Vollständige Richtlinie
Datenschutzrechtliche
Erstinformation
Moodle-Lernplattform für das
Landesbildungszentrum für Blinde und Sehbehinderte „H. v. Helmholtz“ in Halle
Stand:
22.09.2022
----------------------------------------------------------------------------------
1
Verantwortlichkeiten
1.1
Name und
Kontaktdaten der Verantwortlichen nach Art. 13 DS-GVO
Das
Landesinstitut für Schulqualität und Lehrerbildung (LISA) und die Schule Landesbildungszentrum
für Blinde und Sehbehinderte „H. v. Helmholtz“
sind im Rahmen der geschlossenen Nutzungsvereinbarung gemeinsam für die datenschutzrechtlichen
Belange der Moodle-Plattform https://moodle.bildung-lsa.de/lbz-helmholtz/
verantwortlich (Art. 26 DS-GVO).
LBZ für
Blinde und Sehbehindert „H. v. Helmholtz“
Oebisfelder Weg 2
06124 Halle
Tel: 03454446960
|
Landesinstitut
für Schulqualität und Lehrerbildung
Riebeckplatz
9
06110 Halle
(Saale)
Tel: 0345
2042-0
|
Vertretungsberechtigte
Person
|
Frau Otte
E-Mail:
kontakt@sos-helmholtz.bildung-lsa.de
|
Thomas
Schödel
E-Mail:
lisa-direktor@sachsen-anhalt.de
|
Herr Tobias
Peterson
E-Mail: tobias.peterson@sachsen-anhalt.de
|
Herr Dr.
Schmidt
LISA-Datenschutzbeauftragter@sachsen-anhalt.de
|
1.2
Verantwortung für die
Kursinhalte
Trainerinnen
und Trainer im jeweiligen Kurs, typischerweise Lehrkräfte, die diese Inhalte
für den jeweiligen Lehr- und Lernprozess bereitstellen, sind die ersten
Ansprechpartnerinnen und -partner bei inhaltlichen Fragen zum Kurs. Die
Kontaktdaten sind den Teilnehmerinnen und Teilnehmer aus dem Schulkontext
bekannt.
1.3
Verantwortung für die
Lernplattform
Jede
Nutzerin und jeder Nutzer kann per E-Mail an die Moderatorinnen bzw.
-moderatoren (moodle1869@sos-helmholtz.bildung-lsa.de) einen Bericht über die
in der Moodle-Plattform gespeicherten persönlichen Daten anfordern und andere
datenschutzrechtliche Anfragen stellen.
Für
Anfragen, die mit der Schule nicht direkt geklärt werden können, steht
den Nutzerinnen und Nutzern auch der Datenschutzbeauftragte des LISA zur
Verfügung.
2
Zweck der Erhebung
Die Lernplattform https://moodle.bildung-lsa.de/lbz-helmholtz/
der Schule LBZ für Blinde und Sehbehinderte „H. v. Helmholtz“ basiert auf dem
Open Source Learning-Management-System Moodle und repräsentiert eine Instanz
dieser Software auf einem Serversystem des Bildungsservers Sachsen-Anhalts in Verbindung
mit einer SQL-Datenbank für diese Schule.
Moodle ermöglicht die Bereitstellung von Unterrichtsmaterialien
zur individuellen und kooperativen Bearbeitung, Einreichung von Lernergebnissen
in Dateiform, Ton- und Videoaufnahme (sofern diese Funktion in der Aktivität
Aufgabe freigeschaltet wurde) und Nutzung von Abstimmungs- und
Befragungswerkzeugen. Es unterstützt eine kursbezogene Kommunikation und
Kollaboration über verschiedene Lernaktivitäten (wie Foren, Wikis, Glossare,
Datenbanken) sowie einen Kalender mit Kurs-, Gruppen- und persönlichen
Terminen. Über die Funktionen Mitteilungen und Forum können Nachrichten
gesendet und empfangen werden.
Durch die Einbindung der Software BigBlueButton (auf einem
dedizierten Server) wird die kursbezogene Durchführung von Webkonferenzen
ermöglicht. Die Einbindung der Software Collabora (auf einem dedizierten
Server) ermöglicht die Bereitstellung von synchron bearbeitbaren Dokumenten der
LibreOffice-Produktfamilie.
