Datenschutzerklärung für die Lehr-/Lernplattform „Moodle“ der FernUniversität in Hagen
Stand 04.07.2024
1. Name und Anschrift des Verantwortlichen
Die Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und der jeweils einschlägigen nationalen Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen („Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“) ist die
FernUniversität in Hagen
Universitätsstraße 47
58097 Hagen
Körperschaft des Öffentlichen Rechts
vertreten durch
die Rektorin Prof. Dr. Ada Pellert
Tel.: 02331 987 - 2400
E-Mail: rektorin@fernuni-hagen.de
2. Kontaktdaten der/des Datenschutzbeauftragten
FernUniversität in Hagen
Datenschutzbeauftragter
Universitätsstraße 47
58097 Hagen
Tel.: 02331 987 – 2511
E-Mail: datenschutzbeauftragter@fernuni-hagen.de
3. Allgemeines zur Datenverarbeitung
Datenverarbeitungsvorgänge umfassen das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermitteln und Löschen von personenbezogenen oder personenbeziehbaren Daten.
Personenbezogene oder personenbeziehbare Daten (nachfolgend kurz: personenbezogene Daten) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer Identität sind.
Die FernUniversität in Hagen als Körperschaft des Öffentlichen Rechts verarbeitet personenbezogene Daten auf Grundlage DSGVO sowie der einschlägigen nationalen Datenschutzgesetze und -bestimmungen der Bundesrepublik Deutschland und des Landes Nordrhein-Westfalen, die ergänzend oder nachrangig zu den Vorschriften der Europäischen Union Anwendung finden. Dies ist nach seinem Inkrafttreten insbesondere das Datenschutzgesetz des Landes Nordrhein-Westfalen in seiner an die DSGVO angepassten Fassung.
Der Zweck, Umfang und die Dauer unserer Datenverarbeitungsvorgänge richten sich in den meisten Fällen nach dem gesetzlichen Auftrag der Hochschule gemäß § 3 Hochschulgesetz NRW und der damit in Verbindung stehenden Rechtsnormen.
(Rechtsgrundlage Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 3 (Aufgaben) und weiteren Vorschriften für Hochschulen im HG NRW.)
Dieser Auftrag umfasst insbesondere die Pflege und Entwicklung der Wissenschaften durch Forschung, Lehre, Studium, wissenschaftlicher Nachwuchsförderung und Wissenstransfer unter Berücksichtigung der sozialen und demokratischen Verantwortung. Besonderes Einsatzgebiet der FernUniversität in Hagen ist die Förderung und Entwicklung des Fernstudiums.
Des Weiteren unterliegt die Hochschule bei der Erfüllung ihres Auftrags diversen gesetzlichen Verpflichtungen (z.B. des Finanzrechts), die eine Verarbeitung von personenbezogenen Daten erforderlich machen.
In Erfüllung ihrer Aufgaben ist die FernUniversität außerdem verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Auch diese Maßnahmen können die Verarbeitung von personenbezogenen Daten bedingen.
Weitere Informationen zu den Datenverarbeitungsvorgängen finden Sie in den zentralen Ordnungen und Regularien der Hochschule (z.B. der Zulassungs- und Einschreibungsordnung) sowie in den Nutzungshinweisen zu den einzelnen Anwendungen.
Darüber hinaus kann eine Datenverarbeitung erfolgen, sofern Sie hierzu Ihre explizite, jederzeit widerrufbare Einwilligung erteilt haben.
(Rechtsgrundlage Art. 6 Abs. 1 lit. a) DSGVO
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene*r i.S.d. DSGVO. Rechte, die Ihnen als Betroffene*r gegenüber der FernUniversität zustehen, finden Sie unter Punkt 9, dem letzten Abschnitt dieser Erklärung.
