1. In welchem Kontext wurde die Moodle-Plattform von INVOLAS aufgebaut?
Die
Moodle-Plattform von INVOLAS wurde im Rahmen des InnoVET-Verbundprojektes
„SPERLE – Strukturwandel durch Personalisiertes Lernen mit digitalen
Medien“ aufgebaut, das mit Mitteln des Bundesministeriums für Bildung
und Forschung (BMBF) gefördert wird. Die Verbundpartner sind das
Institut für berufliche Bildung, Arbeitsmarkt- und Sozialpolitik
(INVOLAS), Weiterbildung Hessen e.V. und das Bildungswerk der hessischen
Wirtschaft (BWHW). INVOLAS verantwortet die Verbundkoordination. Für das
Server-Hosting der Moodle-Plattform beauftragte INVOLAS die SINOPE GmbH.
Mit der Systemadministration der Moodle-Plattform wurde die Kirsch
Konkret GmbH von INVOLAS betraut.
2. Wer ist für die Datenverarbeitung verantwortlich?
Die
Moodle-Instanz wird im Namen der INVOLAS GmbH, Herrnstraße 53, 63065
Offenbach am Main betrieben. Für die inhaltlich-redaktionelle Gestaltung
dieser Moodle-Präsenz ist als Verbundpartner Weiterbildung Hessen e.V.,
Hungener Str. 6, 60389 Frankfurt zuständig Für die technische
Bereitstellung sind die von INVOLAS beauftragten Dienstleister SINOPE GmbH
und Kirsch konkret GmbH zuständig. Im Folgenden finden Sie die
Kontaktdaten der beiden Dienstleister:
SINOPE GmbH
Domstrasse 43
63067 Offenbach am Main
Tel.: 069 800 88 33 0
Email: info@sinope.de
kirsch konkret GmbH
Wolbecker Str. 1
48155 Münster
Tel 0251 396 331 60
Email: kontakt@kirschkonkret.de
Wir
als Verantwortliche nehmen den Schutz Ihrer persönlichen Daten sehr
ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und
entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser
Datenschutzerklärung. Wenn Sie das Lernmanagement-System Moodle nutzen,
werden verschiedene personenbezogene Daten erhoben. Personenbezogene
Daten sind Daten, mit denen Sie persönlich identifiziert werden können.
Die vorliegende Datenschutzerklärung stellt dar, welche Daten erhoben
und für welchen Zweck sie genutzt werden, in Abhängigkeit von der
Durchführung des Angebots. Sie erläutert auch, wie und zu welchem Zweck
dies geschieht.
Alle
Mitarbeiter:innen der INVOLAS GmbH sind nach dem Bundesdatenschutzgesetz
(BDSG) sowie der EU-Datenschutzgrundverordnung (EU-DSGVO) geschult, und
die Sicherheitsvorkehrungen werden dem aktuellen Stand der Technik
regelmäßig angepasst. Darüber hinaus trägt der betriebliche
Datenschutzbeauftragte für die Beachtung und Einhaltung der vorliegenden
Datenschutzerklärung Sorge. Die Kontaktdaten des für unser Unternehmen
bestellten Datenschutzbeauftragten finden Sie nachfolgend:
DSO Datenschutz Osnabrück GmbH
Dipl.-Kfm. Björn Voitel
Mercatorstr. 11
49080 Osnabrück
Telefon: +49 541 60081631
E-Mail: datenschutzbeauftragter@involas.com
Gemäß
der DSVGO verpflichten wir uns dem Grundsatz der Datenvermeidung und
Datensparsamkeit und erheben auf unserer Moodle-Lernplattform
personenbezogene Daten ausschließlich, wenn diese für den von Ihnen
gewünschten Zweck erforderlich sind und/oder Sie uns diese freiwillig
angeben.
3. Auf was bezieht sich diese Datenschutzerklärung?
Diese
Datenschutzerklärung gilt ausschließlich für die von uns verantwortete
Moodle-Lernplattform. Unsere Lernplattform kann Links zu fremden
Unternehmen enthalten, für die unsere Datenschutzerklärung jedoch nicht
gültig ist.