Personen mit der Rolle Teilnehmer/in
bzw. Trainer/in können verfolgen, wie
weit sie selbst im Kurs fortgeschritten sind, welche Aktivitäten oder ganze
Kurse bereits abgeschlossen bzw. welche Lernaktivitäten noch nicht
abgeschlossen wurden.
Die Lernaktivitäten Test oder H5P unterstützen die Überprüfung des
Lernfortschritts.
3
Rechtliche
Grundlagen
Die
personenbezogenen Daten werden ausschließlich während der Teilnahme an Moodle-basierten
Kursen verarbeitet und nur zweckgebunden zur Vorbereitung, Durchführung und
Nachbereitung der jeweiligen (Unterrichts-)Veranstaltung im Rahmen der den
Schulen durch das Schulgesetz des Landes Sachsen-Anhalt übertragenen Aufgaben
(§ 1 SchulG LSA) bzw. für schulorganisatorische Prozesse genutzt.
Die rechtliche Grundlage bilden § 84a Abs. 1, 2 Schulgesetz des
Landes Sachsen-Anhalt i. V. m. Art. 6 Abs. 1 lit. e DS-GVO.
4
Rollen in der
Plattform
Die
Berechtigungen zur Nutzung einer Moodle-Plattform bestehen in Abhängigkeit von
der übertragenen Rolle im Kursraum. Im Folgenden werden diese Rollen genannt
und beschrieben.
Gast – nicht auf
der Moodle-Plattform eingeloggte Personen der Internetöffentlichkeit. Gäste
können nur die Bereiche der Moodle-Plattform einsehen, die für die
Internetöffentlichkeit freigegeben sind, z. B. die Login- oder Startseite.
Nutzer/innen – Oberbegriff
für alle Personen mit Zugang zur Plattform, unabhängig von Kursen, in die sie
eingetragen sind, und ihrer Rolle darin, auch unabhängig von ihrer Stellung im
Lehr- und Lernprozess.
Teilnehmer/innen
– Nutzer/innen, die in der Rolle Teilnehmer/in in einem Kurs eingetragen
sind, meistens Schülerinnen und Schüler. Teilnehmer/innen
können in Kursen bereitgestellte (Lern-)Angebote nutzen und über die
Plattformfunktionen mit Teilnehmer/innen
und Trainer/innen der gleichen Kurse
kommunizieren.
Trainer/innen – Nutzer/innen, die in der Rolle Trainer/in in einem Kurs eingetragen
sind, meistens Lehrerinnen und Lehrer. Trainer/innen
können Kurse beantragen, Nutzer/innen
in Kurse als Teilnehmer/innen und Trainer/innen einschreiben und
(Lern-)Angebote in eigenen Kursen anlegen und bereitstellen.
Moderator/innen
und Administrator/innen –Nutzer/innen, die die Plattform
verwalten, Funktionen freischalten und einschränken und das Erscheinungsbild
der Plattform verändern. Sie können in allen Kursen der Plattform wie die Rolle
Teilnehmer/in und die Rolle Trainer/in agieren, haben Zugriff auf
alle Nutzerinformationen und existierenden Kurse. Sie können Nutzerzugänge und
Kurse anlegen, bearbeiten und löschen sowie Kursanträge bestätigen und
ablehnen.
Root-Administrator/in
– ein Mitarbeiter oder eine Mitarbeiterin des LISA, der/die die Hard- und
Software der Plattform administriert und Zugriff auf die gesamte Installation
hat. Der/die Root-Administrator/in
kann über die Rechte der übrigen Rollen hinaus Änderungen an der Hard- und
Software vornehmen.
5
Gegenstand und
Umfang der Datenverarbeitung
5.1
Einrichtung eines
Zugangs zur Lernplattform
Die Nutzung der Lernplattform ist Bestandteil des
Unterrichts und der Schulorganisation. Für
die Einrichtung eines persönlichen Zugangs ist die elektronische Speicherung
von Daten notwendig. Die Moderatorinnen und Moderatoren der Lernplattform legen
für die Lernenden und andere am Bildungsprozess beteiligte Personen (z. B. Sorgeberechtigte,
Sozialarbeiterinnen und Sozialarbeiter, Personen aus Praktika- bzw. Ausbildungsbetrieben
oder Austauschschulen) die Nutzerzugänge an und teilen diesen die Zugangsdaten
mit.
