Datenschutzrechtliche Erstinformationen
Datenschutzrechtliche Erstinformation
Moodle-Lernplattform der Berufsbildenden Schulen "Dr. Otto Schlein" in Magdeburg
Stand: 19.09.2022
1 Verantwortlichkeiten
1.1 Name und Kontaktdaten der Verantwortlichen nach Art. 13 DS-GVO
Das Landesinstitut für Schulqualität und Lehrerbildung (LISA) und die Schule Name der Schule sind im Rahmen der geschlossenen Nutzungsvereinbarung gemeinsam für die datenschutzrechtlichen Belange der Moodle-Plattform URL der Plattform verantwortlich (Art. 26 DS-GVO).
| Schule | LISA |
Adressdaten | BbS "Dr. Otto Schlein" | Landesinstitut für Schulqualität und Lehrerbildung Riebeckplatz 9 06110 Halle (Saale) Tel: 0345 2042-0 |
Vertretungsberechtigte Person | OStdR Frau Heidrun Russek | Thomas Schödel E-Mail: lisa-direktor@sachsen-anhalt.de |
Datenschutzbeauftragte | OStdR Frau Heidrun Russek | Herr Dr. Schmidt LISA-Datenschutzbeauftragter@sachsen-anhalt.de |
1.2 Verantwortung für die Kursinhalte
Trainerinnen und Trainer im jeweiligen Kurs, typischerweise Lehrkräfte, die diese Inhalte für den jeweiligen Lehr- und Lernprozess bereitstellen, sind die ersten Ansprechpartnerinnen und -partner bei inhaltlichen Fragen zum Kurs. Die Kontaktdaten sind den Teilnehmerinnen und Teilnehmer aus dem Schulkontext bekannt.
1.3 Verantwortung für die Lernplattform
Jede Nutzerin und jeder Nutzer kann per E-Mail an die Moderatorinnen bzw. -moderatoren (p.schmidt@bbs-schlein.de/ c.keil@bbs-schlein.de/ s.dietrich@bbs-schlein.de) einen Bericht über die in der Moodle-Plattform gespeicherten persönlichen Daten anfordern und andere datenschutzrechtliche Anfragen stellen.
Für Anfragen, die mit der Schule nicht direkt geklärt werden können, steht den Nutzerinnen und Nutzern auch der Datenschutzbeauftragte des LISA zur Verfügung.
2 Zweck der Erhebung
Die Lernplattform https://moodle.bildung-lsa.de/bbs-schlein-md/ der Schule „Schulname“ basiert auf dem Open Source Learning-Management-System Moodle und repräsentiert eine Instanz dieser Software auf einem Serversystem des Bildungsservers Sachsen-Anhalts in Verbindung mit einer SQL-Datenbank für diese Schule.
Moodle ermöglicht die Bereitstellung von Unterrichtsmaterialien zur individuellen und kooperativen Bearbeitung, Einreichung von Lernergebnissen in Dateiform, Ton- und Videoaufnahme (sofern diese Funktion in der Aktivität Aufgabe freigeschaltet wurde) und Nutzung von Abstimmungs- und Befragungswerkzeugen. Es unterstützt eine kursbezogene Kommunikation und Kollaboration über verschiedene Lernaktivitäten (wie Foren, Wikis, Glossare, Datenbanken) sowie einen Kalender mit Kurs-, Gruppen- und persönlichen Terminen. Über die Funktionen Mitteilungen und Forum können Nachrichten gesendet und empfangen werden.
Durch die Einbindung der Software BigBlueButton (auf einem dedizierten Server) wird die kursbezogene Durchführung von Webkonferenzen ermöglicht. Die Einbindung der Software Collabora (auf einem dedizierten Server) ermöglicht die Bereitstellung von synchron bearbeitbaren Dokumenten der LibreOffice-Produktfamilie.