Die Daten können, basierend auf Art. 6, Abs. 1, lit. e DSGVO, sowie Art. 89 DSGVO in Verbindung mit § 17 DSG NRW auch für wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die FernUniversität in Hagen sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß §17 Abs. 2 DSG NRW vor. Die Daten werden gemäß §17, Abs. 3 DSG NRW anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Die Daten werden gelöscht, sobald der Forschung- oder Statistikzweck dies erlaubt. Eine Nutzung sowie die Kenntnisnahme der in der Lehr-/Lernumgebung enthaltenen Daten durch Dritte ist nur in pseudonymisierter Form im Rahmen von Kooperationsprojekten mit der FernUniversität möglich. Im Übrigen gelten die Voraussetzungen des § 17 DSG NRW.
Hinweis:
Die FernUniversität ist als Hochschule dezentral in Fachbereichen bzw. Fakultäten organisiert und verfügt neben der Hochschulverwaltung über wissenschaftliche Einrichtungen und Betriebseinheiten. Die dezentrale Organisation spiegelt sich auch im Aufbau der IT-Systemlandschaft und den Websites wieder. Um Ihnen dennoch einen möglichst einheitlichen Überblick über die Datenverarbeitungsvorgänge zu ermöglichen, bildet diese Datenschutzerklärung den übergeordneten, verbindlichen Rahmen. Dort, wo Websites oder IT-Anwendungen eine zulässige weitere oder ergänzende Datenverarbeitung vorsehen, werden Sie auf der Seite selbst informiert.
4. Datenverarbeitungsvorgänge in Moodle
Moodle (Modular Object-Oriented Dynamic Learning Environment) ist ein Open Source Softwarepaket zur Unterstützung der Lehre. Damit ist ein webbasierter Zugriff auf modul- oder kursbezogene Lernumgebungen möglich. Eine Installation/Bereitstellung einer Version von Moodle auf einem Server wird im Folgenden Moodle-Instanz genannt.
Diese Datenschutzhinweise beziehen sich auf die Moodle-Instanz, die unter https://moodle.fernuni-hagen.de/ zu erreichen ist.
Die Systemumgebung beinhaltet jeweils eigens für die Moodle-Instanz eingerichtete Datenbanken mit den Kurs- und Nutzerdaten und ebenfalls eigens eingerichteten Web-Servern, auf denen neben dem Programmcode von Moodle auch die von Nutzenden hochgeladenen Dateien abgelegt werden. Zugriff auf diese IT-Basis haben ausschließlich die Systemadministrator*innen im ZDI. Für die Nutzenden der Moodle-Instanzen ohne Administrationsrechte sind die Daten nur webbasiert über die Funktionen in Moodle zugänglich.
Bei jedem Aufruf der Lernplattform Moodle werden automatisiert folgende Daten und Informationen vom aufrufenden Endgerät erfasst:
- Informationen über den Browsertyp und die verwendete Version
- Betriebssystem des verwendeten Endgeräts
- Internet-Service-Provider der nutzenden Person
- IP-Adresse des verwendeten Endgeräts
- Name, URL und übertragene Datenmenge der abgerufenen Datei
- HTTP-Statuscode (angeforderte Datei übertragen, nicht gefunden etc.)
- Datum und Uhrzeit des Zugriffs
- Websites, von denen das verwendete System auf die Internetseite gelangt
- Websites, die vom verwendeten System über die Website aufgerufen werden
4.1 Nutzendenprofile in Moodle
Der Zugang zur Moodle-Instanz https://moodle.fernuni-hagen.de/ sowie den Archiven (moodle-ksw.fernuni-hagen.de, moodle-psy.fernuni-hagen.de und moodle-wrm.fernuni-hagen.de) wird ausschließlich Mitgliedern und Angehörigen der FernUniversität mit einer gültigen Eintragung in das zentrale Nutzendenverzeichnis (LDAP) eröffnet.
Ungültige Nutzendenprofile werden in regelmäßigen Abständen (mindestens 1x pro Semester) automatisch gelöscht. Auf Nachfrage ist in diesen Fällen auch eine sofortige Löschung möglich.