4. Was ist die rechtliche Grundlage der Datenerhebung?
Die Datenerhebung und -verarbeitung basiert auf folgender rechtlicher Grundlage:
Notwendige Angaben
Die Datenverarbeitung erfolgt auf Basis des Artikels 6 Absatz 1
Buchstabe b) DSGVO. Sie müssen dabei diejenigen personenbezogenen Daten
angeben, die für die Anmeldung und Durchführung des Angebots
erforderlich sind. Ohne diese Daten werden wir nicht in der Lage sein,
Ihre Anmeldung zu bearbeiten. Mit der Nutzung gehen Sie ein
vertragsähnliches Verhältnis ein.
Freiwillige Angaben und Einwilligung
Die
Erhebung, Speicherung, Nutzung oder Weitergabe optionaler
personenbezogener Daten erfolgt auf Basis Ihrer Einwilligung nach
Artikel 6 Absatz 1 Buchstabe a) DSGVO in elektronischer Form. Die
Einwilligung erteilen Sie durch Eintragung Ihrer Daten in die als
freiwillige / optionale Angaben gekennzeichneten Felder und durch Ihre
Einstellungen, ob und für welchen Personenkreis diese Daten sichtbar
sein sollen (z.B. für andere Teilnehmer:innen). Optionale Angaben sind
freiwillig. Auf die Angaben kann ohne Nachteile befürchten zu müssen
verzichtet werden. Optionale Angaben können jederzeit von Ihnen gelöscht
oder deren Sichtbarkeit eingeschränkt werden.
5. Welche Daten werden erhoben und wie werden sie verarbeitet?
5.1. Persönliche Daten
Sie erhalten von Weiterbildung Hessen e.V. für die Anmeldung eine E-Mail mit einem systemerstellten Initialpasswort.
5.1.1. Pflichtangaben
Es werden folgende Daten erfasst:
- Anmeldename
- Vorname
- Nachname
- E-Mail-Adresse
5.1.2. Optionale Angaben
Sie können optionale Angaben und Freigaben im „persönlichen Profil“ erstellen, z.B.
- Foto oder Bild
- Beschreibung (der eigenen Person)
- Freigabe der Anzeige eigener E-Mail-Adresse
- Institution
5.2. Sonstige personenbezogene Daten
5.2.1. Aktivitäten
Auf
der Lernplattform werden ab der Registrierung als Nutzer:in die von
Ihnen eingegebene oder mit Ihrer Nutzung automatisch anfallenden Daten
verarbeitet. Über die in der Anmeldung angegebenen persönlichen Daten
hinaus protokolliert die Moodle-Anwendung systembedingt sämtliche
Aktivitäten aller Moodle-Nutzer:innen, einschließlich des Login-Verlaufs
(Benutzernamen, Datum, Uhrzeit und IP-
Adressen) in einer Datenbank.
In diesem Kontext werden, in Abhängigkeit der Ausgestaltung des
jeweiligen Angebots, insbesondere diejenigen Daten gespeichert, die im
Zusammenhang mit der Nutzung der Aktivitäten anfallen (z.B. Zugriff auf
Angebote; Erledigung von Aufgaben; Beiträge in Foren, etc.).
5.2.2. Learning Analytics
Unsere
Moodle-Instanz verwendet das Webanalyse-Werkzeug Moodle Learning
Analytics, um Seitenbesuche und das Lernverhalten zu analysieren und
eine Prognose auf das Lernverhalten zu geben. Es kommen die vier
Hauptkategorien von Learning Analytics zum Einsatz: Beschreibende
Analysen (Was ist passiert?), vorhersagende Analysen (Was wird als
Nächstes passieren?), diagnostische Analysen (Warum ist es passiert?)
und vorschreibende Analysen (Tue dies, um eine Verbesserung zu
erreichen.).