Personen mit der Rolle Teilnehmer/in bzw. Trainer/in können verfolgen, wie weit sie selbst im Kurs fortgeschritten sind, welche Aktivitäten oder ganze Kurse bereits abgeschlossen bzw. welche Lernaktivitäten noch nicht abgeschlossen wurden.
Die Lernaktivitäten Test oder H5P unterstützen die Überprüfung des Lernfortschritts.
3 Rechtliche Grundlagen
Die personenbezogenen Daten werden ausschließlich während der Teilnahme an Moodle-basierten Kursen verarbeitet und nur zweckgebunden zur Vorbereitung, Durchführung und Nachbereitung der jeweiligen (Unterrichts-)Veranstaltung im Rahmen der den Schulen durch das Schulgesetz des Landes Sachsen-Anhalt übertragenen Aufgaben (§ 1 SchulG LSA) bzw. für schulorganisatorische Prozesse genutzt.
Die rechtliche Grundlage bilden § 84a Abs. 1, 2 Schulgesetz des Landes Sachsen-Anhalt i. V. m. Art. 6 Abs. 1 lit. e DS-GVO.
4 Rollen in der Plattform
Die Berechtigungen zur Nutzung einer Moodle-Plattform bestehen in Abhängigkeit von der übertragenen Rolle im Kursraum. Im Folgenden werden diese Rollen genannt und beschrieben.
Gast – nicht auf der Moodle-Plattform eingeloggte Personen der Internetöffentlichkeit. Gäste können nur die Bereiche der Moodle-Plattform einsehen, die für die Internetöffentlichkeit freigegeben sind, z. B. die Login- oder Startseite.
Nutzer/innen – Oberbegriff für alle Personen mit Zugang zur Plattform, unabhängig von Kursen, in die sie eingetragen sind, und ihrer Rolle darin, auch unabhängig von ihrer Stellung im Lehr- und Lernprozess.
Teilnehmer/innen – Nutzer/innen, die in der Rolle Teilnehmer/in in einem Kurs eingetragen sind, meistens Schülerinnen und Schüler. Teilnehmer/innen können in Kursen bereitgestellte (Lern-)Angebote nutzen und über die Plattformfunktionen mit Teilnehmer/innen und Trainer/innen der gleichen Kurse kommunizieren.
Trainer/innen – Nutzer/innen, die in der Rolle Trainer/in in einem Kurs eingetragen sind, meistens Lehrerinnen und Lehrer. Trainer/innen können Kurse beantragen, Nutzer/innen in Kurse als Teilnehmer/innen und Trainer/innen einschreiben und (Lern-)Angebote in eigenen Kursen anlegen und bereitstellen.
Moderator/innen und Administrator/innen –Nutzer/innen, die die Plattform verwalten, Funktionen freischalten und einschränken und das Erscheinungsbild der Plattform verändern. Sie können in allen Kursen der Plattform wie die Rolle Teilnehmer/in und die Rolle Trainer/in agieren, haben Zugriff auf alle Nutzerinformationen und existierenden Kurse. Sie können Nutzerzugänge und Kurse anlegen, bearbeiten und löschen sowie Kursanträge bestätigen und ablehnen.
Root-Administrator/in – ein Mitarbeiter oder eine Mitarbeiterin des LISA, der/die die Hard- und Software der Plattform administriert und Zugriff auf die gesamte Installation hat. Der/die Root-Administrator/in kann über die Rechte der übrigen Rollen hinaus Änderungen an der Hard- und Software vornehmen.
5 Gegenstand und Umfang der Datenverarbeitung
5.1 Einrichtung eines Zugangs zur Lernplattform
Die Nutzung der Lernplattform ist Bestandteil des Unterrichts und der Schulorganisation. Für die Einrichtung eines persönlichen Zugangs ist die elektronische Speicherung von Daten notwendig. Die Moderatorinnen und Moderatoren der Lernplattform legen für die Lernenden und andere am Bildungsprozess beteiligte Personen (z. B. Sorgeberechtigte, Sozialarbeiterinnen und Sozialarbeiter, Personen aus Praktika- bzw. Ausbildungsbetrieben oder Austauschschulen) die Nutzerzugänge an und teilen diesen die Zugangsdaten mit.