4.2 Personenbezogene Daten im Moodle-Nutzendenprofil
Im Rahmen jedes Login-Vorgangs werden folgende Informationen aus dem LDAP-Account automatisch in das korrespondierende Moodle-Nutzendenprofil übertragen bzw. aktualisiert: Nachname, Vorname und E-Mail-Adresse. In Moodle ist eine Änderung dieser Daten in diesem Fall nicht möglich. Alle weiteren Angaben, die im Profil gemacht werden, wie etwa Kontaktinformationen, sind freiwilliger Natur und werden bei Angabe ebenfalls gespeichert.
Die Erfassung dieser Daten ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.
In den Moodle-Nutzendenprofilen werden keine Passwörter gespeichert. Bei FernUniversitäts-Accounts liegen diese Informationen im angebundenen System zur LDAP-Authentifizierung.
5. Lehr-/Lernbetrieb in Moodle
Die Durchführung eines Kurses in Moodle ist mit einer Vielzahl von Aktionen und Aktivitäten seitens der zugriffsberechtigten Personen verbunden. Im folgenden Abschnitt werden die Daten beschrieben, die in der Datenbank aufgezeichnet werden.
Die Erfassung dieser Daten ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.
5.1 Personenbezogene Daten im Lehr-/Lernbetrieb mit Moodle
Alle Beiträge, Aufgabenlösungen oder Aktionen, die im Verlauf der Plattformnutzung in Foren oder anderen Aktivitäten eingestellt oder ausgeführt werden, werden in der Moodle-Datenbank in der Form gespeichert, dass nachvollziehbar ist, wer diese Beiträge, Aufgabenlösungen oder Aktionen verfasst bzw. ausgeführt hat. Unter Aktionen sind alle Aktivitäten zu verstehen, die zu einem Ergebnis führen, wie zum Beispiel das Schreiben eines Forenbeitrags, die Stimmabgabe im Rahmen einer Abstimmung oder das Beantworten von Fragen im Rahmen eines Online-Tests. Zusätzlich dazu definiert Moodle sogenannte Ereignisse, um das Nutzerverhalten nachvollziehbar zu machen. Diese Ereignisse bilden sowohl lesendes Verhalten als auch die oben genannten Aktionen eines Nutzenden ab. Die Ereignis-Logs der letzten 180 Tage werden in der Datenbank festgehalten und sind über die Moodle-Oberfläche für Administratoren einsehbar. Dabei werden diese zusammen mit folgenden Nutzenden-Daten gespeichert:
- Der IP-Adresse des Rechners, von dem die Nutzenden die Ereignisse ausgelöst haben
- Der Name des Nutzenden
- Der Zeitpunkt, an dem die Aktion ausgeführt wurde
Zweck der Datenaufzeichnung:
- Unterstützung von Kommunikation und Kooperation der Moodle-Nutzenden
- Überprüfung des Lernfortschritts
- Rückmeldungen
- Fehleranalyse
Eine ausführliche Erläuterung der sichtbaren Daten aufgeteilt nach den Rollen in Moodle ist in den Nutzungshinweisen zu finden.
5.2 Webserver-Logfiles
Jede Moodle-Instanz wird über einen Webserver bereitgestellt. Die Moodle-Webserver führen neben den oben genannten Ereignis-Logs, die Moodle datenbankseitig speichert, ihrerseits jeweils Logfiles zu webbasierten Zugriffen auf die Moodle-Instanz und zu anwendungsseitigen Fehlern, die während dieser Zugriffe gemeldet werden.
