1. In welchem Kontext wurde die Moodle-Plattform von INVOLAS aufgebaut?

Die Moodle-Plattform von INVOLAS wurde im Rahmen des InnoVET-Verbundprojektes „SPERLE – Strukturwandel durch Personalisiertes Lernen mit digitalen Medien“ aufgebaut, das mit Mitteln des Bundesministeriums für Bildung und Forschung (BMBF) gefördert wird. Die Verbundpartner sind das Institut für berufliche Bildung, Arbeitsmarkt- und Sozialpolitik (INVOLAS), Weiterbildung Hessen e.V. und das Bildungswerk der hessischen Wirtschaft (BWHW). INVOLAS verantwortet die Verbundkoordination. Für das Server-Hosting der Moodle-Plattform beauftragte INVOLAS die SINOPE GmbH. Mit der Systemadministration der Moodle-Plattform wurde die Kirsch Konkret GmbH von INVOLAS betraut.

2. Wer ist für die Datenverarbeitung verantwortlich?

Die Moodle-Instanz wird im Namen der INVOLAS GmbH, Herrnstraße 53, 63065 Offenbach am Main betrieben. Für die inhaltlich-redaktionelle Gestaltung dieser Moodle-Präsenz ist als Verbundpartner Weiterbildung Hessen e.V., Hungener Str. 6, 60389 Frankfurt zuständig Für die technische Bereitstellung sind die von INVOLAS beauftragten Dienstleister SINOPE GmbH und Kirsch konkret GmbH zuständig. Im Folgenden finden Sie die Kontaktdaten der beiden Dienstleister:

SINOPE GmbH
Domstrasse 43
63067 Offenbach am Main
Tel.: 069 800 88 33 0
Email: info@sinope.de

kirsch konkret GmbH
Wolbecker Str. 1
48155 Münster
Tel 0251 396 331 60
Email: kontakt@kirschkonkret.de

Wir als Verantwortliche nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wenn Sie das Lernmanagement-System Moodle nutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung stellt dar, welche Daten erhoben und für welchen Zweck sie genutzt werden, in Abhängigkeit von der Durchführung des Angebots. Sie erläutert auch, wie und zu welchem Zweck dies geschieht.

Alle Mitarbeiter:innen der INVOLAS GmbH sind nach dem Bundesdatenschutzgesetz (BDSG) sowie der EU-Datenschutzgrundverordnung (EU-DSGVO) geschult, und die Sicherheitsvorkehrungen werden dem aktuellen Stand der Technik regelmäßig angepasst. Darüber hinaus trägt der betriebliche Datenschutzbeauftragte für die Beachtung und Einhaltung der vorliegenden Datenschutzerklärung Sorge. Die Kontaktdaten des für unser Unternehmen bestellten Datenschutzbeauftragten finden Sie nachfolgend:

DSO Datenschutz Osnabrück GmbH
Dipl.-Kfm. Björn Voitel
Mercatorstr. 11
49080 Osnabrück
Telefon: +49 541 60081631
E-Mail: datenschutzbeauftragter@involas.com

Gemäß der DSVGO verpflichten wir uns dem Grundsatz der Datenvermeidung und Datensparsamkeit und erheben auf unserer Moodle-Lernplattform personenbezogene Daten ausschließlich, wenn diese für den von Ihnen gewünschten Zweck erforderlich sind und/oder Sie uns diese freiwillig angeben.

3. Auf was bezieht sich diese Datenschutzerklärung?

Diese Datenschutzerklärung gilt ausschließlich für die von uns verantwortete Moodle-Lernplattform. Unsere Lernplattform kann Links zu fremden Unternehmen enthalten, für die unsere Datenschutzerklärung jedoch nicht gültig ist.

4. Was ist die rechtliche Grundlage der Datenerhebung?

Die Datenerhebung und -verarbeitung basiert auf folgender rechtlicher Grundlage:

Notwendige Angaben
Die Datenverarbeitung erfolgt auf Basis des Artikels 6 Absatz 1 Buchstabe b) DSGVO. Sie müssen dabei diejenigen personenbezogenen Daten angeben, die für die Anmeldung und Durchführung des Angebots erforderlich sind. Ohne diese Daten werden wir nicht in der Lage sein, Ihre Anmeldung zu bearbeiten. Mit der Nutzung gehen Sie ein vertragsähnliches Verhältnis ein.

