Certible Datenschutzerklärung

Inhalt

Certible und Datenschutz

Der Schutz personenbezogener Daten hat bei der Certible GmbH einen hohen Stellenwert. Die meisten Bereiche unserer Webseite — allgemeine Inhalte, Lehrpläne und Informationsseiten — lassen sich nutzen, ohne ein Konto anzulegen oder Formulare auszufüllen. Technische Daten (etwa Ihre IP-Adresse) werden dabei zwangsläufig im Hintergrund verarbeitet, um die Seite auszuliefern; Abschnitt 5 erläutert dies im Detail. Wir schalten keine Werbung Dritter, führen kein Profiling einzelner Besucher*innen durch und lassen auch Dritte auf unserer Webseite kein Profiling durchführen. Wir werten die Nutzung unserer Webseite lediglich in aggregierter Form aus, datenschutzfreundlich und ohne Rückschluss auf einzelne Personen — siehe Abschnitt 5.1.

Einige Bereiche der Webseite setzen jedoch die Angabe personenbezogener Daten voraus: die Anmeldung zu einer Prüfung, die Kontaktaufnahme mit uns oder die Nutzung des Trainer-Portals. Im Fall einer erfolgreichen Zertifizierung werden zudem Ihr Name, das Prüfungsschema und das Prüfungsdatum über unsere Verifizierungsseite öffentlich überprüfbar und — sofern Sie sich dafür entscheiden — über einen digitalen Badge; Abschnitt 12 beschreibt, was das bedeutet und wie Sie die Sichtbarkeit steuern können. Soweit wir personenbezogene Daten verarbeiten, tun wir dies im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG); wir informieren Sie unten über Art, Umfang und Dauer der Verarbeitung. Soweit wir uns auf Ihre Einwilligung stützen, holen wir diese vorab ein.

Die Certible GmbH hat als Verantwortlicher technische und organisatorische Maßnahmen umgesetzt, um personenbezogene Daten zu schützen. Internetbasierte Datenübertragungen sind jedoch nie vollständig sicher, sodass ein absoluter Schutz nicht garantiert werden kann.

1. Wer wir sind (Verantwortlicher)

Verantwortlicher im Sinne der DSGVO ist:

Certible GmbH Löwelstraße 20/2-3 1010 Wien Österreich Tel.: +43 1 348 39 93 E-Mail: privacy@certible.com Website: https://www.certible.com

2. Wichtige Begriffe

Diese Datenschutzerklärung verwendet einige Begriffe aus der DSGVO. Die vollständigen Definitionen finden Sie in Artikel 4 DSGVO; die im Folgenden wichtigsten sind:

3. Ihre Rechte

Nach der DSGVO stehen Ihnen hinsichtlich der bei uns über Sie gespeicherten personenbezogenen Daten folgende Rechte zu:

Zur Ausübung dieser Rechte genügt eine E-Mail an privacy@certible.com. Wir antworten unverzüglich, spätestens innerhalb der in der DSGVO vorgesehenen Fristen.

Abhängig von der jeweiligen Verarbeitung stützen wir uns auf eine der folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:

5. Webseitenzugriff und Analyse

Bei jedem Besuch unserer Webseite wird Ihre Anfrage über unser Content Delivery Network (AWS CloudFront) an unsere Webserver geleitet — so wird die Seite an Sie ausgeliefert. Während dieser Anfrage sehen das CDN und der Server Ihre IP-Adresse, den Zeitpunkt der Anfrage, die HTTP-Methode und den angefragten Pfad, Ihren Browsertyp und dessen Version, Ihr Betriebssystem sowie die Referrer-URL — ohne diese Angaben kann die Seite nicht ausgeliefert werden.

Für die dauerhafte Protokollierung werden die meisten dieser Daten jedoch entfernt: Eine AWS-Lambda-Funktion verarbeitet die Logeinträge vor der Archivierung und streicht identifizierende Attribute. Unsere Langzeit-Logs enthalten daher keine vollständigen Anfragedetails mehr, aus denen sich einzelne Besucher*innen rekonstruieren ließen.

Rechtsgrundlage für diese kurzzeitige technische Verarbeitung ist unser berechtigtes Interesse an einer sicheren und funktionsfähigen Webseite gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die von Certible genutzten AWS-Dienste, einschließlich CloudFront, werden auf Grundlage eines Vertrags mit der Amazon Web Services EMEA SARL (Luxemburg) bereitgestellt. Die Edge-Infrastruktur von CloudFront ist weltweit verteilt, sodass die Auslieferung unserer Webseite Verarbeitungen durch AWS in Drittländern einschließlich der USA umfassen kann. Entsprechende Übermittlungen sind durch das EU-US Data Privacy Framework sowie durch die von AWS eingesetzten Standardvertragsklauseln abgesichert.

