Für Unternehmen:
Datenschutz für natürliche Personen bei Lizenzverträgen

Datenschutzmitteilung für Vertragspartner hinsichtlich Kontaktdaten und Kundendaten von natürlichen Personen bei Unternehmenslizenzverträgen

VE Vision Education GmbH
FN 462915h
c/o Impact Hub, Lindengasse 56
1070 Wien

(im Folgenden „Wir“ oder der „Verantwortliche“)

Fassung vom Dezember 2020

(Bei Versionen der AGB in anderen Sprachen gelten im Zweifelsfall die Regelung dieser deutschsprachigen Version) – ENGLISH VERSION BELOW

1. Präambel

  • Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, welches wir sehr ernst nehmen. Jegliche Datenverarbeitung erfolgt im Einklang mit der EU-Datenschutz-Grundverordnung (im Folgenden „DSGVO“) sowie den einschlägigen Gesetzen der Republik Österreich.
  • Im Zuge unseres Geschäftsbetriebs erbringen wir unterschiedliche Dienstleistungen, bei denen personenbezogene Daten natürlicher Personen (im Folgenden „Betroffene“) verarbeitet werden. Bei Lizenzvereinbarungen erwerben Interessensverbände, Ausbildner oder vergleichbare sonstige Dritte (im Folgenden „Vertragspartner“) Lizenzen im eigenen Namen und auf eigene Rechnung und erhalten durch die Lizenzvereinbarung das Recht, Nutzercodes an einen bestimmten Personenkreis (Schüler des Vertragspartners, Mitarbeiter des Vertragspartners, udgl.; im Folgenden „Endnutzer“) weiterzugeben (im Folgenden „Lizenzvereinbarung“). Mit diesen Nutzercodes können die Endnutzer unsere Dienstleistungen und Angebote, die wir bereitstellen, konsumieren.
  • Diese Mitteilung gilt sowohl für die Kontaktdaten unserer Vertragspartner, als auch für die Kontaktdaten der Mitarbeiter unserer Vertragspartner, die wir im B2B-Bereich erheben, speichern und verarbeiten (im Folgenden „Vertragspartnerdaten“).

2. Welche Daten verarbeitet werden

Im Laufe der Geschäftsanbahnung und bei der Abwicklung von Verträgen mit Vertragspartnern erheben wir folgende Vertragspartnerdaten:

  • Vor- und Nachname,
  • E-Mail-Adresse, samt Emailverkehr und Korrespondenzdaten allgemein,
  • Telefon- bzw. Faxnummer,
  • sowie sonstige Kontaktmöglichkeiten (Websiteadresse etc.),
  • und gegebenenfalls Daten zur Durchführung des bargeldlosen Zahlungsverkehrs,
  • Postanschrift

3. Zwecke und Rechtsgrundlagen der Verarbeitung von Vertragspartnerdaten

Der Betreiber verarbeitet die gemäß Punkt 1 erhobenen personenbezogenen Daten und Angaben für folgende allgemeine Zwecke:

  • um mit dem Vertragspartner in Kontakt zu treten,
  • zur Erfüllung vorvertraglicher und vertraglicher Pflichten,
  • um die angebotenen Dienstleistungen zu erbringen,
  • um Fragen und Kommentare zu beantworten,
  • um Supportdienstleistungen erbringen zu können und gegebenenfalls,
  • um den Vertragspartner in regelmäßigen Abständen über Neuigkeiten informieren zu können.


Die Verarbeitung der in Punkt 2 genannten Daten ist zwingend erforderlich, um die mit dem Vertragspartner abgeschlossene Lizenzvereinbarung und die in Punkt 1 genannten Zwecke erfüllen zu können. Die rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten ist unser überwiegendes berechtigtes Interesse gemäß Art 6 Abs 1 lit f DSGVO, welches darin besteht, die mit dem Vertragspartner abgeschlossene Lizenzvereinbarung erfüllen zu können und um unser Softwareangebot bereitstellen zu können.

Handelt es sich bei dem Vertragspartner um eine natürliche Person und ist die Verarbeitung der Daten des Vertragspartners für die Erfüllung des Vertrages zwingend erforderlich, so ergibt sich die Rechtmäßigkeit der Datenverarbeitung auch aus dieser Notwendigkeit (Art 6 Abs 1 lit b DSGVO).

