Diese Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 der EU-Datenschutzgrundverordnung („Art. 26-Vereinbarung“) ist Bestandteil des institutionellen Lizenzvertrages („Hauptvertrag“) zwischen der AMBOSS SE, Torstraße 19, 10119 Berlin („AMBOSS“) und der jeweiligen Institution („Institutioneller Vertragspartner“, AMBOSS und der Institutionelle Vertragspartner jeweils einzeln „Partei“ und zusammen „Parteien“), die Zugang zu von AMBOSS bereitgestellten Insights Dashboards hat. Sie gilt für die Dauer des Hauptvertrages in Ergänzung zu den im Hauptvertrag verlinkten Geschäftsbedingungen. Soweit in dieser Vereinbarung Begriffe in Großschreibung verwendet werden, ohne dass sie hier ausdrücklich definiert sind, haben diese Begriffe die Bedeutung, die ihnen im Hauptvertrag zugewiesen wurde.
1.1 AMBOSS bietet Institutionellen Vertragspartnern, die das AMBOSS Programm lizenzieren, über sog. „Educator Tools“ oder vergleichbare technische Lösungen kontinuierlich Zugang zu Übersichten mit den folgenden personalisierten Leistungs- und Nutzungsdaten („Insights Daten“) von Nutzern, die das AMBOSS Programm über die Institutionelle Lizenz nutzen („Insights Dashboards“):
1.2 Für Zwecke der gemeinsamen Datenverarbeitung stellt AMBOSS die Infrastruktur für den Zugriff auf die Insights Daten bereit, während der Institutionelle Vertragspartner die Erhebung der Insights Daten in seinem Verantwortungsbereich ermöglicht.
1.3 AMBOSS und der Institutionelle Vertragspartner sind hinsichtlich der Verarbeitung von Insights Daten, die zu den folgenden Zwecken unbedingt erforderlich ist, gemeinsame Verantwortliche gemäß Art. 26 der EU-Datenschutzgrundverordnung („DSGVO“):
1.4 Im Rahmen der gemeinsamen Datenverarbeitung darf der institutionelle Vertragspartner Insights Daten nur für die oben genannten Zwecke verarbeiten. AMBOSS darf in diesem Rahmen Insights Daten darüber hinaus verarbeiten, um seine vertraglichen Verpflichtungen aus dem Hauptvertrag und dieser Vereinbarung zu erfüllen, d.h. um relevante Nutzer zu registrieren, in transaktionale Kommunikation mit solchen Nutzern in Bezug auf deren AMBOSS Konto zu treten und Nutzer bei ihrem Lernprozess mit dem AMBOSS Programm zu unterstützen, z. B. durch personalisierte Lernempfehlungen in Bezug auf Inhalte und Tools, technischen Benutzersupport etc. Wenn eine der Parteien Insights Daten außerhalb der gemeinsamen Verarbeitung für eigene Zwecke nutzt, handelt diese Partei als eigenständiger Verantwortlicher für diese Verarbeitung.
1.5 Die Parteien verarbeiten die Insights Daten für die Dauer des Hauptvertrags und löschen sie anschließend.
1.6 Der Institutionelle Vertragspartner stellt sicher, dass sich aus den auf das Rechtsverhältnis zwischen dem Institutionellen Vertragspartner und dem jeweiligen Nutzer anwendbaren gesetzlichen oder vertraglichen Regelungen keine Einschränkungen für die Verarbeitung ergeben.
2.1 Verteilung der Verantwortlichkeiten: Die Verantwortlichkeiten zur Erfüllung der sich aus der gemeinsamen Datenverarbeitung ergebenden Pflichten sind wie folgt definiert:
a) Rechtsgrundlage: Die Parteien stützen die gemeinsame Datenverarbeitung der Insights Daten auf die Erforderlichkeit zur Erfüllung des Vertrags mit dem Nutzer; die Educator Tools einschließlich der Insights Dashboards sind Teil der Dienste, für die der Nutzer die Nutzungsbedingungen akzeptiert (Art. 6 Abs. 1 lit. b DSGVO).
b) Bereitstellung von Informationen und Betroffenenrechten: AMBOSS stellt den Nutzern die erforderlichen Datenschutzinformationen im Zusammenhang mit den Insights Dashboards zur Verfügung und ist primärer Ansprechpartner für Betroffenenrechte. Der Institutionelle Vertragspartner kann seine Nutzer zusätzlich informieren und leitet eingehende Nutzeranfragen unverzüglich an AMBOSS weiter. Die Parteien stellen zudem sicher, dass der Kern dieser Vereinbarung den Nutzern in geeigneter Form, insbesondere in Form von Datenschutzhinweisen, zur Verfügung gestellt wird.
c) Datensicherheit: Jede Partei bleibt selbst für die Gewährleistung der Datensicherheit und insbesondere für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) zur Gewährleistung eines angemessenen Datenschutzniveaus in ihrem eigenen Verantwortungsbereich verantwortlich. Die Parteien verpflichten sich darüber hinaus, die Verarbeitung der Daten ausschließlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen. Eine Übermittlung der Daten in ein Drittland ist nur nach vorheriger schriftlicher Zustimmung der anderen Partei und unter Einhaltung der Art. 44 ff. DSGVO zulässig.
d) Datenschutzverletzungen/Aufsichtsbehörden: AMBOSS ist gemäß Art. 26 DSGVO als zentrale Anlaufstelle für Aufsichtsbehörden benannt. Die Parteien informieren sich gegenseitig unverzüglich über Verletzungen des Schutzes personenbezogener Daten oder Anfragen von Aufsichtsbehörden im Zusammenhang mit ihrer gemeinsamen Verarbeitung. Sie arbeiten im Rahmen ihrer jeweiligen Zuständigkeiten bei der Bearbeitung solcher Angelegenheiten zusammen. Jede Partei ergreift innerhalb ihrer eigenen Organisation unverzüglich die notwendigen Maßnahmen, um die Daten zu sichern und mögliche nachteilige Folgen zu mildern.
e) Datenschutz-Folgenabschätzungen und Rechenschaftspflicht: Sofern eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist, führt AMBOSS diese in Abstimmung mit dem Institutionellen Vertragspartner durch. Jede Partei dokumentiert die in dieser Vereinbarung festgelegte Verantwortlichkeitsverteilung und trifft interne Maßnahmen im Einklang mit dem Rechenschaftsgrundsatz gemäß Art. 5 Abs. 2 DSGVO.
2.2 Haftung: Die Parteien haften gegenüber den Betroffenen gemäß Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei nur für Pflichtverletzungen, die in ihren eigenen Verantwortungsbereich fallen.
© 2026 AMBOSS. All rights reserved.