Erfolgt eine Anmeldung zu einer Prüfung über unser Anmeldesystem, wird die verwendete IP-Adresse im Anmeldedatensatz gespeichert, damit wir einem etwaigen Missbrauch unserer Dienste nachgehen können.

5.1 Matomo Analytics

Wir setzen Matomo — ein selbst gehostetes, datenschutzfreundliches Open-Source-Analysewerkzeug — ein, um die Nutzung unserer Webseite auszuwerten. Die mit Matomo erhobenen Daten verbleiben vollständig in unserem Verantwortungsbereich und werden nicht an Dritte weitergegeben. IP-Adressen werden vor der Speicherung durch Matomo anonymisiert, Matomo verfolgt Besucher*innen nicht über Sitzungen hinweg, und es wird kein dauerhaftes Tracking-Cookie gesetzt — eine Rückführung auf einzelne Personen ist aus den Matomo-Daten nicht möglich.

Matomo verwendet zwei rein funktionale Cookies. Beide sind Session-Cookies ohne explizites Ablaufdatum; Ihr Browser löscht sie automatisch am Ende der Browser-Sitzung (meist beim Schließen des Browsers).

Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer nutzungsorientierten Weiterentwicklung der Webseite, in Verbindung mit den oben beschriebenen Schutzmaßnahmen (IP-Anonymisierung und Verzicht auf persistente Cookies). Sie können der Erfassung durch Matomo jederzeit widersprechen:

Hinweis: Sie müssen das Opt-out-Verfahren erneut durchführen wenn Sie u.a. 1) alle Cookies löschen, 2) das Opt-out-Cookie löschen oder 3) den Computer oder den Webbrowser wechseln.

6. Kontaktaufnahme

Wenn Sie uns über die auf dieser Webseite angegebenen Kontaktdaten per E-Mail oder Telefon kontaktieren, speichern wir die dabei übermittelten personenbezogenen Daten so lange, wie dies für die Bearbeitung Ihrer Anfrage erforderlich ist. Wir geben diese Daten nicht an Dritte weiter, es sei denn, wir sind gesetzlich dazu verpflichtet.

7. Anmeldung zu einer Zertifizierungsprüfung

Wenn Sie sich auf unserer Webseite zu einer Zertifizierungsprüfung anmelden, fragen wir die personenbezogenen Daten ab, die wir zur Organisation und Auswertung der Prüfung, zur Rechnungsstellung und — im Bestehensfall — zum Versand eines Zertifikats benötigen. Welche Felder das im Einzelnen sind, zeigt das Anmeldeformular; Details und die zugehörigen Löschfristen finden Sie im Abschnitt „Datenschutzerklärung für Kandidaten” weiter unten.

Zusätzlich speichern wir die bei der Anmeldung verwendete IP-Adresse, das Datum und die Uhrzeit der Anmeldung gemeinsam mit dem Anmeldedatensatz. Damit können wir einem etwaigen Missbrauch unserer Dienste nachgehen. Eine Weitergabe dieser Daten an Dritte erfolgt nur, soweit wir gesetzlich verpflichtet sind oder dies der Strafverfolgung dient.

Sie können die bei der Anmeldung angegebenen Daten jederzeit ändern oder vollständig löschen lassen, solange noch keine Rechnung ausgestellt wurde und die Prüfung nicht stattgefunden hat. Andernfalls gelten die in Löschfristen beschriebenen Aufbewahrungsfristen.

Für Anfragen zu Auskunft, Berichtigung oder Löschung Ihrer Anmeldedaten genügt eine E-Mail an privacy@certible.com. Ihre übrigen DSGVO-Rechte (siehe Abschnitt 3) bleiben davon unberührt.

8. Zahlungsabwicklung (Stripe)

Für Kartenzahlungen, Apple Pay, EPS und ähnliche elektronische Zahlungsverfahren nutzen wir Stripe Payments Europe Limited (The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland).

Wählen Sie eines dieser Zahlungsverfahren auf unserer Anmeldeseite aus, übermitteln wir nach Ihrer ausdrücklichen Bestätigung eine eindeutige Referenz-ID an Stripe, die die Anmeldung mit der erfolgreichen Zahlung verknüpft, sowie den Rechnungsbetrag. Bei EPS-Zahlungen werden zusätzlich Ihr Vor- und Nachname übermittelt. Ihre Karten- oder Kontodaten geben Sie direkt in das Zahlungsformular von Stripe ein; sie werden zu keinem Zeitpunkt auf unseren Servern gespeichert.

