebenen personenbezogenen Daten der Schüler (und ihrer Eltern/Erziehungsberechtigten). MB Tutlio handelt ausschließlich als Auftragsverarbeiter (im Sinne von Artikel 28 DSGVO) in Bezug auf personenbezogene Daten der Schüler und verarbeitet diese nur gemäß den Anweisungen des Kunden. MB Tutlio handelt als Verantwortlicher nur in Bezug auf die Registrierungs- und Abrechnungsdaten der Tutoren/Organisationen selbst (seiner direkten B2B-Kunden).
2.1. Der Tutor/die Organisation ist als Verantwortlicher verantwortlich für:
- Rechtsgrundlage: Eine Rechtsgrundlage für die Verarbeitung aller in die Plattform eingegebenen personenbezogenen Daten von Schülern haben (Einwilligung, Vertrag, berechtigtes Interesse).
- Information: Schüler und ihre Eltern/Erziehungsberechtigten über die Datenverarbeitung in der Plattform informieren und einen Link zu dieser Datenschutzrichtlinie bereitstellen.
- Richtigkeit der Daten: Sicherstellen, dass die in die Plattform eingegebenen Daten richtig, aktuell und auf das Notwendige beschränkt sind (Datenminimierung).
- Rechte betroffener Personen: Anfragen von Schülern zu ihren Daten (Zugriff, Löschung, Berichtigung, Übertragbarkeit) eigenständig unter Nutzung der Plattformfunktionen beantworten.
2.2. MB Tutlio verarbeitet als Auftragsverarbeiter Schülerdaten zu folgenden Zwecken:
- Bereitstellung der Plattform: Sicherstellung des Betriebs der Plattforminfrastruktur, technischer Support, Bereitstellung von Cloud-Diensten gemäß dem B2B-Vertrag.
- Sicherheit: Technische Datensicherheit, Umsetzung von Sicherheitsmaßnahmen (Verschlüsselung, Backups).
- Automatische Prozesse: Versand automatischer Benachrichtigungen (Erinnerungen an Unterrichtsstunden, Zahlungen) strikt gemäß den Einstellungen des Tutors/der Organisation.
- Zahlungsabwicklung: Technische Unterstützung von Zahlungsprozessen, handelnd als bevollmächtigter Handelsvertreter.
3. Welche Daten wir erheben
- Registrierungs- und Kontodaten (Kunden): E-Mail, Vor- und Nachname, Telefonnummer, Passwort (verschlüsselt gespeichert, d. h. im Hash-Format).
- Zahlungsdaten: Zahlungshistorie, Zahlungsstatus von Sitzungen. Zahlungskarten- oder Bankdaten werden nur über lizenzierte Partner (Stripe oder UAB Perlas Finance) verarbeitet. MB Tutlio sieht und speichert keine vollständigen Zahlungskarten- oder Bankzugangsdaten.
- Abonnementdaten: Abonnementplan, Ablaufdatum, Nutzung des Testzeitraums.
- Unterrichts- und Termindaten: Unterrichtszeiten, Themen, Notizen, Stornierungen, Versand von Erinnerungen.
- Schülerdaten (vom Tutor eingegeben): Namen der Schüler, E-Mails, Telefonnummern, Daten des Zahlers (Eltern/Erziehungsberechtigte).
- Technische Daten: IP-Adresse, Browsertyp, Anmeldezeiten, zu Zwecken berechtigter Interessen (Systemsicherheit, Missbrauchsprävention).
4. Nutzung von Google-API-Daten (Google API Limited Use Policy)
Um eine bequeme Kalenderverwaltung zu gewährleisten, ermöglicht die Plattform den Nutzern, ihr Konto mit Google Calendar zu verknüpfen (mittels OAuth-Authentifizierung). Wir fordern nur Zugriff auf Ihre Google Calendar-Ereignisse an (Lese- und Schreibrechte), damit wir die in der Plattform geplanten Unterrichtsstunden mit Ihrem persönlichen Kalender synchronisieren können.
Ihre Google Calendar-Daten werden ausschließlich zur Sicherstellung der zweiseitigen Kalendersynchronisierung verwendet. Wir übertragen, verkaufen oder teilen Ihre Google-Nutzerdaten nicht mit Dritten (einschließlich Werbenetzwerken oder anderen kommerziellen Partnern).
Die Nutzung und Übertragung der von Google-APIs erhaltenen Informationen durch Tutlio an andere Anwendungen entspricht strikt der Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use).