Freiwillige Angaben und Einwilligung
Die Erhebung, Speicherung, Nutzung oder Weitergabe optionaler personenbezogener Daten erfolgt auf Basis Ihrer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a) DSGVO in elektronischer Form. Die Einwilligung erteilen Sie durch Eintragung Ihrer Daten in die als freiwillige / optionale Angaben gekennzeichneten Felder und durch Ihre Einstellungen, ob und für welchen Personenkreis diese Daten sichtbar sein sollen (z.B. für andere Teilnehmer:innen). Optionale Angaben sind freiwillig. Auf die Angaben kann ohne Nachteile befürchten zu müssen verzichtet werden. Optionale Angaben können jederzeit von Ihnen gelöscht oder deren Sichtbarkeit eingeschränkt werden.

5. Welche Daten werden erhoben und wie werden sie verarbeitet?
5.1. Persönliche Daten

Sie erhalten von Weiterbildung Hessen e.V. für die Anmeldung eine E-Mail mit einem systemerstellten Initialpasswort.

5.1.1. Pflichtangaben

Es werden folgende Daten erfasst:
- Anmeldename
- Vorname
- Nachname
- E-Mail-Adresse

5.1.2. Optionale Angaben

Sie können optionale Angaben und Freigaben im „persönlichen Profil“ erstellen, z.B.
- Foto oder Bild
- Beschreibung (der eigenen Person)
- Freigabe der Anzeige eigener E-Mail-Adresse
- Institution

5.2. Sonstige personenbezogene Daten
5.2.1. Aktivitäten

Auf der Lernplattform werden ab der Registrierung als Nutzer:in die von Ihnen eingegebene oder mit Ihrer Nutzung automatisch anfallenden Daten verarbeitet. Über die in der Anmeldung angegebenen persönlichen Daten hinaus protokolliert die Moodle-Anwendung systembedingt sämtliche Aktivitäten aller Moodle-Nutzer:innen, einschließlich des Login-Verlaufs (Benutzernamen, Datum, Uhrzeit und IP-
Adressen) in einer Datenbank. In diesem Kontext werden, in Abhängigkeit der Ausgestaltung des jeweiligen Angebots, insbesondere diejenigen Daten gespeichert, die im Zusammenhang mit der Nutzung der Aktivitäten anfallen (z.B. Zugriff auf Angebote; Erledigung von Aufgaben; Beiträge in Foren, etc.).

5.2.2. Learning Analytics
Unsere Moodle-Instanz verwendet das Webanalyse-Werkzeug Moodle Learning Analytics, um Seitenbesuche und das Lernverhalten zu analysieren und eine Prognose auf das Lernverhalten zu geben. Es kommen die vier Hauptkategorien von Learning Analytics zum Einsatz: Beschreibende Analysen (Was ist passiert?), vorhersagende Analysen (Was wird als Nächstes passieren?), diagnostische Analysen (Warum ist es passiert?) und vorschreibende Analysen (Tue dies, um eine Verbesserung zu erreichen.).

5.2.3. Webserver-Protokollierung
Die Moodle-Anwendung wird auf den Web- und Datenbankservern von dem von der INVOLAS GmbH beauftragten Dienstleister SINOPE GmbH betrieben. Die Serverstandorte sind neben den eigenen Räumlichkeiten der SINOPE GmbH (Domstraße 43 63067 Offenbach) ein Rechenzentrum in der Andréstraße in Offenbach sowie ein Rechenzentrum in der Hanauer Landstraße in Frankfurt. Die externen Serverstandorte sind dadurch gesichert, dass sie sich in einem abgetrennten Bereich im Rechenzentrum befinden und dass der Zugang durch Dritte weder physisch noch virtuell möglich ist. Letzteres wird u.a. durch eine Firewall sichergestellt.
Beim Aufruf der von Moodle generierten Webseiten werden über den Internetbrowser Daten an den Webserver übermittelt, wie IP-Adresse, Datum und Uhrzeit des Zugriffs. Diese werden während einer laufenden Verbindung zur Kommunikation zwischen Internetbrowser und Webserver temporär in einer Logdatei aufgezeichnet.
Die IP-Adresse wird im Webserver (Apache / NGINX) zu Wartungs-Zwecken 14 Tage lang gespeichert und anschließend gelöscht. Die 14-tägige Speicherung dient dazu, Probleme zu identifizieren und ggf. Angriffe von außen auszuwerten (Datensicherheit).