Stripe kann Zahlungsdaten an verbundene Unternehmen, Dienstleister und Subauftragsverarbeiter weitergeben, soweit dies zur Zahlungsabwicklung erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenschutzerklärung von Stripe finden Sie unter stripe.com/privacy.

9. LinkedIn-Unternehmensseite

Certible unterhält ein öffentliches Profil auf LinkedIn. Beim Besuch unseres Profils oder beim Interagieren mit unseren Beiträgen erhebt LinkedIn technische und verhaltensbezogene Daten nach seiner eigenen Datenschutzerklärung. Dies gilt unabhängig davon, ob Sie ein LinkedIn-Konto haben — LinkedIn setzt auch bei Nicht-Mitgliedern Cookies.

Zusätzlich stellt LinkedIn uns als Profilbetreiber Informationen über Besucher*innen unseres Profils bereit. Je nach Ihren LinkedIn-Datenschutzeinstellungen können diese Informationen Ihren Namen umfassen und uns ermöglichen, dem Link zu Ihrem öffentlichen LinkedIn-Profil zu folgen. Das ist die Standardarbeitsweise von LinkedIn-Seiten; wenn Sie für uns nicht identifizierbar sein möchten, können Sie in Ihren LinkedIn-Kontoeinstellungen unter „Optionen für das Anzeigen von Profilansichten” auf einen privaten oder halbprivaten Modus umstellen.

Certible speichert diese Besucherinformationen nicht, exportiert sie nicht und verwendet sie nicht für Ansprache oder Marketing. Sie sind für uns ausschließlich als kurzlebige Daten im Dashboard unserer LinkedIn-Seite sichtbar, auf das unsere Administrator*innen Zugriff haben.

Wenn Sie uns auf LinkedIn eine Nachricht oder Kontaktanfrage senden, verarbeiten wir die darin enthaltenen personenbezogenen Daten, um Ihre Anfrage zu beantworten.

Certible und die LinkedIn Ireland Unlimited Company sind für diesen Besucher-Identifikationsprozess (den LinkedIn als „Page Insights” bezeichnet) gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Die Verteilung der Verantwortlichkeiten ist im Pages Joint Controller Addendum von LinkedIn geregelt; unter diesem Addendum übernimmt LinkedIn die primäre Verantwortung für die DSGVO-Konformität in Bezug auf Page Insights, und die irische Datenschutzkommission (Data Protection Commission) ist die federführende Aufsichtsbehörde. Für alle übrigen Verarbeitungsvorgänge, die LinkedIn in eigener Verantwortung vornimmt (Werbung, nutzerbezogenes Tracking, Verhaltensanalysen), ist LinkedIn alleiniger Verantwortlicher.

Nach Art. 26 Abs. 3 DSGVO können Sie Ihre Rechte als betroffene Person unabhängig von der internen Aufgabenteilung gegenüber Certible oder LinkedIn geltend machen. Für Angelegenheiten, die Daten betreffen, die Certible einsehen oder verarbeiten kann, schreiben Sie bitte an privacy@certible.com; für Angelegenheiten, die die eigene Verarbeitung durch LinkedIn betreffen, verweisen wir auf die Datenschutzerklärung von LinkedIn und Ihre LinkedIn-Kontoeinstellungen. Sofern uns eine Anfrage erreicht, die in erster Linie die Verarbeitung durch LinkedIn betrifft, leiten wir sie weiter oder stimmen uns mit LinkedIn ab.

Rechtsgrundlage für unseren Anteil an dieser Verarbeitung ist unser berechtigtes Interesse an einer professionellen Außendarstellung und am Austausch mit unserer Community gemäß Art. 6 Abs. 1 lit. f DSGVO.

10. Bewerbungen

Bewerben Sie sich bei uns um eine Stelle, verarbeiten wir die in Ihrer Bewerbung enthaltenen personenbezogenen Daten, um über eine Einstellung zu entscheiden. Im Fall einer Einstellung werden diese Daten Teil Ihrer Personalakte und im Einklang mit arbeits- und steuerrechtlichen Vorgaben aufbewahrt. Werden Sie nicht eingestellt, löschen wir Ihre Bewerbungsunterlagen spätestens sieben Monate nach Mitteilung der Absage, es sei denn, wir müssen sie länger aufbewahren, um einem potenziellen Anspruch nach dem österreichischen Gleichbehandlungsgesetz (GlBG) oder nach sonst anwendbarem Recht begegnen zu können.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage der betroffenen Person) und Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Abwehr von Ansprüchen).