Im Zugriffs-Logfile wird jeder HTTP-Zugriff (insbesondere jede Verbindung Ihres Webbrowsers zu Moodle) vermerkt. Zu jedem Zugriff werden folgende personenbezogenen Daten gespeichert:
- Die IP-Adresse, von wo aus der Zugriff erfolgte
- Der Zeitpunkt des Zugriffs
- Die Art des Zugriffs (Bspw. GET oder POST)
- Die URL des Zugriffs
- Der HTTP-Response-Code, der zurückgeschickt wurde
- Der Referrer-Link, vom dem ggf. auf die Moodle-Instanz verlinkt wurde
- Der User Agent, der für den Zugriff benutzt wurde
- Die Größe der zurückgeschickten Antwort
Das Fehler-Logfile zeichnet neben fehlerbezogenen Informationen folgende personenbezogenen Daten auf:
- Der Zeitpunkt des Fehlers
- Die dazugehörige IP-Adresse
Diese Informationen dienen insbesondere zu folgenden Zwecken:
- Fehleranalyse und Problembehebung,
- Sicherstellung der Sicherheit unserer informationstechnischen Systeme,
- Benutzendensupport (Second-Level-Support durch Moodle-Administration),
- Klärung verschiedener Sachverhalte (z.B. Bestätigung eines unverschuldeten Fristversäumnisses aufgrund technischer Probleme auf Systemseite),
- Unterstützung der Entwicklung bei der Planung des technischen Systems
- Quelle für Statistiken.
- Das Logfile wird jeweils über ein Semester aufgezeichnet und im Laufe des nachfolgenden Semesters wieder gelöscht. Lediglich die Systemadministrierenden haben Zugriff darauf.
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO i.V.m. IT-Sicherheit nach Art. 32 DSGVO.
Die Erfassung und Speicherung der Daten in Logfiles ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.
5.3 Verwendung von Cookies
Cookies sind Textdateien, die beim Aufruf einer Website im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Mit Hilfe von Cookies kann sich der Browser vorübergehend „Daten merken“, während die Nutzenden zwischen einzelnen Seiten der Moodle-Instanz wechseln (z.B. einem Link folgen). Diese Daten stehen sowohl JavaScripten im Browser als auch dem serverseitigen System (Moodle-Instanz) zur Verfügung.
Die im FernUni-Moodle verwendeten Cookies sind Session-Cookies. Session-Cookies werden spätestens beim Beenden des Webbrowsers wieder automatisch gelöscht, insofern dies im Webbrowser so eingestellt wurde.
Folgende Cookies werden verwendet:
- "MoodleSession“: Dieses Cookie bewirkt, dass Nutzende beim Zugriff auf weitere Moodle-Seiten eingeloggt bleiben. Es enthält lediglich eine verschlüsselte Session-ID, die auf eine serverseitig temporär gespeicherte Session verweist. Eine so genannte Session ist ein auf dem Server vorübergehend gespeicherter Zustand einer konkreten Browsersitzung eines Endnutzers, kann also die Information enthalten, ob und unter welchem Anmeldenamen sich der Browsernutzer beim System eingeloggt hat. Eine Session endet automatisch nach 180 Minuten, insofern in dieser Zeit kein weiterer Aufruf einer URL dieser Moodle-Instanz getätigt wurde. Jeder Aufruf setzt den Ablaufzeitpunkt zurück.
- „MDL_SSP_SessID“ + „MDL_SSP_AuthToken”: Diese Cookies werden in dem Fall gesetzt, wenn Nutzende sich per SSO in Moodle einloggen. „MDL_SSP_SessID“ speichert hierbei eine Session-ID für die Moodle-SSO-Session und „MDL_SSP_AuthToken“ eine für diese Session generierte Zeichenfolge, die für die Aufrechterhaltung der Authentifizierung durch den SSO-Provider verwendet wird.
Nutzende haben die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Browsereinstellungen kann die Übertragung von Cookies eingeschränkt oder deaktiviert werden.
Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden technisch notwendige Cookies für Moodle deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden. Die Rechtsgrundlage für technisch notwendige Cookies ist § 25 Abs. 2 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz).
