Datenschutzbestimmungen
§1 Datenschutzbestimmungen
Im Rahmen der Nutzung des Learning Management System (im folgendem LMS) werden personenbezogene Daten erhoben und verarbeitet. Diese Daten werden mit einem Benutzeraccount und somit mit einer realen Person verbunden. Seitens der Systemadministratoren wird darauf geachtet, dass Benutzeraccounts intern nur Zugriff auf diese Informationen erhalten, welche sie im Zuge ihrer Aufgabenerfüllung benötigen.
Die Weitergabe von Daten an Dritte ist ausgeschlossen, sofern dies der Systembenutzer nicht gestattet. Diese Regelung kann durch gesetzliche Vorschriften außer Kraft gesetzt werden, welche die Hochschule Stralsund (im folgenden HOST) zu Herausgabe von Daten verpflichtet.
Einzelne Daten im LMS können von den Lehrenden der HOST, im Rahmen ihrer Dienstauftrages innerhalb der Lehre, erhoben und verarbeitet werden. Darüber hinaus werden Bestandteile der Datenerhebung im notwendigen Umfang zum Zweck der fortlaufenden Verbesserung des LMS verarbeitet.
Innerhalb des LMS erfolgen keine automatischen Entscheidungsfindungen oder ein Profiling, im Sinne von Art. 22 der Datenschutzgrundverordnung (im folgenden DSGVO).
Innerhalb eines Kurses können Testergebnisse als Nachweis einer erforderlichen Qualifikation und / oder zum Abschluss desselben herangezogen werden. Diese Tests können automatisch ausgewertet und nachträglich vom Lehrenden überprüft bzw. bearbeitet werden.
§1.1 Registrierung / Anmeldung im LMS
Für die Verwendung des LMS ist ein personengebundener Benutzeraccount notwendig. Jedes Mitglied der HOST kann sich unter der Verwendung des jeweiligen Hochschulaccounts im LMS anmelden. D.h. mit den Zugangsdaten, welche auch für Dienste wie den Webmailer benutzt werden.
Während der ersten Anmeldung mittels des Hochschulaccounts im LMS wird der lokale personengebundene Benutzeraccount angelegt. Während jeder weiteren Anmeldung werden einzelne Daten des Hochschulsystems mit denen im LMS synchronisiert.
Personen ohne gültigen Hochschulaccount können beim Systemverantwortlichen des LMS einen separaten Benutzer- bzw. Gastaccount beantragen.
Die Synchronisationsdaten des Hochschulsystems sind der allgemeine Anmeldename (E-Mail-Adresse), Vor- und Nachname, E-Mail-Adresse und Personen- bzw. Gruppenidentifikatoren (Fakultät, Studiengang, Semester etc.).
§1.2 Ende einer Nutzungsberechtigung
Die Nutzungsberechtigung des LMS erlischt, sobald der Systembenutzer aus der HOST ausscheidet bzw. nach Ablauf des befristeten Zugangs.
Die HOST kann eine Zugangsberechtigung gänzlich oder in Teilen aussetzen oder eine Nutzungs-berechtigung beenden, wenn das LMS durch eine Nutzerkennung in einer Weise aktiv genutzt wird, die aus Sicht der HOST eine Verletzung dieser Bedingungen darstellt oder die in anderer Weise zu einem Nachteil für die HOST führen kann, insbesondere bei Verdacht auf eine Straftat, bei rechtsmissbräuchlicher Verwendung oder der Verletzung der Rechte Dritter. Dies gilt für die Nutzung einer Zugangsberechtigung der entsprechend zugeordneten Person oder durch einen Dritten. Die Aussetzung bzw. Beendigung einer Nutzungsberechtigung kann ebenso durch die Wahrnehmung einzelner Rechte des Systembenutzers hervorgerufen werden (siehe §1.8).
Nach der Beendigung einer Nutzungsberechtigung besteht kein Anspruch auf Wiederaufnahme dieser gegenüber der HOST. Sollten Nutzungsberechtigungen aus der Sicht des Systembenutzers zu Unrecht entzogen worden sein, kann dieser einen schriftlichen Antrag zur Wiederaufnahme, an die Systemadministratoren stellen. Diese Fälle werden geprüft, wobei einzelne Personen bzw. Abteilungen der HOST miteinbezogen werden können. Letzteres fällt in den §1.6.1.