Für
Lehrkräfte werden in der Regel deren Bildungsserverzugänge durch die
Schulleitung für die Lernplattform frei geschaltet. Lehrkräfte können außerdem
ihren Bildungsserverzugang über einen Dienst des Bildungsservers für die
Lernplattform der eigenen Schule freischalten.
Alle
Nutzer/innen loggen sich mit ihren
persönlichen Zugangsdaten auf der Lernplattform ein.
Danach
können sie die Kurse nutzen, in die sie als Teilnehmer/innen
bzw. Trainer/innen eingetragen sind
bzw. Angebote für die eine Selbsteinschreibung ermöglicht oder der Gastzugang
freigeschaltet wurde.
5.2
Benutzerdaten
Folgende
Daten werden in den Nutzerprofilen erfasst und auf der Plattform benutzt:
·
Lokal
erzeugte Nutzeraccounts: Loginname, Kennwort, Vor- und Nachname, fiktive oder reale
E-Mail-Adresse, Klassenbezeichnung, Schule, Profilbild
·
Vom
Bildungsserver übernommene Nutzeraccounts (Lehrerinnen und Lehrer): Loginname,
Kennwort, Vor- und Nachname, E-Mail-Adresse, Schule (Institution).
Darüber
hinaus können Nutzer/innen auf
freiwilliger Basis im Profil weitere persönliche Daten hinterlegen. Diese
Funktionalität können Moderator/innen
beschränken oder deaktivieren.
5.3
Daten, die im Rahmen der
Arbeit mit der Plattform entstehen
Auf
der Lernplattform werden ab der Registrierung als Nutzer/in von diesen eingegebene oder mit der Nutzung automatisch
anfallende Daten verarbeitet. Über die in der Anmeldung angegebenen, teils automatisch
anfallenden, teils von den Nutzer/innen
zusätzlich eingegebenen Informationen hinaus protokolliert die Lernplattform in
einer Datenbank:
·
Login- und Logout-Zeitpunkte,
·
zu welcher
Zeit die Nutzer/innen auf welche
Bestandteile der Plattform zugreifen,
·
ob Teilnehmer/innen gestellte Aufgaben
erledigt haben,
·
ob und welche
Beiträge sie geleistet haben,
·
wie viele
Punkte in einer Aktivität erreicht wurden,
·
ob und wann
Änderungen an Einreichungen vorgenommen wurden,
·
ob und wie
sie in verschiedenen Aktivitäten mitgewirkt haben.
Die
Plattform Moodle ermöglicht es weiterhin, Berichte zu Zugriffszahlen,
Nutzeraktivitäten und Kursbeteiligungen zu erstellen. Diese können von dem/der Administrator/in plattformweit anlassbezogen
und von Trainer/innen in deren Kursen
eingesehen werden.
Die
Protokolle werden statistisch nicht ausgewertet. Diese Daten werden nach 60
Tagen automatisch gelöscht.
Aufzeichnungen
des Videokonferenz-Plugins BigBlueButton werden ebenfalls spätestens 60 Tage
nach Aufnahme automatisch gelöscht.
6.1
Beschreibung des Dienstes
Die Nutzung der Moodle-App (herunterladbar in den jeweiligen
App-Stores,) und deren Push-Funktion ist ein Zusatzangebot und gehört nicht zum
Kernangebot der Moodle-Installation. Die Moodle-App wird von Moodle Pty Ltd.
bereitgestellt und nicht vom LISA angeboten.
Die Schule entscheidet, ob sie die Moodle-App für die schuleigene
Plattform freischaltet und nimmt die entsprechenden Einstellungen in der
Administration der Plattform vor.