6. Webanalyse, Social Media und Moodle Plugins
6.1 Matomo
Moodle greift nicht auf externe Analysedienste zur Verfolgung Ihres Surfverhaltens zurück und bindet auch keine externe Werbung ein. Um unser Moodle Webseite zu verbessern und unseren Nutzenden eine optimale Usability von Moodle zu bieten, verwenden wir das lokal installierte Open-Source-Software-Tool Matomo.Die Software ordnet die Online-Aktivitäten per Digital Fingerprint einer einzelnen Browser-Sitzung zu und löscht diese nach 24 Stunden. Matomo setzt keine Cookies.Werden Einzelseiten unserer Website aufgerufen, so werden folgende Daten gespeichert:
- Zwei Bytes der IP-Adresse des aufrufenden Systems der Nutzerin/des Nutzers
- Die aufgerufene Webseite
- Die Website, von der der Nutzer auf die aufgerufene Webseite gelangt ist (Referrer)
- Die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen werden
- Die Verweildauer auf der Webseite
- Welcher Browser mit welchen Plugins, welches Betriebssystem und welche Bildschirmauflösung genutzt wird
Die Software läuft dabei ausschließlich auf den Servern der FernUniversität Hagen. Eine Speicherung der personenbezogenen Daten der Nutzerinnen und Nutzer findet nur dort statt. Eine Weitergabe der Daten an Dritte erfolgt nicht.
Wir bieten unseren Nutzer*innen auf unserer Website die Möglichkeit, sich vom Analyseverfahren auszunehmen (Opt-Out). Um sich abzumelden, entfernen Sie bitte im folgenden blauen Kasten den Haken am entsprechenden Hinweis durch einen Klick. Dadurch wird ein Opt-Out-Cookie auf Ihrem System platziert, der unserem System signalisiert, Ihre Daten nicht zu speichern. Beachten Sie bitte, dass, wenn Sie den Opt-Out-Cookie von Ihrem System löschen, Sie den Opt-Out erneut aktivieren müssen, um weiterhin vom Tracking ausgeschlossen zu sein.
Social-Media-Plugins sind nicht zentral für alle Moodle-Nutzenden eingebunden.
6.2 Youtube
Bei der Nutzung von eingebetteten YouTube-Videos in Kursmaterialien auf Moodle der FernUniversität sollten Nutzerinnen beachten, dass dadurch personenbezogene Daten wie IP-Adressen oder Surfverhalten an YouTube, ein Unternehmen von Google mit Sitz in 901 Cherry Ave., San Bruno, CA 94066, USA, übertragen werden können. Diese Übertragung erfolgt insbesondere, wenn Nutzerinnen während der Nutzung in ihrem persönlichen YouTube-Account eingeloggt sind, was YouTube ermöglicht, das Surfverhalten dem persönlichen Profil zuzuordnen. Um dies zu verhindern, sollten Nutzer*innen sich aus ihrem YouTube-Account ausloggen. Es wird empfohlen, die Datenschutzerklärungen von YouTube zu lesen und zu verstehen, bevor eingebettete Inhalte genutzt werden, da deren Datenverarbeitungspraktiken sich von denen der FernUniversität unterscheiden können.6.3 Zoom (X)
Das Videokonferenzsystem Zoom wird an der Fernuniversität in Hagen für synchrone Lehrveranstaltungen verwendet. Die Kursbetreuung kann bei der Bearbeitung von Kursen Aktivitäten vom Typ Zoom erstellen. Aus Betreuer-Perspektive können so relevante Einstellungen des jeweiligen Zoom-Meeting direkt in Moodle gemacht werden. Der Teilnahmelink wird dann automatisch in Moodle für die Kursbeleger*innen bereitgestellt und auch im Kurs-Kalender eingetragen. Zur Zuordnung des Zoom-Meeting zum zugehörigen Zoom-Account als Veranstalter*in sendet Moodle beim Erstellen und Bearbeiten von Zoom-Aktivitäten die in Moodle hinterlegte E-Mail-Adresse an den Zoom-Server der Fernuniversität.Für Teilnehmende an Zoom-Meetings, die den automatisch in Moodle bereitgestellten „Dem Meeting beitreten“-Button verwenden, wird der in Moodle hinterlegte Name an den Zoom-Server der Fernuniversität gesendet.