5.2.4. Cookies
Moodle verwendet Cookies: Cookies sind kleine Textdateien und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.
Cookies haben verschiedene Funktionen. Zahlreiche Cookies sind technisch notwendig, da bestimmte Websitefunktionen ohne diese nicht funktionieren würden (z.B. die Warenkorbfunktion oder die Anzeige von Videos). Andere Cookies dienen dazu, das Nutzerverhalten auszuwerten oder Werbung anzuzeigen.
Teilweise können auch Cookies von Drittunternehmen auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Seite betreten (Third-Party-Cookies, wie z.B. YouTube-Videos siehe Punkt 8).
Die Rechtsgrundlage von Cookies ist Folgende: Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs (notwendige Cookies) oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (funktionale Cookies) werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, sofern keine andere Rechtsgrundlage angegeben wird. Demnach hat der Betreiber einer Webseite oder einer Plattform ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Sofern eine Einwilligung zur Speicherung von Cookies abgefragt wurde, erfolgt die Speicherung der betreffenden Cookies ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung ist jederzeit widerrufbar.

Moodle verwendet zwei Arten von funktionalen Cookies:

Das Cookie „MoodleSession“ (notwendig) muss erlaubt sein, damit Sie beim Wechsel von Seite zu Seite angemeldet bleiben. Beim Abmelden oder beim Beenden des Webbrowsers wird das Cookie automatisch gelöscht.

Das andere Cookie dient der Bequemlichkeit und heißt „MoodleID“ (funktional). Dieses Cookie speichert Ihren Anmeldenamen im Webbrowser und bleibt auch nach dem Abmelden erhalten. Beim nächsten Besuch der Website ist Ihr Anmeldename dann bereits für die Anmeldung eingetragen. Dieses Cookie können Sie verbieten, müssen dann aber Ihren Anmeldenamen immer neu eingeben.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben. Die Browsereinstellung ermöglicht Ihnen, dass Sie die Annahme von Cookies für bestimmte Fälle oder generell ausschließen können. Außerdem können Sie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität der Plattform eingeschränkt sein.
Soweit Cookies von Drittunternehmen oder zu Analysezwecken eingesetzt werden, werden wir Sie hierüber im Rahmen dieser Datenschutzerklärung gesondert informieren und ggf. eine Einwilligung abfragen (siehe z.B. Ausführungen zu Youtube unter Punkt 8).

5.3. Wer kann welche Daten einsehen?
Wer welche Daten einsehen kann, hängt von der Rolle ab, die Sie und andere (z.B. Verantwortliche von INBAS) in der Moodle Plattform zuerkannt bekommen.

5.3.1. Teilnehmende einer Veranstaltungsreihe
Von allen Teilnehmer:innen einer Veranstaltungsreihe können folgende Daten von anderen Teilnehmer:innen eingesehen werden:
- Nachname
- Vorname
- E-Mail-Adresse (falls vom:von der Benutzer:in in den Profileinstellungen freigegeben)
- Öffentliche Beiträge der Teilnehmer:innen der Veranstaltungsreihe je nach genutzten Aktivitäten und der Einstellung der Sichtbarkeit in der jeweiligen Veranstaltungsreihe), wie z.B. Beiträge in Foren, Chats, Wiki etc.
- Hochgeladene Dateien
- Onlinestatus anderer Teilnehmer:innen in Ihrem Dashboard. Sie können jedoch Ihren Onlinestatus für andere Teilnehmer:innen verbergen.
- Optionale Angaben je nach Profileinstellungen

5.3.2. Verantwortliche Veranstaltungsreihe
Von den Verantwortlichen und Durchführenden der Angebote (Rolle „Trainer/in“) können über 5.3.2 hinaus folgende Daten der eingeschriebenen Teilnehmer:innen eingesehen werden:
- Hochgeladene Dateien
- Fortschritt beim Abschluss eines Kurses
- besuchte Seiten in den Kursen sowie die Lernprogramme
- Anzahl der Versuche bei Aktivitäten wie Tests, Quizzes, u.ä.
Dies dient der Fortschrittseinsicht seitens der Teilnehmer:innen sowie seitens der Betreuer:innen der Kurse.

5.3.3. Moodle Manager:in
Der:die Moodle-Manager:in (Rolle „Manager/in“) können alle unter Punkt 6.1 und 6.2 aufgeführten Nutzerdaten einsehen, um die Anwendungsbetreuung vornehmen zu können. Darüber hinaus kann ein:e Moodle-Manager:in anonymisierte Nutzungsstatistiken von Moodle generieren. Die Rechte der Moodle-Manager:innen werden ausschließlich an SPERLE Mitarbeitende von INVOLAS übertragen, welche mit der Anwendungsbetreuung der Moodle-Plattform und der technischen und didaktischen Benutzerunterstützung beauftragt sind. Die Einsicht in die o.g. personenbezogenen Daten erfolgt
ausschließlich zu Zwecken der Wahrnehmung der o.g. zentralen Aufgaben der Moodle-Anwendungsbetreuung und der Benutzerunterstützung.