5. Zwecke und Rechtsgrundlage (Artikel 6 DSGVO)
Wir verarbeiten Daten zur Vertragserfüllung (Verwaltung von Konten, Unterrichtsstunden und Zahlungen), aufgrund berechtigter Interessen (Plattformsicherheit, Abrechnungen), auf Grundlage Ihrer Einwilligung (soweit gesetzlich erforderlich) und zur Erfüllung gesetzlicher Anforderungen (Buchhaltung). Für Informationen zu Zahlungen und Stornierungen verwenden wir E-Mail; die Stornierungsregeln sind in den internen Regeln der Plattform beschrieben.
6. Datenspeicherung und Sicherheit
Wir speichern Daten nur so lange, wie es für die Vertragserfüllung und die Einhaltung gesetzlicher Anforderungen (z. B. Buchhaltung) erforderlich ist. Wir verwenden geeignete technische und organisatorische Maßnahmen (Verschlüsselung von Daten während der Übertragung und im Ruhezustand, Zugriffskontrolle, automatische Backups), um Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
6.1. Unterauftragsverarbeiter
MB Tutlio setzt sorgfältig ausgewählte und DSGVO-konforme Unterauftragsverarbeiter ein, um Cloud- und Zahlungsinfrastruktur sicherzustellen:
- Supabase Inc.: Hosting und Verwaltung der Datenbank (Daten werden in der EU-Region auf AWS-Servern gespeichert).
- Stripe, Inc.: Zahlungsabwicklung und Abonnementverwaltung auf internationalen Märkten.
- UAB Perlas Finance: Dienstleistungen zur Einziehung von Open-Banking-Zahlungen auf dem lokalen Markt.
- Resend (Zernonia, Inc.): Versanddienst für transaktionale E-Mails (Erinnerungen, Einladungen, Benachrichtigungen).
Alle Unterauftragsverarbeiter verpflichten sich, personenbezogene Daten nur gemäß unseren Anweisungen und unter Anwendung strengster Sicherheitsstandards zu verarbeiten (einschließlich Standardvertragsklauseln, SCC, bei Datenübermittlungen außerhalb der EU).
7. Ihre Rechte (DSGVO)
Zur Ausübung Ihrer Datenschutzrechte kontaktieren Sie uns per E-Mail: info@tutlio.lt.
Wichtige Klarstellungen:
- Wenn Sie Schüler sind (oder Elternteil/Erziehungsberechtigter eines Schülers): Wenden Sie sich wegen Daten, die Ihr Tutor oder Ihre Schule in die Plattform eingegeben hat, zunächst direkt an diese. Sie sind Ihr Verantwortlicher. Wir unterstützen den Verantwortlichen technisch bei der Umsetzung Ihrer Rechte, die Hauptverantwortung liegt jedoch bei Ihrem Tutor/Ihrer Organisation.
- Wenn Sie Tutor/Organisation sind: Sie können Schülerdaten über die Einstellungen der Plattform eigenständig verwalten, korrigieren, löschen oder exportieren. Bei technischem Bedarf unterstützen wir Sie bei der Umsetzung der Rechte betroffener Personen.
7.1. Meldung von Datenschutzverletzungen
Im Falle einer Datenschutzverletzung informieren wir den Verantwortlichen (Tutor/Organisation) spätestens innerhalb von 72 Stunden nach Bekanntwerden der Verletzung. Der Verantwortliche ist für die weitere Information der betroffenen Personen oder der Aufsichtsbehörden (VDAI) verantwortlich, wie es die DSGVO verlangt.
8. Cookies und Analyse
Wir verwenden nur notwendige (technische) Cookies, die für die Anmeldung der Nutzer (Sitzungserhaltung) und den sicheren Betrieb der Plattform erforderlich sind. Innerhalb der Plattform verwenden wir keine Marketing-Cookies Dritter ohne gesonderte Einwilligung.
9. Änderungen
Diese Richtlinie kann im Zuge der Verbesserung der Dienste aktualisiert werden. Über wesentliche Änderungen informieren wir bestehende Kunden per E-Mail oder durch Mitteilung innerhalb der Plattform. Wenn Sie die Dienste nach Veröffentlichung der Änderungen weiter nutzen, stimmen Sie der aktualisierten Datenschutzrichtlinie zu. Für B2B-Kunden gilt zusätzlich der Datenverarbeitungsvertrag (DPA).