6.4 Medial
Das Videomanagement-System Medial wird an der Fernuniversität in Hagen für die Verwaltung und Distribution von Videos verwendet. Bei der Bearbeitung von Kursen kann die Kursbetreuung Videos so bereitstellen, dass sie von der lokal gehosteten Medial-Instanz der Fernuniversität verwaltet werden. Mitarbeitende können zu diesem Zweck ihren Moodle-Account mit dem Medial-Account verknüpfen und erhalten dadurch innerhalb von Moodle dauerhaft Zugriff auf Ihre Medial-Ressourcen.Teilnehmende an Moodle-Kursen erhalten durch die Kurseinschreibung Zugriff auf die zugehörigen Videos. Beim ersten Zugriff sendet Moodle den hinterlegten Namen sowie die zugehörige E-Mail-Adresse an den Medial-Server der Fernuniversität und erstellt auf diesem Server einen lokalen LTI-Account. Bei jeder weiteren Nutzung von Medial in Moodle erfolgt die Zuordnung zu diesem Account anhand der Moodle-User-ID automatisch.
6.5 LTI-Schnittstelle zu evasys
Die Evaluationssoftware evasys wird an der Fernuniversität zur Evaluation der Lehre eingesetzt. Studierende werden per E-Mail zur Teilnahme an der Evaluation von Modulen und Lehrveranstaltungen eingeladen und erhalten die Möglichkeit, diese anonym zu bewerten. Beim Login in Moodle wird überprüft, ob es aktuell offene Einladungen zu Evaluationen gibt.Dazu wird über eine LTI-Schnittstelle die im Moodle-Profil hinterlegte E-Mail-Adresse an die evasys-Instanz der Fernuniversität gesendet. Der evasys-Server teilt mit, ob es aktuell laufende Evaluationen für die zugehörige E-Mail-Adresse gibt. Sofern mindestens eine offene Einladung zu einer Evaluation existiert, wird die Anzahl der offenen Evaluationen sowie der personalisierte Einladungslink auch in Moodle angezeigt.
Die Teilnahme an der Evaluation ist freiwillig.
7. Weiterleitung auf das KI-Campus Moodle
Lehrende können bei Bedarf eine Anbindung an KI-Campus einrichten. KI-Campus bietet Kurse zum Thema Künstliche Intelligenz (KI), die im Rahmen des Projektes „KI-Campus 2.0“ auf dem FeU-KI-Campus-Moodle bereitgestellt werden. Der Zugang zum Kursangebot im FeU-KI-Campus-Moodle erfolgt für Studierende der FernUniversität aus der jeweiligen Moodle-Lernumgebung des FeU-Moodle-Produktivsystems über eine standardisierte LTI-Schnittstelle (Learning Tools Interoperability). Mit der Nutzung des KI-Campus-Kursangebotes werden Sie von dem FeU-Moodle-Produktivsystem über diese standardisierte Schnittstelle auf die Moodle-Instanz FeU-KI-Campus-Moodle weitergeleitet.Informationen zur Verwendung personenbezogener Daten:
- Anonymisierung bei Weiterleitung: Es erfolgt keine Übertragung persönlicher Daten wie Vor- und Nachname vom FeU-Moodle-Produktivsystem zum KI-Campus-Moodle. Eine neue User-ID und eine Dummy-E-Mail-Adresse werden für die Nutzung generiert.
- Datensicherheit: Das FeU-KI-Campus-Moodle wird in einer sicheren Umgebung gehostet und ausschließlich von den Systemadministrator*innen der FernUniversität in Hagen verwaltet.
- Keine Übertragung persönlicher Profildaten: Es werden keine persönlichen Profildaten aus dem FeU-Moodle-Produktivsystem in das KI-Campus-Moodle übertragen. Die Nutzung erfolgt anonym.