4. Ort der Datenverarbeitung und Übermittlung der personenbezogenen Daten

Um die in Punkt 1 genannten Zwecke erreichen zu können, ist es notwendig, die unter Punkt 2 genannten Daten an externe IT-Dienstleister weiterzuleiten. Datenverarbeitungstätigkeiten werden daher zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt, und zwar in den USA. Eine solche Beauftragung eines externen IT-Dienstleisters erfolgt zwingend nur unter Maßgabe der Rechtsinstrumente des Kapitels V DSGVO.

Das angemessene Datenschutzniveau ergibt sich im jeweiligen Fall aus einem oder mehreren der folgenden Punkte:

  • einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO;
  • einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO;
  • verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO;
  • Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO;
  • genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO;
  • einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO;
  • von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO.

Derzeit werden von uns folgende externe IT-Dienstleister hinzugezogen:

  • Pipedrive OÜ – Bei diesem Dienstleister werden unsere Kundendaten, der Verkaufsfortschritt und Korrespondenzdaten mit bestehenden und potenziellen Kunden ebenso gespeichert, sowie ggf. Vertragsentwürfe, Verträge und Rechnungen. 
  • Google LLC, Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043: Bei diesem Dienstleister werden unsere E-Mails und Dokumentenablagen gespeichert, ebenso wie ggf. kundenbezogene Kalenderdaten. Der Transfer von Daten durch uns an Google LLC erfolgt auf der Basis von Standarddatenschutzklauseln nach Art 46Abs 2 lit c und d DSGVO sowie auf Basis von seitens der jeweils zuständigen Datenschutzbehörde genehmigten Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO, welche unter [https://cloud.google.com/terms/eu-model-contract-clause] und [https://admin.google.com/terms/apps/1/5/en/mcc_terms.html] abrufbar sind, wodurch ein angemessenes Datenschutzniveau gewährleistet wird und der Datenfluss an dieses Unternehmen zulässig ist.
  • Newstroll: Bei diesem Dienstleister werden die E-Mail Adressen unserer Kunden, potenziellen Kunden und Partner gespeichert und für den Newsletter-Versand verwendet. Ihre Daten werden dabei an newstroll.de übermittelt. Newstroll ist es dabei untersagt, Ihre Daten zu verkaufen und für andere Zwecke, als für den Versand von Newslettern zu nutzen. Newstroll ist ein deutscher Anbieter, welcher nach den Anforderungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes ausgewählt wurde. Weitere Informationen finden Sie hier: Informationen für Newsletter-Empfänger (newstroll.de) Die erteilte Einwilligung zur Speicherung der Daten, der E-Mail-Adresse sowie deren Nutzung zum Versand des Newsletters können Sie jederzeit widerrufen. Dazu nutzen Sie bitte den “Abmelden”-Link im Newsletter oder wenden sich direkt an uns.
  • sevDesk GmbH – Bei diesem Dienstleister werden die Adressen unserer Kunden zur Angebots- und Rechnungslegung verwendet.
  • BMD Systemhaus GmbH – Bei diesem Dienstleister werden die Kontaktdaten unserer Kunden im Rahmen der Rechnungslegung und Verbuchung in der Finanzbuchhaltung verarbeitet.
  • Horizon Alpha GmbH, Fraunhoferstraße 8, D-82152 Planegg, Deutschland: Dieser Sub-Auftragsverarbeiter ist für die Verarbeitung von Kundendaten für Reporting, Code-Verwaltung, Kundendatenverwaltung zuständig und ist für den technischen 2nd Level Support zuständig.

Zur Durchsetzung oder Abwehr von Rechtsansprüchen sind wir im Anlassfall berechtigt, die für die zweckentsprechende Rechtsverfolgung notwendigen Daten an Rechtsvertreter und Gerichte weiterzuleiten.

5. Dauer der Speicherung

Wir werden personenbezogene Daten grundsätzlich für die Dauer der Vertragsanbahnung, Vertragsbeziehung und (potenziellen) Partnerschaft mit dem Vertragspartner/Partner speichern. Eine längere Speicherung erfolgt nur, soweit die Speicherung bzw. Verarbeitung der Daten nicht weiterhin erforderlich ist:

  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

6. Rechte im Zusammenhang mit personenbezogenen Daten

Nach geltendem Recht sind die Betroffenen berechtigt,

  • zu überprüfen, ob und welche personenbezogenen Daten wir über Sie gespeichert haben und Kopien dieser Daten zu erhalten;
  • die Berichtigung, Ergänzung oder das Löschen Ihrer personenbezogenen Daten, die falsch sind oder nicht rechtskonform verarbeitet werden, zu verlangen,
  • von uns zu verlangen, die Verarbeitung Ihrer Daten einzuschränken,
  • unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder die für die Verarbeitungen zuvor gegebene Einwilligung zu widerrufen,
  • Datenübertragbarkeit zu verlangen,
  • die Identität von Dritten, an welche Ihre personenbezogenen Daten übermittelt werden, zu kennen und
  • bei der zuständigen Behörde (Datenschutzbehörde www.dsb.gv.at) Beschwerde zu erheben.