5.3.4. Administrator:in
Der:die Moodle-Administrator:in (Rollen „Administrator:in“) besitzt alle unter 6.3.4. genannten Dateneinsichtsrechte des Moodle-Managements. Darüber hinaus darf ausschließlich der:die Moodle-Administrator:in in begründeten Fällen die von der Moodle-Anwendung generierten Protokolldaten und archivierte Daten (Repository Archiv) einsehen. Die Rechte des:der Moodle-Administrator(s):in werden nur an Beschäftigte des INBAS /SPERLE Projekts bzw. dem damit beauftragten Dienstleister Kirsch Konkret übertragen. Kirschkonkret ist mit der Systemadministration der Moodle-Plattform beauftragt und verarbeitet die Daten ausschließlich zum Zweck der IT-technischen Systembetreuung. Die Einsicht in die o.g. personenbezogenen Daten erfolgt ausnahmslos bei begründetem Bedarf zum Zweck der Systemadministration, Systempflege, Fehlersuche oder zur Klärung von Sicherheitsvorfällen.

6. Wie gestalten wir Videokonferenzen?
Moodle ermöglicht über eine technische Schnittstelle, dass unser Server (On Premise) zur Einrichtung und zum Abhalten von virtuellen Meetings und Webkonferenzen über die Videokonferenzanwendung Jitsi genutzt wird. Dieser Dienst wird von einem von der INBAS GmbH beauftragten Dienstleister, namentlich der Firma SINOPE GmbH, betrieben. Eine On Premise Software wird im eigenen Netzwerk installiert und betrieben. Somit werden die Daten nicht auf externen Servern gespeichert.
Wenn sich Teilnehmer:innen vom SPERLE Moodle Angebot heraus für ein Jitsi-Meeting anmelden, stimmen sie damit zugleich zu, dass Moodle automatisch Vor- und Nachname sowie E-Mail-Adresse an den von der Firma SINOPE GmbH betriebenen Server übermittelt, um den Teilnehmer:innen einem bestimmten Meeting zuordnen zu können.
Wer an einer Videokonferenz von Jitsi teilnimmt, kann den Online-Status (angemeldet im Meeting) aller der im Meeting angemeldeten Teilnehmenden, deren persönliche Chat-Beiträge und – wenn individuell freigegeben – deren persönliche Beiträge über Webcam und Mikrofon verfolgen (Videokonferenz). Alle TN, die zum ersten Mal ein Meeting erzeugen oder einen Meeting-Raum betreten, werden automatisch auf dem betreffenden Server von der Firma SINOPE GmbH registriert (Vor-und Nachname, E-Mail-Adresse werden übergeben).
Details dazu sind in den „Datenschutzhinweisen von INVOLAS unter der Adresse: Datenschutz – INVOLAS GmbH unter dem Punkte „Jitsi-Meet“ enthalten.

7. Wie sorgen wir für die datenschutzkonforme Einbettung von YouTube-Videos?
Wir verwenden innerhalb unserer Moodle-Plattform eingebettete Videos des Anbieters YouTube. Bei Aufruf unserer Plattform werden keine Daten der Nutzer:innen an YouTube übermittelt. Die Videos erscheinen lediglich als Vorschaubild. Erst mit Ihrer Einwilligung durch den aktiven Klick auf den Link „Alle externen Inhalte laden“ wird der Videoinhalt geladen und abgespielt. Damit stimmen Sie der Datenübertragung zu, auf deren Grundlage personenbezogene Daten (z. B. IP-Adresse) an YouTube übermittelt werden. Im Zuge der Verwendung von YouTube können Daten in die USA (Drittland) übermittelt werden. YouTube bzw. die Google LLC ist als elektronischer Kommunikationsdienst im Sinne von 50 U.S.Code § 1881 (b) (4) zu qualifizieren und unterliegen als solche der Überwachung durch US-Geheimdienste gemäß 50 U.S.Code § 1881a („FISA 702”). Die Einhaltung der europäischen Anforderungen zum Datenschutz kann daher nicht garantiert werden. Die Übermittlung dieser Daten in ein Drittland für einen bestimmten Zweck erfolgt unter der Ausnahmebestimmung von Art 49 Abs 1 lit a DSGVO, indem Sie uns nach Aufklärung über die Risiken Ihre Einwilligung erteilen. Weitere Informationen über die Verarbeitung und Nutzung Ihrer Daten durch YouTube entnehmen Sie bitte den Datenschutzrichtlinien des Serviceanbieters: Google LLC, 1600 Amphitheatre Parkway, Mountain View, California 94103, USA. Datenschutzerklärung: https://policies.google.com/privacy/partners
Darüber hinaus erfolgt eine datensparsame Implementierung der YouTube-Videos per erweitertem Datenschutzmodus.