5.2.3. Webserver-Protokollierung
Die
Moodle-Anwendung wird auf den Web- und Datenbankservern von dem von der
INVOLAS GmbH beauftragten Dienstleister SINOPE GmbH betrieben. Die
Serverstandorte sind neben den eigenen Räumlichkeiten der SINOPE GmbH
(Domstraße 43 63067 Offenbach) ein Rechenzentrum in der Andréstraße in
Offenbach sowie ein Rechenzentrum in der Hanauer Landstraße in
Frankfurt. Die externen Serverstandorte sind dadurch gesichert, dass sie
sich in einem abgetrennten Bereich im Rechenzentrum befinden und dass
der Zugang durch Dritte weder physisch noch virtuell möglich ist.
Letzteres wird u.a. durch eine Firewall sichergestellt.
Beim Aufruf
der von Moodle generierten Webseiten werden über den Internetbrowser
Daten an den Webserver übermittelt, wie IP-Adresse, Datum und Uhrzeit
des Zugriffs. Diese werden während einer laufenden Verbindung zur
Kommunikation zwischen Internetbrowser und Webserver temporär in einer
Logdatei aufgezeichnet.
Die IP-Adresse wird im Webserver (Apache /
NGINX) zu Wartungs-Zwecken 14 Tage lang gespeichert und anschließend
gelöscht. Die 14-tägige Speicherung dient dazu, Probleme zu
identifizieren und ggf. Angriffe von außen auszuwerten
(Datensicherheit).
5.2.4. Cookies
Moodle
verwendet Cookies: Cookies sind kleine Textdateien und richten auf Ihrem
Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die
Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente
Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach
Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf
Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine
automatische Löschung durch Ihren Webbrowser erfolgt.
Cookies haben
verschiedene Funktionen. Zahlreiche Cookies sind technisch notwendig, da
bestimmte Websitefunktionen ohne diese nicht funktionieren würden (z.B.
die Warenkorbfunktion oder die Anzeige von Videos). Andere Cookies
dienen dazu, das Nutzerverhalten auszuwerten oder Werbung anzuzeigen.
Teilweise
können auch Cookies von Drittunternehmen auf Ihrem Endgerät gespeichert
werden, wenn Sie unsere Seite betreten (Third-Party-Cookies, wie z.B.
YouTube-Videos siehe Punkt 8).
Die Rechtsgrundlage
von Cookies ist Folgende: Cookies, die zur Durchführung des
elektronischen Kommunikationsvorgangs (notwendige Cookies) oder zur
Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (funktionale
Cookies) werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
gespeichert, sofern keine andere Rechtsgrundlage angegeben wird. Demnach
hat der Betreiber einer Webseite oder einer Plattform ein berechtigtes
Interesse an der Speicherung von Cookies zur technisch fehlerfreien und
optimierten Bereitstellung seiner Dienste. Sofern eine Einwilligung zur
Speicherung von Cookies abgefragt wurde, erfolgt die Speicherung der
betreffenden Cookies ausschließlich auf Grundlage dieser Einwilligung
(Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung ist jederzeit
widerrufbar.
Moodle verwendet zwei Arten von funktionalen Cookies:
Das Cookie „MoodleSession“ (notwendig)
muss erlaubt sein, damit Sie beim Wechsel von Seite zu Seite angemeldet
bleiben. Beim Abmelden oder beim Beenden des Webbrowsers wird das
Cookie automatisch gelöscht.
Das andere Cookie dient der Bequemlichkeit und heißt „MoodleID“ (funktional).
Dieses Cookie speichert Ihren Anmeldenamen im Webbrowser und bleibt
auch nach dem Abmelden erhalten. Beim nächsten Besuch der Website ist
Ihr Anmeldename dann bereits für die Anmeldung eingetragen. Dieses
Cookie können Sie verbieten, müssen dann aber Ihren Anmeldenamen immer
neu eingeben.
Sie können Ihren Browser so einstellen, dass Sie über
das Setzen von Cookies informiert werden und Cookies nur im Einzelfall
erlauben. Die Browsereinstellung ermöglicht Ihnen, dass Sie die Annahme
von Cookies für bestimmte Fälle oder generell ausschließen können.
Außerdem können Sie das automatische Löschen der Cookies beim Schließen
des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die
Funktionalität der Plattform eingeschränkt sein.