11. Dauer der Speicherung personenbezogener Daten

Wir speichern personenbezogene Daten nur so lange, wie sie für den jeweiligen Zweck erforderlich sind, oder solange eine gesetzliche Aufbewahrungspflicht besteht. Die häufigste gesetzliche Frist beträgt sieben Jahre und gilt für Rechnungs- und Steuerunterlagen gemäß § 132 Bundesabgabenordnung. Sobald der Zweck entfällt und keine Aufbewahrungspflicht mehr besteht, löschen wir die Daten oder schränken den Zugriff auf sie ein.

Konkrete Löschfristen für Kandidatendaten finden Sie im Abschnitt „Datenschutzerklärung für Kandidaten” weiter unten. Für CDN- und Server-Logs ist die Aufbewahrung kurz; identifizierende Attribute werden vor der Archivierung gestrichen (siehe Abschnitt 5). In Matomo werden Analysedaten ohne identifizierende Informationen gespeichert.

Für Zertifizierungsunterlagen im Engeren (Name, Prüfungsdatum, Schema und Ergebnis) bewahren wir Daten über einen längeren Zeitraum auf — üblicherweise zehn Jahre in unseren internen Aufzeichnungen — um die Nachvollziehbarkeit des Zertifizierungsprozesses gemäß ISO/IEC 17024 §9.4.10 zu unterstützen und die laufende Überprüfbarkeit zu gewährleisten. Die auf der öffentlichen Verifizierungsseite und im digitalen Badge dargestellten Daten Name, Schema, Datum und Status (siehe Abschnitt 12) werden über die Laufzeit der Zertifizierung aufbewahrt. Rechtsgrundlage für diese längere Aufbewahrung ist Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an einer auditierbaren Zertifizierungsakte und überprüfbaren Zertifizierungen). Mit einer formellen Akkreditierung nach ISO/IEC 17024 kann zusätzlich Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) zur Anwendung kommen.

12. Öffentliche Überprüfbarkeit von Zertifizierungen

Mit erfolgter Zertifizierung werden die Tatsache Ihrer Zertifizierung sowie bestimmte identifizierende Angaben öffentlich überprüfbar. Dies ist einerseits eine vertragliche Konsequenz des Haltens einer Zertifizierung (eine Zertifizierung ist nur dann sinnvoll, wenn sie nachprüfbar ist) und andererseits eine Anforderung nach ISO/IEC 17024, dem internationalen Standard für Stellen, die Personen zertifizieren.

Öffentlich überprüfbar werden:

Selbst-Hosting von Verifizierung und Badges: Certible ist eigener Badge-Aussteller und Verifizierungs-Host. Sowohl die Verifizierungsseite als auch der digitale Badge werden direkt von certible.com ausgeliefert; wir übermitteln Ihre Zertifizierungsdaten nicht an Badge-Dienste Dritter wie Credly, Badgr oder Open Badge Factory. Wenn Sie Ihren Badge auf einer Drittplattform teilen oder einbinden (z. B. indem Sie die Badge-URL in Ihr LinkedIn-Profil einfügen), ist das Ihr Handeln; Certible selbst leitet Ihre Daten nicht an solche Dienste weiter.

Deaktivieren Ihrer Verifizierungsseite: Sie können Ihre Verifizierungsseite selbst verbergen. Auf jeder /de/verify/-Seite finden Sie eine Option, mit der Sie als Zertifikatsinhaber*in durch Eingabe des mit dem Zertifikat erhaltenen Passworts die Sichtbarkeit der Seite deaktivieren können. Die Sichtbarkeit können Sie über denselben Mechanismus jederzeit wieder aktivieren. Die Deaktivierung berührt die Gültigkeit Ihrer Zertifizierung nicht; lediglich die öffentlich abrufbare Online-Ansicht wird entfernt. Auf Anfrage kann Certible die Gültigkeit einer Zertifizierung im Einklang mit ISO/IEC 17024 weiterhin bestätigen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — eine Zertifizierung ist nur dann nützlich, wenn sie überprüfbar ist) sowie Art. 6 Abs. 1 lit. f DSGVO (das berechtigte Interesse von Arbeitgebern, Auftraggebern und anderen Dritten an der Überprüfung erklärter Qualifikationen). Soweit sich aus unserer Akkreditierung nach ISO/IEC 17024 eine konkrete Pflicht ergibt, kommt zusätzlich Art. 6 Abs. 1 lit. c DSGVO in Betracht.