Wir weisen Sie darauf hin, dass die Zurverfügungstellung der Daten zwingend erforderlich ist, um den Vertrag erfüllen zu können. Wird die Bekanntgabe der Daten gemäß Punkt 2 verweigert, ist es unsererseits unter Umständen nicht möglich, unsere vertragliche Verpflichtung zu erfüllen. Die Datenverarbeitung erfolgt unter Maßgabe des Drittlizenzvertrags, welcher zwischen uns und dem Vertragspartner abgeschlossen wurde.

Die erhobenen Daten werden nicht im Wege einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 DSGVO verarbeitet.

7. Offenlegung personenbezogener Daten

Abgesehen von den in Punkt 3 genannten Fällen werden personenbezogene Daten der Betroffenen nur in den folgenden Fällen an Dritte weitergegeben:

  • Um gerichtlichen Aufforderungen nach Vorlage der Daten nachzukommen, einem Gerichtsbeschluss oder einem Gerichtsverfahren Folge zu leisten, um die gesetzlichen Rechte zu begründen oder auszuüben oder sich gegen Rechtsansprüche zu wehren.
  • Wenn die Weitergabe von Daten nach unserer Überzeugung erforderlich ist, um rechtswidrige Aktivitäten, mutmaßlichen Betrug, Situationen mit potentieller Bedrohung der physischen Sicherheit einer Person oder Verletzungen der Nutzungsbedingungen zu untersuchen, zu verhindern oder aber in jenen Fällen, in denen dies gesetzlich vorgeschrieben ist.
  • Zu einer Datenübertragung kann es auch dann kommen, wenn unser Unternehmen oder Teile unseres Unternehmens durch einen Dritten übernommen werden oder unser Unternehmen oder Teile unseres Unternehmens mit einem anderen Unternehmen fusioniert werden. Bevor personenbezogene Daten übertragen werden und anderen Datenschutzrichtlinien unterliegen, werden wir die Betroffenen rechtzeitig informieren.

8. Vertraulichkeit und Sicherheit

Der Verantwortliche beschränkt den Zugang zu personenbezogenen Daten auf jene Mitarbeiter des eigenen Unternehmens, verbundener Unternehmen und externe Dienstleister, die nach begründeter Ansicht des Verantwortlichen diese Daten einsehen müssen, um Produkte oder Dienste zu liefern oder um ihre Aufgaben zu erfüllen.

Der Verantwortliche verfügt über physische, elektronische und verfahrenstechnische Sicherheitseinrichtungen, die den Vorschriften zum Schutz von personenbezogenen Daten entsprechen. Für Datenübertragungen im Internet kann jedoch keine hundertprozentige Sicherheit gewährleistet werden. Aus diesem Grund kann der Verantwortliche die Sicherheit von Daten, die der Endnutzer an den Verantwortlichen überträgt, nicht zusichern oder garantieren. Insbesondere erfolgt der Zugriff auf den Dienst und die Benutzung desselben ausschließlich auf eigene Gefahr. Auch liegt es in der Verantwortung des Nutzers, den Zugang zum Endgerät zu beschränken und dafür zu sorgen, dass dieses frei von Malware jeglicher Art usw., ist, die möglicherweise die beim Dienst eingegebenen Daten wie E-Mail-Adressen und Zahlungsdaten nachverfolgt.

Für Verluste und Schäden, die aus der Nichteinhaltung dieses Abschnitts durch den Betroffenen entstehen, haftet der Verantwortliche ausdrücklich nicht.

Die Bezahlung kostenpflichtiger Dienste wickelt der Verantwortliche über sichere Zahlungsanbieter ab, um die Sicherheit der Zahlungen nach allgemeinem Industriestandard zu gewährleisten.