Soweit Cookies von
Drittunternehmen oder zu Analysezwecken eingesetzt werden, werden wir
Sie hierüber im Rahmen dieser Datenschutzerklärung gesondert informieren
und ggf. eine Einwilligung abfragen (siehe z.B. Ausführungen zu Youtube
unter Punkt 8).
5.3. Wer kann welche Daten einsehen?
Wer
welche Daten einsehen kann, hängt von der Rolle ab, die Sie und andere
(z.B. Verantwortliche von INBAS) in der Moodle Plattform zuerkannt
bekommen.
5.3.1. Teilnehmende einer Veranstaltungsreihe
Von allen Teilnehmer:innen einer Veranstaltungsreihe können folgende Daten von anderen Teilnehmer:innen eingesehen werden:
- Nachname
- Vorname
- E-Mail-Adresse (falls vom:von der Benutzer:in in den Profileinstellungen freigegeben)
-
Öffentliche Beiträge der Teilnehmer:innen der Veranstaltungsreihe je
nach genutzten Aktivitäten und der Einstellung der Sichtbarkeit in der
jeweiligen Veranstaltungsreihe), wie z.B. Beiträge in Foren, Chats, Wiki
etc.
- Hochgeladene Dateien
- Onlinestatus anderer
Teilnehmer:innen in Ihrem Dashboard. Sie können jedoch Ihren
Onlinestatus für andere Teilnehmer:innen verbergen.
- Optionale Angaben je nach Profileinstellungen
5.3.2. Verantwortliche Veranstaltungsreihe
Von
den Verantwortlichen und Durchführenden der Angebote (Rolle
„Trainer/in“) können über 5.3.2 hinaus folgende Daten der
eingeschriebenen Teilnehmer:innen eingesehen werden:
- Hochgeladene Dateien
- Fortschritt beim Abschluss eines Kurses
- besuchte Seiten in den Kursen sowie die Lernprogramme
- Anzahl der Versuche bei Aktivitäten wie Tests, Quizzes, u.ä.
Dies dient der Fortschrittseinsicht seitens der Teilnehmer:innen sowie seitens der Betreuer:innen der Kurse.
5.3.3. Moodle Manager:in
Der:die
Moodle-Manager:in (Rolle „Manager/in“) können alle unter Punkt 6.1 und
6.2 aufgeführten Nutzerdaten einsehen, um die Anwendungsbetreuung
vornehmen zu können. Darüber hinaus kann ein:e Moodle-Manager:in
anonymisierte Nutzungsstatistiken von Moodle generieren. Die Rechte der
Moodle-Manager:innen werden ausschließlich an SPERLE Mitarbeitende von
INVOLAS übertragen, welche mit der Anwendungsbetreuung der
Moodle-Plattform und der technischen und didaktischen
Benutzerunterstützung beauftragt sind. Die Einsicht in die o.g.
personenbezogenen Daten erfolgt
ausschließlich zu Zwecken der
Wahrnehmung der o.g. zentralen Aufgaben der Moodle-Anwendungsbetreuung
und der Benutzerunterstützung.
5.3.4. Administrator:in
Der:die
Moodle-Administrator:in (Rollen „Administrator:in“) besitzt alle unter
6.3.4. genannten Dateneinsichtsrechte des Moodle-Managements. Darüber
hinaus darf ausschließlich der:die Moodle-Administrator:in in
begründeten Fällen die von der Moodle-Anwendung generierten
Protokolldaten und archivierte Daten (Repository Archiv) einsehen. Die
Rechte des:der Moodle-Administrator(s):in werden nur an Beschäftigte des
INBAS /SPERLE Projekts bzw. dem damit beauftragten Dienstleister Kirsch
Konkret übertragen. Kirschkonkret ist mit der Systemadministration der
Moodle-Plattform beauftragt und verarbeitet die Daten ausschließlich zum
Zweck der IT-technischen Systembetreuung. Die Einsicht in die o.g.
personenbezogenen Daten erfolgt ausnahmslos bei begründetem Bedarf zum
Zweck der Systemadministration, Systempflege, Fehlersuche oder zur
Klärung von Sicherheitsvorfällen.