Für Lehrkräfte werden in der Regel deren Bildungsserverzugänge durch die Schulleitung für die Lernplattform frei geschaltet. Lehrkräfte können außerdem ihren Bildungsserverzugang über einen Dienst des Bildungsservers für die Lernplattform der eigenen Schule freischalten.
Alle Nutzer/innen loggen sich mit ihren persönlichen Zugangsdaten auf der Lernplattform ein.
Danach können sie die Kurse nutzen, in die sie als Teilnehmer/innen bzw. Trainer/innen eingetragen sind bzw. Angebote für die eine Selbsteinschreibung ermöglicht oder der Gastzugang freigeschaltet wurde.
5.2 Benutzerdaten
Folgende Daten werden in den Nutzerprofilen erfasst und auf der Plattform benutzt:
· Lokal erzeugte Nutzeraccounts: Loginname, Kennwort, Vor- und Nachname, fiktive oder reale E-Mail-Adresse, Klassenbezeichnung, Schule, Profilbild
· Vom Bildungsserver übernommene Nutzeraccounts (Lehrerinnen und Lehrer): Loginname, Kennwort, Vor- und Nachname, E-Mail-Adresse, Schule (Institution).
Darüber hinaus können Nutzer/innen auf freiwilliger Basis im Profil weitere persönliche Daten hinterlegen. Diese Funktionalität können Moderator/innen beschränken oder deaktivieren.
5.3 Daten, die im Rahmen der Arbeit mit der Plattform entstehen
Auf der Lernplattform werden ab der Registrierung als Nutzer/in von diesen eingegebene oder mit der Nutzung automatisch anfallende Daten verarbeitet. Über die in der Anmeldung angegebenen, teils automatisch anfallenden, teils von den Nutzer/innen zusätzlich eingegebenen Informationen hinaus protokolliert die Lernplattform in einer Datenbank:
· Login- und Logout-Zeitpunkte,
· zu welcher Zeit die Nutzer/innen auf welche Bestandteile der Plattform zugreifen,
· ob Teilnehmer/innen gestellte Aufgaben erledigt haben,
· ob und welche Beiträge sie geleistet haben,
· wie viele Punkte in einer Aktivität erreicht wurden,
· ob und wann Änderungen an Einreichungen vorgenommen wurden,
· ob und wie sie in verschiedenen Aktivitäten mitgewirkt haben.
Die Plattform Moodle ermöglicht es weiterhin, Berichte zu Zugriffszahlen, Nutzeraktivitäten und Kursbeteiligungen zu erstellen. Diese können von dem/der Administrator/in plattformweit anlassbezogen und von Trainer/innen in deren Kursen eingesehen werden.
Die Protokolle werden statistisch nicht ausgewertet. Diese Daten werden nach 60 Tagen automatisch gelöscht.
Aufzeichnungen des Videokonferenz-Plugins BigBlueButton werden ebenfalls spätestens 60 Tage nach Aufnahme automatisch gelöscht.
6 Nutzung der Moodle-App
6.1 Beschreibung des Dienstes
Die Nutzung der Moodle-App (herunterladbar in den jeweiligen App-Stores,) und deren Push-Funktion ist ein Zusatzangebot und gehört nicht zum Kernangebot der Moodle-Installation. Die Moodle-App wird von Moodle Pty Ltd. bereitgestellt und nicht vom LISA angeboten.
Die Schule entscheidet, ob sie die Moodle-App für die schuleigene Plattform freischaltet und nimmt die entsprechenden Einstellungen in der Administration der Plattform vor.
Über die Moodle-App können wesentlichen Funktionen der Moodle-Kurse in der Rolle Teilnehmer/in genutzt werden. Jedoch werden nicht alle Funktionalitäten, insbesondere Funktionen von Plugins, fehlerfrei abgebildet. Da die meisten Kurse nicht für die Nutzung in der Moodle-App optimiert sind, sei darauf hingewiesen, dass mit mobilen Endgeräten wie Smartphone oder Tablet auch über die auf diesen Geräten installierten Browser auf die Moodle-Plattform zugegriffen werden kann. Die Funktionalitäten werden dann wie am Computer oder Laptop dargestellt.