Über die Moodle-App können wesentlichen Funktionen der
Moodle-Kurse in der Rolle Teilnehmer/in
genutzt werden. Jedoch werden nicht alle Funktionalitäten, insbesondere
Funktionen von Plugins, fehlerfrei abgebildet. Da die meisten Kurse nicht für
die Nutzung in der Moodle-App optimiert sind, sei darauf hingewiesen, dass mit
mobilen Endgeräten wie Smartphone oder Tablet auch über die auf diesen Geräten
installierten Browser auf die Moodle-Plattform zugegriffen werden kann. Die
Funktionalitäten werden dann wie am Computer oder Laptop dargestellt.
Mit der Moodle-App kann die Kommunikation per Mitteilungsfunktion
ähnlich wie in einem Messenger-Dienst vorgenommen werden. Außerdem werden
Systemnachrichten in der App angezeigt.
6.2
Push-Funktion
Die Moodle-App stellt die Möglichkeit bereit, Mitteilungen und
Systemnachrichten per Signalton, Signalgrafik und Statusicon am mobilen
Endgerät anzukündigen, ohne dass der Nutzer bzw. die Nutzerin die App zu diesem
Zeitpunkt geöffnet oder aktiviert haben muss (Push-Funktion).
Die Push-Funktion muss von den Nutzerinnen und Nutzern, wenn
gewünscht, in ihrem jeweiligen Endgerät explizit aktiviert werden. Sie werden
dazu bei der Installation der App aufgefordert, können dies aber auch ablehnen.
Nutzerinnen und Nutzer werden explizit aufgefordert, sich mit den
Datenschutzinformationen der Anbieter der Betriebssysteme ihrer mobilen
Endgeräte (z. B. Google – Datenschutzerklärung | Nutzungsbedingungen, Apple – Datenschutzerklärung | Softwarelizenzverträge) vertraut zu machen und nur in Kenntnis dieser Informationen zu
entscheiden, ob sie die Moodle-App installieren und/oder deren Push-Funktion
aktivieren. Diese Entscheidung ist freiwillig.
6.3
Datenschutzrechtliche
Verantwortlichkeiten bei Nutzung der Moodle-App
Wird die Push-Funktion genutzt, werden personenbezogene Daten
zunächst an einen Server der Moodle Pty Ltd. und von dort an die Anbieter der Betriebssysteme mobiler Endgeräte
(z. B. Google für Android und Apple für iOS) weitergeleitet, damit die
Push-Funktion am Endgerät ausgelöst werden kann.
Eine solche Weiterleitung ist nicht durch pädagogische
Notwendigkeit im Rahmen des § 84a SchulG LSA gedeckt und kann daher nur
aufgrund einer freiwilligen Einwilligung erfolgen.
Daher ist eine durch Schulen oder Lehrkräfte veranlasste
verpflichtende Nutzung der App bzw. der Push-Funktion nicht zulässig. Auf keinen Fall darf einer Schülerin oder
einem Schüler aus der Nicht-Nutzung der App bzw. Push-Funktion ein Nachteil
entstehen, indem z. B. wichtige Informationen kurzfristig versandt und
dadurch nicht rechtzeitig gesehen oder Fristen verpasst werden. Es ist Aufgabe
der Schule, dies für die eigenen Schülerinnen und Schüler sicherzustellen und
dabei die Heterogenität der Mediennutzung und technischen Ausstattung der
Nutzerinnen und Nutzer zu berücksichtigen.
Die
Rechtsgrundlage für die Nutzung der Moodle-App ist eine Einwilligung im Sinne
von Art. 6 Abs. 1 lit. b DS-GVO gegenüber dem Anbieter der Moodle-App.
Bitte
beachten Sie, dass Sie bei Installation der Moodle-App in die
Nutzungsbedingungen und datenschutzrechtlichen Rahmenbedingungen des Anbieters
einwilligen und dadurch die oben geschilderten Verarbeitungsvorgänge akzeptieren.
7
Cookies
Mit
der Nutzung von Moodle wird das Cookie MoodleSession lokal gespeichert. Es
ermöglicht nach dem Login den Zugriff auf alle Moodle-Seiten. Nach dem Abmelden
bzw. Schließen des Browsers wird dieses Cookie automatisch gelöscht.