6. Wie gestalten wir Videokonferenzen?
Moodle
ermöglicht über eine technische Schnittstelle, dass unser Server (On
Premise) zur Einrichtung und zum Abhalten von virtuellen Meetings und
Webkonferenzen über die Videokonferenzanwendung Jitsi genutzt wird.
Dieser Dienst wird von einem von der INBAS GmbH beauftragten
Dienstleister, namentlich der Firma SINOPE GmbH, betrieben. Eine On
Premise Software wird im eigenen Netzwerk installiert und betrieben.
Somit werden die Daten nicht auf externen Servern gespeichert.
Wenn
sich Teilnehmer:innen vom SPERLE Moodle Angebot heraus für ein
Jitsi-Meeting anmelden, stimmen sie damit zugleich zu, dass Moodle
automatisch Vor- und Nachname sowie E-Mail-Adresse an den von der Firma
SINOPE GmbH betriebenen Server übermittelt, um den Teilnehmer:innen
einem bestimmten Meeting zuordnen zu können.
Wer an einer
Videokonferenz von Jitsi teilnimmt, kann den Online-Status (angemeldet
im Meeting) aller der im Meeting angemeldeten Teilnehmenden, deren
persönliche Chat-Beiträge und – wenn individuell freigegeben – deren
persönliche Beiträge über Webcam und Mikrofon verfolgen
(Videokonferenz). Alle TN, die zum ersten Mal ein Meeting erzeugen oder
einen Meeting-Raum betreten, werden automatisch auf dem betreffenden
Server von der Firma SINOPE GmbH registriert (Vor-und Nachname,
E-Mail-Adresse werden übergeben).
Details dazu sind in den
„Datenschutzhinweisen von INVOLAS unter der Adresse: Datenschutz – INVOLAS
GmbH unter dem Punkte „Jitsi-Meet“ enthalten.
7. Wie sorgen wir für die datenschutzkonforme Einbettung von YouTube-Videos?
Wir
verwenden innerhalb unserer Moodle-Plattform eingebettete Videos des
Anbieters YouTube. Bei Aufruf unserer Plattform werden keine Daten der
Nutzer:innen an YouTube übermittelt. Die Videos erscheinen lediglich als
Vorschaubild. Erst mit Ihrer Einwilligung durch den aktiven Klick auf
den Link „Alle externen Inhalte laden“ wird der Videoinhalt geladen und
abgespielt. Damit stimmen Sie der Datenübertragung zu, auf deren
Grundlage personenbezogene Daten (z. B. IP-Adresse) an YouTube
übermittelt werden. Im Zuge der Verwendung von YouTube können Daten in
die USA (Drittland) übermittelt werden. YouTube bzw. die Google LLC ist
als elektronischer Kommunikationsdienst im Sinne von 50 U.S.Code § 1881
(b) (4) zu qualifizieren und unterliegen als solche der Überwachung
durch US-Geheimdienste gemäß 50 U.S.Code § 1881a („FISA 702”). Die
Einhaltung der europäischen Anforderungen zum Datenschutz kann daher
nicht garantiert werden. Die Übermittlung dieser Daten in ein Drittland
für einen bestimmten Zweck erfolgt unter der Ausnahmebestimmung von Art
49 Abs 1 lit a DSGVO, indem Sie uns nach Aufklärung über die Risiken
Ihre Einwilligung erteilen. Weitere Informationen über die Verarbeitung
und Nutzung Ihrer Daten durch YouTube entnehmen Sie bitte den
Datenschutzrichtlinien des Serviceanbieters: Google LLC, 1600
Amphitheatre Parkway, Mountain View, California 94103, USA.
Datenschutzerklärung: https://policies.google.com/privacy/partners
Darüber hinaus erfolgt eine datensparsame Implementierung der YouTube-Videos per erweitertem Datenschutzmodus.
8. Wie verfahren wir mit Datenänderung und Datenlöschung?
Pflichtangaben und optionale Angaben können Sie unter Einstellungen in Ihrem Profil selbst ändern.