Mit der Moodle-App kann die Kommunikation per Mitteilungsfunktion ähnlich wie in einem Messenger-Dienst vorgenommen werden. Außerdem werden Systemnachrichten in der App angezeigt.
6.2 Push-Funktion
Die Moodle-App stellt die Möglichkeit bereit, Mitteilungen und Systemnachrichten per Signalton, Signalgrafik und Statusicon am mobilen Endgerät anzukündigen, ohne dass der Nutzer bzw. die Nutzerin die App zu diesem Zeitpunkt geöffnet oder aktiviert haben muss (Push-Funktion).
Die Push-Funktion muss von den Nutzerinnen und Nutzern, wenn gewünscht, in ihrem jeweiligen Endgerät explizit aktiviert werden. Sie werden dazu bei der Installation der App aufgefordert, können dies aber auch ablehnen.
Nutzerinnen und Nutzer werden explizit aufgefordert, sich mit den Datenschutzinformationen der Anbieter der Betriebssysteme ihrer mobilen Endgeräte (z. B. Google – Datenschutzerklärung | Nutzungsbedingungen, Apple – Datenschutzerklärung | Softwarelizenzverträge) vertraut zu machen und nur in Kenntnis dieser Informationen zu entscheiden, ob sie die Moodle-App installieren und/oder deren Push-Funktion aktivieren. Diese Entscheidung ist freiwillig.
6.3 Datenschutzrechtliche Verantwortlichkeiten bei Nutzung der Moodle-App
Wird die Push-Funktion genutzt, werden personenbezogene Daten zunächst an einen Server der Moodle Pty Ltd. und von dort an die Anbieter der Betriebssysteme mobiler Endgeräte (z. B. Google für Android und Apple für iOS) weitergeleitet, damit die Push-Funktion am Endgerät ausgelöst werden kann.
Eine solche Weiterleitung ist nicht durch pädagogische Notwendigkeit im Rahmen des § 84a SchulG LSA gedeckt und kann daher nur aufgrund einer freiwilligen Einwilligung erfolgen.
Daher ist eine durch Schulen oder Lehrkräfte veranlasste verpflichtende Nutzung der App bzw. der Push-Funktion nicht zulässig. Auf keinen Fall darf einer Schülerin oder einem Schüler aus der Nicht-Nutzung der App bzw. Push-Funktion ein Nachteil entstehen, indem z. B. wichtige Informationen kurzfristig versandt und dadurch nicht rechtzeitig gesehen oder Fristen verpasst werden. Es ist Aufgabe der Schule, dies für die eigenen Schülerinnen und Schüler sicherzustellen und dabei die Heterogenität der Mediennutzung und technischen Ausstattung der Nutzerinnen und Nutzer zu berücksichtigen.
6.4 Rechtsgrundlage der Nutzung der Moodle-App
Die Rechtsgrundlage für die Nutzung der Moodle-App ist eine Einwilligung im Sinne von Art. 6 Abs. 1 lit. b DS-GVO gegenüber dem Anbieter der Moodle-App.
Bitte beachten Sie, dass Sie bei Installation der Moodle-App in die Nutzungsbedingungen und datenschutzrechtlichen Rahmenbedingungen des Anbieters einwilligen und dadurch die oben geschilderten Verarbeitungsvorgänge akzeptieren.
7 Cookies
Mit der Nutzung von Moodle wird das Cookie MoodleSession lokal gespeichert. Es ermöglicht nach dem Login den Zugriff auf alle Moodle-Seiten. Nach dem Abmelden bzw. Schließen des Browsers wird dieses Cookie automatisch gelöscht.