8
Auftragsverarbeitung
Die
Verarbeitung der personenbezogenen Daten der Lernplattform findet vertragsgemäß
auf Systemen der Open Telekom Cloud (bereitgestellt durch die T-Systems
International GmbH) statt, die die Serverdienstleistungen für die
Moodle-Plattform und integrierte Dienste (aktuell Collabora) vorhält. Damit ist
nicht ausgeschlossen, dass dortige Administratorinnen und Administratoren Kenntnis
von personenbezogenen Daten aus der Lernplattform erhalten können. Zwischen dem
Land Sachsen-Anhalt und der T-Systems International GmbH, Hahnstraße 43d, 60528
Frankfurt/Main wurde hierzu ein Auftragsverarbeitungsvertrag geschlossen, so
dass die Regelungen der DS-GVO eingehalten werden.
Die
Verarbeitung der personenbezogenen Daten des Videokonferenz-Plugins
BigBlueButton findet vertragsgemäß auf Systemen der Digital Learning GmbH statt,
die die Serverdienstleistungen für die Anwendung BigBlueButton vorhält. Damit
ist nicht ausgeschlossen, dass dortige Administratorinnen und Administratoren Kenntnis
von personenbezogenen Daten aus Videokonferenzen, die über Moodle und
BigBlueButton vermittelt werden, erhalten können. Zwischen dem Land
Sachsen-Anhalt und der Digital Learning GmbH wurde hierzu ein
Auftragsverarbeitungsvertrag geschlossen, so dass die Regelungen der DS-GVO
eingehalten werden.
Die
Verarbeitung der personenbezogenen Daten aus Mitteilungen und Systemnachrichten
der Lernplattform in der Moodle-App findet vertragsgemäß auf Systemen der
Moodle Pty Ltd. in Europa statt. Diese leitet Mitteilungen und
Systemnachrichten an die Anbieter der Betriebssysteme mobiler Endgeräte (z. B.
Google für Android und Apple für iOS) weiter, wo sie verarbeitet werden, um
Mitteilungen und Systemnachrichten als Push-Notification am Endgerät der Nutzer/innen darzustellen. Das Land
Sachsen-Anhalt hat mit der Moodle Pty Ltd. einen Auftragsverarbeitungsvertrag
geschlossen.
9
Datenweitergabe und
Datenveröffentlichung
Die
in der Moodle Datenbank gespeicherten Daten dienen ausschließlich der
Durchführung der jeweiligen Lehrveranstaltung und zur Unterstützung schulorganisatorischer
Prozesse. Diese Daten werden durch das LISA nicht an andere Personen oder
Stellen weitergegeben, veröffentlicht oder für andere als die vorgesehenen
Zwecke verwendet, auch nicht in anonymisierter Form.
10
Löschung von Daten
10.1
Moodle Log Dateien
Die
automatisierte Löschung der Protokollierung des Benutzerverhaltens erfolgt
spätestens nach 60 Tagen.
Aufzeichnungen
des Videokonferenz-Plugins BigBlueButton werden durch die Trainer/innen spätestens 60 Tage nach Aufnahme gelöscht.
10.2
Moodle Account
Benutzeraccounts
werden nach dem Verlassen der Schule deaktiviert und spätestens nach der
gesetzlichen Aufbewahrungsfrist gelöscht.
11
Ihre Rechte
Ihnen
steht das Recht zu, jederzeit Auskunft zu den bei uns gespeicherten und Ihrer
Person zuzuordnenden personenbezogenen Daten zu verlangen (Art. 15 DS-GVO).
Darüber hinaus haben Sie das Recht auf Berichtigung (Art. 16 DS-GVO), Löschung
(Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO),
Datenübertragung (Art. 20 DS-GVO) und Widerspruch (Art. 21 DS‑GVO). Sofern Sie
eine Einwilligung zur Verarbeitung der Ihnen zuzuordnenden personenbezogenen
Daten erteilt haben, steht Ihnen das Recht zu, diese Einwilligung jederzeit mit
Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis
dahin erfolgten Verarbeitung berührt wird. Sofern Sie der Ansicht sind, dass
die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt, steht
Ihnen das Recht zu, sich bei einer Aufsichtsbehörde
(Landesdatenschutzbeauftragter des Landes Sachsen-Anhalt) zu beschweren (Art. 77 DS-GVO).