8. Wie verfahren wir mit Datenänderung und Datenlöschung?
Pflichtangaben und optionale Angaben können Sie unter Einstellungen in Ihrem Profil selbst ändern.
Alle verarbeiteten Daten der Moodle-Instanz werden für die Laufzeit des InnoVET-SPERLE Projekts (01.11.2020-30.10.2024) und bis zu 10 Jahre danach gespeichert, um den rechtlichen Auflagen des Förderprojekts SPERLE nachzukommen. Die Speicherung und Archivierung erfolgt auf den Web- und Datenservern des Dienstleisters Sinope GmbH. Dies verfolgt den Zweck der Dokumentation, des Nachweises und um Inhalte und Beiträge der Teilnehmer:innen und Bewertungen in begründeten Fällen revisionsfähig zu machen.
Die automatische Löschung des Benutzerprofils und damit der personengebundenen Daten erfolgt nach Ablauf der oben genannten Zeiten.

9. Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie verfügen über ein Auskunftsrecht über alle personenbezogenen Daten, die die INVOLAS GmbH über Sie gespeichert hat. Ferner haben Sie einen Anspruch auf die Korrektur unrichtiger Daten sowie die Löschung nicht mehr benötigter Daten, sofern sich aus anderen gesetzlichen Regelungen nicht eine Pflicht zur Aufbewahrung ergibt. In diesen Fällen steht Ihnen das Recht auf Sperrung der Daten zu. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

10. Wie sorgen wir dafür, dass Ihre Daten nicht weitergegeben werden?
Alle personengebundenen Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die vorgesehenen Zwecke verwendet. Die Veröffentlichung von Daten aus der Moodle-Instanz zu Präsentationszwecken ist nur durch das Exportieren von Daten ohne Nutzerdaten in eine andere Moodle-Instanz zulässig, d. h. vor einer Veröffentlichung sind personenbezogene Daten aus den Kursinhalten zu entfernen bzw. zu anonymisieren. Für die Präsentation von Teilnehmerbeiträgen ist in jedem Fall die Zustimmung der betroffenen Teilnehmer:innen erforderlich.

11. Wie verfahren wir bei Änderungen der Datenschutzerklärung?
Es bleibt uns vorbehalten, diese Datenschutzerklärung anzupassen, damit diese stets den aktuellen rechtlichen Anforderungen entspricht oder damit Aktualisierungen des Moodle-Systems in der Datenschutzerklärung berücksichtigt werden können. Darüber werden Sie in Kenntnis gesetzt.

12. Nutzungshinweise
Die Nutzung der Moodle Plattform von INVOLAS GmbH und Weiterbildung Hessen e.V. geschieht ausschließlich im Rahmen des Projekts InnoVET SPERLE. Für den Zugang wird für jede:n Nutzer:in ein eigener Account (Zugangskennung) generiert. Die Nutzerin bzw. der Nutzer verpflichtet sich, das Passwort nicht weiterzugeben und den persönlichen Moodle-Zugang vor unbefugter Benutzung durch Dritte zu schützen.
Nutzerinnen und Nutzer dürfen bei der Nutzung der Moodle-Plattform nicht gegen geltende Rechtsvorschriften verstoßen. Insbesondere haben sie
- das Urheberrecht einzuhalten
- keine rechts- oder sittenwidrigen Inhalte einzustellen oder aus Moodle heraus zu verschicken,
- jegliche Werbe- oder Marketingaktivitäten über die Moodle-Plattform zu unterlassen,
- die Privatsphäre anderer zu respektieren und keine belästigenden, verleumderischen oder bedrohenden Inhalte einzustellen oder zu verschicken,
- keine personenbezogenen Daten, von denen sie im Rahmen der Moodle-Nutzung Kenntnis erlangen, außerhalb von der Moodle-Plattform zu veröffentlichen oder an Dritte weiterzugeben.
Bei der Kommunikation in Moodle sind die allgemein gültigen Höflichkeitsregeln zu beachten.