Widerspruchsrecht und Grenzen des Opt-out: Zur Einschränkung der öffentlichen Sichtbarkeit Ihrer Zertifizierung haben Sie folgende Möglichkeiten: (a) Ihre Verifizierungsseite zu deaktivieren und/oder keinen digitalen Badge zu veröffentlichen (siehe oben) oder (b) die Zertifizierung selbst durch eine E-Mail an privacy@certible.com zurückziehen zu lassen. Ein Rückzug beendet Ihre Zertifizierung ab diesem Zeitpunkt; die im Kandidatenabschnitt beschriebenen Aufbewahrungsfristen für historische Datensätze gelten weiterhin. Da eine Zertifizierungsstelle nach ISO/IEC 17024 verpflichtet ist, die Gültigkeit einer erteilten Zertifizierung bestätigen zu können, ist ein vollständiger Opt-out aus dieser Bestätigungsmöglichkeit bei fortbestehender Zertifizierung nicht verfügbar.

Datenschutzerklärung für das Trainer Portal

Authentifizierung

Für unser Trainer Portal verwenden wir AWS Cognito als Identitätsanbieter. Dieser Service ermöglicht es Trainern, sich mit ihren bestehenden Google- oder LinkedIn-Konten über OAuth anzumelden.

Bei der Nutzung dieser Anmeldeoptionen werden Sie zur entsprechenden Anmeldeseite von Google oder LinkedIn weitergeleitet. Dort geben Sie Ihre Anmeldedaten ein. Wir erhalten keinen Zugang zu Ihrem Passwort von diesen Services.

Die folgenden Daten werden von Google oder LinkedIn an uns übertragen und in AWS Cognito gespeichert:

Diese Daten werden ausschließlich für die Authentifizierung und zur Bereitstellung der unten beschriebenen Trainer Portal Services verwendet.

Trainer-Profil und öffentliche Seiten

Beim Einrichten Ihres Trainer-Profils können Sie sich entscheiden, folgende Informationen anzugeben:

Alle Profilinformationen sind optional, und Sie kontrollieren, welche Informationen Sie teilen möchten.

Öffentliche Anzeige: Wenn Sie sich entscheiden, Ihr Trainer-Profil öffentlich zu machen, werden die von Ihnen bereitgestellten Informationen (ausgenommen Ihre Anmelde-E-Mail-Adresse) auf unserer Website angezeigt, um potenziellen Kandidaten zu helfen, Sie zu finden und zu kontaktieren. Sie können die öffentliche Anzeige jederzeit über Ihre Portal-Einstellungen deaktivieren.

E-Mail-Kommunikation: Wir verwenden Ihr hochgeladenes Logo in E-Mails, die wir in Ihrem Namen an Kandidaten senden, einschließlich Zertifizierungsvoucher-E-Mails und anderen Mitteilungen im Zusammenhang mit Ihren Schulungsdienstleistungen.

Verwaltung von Zertifizierungsvouchern

Wenn Sie Zertifizierungsvoucher über das Portal anfordern:

Zahlungsabwicklung

Wenn Sie sich entscheiden, Voucher direkt über das Portal zu bezahlen, verwenden wir Stripe als unseren Zahlungsdienstleister. Bei der Zahlungsabwicklung:

Berichte und Analysen

Wir stellen Ihnen Zugang zu anonymisierten Berichten über vergangene Prüfungen im Zusammenhang mit Ihren Schulungsaktivitäten zur Verfügung. Diese Berichte enthalten:

Datenspeicherung und Sicherheit

Ihre Rechte

Sie haben das Recht:

Datenweitergabe

Wir geben Ihre persönlichen Informationen oder Kandidaten-E-Mail-Adressen nicht an Dritte weiter, außer:

Für Fragen zur Datenverarbeitung im Trainer Portal kontaktieren Sie uns bitte unter privacy@certible.com.

Datenschutzerklärung für Kandidaten

Zwecke der Datenverwendung

Die personenbezogenen Daten der Kandidat*innen (Name, Anschrift, Email-Adresse, Studierendenstatus, Firmenname und UStIdNr./UID-Nr) werden von Certible für folgende Zwecke verwendet:

Im Bestehensfall werden die o.g. Daten zusätzlich für folgende Zwecke verwendet:

Live-Prüfungsaufsicht (Audio/Video-Stream)

Während einer Remote-Prüfung ist unsere Prüfungsaufsicht in Echtzeit per Video und Audio mit Ihnen verbunden: Die Aufsicht sieht Sie und Ihre Prüfungsumgebung über Ihre Webcam und hört, was Ihr Mikrofon aufnimmt. Dies ist erforderlich, um Ihre Identität zu verifizieren, die Integrität der Prüfungsumgebung zu bestätigen (keine unerlaubten Hilfsmittel, keine unbefugten Personen) und bei Bedarf einzuschreiten.