9. Kontaktaufnahme mit dem Verantwortlichen

Sollten Fragen zur Verarbeitung von personenbezogenen Daten bestehen, wenden Sie sich bitte an uns:

VE Vision Education GmbH

c/o Impact Hub, Lindengasse 56

1070 Wien

E-Mail: info@visioneducation.net

Letzte Aktualisierung: Dezember 2020

English Version

For companies:
Data protection notice for contractual partners regarding natural persons’ contact data and customer data in the case of company licence agreements

VE Vision Education GmbH
FN 462915h
c/o Impact Hub, Lindengasse 56
1070 Wien

(hereinafter „we“ or the „controller “)

Version dated December 2020

(For versions of the T&Cs in other languages, the provisions of the German-language version shall apply in case of doubt)

1. Preamble

  • Protecting natural persons when processing personal data is a fundamental right that we take very seriously. All our data processing is carried out in accordance with the EU General Data Protection Regulation (hereinafter referred to as the „GDPR“) and the relevant laws of the Republic of Austria.
  • In the course of our business operations, we provide various services as part of which the personal data of natural persons (hereinafter referred to as „data subjects“) is processed. In the case of licence agreements, interest groups, trainers or other comparable third parties (hereinafter referred to as „contractual partners“) acquire licenses in their own name and on their own account and are entitled by the licence agreement to disclose user codes (hereinafter referred to as „license agreement “) to a specific group of persons (the contractual partner’s students or employees etc.; hereinafter referred to as „end users “). End users can apply these user codes to make use of the services and offers that we provide.
  • This notice applies both to the contact data of our contractual partners and to the contact data of our contractual partners’ employees that we collect, store and process in the B2B area (hereinafter referred to as „contractual partner data “).

2. What data is processed

We collect the following contractual partner data in the course of initiating business and processing contracts with contractual partners:

  • First and last name,
  • Email address, including email messages and correspondence data in general,
  • Telephone or fax number,
  • Plus other contact details (website address etc.),
  • And, where appropriate, data on the execution of cashless payment transactions,
  • Postal address

3. The purposes and legal bases of the processing of contractual partner data

The operator processes the personal data and information collected in accordance with point 1 for the following overarching purposes:

  • To contact the contracting party,
  • To fulfil pre-contractual and contractual obligations,
  • To provide the services offered,
  • To answer questions and comments,
  • To be able to provide support services and, if necessary,
  • To be able to tell the contractual partner about news at regular intervals.

The processing of the data listed under point 2 is absolutely necessary in order to be able to fulfil the licence agreement concluded with the contractual partner and meet the purposes mentioned in point 1. The legal basis for the processing of the personal data is our overriding legitimate interest pursuant to art. 6 para. 1 lit f GDPR, which consists of being able to fulfil the licence agreement concluded with the contractual partner and of being able to provide our software offer.

If the contractual partner is a natural person and it is absolutely necessary for the contractual partner’s data to be processed for the performance of the contract, the lawfulness of the data processing also arises from this necessity (art. 6 para. 1 lit b GDPR).

4. Place of data processing and transmission of personal data

It is necessary to transfer the data mentioned under point 2 to external IT service providers, for the sake of meeting the purposes listed under point 1. As a result, this means that data processing activities are also carried out (at least in part) outside the EU/EEA, namely, in the USA. It is mandatory that external IT service providers are only commissioned in this way in accordance with the legal instruments of Chapter V of the GDPR.

In each particular case, the appropriate level of data protection results from one or more of the following elements:

  • An adequacy finding by the European Commission under art. 45 GDPR;
  • An exception for the specific case under art. 49 (1) GDPR;
  • Binding internal data protection regulations pursuant to art. 47 in conjunction with art. 46 para. 2 lit b GDPR;
  • Standard data protection clauses pursuant to art. 46 (2) lit c and d GDPR;
  • Approved codes of conduct pursuant to art. 46 para. 2 lit e in conjunction with art. 40 GDPR;
  • An approved certification mechanism pursuant to art. 46 para. 2 lit f in conjunction with art. 42 GDPR;
  • Contractual clauses approved by the data protection authority in accordance with art. 46 para. 3 lit a GDPR.

We currently use the following external IT service providers:

  • Pipedrive OÜ – This service provider stores our customer data, sales progress and correspondence data relating to existing and potential customers, as well as any draft contracts, agreements and invoices.
  • Google LLC, Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043 – This service provider stores our emails and document files, as well as customer-related calendar data, if applicable. The transfer of data by us to Google LLC takes place on the basis of standard data protection clauses in accordance with Art 46Abs 2 lit c and d DSGVO as well as on the basis of contractual clauses in accordance with Art 46 para 3 lit a DSGVO approved by the relevant competent data protection authority, which are available at
  • [https://cloud.google.com/terms/eu-model-contract-clause] and [https://admin.google.com/terms/apps/1/5/en/mcc_terms.html], thus ensuring an adequate level of data protection and permitting the transfer of data to this company.
  • Newstroll: The e-mail addresses of our customers, potential customers and partners are stored with this service provider and used for the newsletter dispatch. Your data will be transferred to newstroll.de. Newstroll is prohibited from selling your data and using it for purposes other than sending newsletters. Newstroll is a German provider that has been selected in accordance with the requirements of the General Data Protection Regulation and the Federal Data Protection Act. Further information can be found here: Information for newsletter recipients (newstroll.de) You can revoke your consent to the storage of data, the e-mail address and their use for sending the newsletter at any time. To do so, please use the “unsubscribe” link in the newsletter or contact us directly.
  • sevDesk GmbH – This service provider uses our customers’ addresses for quotations and invoicing.
  • BMD Systemhaus GmbH – This service provider processes our customers’ contact data in the context of accounting and posting in financial accounting.
  • Horizon Alpha GmbH, Fraunhoferstraße 8, D-82152 Planegg, Germany – This subcontractor is responsible for processing customer data for reporting, code management and customer data management and is responsible for second-level technical support.