- Sichtbarkeit personenbezogener Daten: Mitarbeitende des Projektes und andere autorisierte Personen können Zugang zu den Kursen erhalten, jedoch sind die Studierenden, die über die LTI-Schnittstelle zugreifen, anonym und nicht identifizierbar.
- LTI-Schnittstelleneinstellungen: Die LTI-Einstellungen verhindern die Weitergabe von vollständigen Namen und E-Mail-Adressen der Studierenden an das KI-Campus-Moodle. Es werden keine Bewertungen zurück an das FeU-Moodle gesendet.
- Verantwortlichkeit für Inhalte: Der KI-Campus ist verantwortlich für die bereitgestellten Lernangebote. Inhalte werden sowohl von internen als auch von externen Quellen angeboten und stehen kostenlos zur Verfügung.
Weitere Informationen zu KI-Campus sind unter https://ki-campus.org/ zu finden. Verantwortlich für dieses Projekt ist der Stifterverband für die Deutsche Wissenschaft e.V.
8. Verantwortungsbereiche der Inhalteanbieter
Moodle ist eine Publikationsplattform für Kursinhalte, die von den zuständigen Inhaltsanbietern (z.B. Lehrgebieten und Institute) oder beauftragten Arbeitsbereichen vorbereitet und angeboten werden. Die Gestaltung der Kursinhalte ist sehr frei und kann unter anderem auch Inhalte enthalten, die über den hier beschriebenen Datenschutzrahmen der Moodle-Instanz hinausgehen. In den Moodle-Lernumgebungen können Inhalte enthalten sein, die auf dem Browser der Nutzenden oder als eigenständige Programme auf den Rechnern der Nutzenden installiert oder ausgeführt werden können.Die Nutzenden können Inhalte zum Beispiel in Abstimmungen, Feedbackumfragen, Hyperlinks, Kalendern, Gruppenverwaltung, Aufgaben, Tests, interaktiven Inhalten, Foren, Glossaren oder Wikis sowie lernraumübergreifend in den Mitteilungen (Messaging) erstellen. Auch hochgeladene Dateien zählen zu Inhaltsdaten.
Zu dieser Datenkategorie zählen auch Bewertungen, die für bewertete Lernaktivitäten vergeben werden. Die Bewertungen können entweder wie bei elektronischen Selbsttests automatisch durch das System erfolgen oder wie bei Aufgaben manuell durch die Rollen Manager*in und Betreuer*in. Bei automatischer Vergabe von Bewertungen treffen Manager*innen die diesen zugrundeliegenden Voreinstellungen und haben die Möglichkeit zur manuellen Überprüfung und Nachkorrektur.
Die Anbietenden der Inhalte sind in diesem Fall für den Datenschutz verantwortlich.
9. Rechte der betroffenen Person
Bei der Ausübung der Betroffenenrechte sollte die Anfrage zunächst an die Anbieter der jeweiligen Inhalte gerichtet werden, z.B. ein Lehrgebiet oder eine andere Organisationseinheit, da dort die entsprechende Kenntnis über die Datenverarbeitung vorhanden ist. Allgemeine Anfragen zum Datenschutz und zur Wahrung der Betroffenenrechte können jedoch auch direkt an den Datenschutzbeauftragten gerichtet werden.
9.1 Auskunftsrecht – Art 15 DSGVO
Nutzer*innen können von der FernUniversität eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden.Liegt eine solche Verarbeitung vor, kann über folgende Informationen Auskunft verlangt werden:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger*in bzw. die Kategorien von Empfänger*innen, gegenüber denen die betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Nutzer*innen steht das Recht zu, Auskunft darüber zu verlangen, ob die sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
9.2 Recht auf Berichtigung – Art 16 DSGVO
Nutzer*innen haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber der FernUniversität, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Die FernUniversität wird nach entsprechender Überprüfung die Berichtigung unverzüglich vornehmen.