8 Auftragsverarbeitung
Die Verarbeitung der personenbezogenen Daten der Lernplattform findet vertragsgemäß auf Systemen der Open Telekom Cloud (bereitgestellt durch die T-Systems International GmbH) statt, die die Serverdienstleistungen für die Moodle-Plattform und integrierte Dienste (aktuell Collabora) vorhält. Damit ist nicht ausgeschlossen, dass dortige Administratorinnen und Administratoren Kenntnis von personenbezogenen Daten aus der Lernplattform erhalten können. Zwischen dem Land Sachsen-Anhalt und der T-Systems International GmbH, Hahnstraße 43d, 60528 Frankfurt/Main wurde hierzu ein Auftragsverarbeitungsvertrag geschlossen, so dass die Regelungen der DS-GVO eingehalten werden.
Die Verarbeitung der personenbezogenen Daten des Videokonferenz-Plugins BigBlueButton findet vertragsgemäß auf Systemen der Digital Learning GmbH statt, die die Serverdienstleistungen für die Anwendung BigBlueButton vorhält. Damit ist nicht ausgeschlossen, dass dortige Administratorinnen und Administratoren Kenntnis von personenbezogenen Daten aus Videokonferenzen, die über Moodle und BigBlueButton vermittelt werden, erhalten können. Zwischen dem Land Sachsen-Anhalt und der Digital Learning GmbH wurde hierzu ein Auftragsverarbeitungsvertrag geschlossen, so dass die Regelungen der DS-GVO eingehalten werden.
Die Verarbeitung der personenbezogenen Daten aus Mitteilungen und Systemnachrichten der Lernplattform in der Moodle-App findet vertragsgemäß auf Systemen der Moodle Pty Ltd. in Europa statt. Diese leitet Mitteilungen und Systemnachrichten an die Anbieter der Betriebssysteme mobiler Endgeräte (z. B. Google für Android und Apple für iOS) weiter, wo sie verarbeitet werden, um Mitteilungen und Systemnachrichten als Push-Notification am Endgerät der Nutzer/innen darzustellen. Das Land Sachsen-Anhalt hat mit der Moodle Pty Ltd. einen Auftragsverarbeitungsvertrag geschlossen.[U1] [BS2] [SRD3]
9 Datenweitergabe und Datenveröffentlichung
Die in der Moodle Datenbank gespeicherten Daten dienen ausschließlich der Durchführung der jeweiligen Lehrveranstaltung und zur Unterstützung schulorganisatorischer Prozesse. Diese Daten werden durch das LISA nicht an andere Personen oder Stellen weitergegeben, veröffentlicht oder für andere als die vorgesehenen Zwecke verwendet, auch nicht in anonymisierter Form.
10 Löschung von Daten
10.1 Moodle Log Dateien
Die automatisierte Löschung der Protokollierung des Benutzerverhaltens erfolgt spätestens nach 60 Tagen.
Aufzeichnungen des Videokonferenz-Plugins BigBlueButton werden durch die Trainer/innen spätestens 60 Tage nach Aufnahme gelöscht.
10.2 Moodle Account
Benutzeraccounts werden nach dem Verlassen der Schule deaktiviert und spätestens nach der gesetzlichen Aufbewahrungsfrist gelöscht.
11 Ihre Rechte
Ihnen steht das Recht zu, jederzeit Auskunft zu den bei uns gespeicherten und Ihrer Person zuzuordnenden personenbezogenen Daten zu verlangen (Art. 15 DS-GVO). Darüber hinaus haben Sie das Recht auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO), Datenübertragung (Art. 20 DS-GVO) und Widerspruch (Art. 21 DS‑GVO). Sofern Sie eine Einwilligung zur Verarbeitung der Ihnen zuzuordnenden personenbezogenen Daten erteilt haben, steht Ihnen das Recht zu, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt, steht Ihnen das Recht zu, sich bei einer Aufsichtsbehörde (Landesdatenschutzbeauftragter des Landes Sachsen-Anhalt) zu beschweren (Art. 77 DS-GVO).