§1.3 Welche Daten werden gespeichert?
- Stammdaten sind Informationen des Benutzeraccounts wie z.B. Name, E-Mail-Adresse (siehe §1.1). Sie können teilweise in den jeweiligen Profileinstellungen eingesehen und bedingt bearbeitet werden.
- Bestandsdaten werden durch den Benutzeraccount während der Interaktion mit Kursen und dessen Aktivitäten (Foren, Wikis, Aufgabeneinreichungen etc.) erzeugt. Ebenso können sie durch vordefinierte technische Prozesse, wie der automatischen Bewertung von Tests, oder durch manuelle Eingaben des Kursverantwortlichen entstehen und einem Benutzeraccount zugeordnet werden.
- Bewegungsdaten fassen Informationen zusammen, mit denen z.B. nachgehalten wird, wann welche Seite aufgerufen, welche Kurse genutzt oder welche Leistungsergebnisse erreicht wurden. Hierzu zählen ebenso die befristete Speicherung von individuellen Verbindungsdaten. Einzelne Aktivitäten im LMS können von der Speicherung von Bewegungsdaten ausgenommen sein. Ist eine Aktivität anonym nutzbar, besitzt sie eine entsprechende Kennzeichnung. Dies kann u. a. eine Kursevaluation sein.
- Diagnosedaten (automatische Speicherung von Stamm-, Bestands- und Bewegungsdaten) werden zur Sicherung bzw. Steigerung der Systemstabilität, performance und sicherheit erhoben.
§1.4 Cookies
Die Nutzung von Cookies ist im Interesse des Systembenutzers. Einzelne Seiten oder Funktionen des LMS können ohne eine aktive Verwendung von Cookies nicht korrekt dargestellt oder verwendet werden.
- Session-Cookie: Dieses Cookie ist notwendig, damit das LMS den aktiven Benutzeraccount über mehrere Seitenaufrufe hinweg identifizieren kann, ohne dass er sich bei jedem Seitenwechsel neu authentifizieren bzw. anmelden zu muss. Das Cookie wird beim ersten Aufruf des LMS gesetzt und bleibt erhalten, bis sich der Benutzeraccount aus ihm abmelden, der Browser geschlossen oder das Cookie aus dem Browser entfernt wird.
- Usability-Cookies: Einzelne Komponenten der Lernplattform verwenden Cookies, um die Nutzerfreundlichkeit zu erhöhen - etwa um den Zustand ein- bzw. ausgeblendeter Webseiten-Elemente über mehrere Seitenaufrufe hinweg zu speichern.
§1.5 Wer kann auf welche Daten zugreifen?
Im LMS werden einzelne Lehrveranstaltungen als Kurse abgebildet. Ein Kurs ist immer ein Bestandteil eines Kursbereiches, wie z.B. einer Fakultät oder eines Studiengangs, wobei einzelne Kursbereiche ineinander verschachtelt sein können. Benutzeraccounts können auf der Ebene von Kursen und Kursbereiche mit separaten Rollen und / oder Berechtigungen versehen werden. Benutzeraccounts erhalten so die Möglichkeit, Kurse und Kursbereichen zu verwalten, inhaltlich zu gestalten sowie ggf. anderen Personen entsprechende Berechtigungen einzuräumen.
Die absteigende Wertigkeit von Rollen im LMS ist:
Administrator > Manager/in > Trainer/in > Teilnehmer/in > Nutzer/in
- Sofern ein Kurs nicht explizit für Gäste freigegeben oder durch ein ungeschütztes Einschreibeverfahren zugänglich ist, ist er nur für einen Personenkreis einsehbar. Der Personenkreis wird durch den Kursverantwortlichen, i.d.R. die Rolle Trainer/in, oder einer höherwertigeren Rolle definiert.