9.3 Recht auf Löschung – Art 17 DSGVO
Unter den folgenden Voraussetzungen können Nutzer*innen die Löschung der sie betreffenden personenbezogenen Daten verlangen:- Die sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Artikel 17 Abs. 3 lit. b und e DSGVO);
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt 1) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
-
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Ausnahme gemäß Artikel 17 Abs. 3).
9.4 Recht auf Einschränkung der Verarbeitung– Art 18 DSGVO
Unter den folgenden Voraussetzungen können Nutzer*innen die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:- wenn die Richtigkeit der sie betreffenden personenbezogenen Daten von den Nutzer*innen für eine Dauer bestreiten wird, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- wenn die Verarbeitung unrechtmäßig ist und die Nutzer*innen die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die Nutzer*innen diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
- wenn die Nutzerinnen Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den Gründen der Nutzerinnen überwiegen.
Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken – Art 89 DSGVO:
Das o.g. Recht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.
9.5 Recht auf Unterrichtung – Art 19 DSGVO
Haben Nutzer*innen das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfänger*innen, denen die sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.Nutzer*innen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger*innen unterrichtet zu werden.
9.6 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art 7 Abs. 3 DSGVO
Nutzer*innen haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten sie bitte formlos an die Daten führende Stelle, der gegenüber sie in die Datenverarbeitung eingewilligt haben.Für die Anbieter von Inhalten übernimmt die Moodle Administration standardmäßig die Funktion als Kontaktstelle und ist über den Helpdesk erreichbar. Bei weiteren datenschutzrechtlichen Einwilligungen oder sonstigen Zustimmungen zur Nutzung bestimmter geschützter Bereiche oder Kurse wenden Sie sich an die Anbietenden der Inhalte, z.B. an das entsprechende Lehrgebiet.
9.7 Widerspruchsrecht – Art 21 DSGVO
Nutzer*innen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.Hinweis: In der Moodle Plattform findet seitens der FernUniversität kein Profiling, kein Marketing und keine Direktwerbung statt.
Der Verantwortliche verarbeitet die sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen sie der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Nutzer*innen haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG, Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie oder umgangssprachlich Cookie-Richtlinie) – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:
Nutzer*innen haben auch das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, bei der Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgt, dieser zu widersprechen.
Ihr Widerspruchsrecht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.
9.8 Datenweitergabe
Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet.Die Lehrveranstaltungen der FernUniversität in Hagen werden im Rahmen der studentischen Lehrveranstaltungsevaluation mit Hilfe des Systems EvaSys evaluiert. Um den Zugriff auf die Daten zu vereinfachen, werden für jeden Nutzer und jede Nutzerin im Dashboard im Block „Befragungen“ die freigegebenen Umfragen bzw. Umfrageergebnisse angezeigt. Um die Anzeige der individuellen Daten zu gewährleisten, wird die E-Mailadresse der Nutzenden an das EvaSys-System übertragen.
9.9 Datenübermittlung in Drittstaaten
Eine Übermittlung der oben spezifizierten personenbezogenen Daten aus dem Moodle der FernUniversität in Drittstaaten ist nicht vorgesehen.
9.10 Technische und organisatorische Maßnahmen zur Wahrung von Integrität und Vertraulichkeit
Gemäß Art. 32 DSGVO werden verschiedene technische und organisatorische Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzerkontrolle (Benutzername und Passwort). Der Zugriff auf den Server ist sowohl durch Benutzerkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern.
9.11 Recht auf Beschwerde bei einer Aufsichtsbehörde – Art 77 DSGVO
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
Die Aufsichtsbehörde der FernUniversität in Hagen ist die/der Landesdatenschutzbeauftragte des Landes Nordrhein-Westfalen.
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
Telefonzentrale: +49 (0)211 / 38424 – 0
https://www.ldi.nrw.de/
poststelle@ldi.nrw.de