Alle
verarbeiteten Daten der Moodle-Instanz werden für die Laufzeit des
InnoVET-SPERLE Projekts (01.11.2020-30.10.2024) und bis zu 10 Jahre
danach gespeichert, um den rechtlichen Auflagen des Förderprojekts
SPERLE nachzukommen. Die Speicherung und Archivierung erfolgt auf den
Web- und Datenservern des Dienstleisters Sinope GmbH. Dies verfolgt den
Zweck der Dokumentation, des Nachweises und um Inhalte und Beiträge der
Teilnehmer:innen und Bewertungen in begründeten Fällen revisionsfähig zu
machen.
Die automatische Löschung des Benutzerprofils und damit der
personengebundenen Daten erfolgt nach Ablauf der oben genannten Zeiten.
9. Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie
verfügen über ein Auskunftsrecht über alle personenbezogenen Daten, die
die INVOLAS GmbH über Sie gespeichert hat. Ferner haben Sie einen
Anspruch auf die Korrektur unrichtiger Daten sowie die Löschung nicht
mehr benötigter Daten, sofern sich aus anderen gesetzlichen Regelungen
nicht eine Pflicht zur Aufbewahrung ergibt. In diesen Fällen steht Ihnen
das Recht auf Sperrung der Daten zu. Des Weiteren steht Ihnen ein
Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
10. Wie sorgen wir dafür, dass Ihre Daten nicht weitergegeben werden?
Alle
personengebundenen Daten werden vorbehaltlich gesetzlicher Bestimmungen
nicht an Dritte weitergegeben oder für andere als die vorgesehenen
Zwecke verwendet. Die Veröffentlichung von Daten aus der Moodle-Instanz
zu Präsentationszwecken ist nur durch das Exportieren von Daten ohne
Nutzerdaten in eine andere Moodle-Instanz zulässig, d. h. vor einer
Veröffentlichung sind personenbezogene Daten aus den Kursinhalten zu
entfernen bzw. zu anonymisieren. Für die Präsentation von
Teilnehmerbeiträgen ist in jedem Fall die Zustimmung der betroffenen
Teilnehmer:innen erforderlich.
11. Wie verfahren wir bei Änderungen der Datenschutzerklärung?
Es
bleibt uns vorbehalten, diese Datenschutzerklärung anzupassen, damit
diese stets den aktuellen rechtlichen Anforderungen entspricht oder
damit Aktualisierungen des Moodle-Systems in der Datenschutzerklärung
berücksichtigt werden können. Darüber werden Sie in Kenntnis gesetzt.
12. Nutzungshinweise
Die
Nutzung der Moodle Plattform von INVOLAS GmbH und Weiterbildung Hessen
e.V. geschieht ausschließlich im Rahmen des Projekts InnoVET SPERLE. Für
den Zugang wird für jede:n Nutzer:in ein eigener Account
(Zugangskennung) generiert. Die Nutzerin bzw. der Nutzer verpflichtet
sich, das Passwort nicht weiterzugeben und den persönlichen
Moodle-Zugang vor unbefugter Benutzung durch Dritte zu schützen.
Nutzerinnen
und Nutzer dürfen bei der Nutzung der Moodle-Plattform nicht gegen
geltende Rechtsvorschriften verstoßen. Insbesondere haben sie
- das Urheberrecht einzuhalten
- keine rechts- oder sittenwidrigen Inhalte einzustellen oder aus Moodle heraus zu verschicken,
- jegliche Werbe- oder Marketingaktivitäten über die Moodle-Plattform zu unterlassen,
-
die Privatsphäre anderer zu respektieren und keine belästigenden,
verleumderischen oder bedrohenden Inhalte einzustellen oder zu
verschicken,
- keine personenbezogenen Daten, von denen sie im Rahmen
der Moodle-Nutzung Kenntnis erlangen, außerhalb von der
Moodle-Plattform zu veröffentlichen oder an Dritte weiterzugeben.
Bei der Kommunikation in Moodle sind die allgemein gültigen Höflichkeitsregeln zu beachten.