Standardmäßig wird dieser Live-Stream von Certible nicht aufgezeichnet oder gespeichert — er besteht ausschließlich als Echtzeitübertragung während der Prüfungssitzung. Eine Ausnahme bilden ISTQB Certified Tester Prüfungen, bei denen Aufzeichnungen erstellt und gespeichert werden (siehe unten).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Durchführung der Prüfung nach den Vorgaben des Schemas und unserer Prüfungsordnung).

Identitätsprüfung

Vor Beginn der Prüfung werden Sie gebeten, ein amtliches Ausweisdokument mit Lichtbild (Reisepass, Personalausweis oder Führerschein) der Prüfungsaufsicht über Ihre Webcam zu zeigen. Die Aufsicht prüft Ihre Identität visuell.

Standardmäßig speichert die Aufsicht keine Kopie Ihres Ausweisdokuments — es erfolgt ausschließlich eine visuelle Kontrolle in Echtzeit.

Optional können Sie unsere temporäre Ausweis-Upload-Funktion nutzen. In diesem Fall:

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Aufzeichnungen der Prüfungsaufsicht und System-Ereignisprotokolle

Während und nach einer Prüfung kann unsere Prüfungsaufsicht schriftliche Beobachtungen in unserem Prüfungsverwaltungssystem festhalten. Beispiele sind die Bestätigung, dass sichtbare Gegenstände am Arbeitsplatz keinen Bezug zur Prüfung haben, Erläuterungen zu Eingriffen, Anmerkungen zu technischen Problemen oder gekennzeichnete Beobachtungen von möglicherweise verdächtigem Verhalten. Diese Notizen können Sie namentlich nennen und Beschreibungen Ihrer Prüfungsumgebung (wie von der Kamera erfasst) enthalten.

Unabhängig davon zeichnet unser Prüfungssystem technische Ereignisse jeder Prüfungssitzung auf — beispielsweise Zeitpunkt und Grund einer Sperrung oder Entsperrung der Prüfung, Zeitstempel von Arbeitsplatzkontrollen, Mausposition im Moment eines relevanten Ereignisses, Wechsel zwischen Tabs oder Anwendungen sowie Verbindungsabbrüche.

Zweck: Unterstützung der Integrität und Auditierbarkeit des Zertifizierungsprozesses, Nachweisgrundlage im Fall eines Einspruchs, einer Beschwerde oder einer Integritätsuntersuchung sowie Unterstützung von technischem Support und Qualitätsverbesserung.

Aufbewahrung: Diese Aufzeichnungen sind Bestandteil Ihres Prüfungsdatensatzes und unterliegen denselben Aufbewahrungsfristen wie die anderen prüfungsbezogenen Attribute gemäß der Tabelle weiter unten (bei bestandener Prüfung üblicherweise zehn Jahre, sonst vierzehn Monate). Im Rahmen eines laufenden Einspruchs- oder Integritätsverfahrens können sie länger aufbewahrt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Durchführung der Prüfung und zugehörigen Zertifizierung) sowie Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Integrität und Auditierbarkeit des Zertifizierungsprozesses).

Weitergabe: Diese Aufzeichnungen werden nicht an Dritte weitergegeben, es sei denn, wir sind gesetzlich dazu verpflichtet oder eine Offenlegung ist im Rahmen eines Einspruchs-, Beschwerde- oder Integritätsverfahrens geboten.

Löschfristen

Videoaufzeichnungen bei Remote-Prüfungen

Certible ist dazu verpflichtet, Prüfungsteilnehmer zu beaufsichtigen, um die Einhaltung der jeweils gültigen Prüfungsordnung sicherzustellen. Die Aufsicht erfolgt ausschließlich in Echtzeit, es sei denn, der Urheber des Zertifizierungsschemas erfordert eine Aufzeichnung der Prüfungssitzung.

Aufzeichnungen finden derzeit ausschließlich bei ISTQB Certified Tester Remote-Prüfungen statt; dies ist seit 1. Januar 2023 unsere Praxis. Weitere Informationen über Aufzeichnungen durch Certible bei ISTQB Remote Prüfungen.

Aufzeichnungen werden unter keinen Umständen mit Dritten geteilt und werden ausschließlich in einem dieser drei Fälle verwendet:

  1. Einspruch gegen Abbruch einer Prüfung durch Certible wegen Verletzungen der Prüfungsordnung oder aufgrund des Verhaltens der Prüfungsaufsicht. Weitere Informationen dazu finden Sie unter Prüfungs-Support.
  2. Beschwerde durch den/die Prüfungsteilnehmenden über das Verhalten der Prüfungsaufsicht.
  3. Untersuchung eines Verdachts auf Betrug oder Täuschung durch den/die Kandidat*in, gemäß der geltenden Prüfungsordnung.