In order to enforce or defend legal claims, we are entitled to disclose the data required for the appropriate legal prosecution to legal representatives and courts, if necessary.

5. Duration of storage

As a matter of principle, we will store personal data for the duration of the contract initiation, contractual relationship and (potential) partnership with the partner/contracting partner. It will only be stored for longer if it is still necessary to store or process the data:

  • In order to comply with a legal obligation to which the processing relates under European Union or national law to which the controller is subject or in order to perform a task carried out in the public interest or in the exercise of official authority vested in the controller
  • In order to assert, exercise or defend legal claims.

6. Rights related to personal data

Under the applicable law, data subjects are entitled

  • To check whether and which personal data we have stored about you and to receive copies of this data;
  • To request the rectification, completion or erasure of your personal data which is incorrect or processed in a way that does not comply with the law
  • To require us to limit the processing of your data,
  • Under certain circumstances, to object to the processing of your personal data or to revoke the consent previously given for such processing,
  • To request data portability,
  • To know the identity of third parties to whom your personal data is transmitted, and
  • To file a complaint with the competent authority (data protection authority www.dsb.gv.at).

We would like to point out that it is absolutely necessary for the data to be provided in order for the contract to be fulfilled. If you refuse to provide the data in accordance with point 2, it may not be possible for us to fulfil our contractual obligations. Data processing is carried out in accordance with the third-party licence agreement concluded between us and the contractual partner.

The data that has been collected is not processed by means of automated decision-making, including profiling, in accordance with article 22 GDPR.

7. Disclosure of personal data

Apart from the cases mentioned in point 3, the data subjects’ personal data will only be disclosed to third parties in the following cases:

  • To meet judicial requests after submission of the data, to comply with a court order or legal proceedings, to establish or exercise legal rights or to defend against legal claims.
  • If we believe that disclosure is necessary to investigate or prevent illegal activities, suspected fraud, situations involving potential threats to a person’s physical safety or violations of the Terms of Use, or as otherwise required by law.
  • Data may also be transferred if a third party takes over our company or parts of our company, or if another company merges with our company or parts of our company. We will inform data subjects in good time before personal data is transferred and is subject to other data protection guidelines.

8. Confidentiality and security

The controller takes steps to use appropriate and industry-standard security measures to protect personal data against loss or theft, as well as against access, disclosure, reproduction, misuse or modification by unauthorised persons. Personal data is password-protected and, unless otherwise specified in this Privacy Policy, is only accessible to the controller and its service providers.

The end user undertakes to keep their password(s) secret and not to disclose them, or allow them to be disclosed, to any other person.

The controller limits access to personal data to employees of its own company, affiliated companies and external service providers who, in the reasonable opinion of the data controller, need to have access to such data in order to provide products or services or to carry out their tasks.

The controller has physical, electronic and procedural security devices that comply with regulations for the protection of personal data. However, data transmission over the internet can never be guaranteed to be 100% secure. For this reason, the controller cannot ensure or guarantee the security of data transmitted by the end user to the data controller. In particular, the user accesses and uses the service entirely at their own risk. It is also the user’s responsibility to restrict access to their end device and to ensure that it is free from malware of any kind etc. which may track data entered into the service, such as email addresses and payment details.

The controller is expressly not liable for losses and damages resulting from the data subject’s failure to comply with this section.

The controller uses secure payment providers to process payments for chargeable services to ensure that payment is secured in line with overarching industry standards.

9. Contacting the controller

If you have any questions regarding the processing of personal data, please contact us:

VE Vision Education GmbH

c/o Impact Hub GmbH, Lindengasse 56, 1070 Vienna, 

E-mail: info@visioneducation.net

Last updated: December 2020