Bei nichtbestandener Prüfung werden Aufzeichnungen für die Dauer der Frist für Einspruch gegen Abbruch einer Prüfung oder aufgrund des Verhaltens der Prüfungsaufsicht aufbewahrt und anschließend gelöscht.

Bei bestandener Prüfung werden Aufzeichnungen bis zum Ende des Folgetages nach der Prüfung aufbewahrt und anschließend gelöscht, es sei denn, der/die Prüfungsteilnehmenden reicht eine formale Beschwerde über das Verhalten der Prüfungsaufsicht ein.

Besteht ein Verdacht auf Betrug oder Täuschung, können Aufzeichnungen für die Dauer der Untersuchung und eines etwaigen Einspruchs- oder Disziplinarverfahrens aufbewahrt und anschließend gelöscht werden. Dies kann die oben genannten Aufbewahrungsfristen überschreiten.

Verwendung, Aufbewahrung und Löschung Ihrer Personenbezogenen Daten

Die von Ihnen bereitsgestellten Daten werden von uns ausschließlich für die folgenden Zwecke benötigt und nach den unten angeführten Zeiträumen wieder gelöscht:

Attribut: Titel (optional), Anrede, Name, Studierendenstatus Zweck: Wir benötigen diese Information um Sie richtig zu adressieren, damit unsere Prüfungsaufsicht weiß, wen sie zum Prüfungstermin erwarten darf, und wir wissen an wen eine Rechnung ausgestellt wird (wenn nicht durch Dritte bezahlt, d.h. Anmeldung mit Voucher). Zusätzlich verwenden wir diese Daten für den Zertifizerungsprozess und im Bestehensfall zur Ausstellung des Zertifikates. Da die meisten Schemen ein Nachweis über zertifizierte Personen benötigen werden im Bestehensfall Name (sowie Prüfungsschema, Datum, Prüfungsort) an den jeweiligen Urheber des Zertifikates (“Scheme Owner”) übermittelt. Details dazu entnehmen Sie bitte dem Abschnitt “Übermittlung an Urheber des Zertifizierungsschemas nach durchgeführter Zertifizierungsprüfung”

Attribut: Adresse (Wahlweise Privatanschrift und/oder Firmenanschrift) inkl. Stadt, PLZ und Land Zweck: Diese Daten benötigen wir zur Ausstellung einer Rechnung (sofern die Prüfungsgebühr nicht durch Dritte bezahlt wurde), sowie im Bestehensfall zum Versand des gedruckten Zertifikates.

Attribut: Firma und USt-IdNr./UID-Nr Zweck: Wenn Sie eine Firmenrechnung wünschen, benötigen wir diese Information für eine korrekte Rechnungslegung; die UID-Nr. wird für das Ausstellen einer “Reverse Charge”-Rechnung benötigt. Sofern der Firmensitz nicht in Österreich ist, muss die USt-IdNr. angeführt sein um die USt. nicht doppelt entrichten zu müssen. Bitte führen Sie diese Information nicht an wenn wir keine Firmenrechnung ausstellen sollen.

Attribut: Email-Adresse Zweck: Wir benötigen diese Email Adresse zum Versenden der Registrierungsbestätigung, Zahlungsbestätigung, Rechnung, für Anfragen zu Zulassungsvoraussetzungen (z.B. Foundation Level Zertifikate für Advanced Level Zertifizierungen) der Übermittlung des Prüfungsergebnisses und etwaiger Zustellung eines Digitalzertifikates sowie für Rückfragen zur geplanten Prüfung sowie Fragen oder Aufforderungen im Rahmen des Zertifizierungsprozesses.

Attribut: Telefonnummer Zweck: Für den seltenen Fall, dass sich kurzfristig Zeit oder Ort der Prüfung ändern sollte, oder Sie nicht zum geplanten Prüfungsbeginn anwesend sind, kann es für unsere Prüfungsaufsicht notwendig sein Sie zu kontaktieren, um z.B. darüber zu entscheiden ob noch auf Sie gewartet wird. Sie erreichen zu können ist für uns deshalb sehr wichtig, weshalb dies ein Pflichtfeld ist. Wenn Sie dennoch nicht wollen, dass wir Sie telefonisch für diesen Zweck erreichen können, geben Sie bitte eine “0” statt Ihrer Telefonnummer ein. Bitte geben Sie keine zufällig gewählte Telefonnummer ein die jemand anderem gehören könnte.

Löschzeitpunkt

Wann ein jeweiliges Attribut gelöscht wird ist abhängig davon, ob die Prüfung bestanden wurde oder nicht und ob eine Rechnung an Sie gestellt wurde. Die folgende Tabelle gibt die Dauer bis zur Löschung ab dem Tag der Prüfung an.

Die Werte in der Spalte Bestanden geben an, nach welcher Zeit nach der Prüfung die jeweiligen Attribute gelöscht werden wenn die Prüfung bestanden wurde; die Werte in der Spalte Nicht bestanden geben an, nach welcher Zeit die jeweiligen Attribute gelöscht werden wenn die Prüfung nicht bestanden wurde. Diese Zeiträume können durch Ausstellung einer Rechnung abweichen, siehe den darauffolgenden Abschnitt.

AttributBestandenNicht bestanden
Name (inkl. Titel und Anrede)10 Jahre14 Monate
Telefonnummer1 Tag1 Tag
Email-Adresse7 Jahre14 Monate
Adresse, PLZ, Stadt14 Monate2 Monate
Land14 Monate14 Monate
Studierendenstatus14 Monate14 Monate
Prüfungsort14 Monate14 Monate
Prüfungsland7 Jahre7 Jahre
Prüfungsdatum10 Jahre10 Jahre
Prüfungsschema10 Jahre10 Jahre
Prüfungsergebnis10 Jahre10 Jahre

Hinweis zu öffentlichen Verifizierungsdaten: Name, Prüfungsschema, Prüfungsdatum und Zertifizierungsstatus, die auf Ihrer öffentlichen Verifizierungsseite und im digitalen Badge angezeigt werden (siehe Abschnitt 12), werden über die Laufzeit der Zertifizierung aufbewahrt — dies kann die oben in der Tabelle aufgeführten internen Fristen überschreiten. Damit ist die Zertifizierung nach ISO/IEC 17024 überprüfbar.

Rechnung auf Basis Ihrer Anmeldedaten gestellt

Haben wir eine Rechnung auf Basis Ihrer Anmeldedaten gestellt, dann müssen wir folgende Attribute gemäß gesetzlicher Vorgaben 7 Jahre aufbewahren:

Name, ggf. Studierendenstatus (sofern das gewählt Prüfungsschema einen Studierendenrabatt vorsieht ist der Studierendenstatus in Form des auf der Rechnung angeführten Studierendenrabatts ersichtlich), Prüfungsort, Prüfungsdatum und Prüfungsschema sowie jene im Schritt Rechnungsdaten angegebenen Email-Adresse(n), Adresse (inkl. Stadt, PLZ, Land), Firma und USt-IdNr./UID-Nr.

Keine Rechnung an Sie, d.h. Abrechnung durch Dritte

Haben Sie einen Voucher von einem Trainingsanbieter oder Ihrem Dienstgeber erhalten, dann müssen wir im Zuge der Abrechnung ausweisen welche Leistung wir erbracht haben. Als Bestandteil der Rechnung müssen wir somit die Attribute Name, Prüfungsort, Prüfungsdatum sowie Prüfungsschema gemäß gesetzlicher Vorgaben 7 Jahre aufbewahren.

Datenübermittlung an Dritte

Im Zusammenhang mit der Durchführung von Zertifizierungsprüfungen und deren Abrechnung übermittelt Certible insbesondere in den folgenden zwei Fällen personenbezogene Daten an Dritte:

1. Urheber des Zertifizierungsschemas nach durchgeführter Zertifizierungsprüfung

Certible ist verpflichtet, Daten zu Prüfungen eines Zertifizierungsschemas an den jeweiligen Urheber des Schemas zu übermitteln:

IREB

International Requirements Engineering Board (IREB) e.V., Mahlbergstr. 25, 76189 Karlsruhe, Deutschland - Kontakt: Webseite

iSAQB

International Software Architecture Qualification Board e. V., Donnersbergweg 4, 67059 Ludwigshafen am Rhein, Deutschland - Kontakt: Webseite

UXQB

UXQB – International Usability and User Experience Qualification Board e.V., Burgmauer 10, D-50667 Köln - Kontakt: Webseite

ISTQB / Austrian Testing Board

Austrian Testing Board (ATB), Hauptstrasse 240/4, 2391 Kaltenleutgeben, Österreich - Kontakt: Webseite

ICPMSB

ICPMSB e.V. c/o UFIT AG, Industriestr. 1, 67141 Neuhofen, Deutschland - Kontakt: Webseite

ITEDAS

itedas.org, Inhaber Gerd Bauer, Reginbaldstr. 12, 81247 München - Kontakt: Webseite

2. Rechnungslegung

Wenn die Prüfungsanmeldung unter Angabe eines von einem Trainingsinstitut oder Unternehmen zur Verfügung gestellten Vouchers erfolgt, dann wird die etwaige Rechnung an dieses Unternehmen die Attribute Vorname, Nachname, Datum, Prüfungsort (soweit anwendbar) sowie Prüfungsart enthalten.