- Teilnehmer/innen haben Zugriff auf Kurse, für die sie von Trainer/innen oder Manager/innen freigeschaltet wurden und können innerhalb der Vorgaben des Kursverantwortlichen an Aktivitäten mitwirken bzw. diese benutzen. Sie können Daten (Namen, E-Mail-Adresse etc.) sowie Kursinhalte von anderen Mitgliedern des Kurses sehen.
- Kursverantwortliche, in der Rolle Trainer/in, besitzen Zugriffs- und Bearbeitungsrechte für den jeweiligen Kurs. Sie können den Kurs, dessen Inhalte und Aktivitäten, sowie den Zugriff auf diese konfigurieren, d.h. die Rollen und Berechtigungen steuern. Im Bereich der Nutzer-verwaltung eines Kurses können die Verantwortlichen auf die Teilnehmerliste, und somit auf die öffentlichen Stammdaten, der eingeschriebenen Benutzeraccounts zugreifen. Ebenso können sie im Bereich der Nutzerverwaltung auf alle Namen und E-Mail-Adressen im LMS zugreifen. Außerdem können die Kursverantwortlichen auf alle erzeugten Inhalte der eingeschriebenen Benutzeraccounts innerhalb des Kurses zugreifen.
- Manager/innen sind Bereichsadministratoren, welche z.B. Verwaltungsaufgaben im LMS einer Fakultät durchführen. Sie besitzen Berechtigungen für Kursbereiche, legen Unterkursbereiche und Kurse an, vergeben Rechte und unterstützen Kursverantwortliche bei der Nutzung und Konfiguration von Kursen. Manager/innen besitzen innerhalb eines Bereiches mindestens die gleichen Berechtigungen wie die Trainer/innen selbst.
- Administrator/innen sind mit der technischen Verwaltung des LMS betraut und haben Berechtigungen für das gesamte System. Sie haben einen Vollzugriff auf alle Daten des LMS.
§1.6 Weitergabe von Daten
In bestimmten Szenarien übergibt das LMS personenbezogene Daten an technische Drittsysteme. Dies geschieht jeweils im Interesse des Benutzeraccounts, mit einem spezifischen Zweck, und wird von der nutzerseitigen Einwilligung gedeckelt (siehe §1).
§1.6.1. Technische Drittsysteme der HOST
Zur Verbesserung und Aufrechterhaltung von it-gestützten Prozesse des Lehrens und Lernens kann sich die an das LMS angeschlossene IT-Landschaft der HOST durch Drittsysteme erweitern bzw. verändern. Einzelne Systeme sind nachfolgend genannt.
Die Änderung der IT-Landschaft und die damit verbundene Weitergabe von personenbezogenen Daten innerhalb der HOST muss nicht umfänglich in diesen Datenschutzbestimmungen festgehalten werden.
§1.6.1.1. Supportanfragen
Supportanfragen jeglicher Art können in das Ticketsystem der HOST (topdesk.hochschule-stralsund.de) überführt werden. Diese Überführung personenbezogener Daten kann automatisiert oder manuell durchgeführt werden. Hierbei wird auf eine minimale Weitergabe von personen-bezogenen Daten geachtet (Name und / oder E-Mail-Adresse).
Sollte eine Supportanfrage in die direkte Zuständigkeit eines Mitarbeiters der HOST fallen, welcher nicht zum Supportpersonal des LMS zählt, wird die entsprechende Anfrage ggf. zur weiteren Bearbeitung an diese weitergeleitet.
§1.6.1.2 Videokonferenzsysteme
Sofern ein Benutzeraccount aus dem LMS einer Videokonferenz im BigBlueButton-System der HOST (bbb.hochschule-stralsund.de) beitritt, willigt dieser ein, dass der Name des Accounts an dieses übertragen wird und dort zweckgebunden weiterverarbeitet wird. Im BigBlueButton-System gelten die dortigen Nutzungsbedingungen, Datenverwendungshinweise und Datenschutzinformationen.
§1.6.2. IT-Landschaft von Dritten
In einzelnen Fällen kann eine Weitergabe von personenbezogenen Daten zu Drittsystemen erfolgen, welche nicht von der HOST betrieben werden.
§1.6.2.1. Datenweitergabe durch eingebettete Inhalte Dritter
Das LMS besitzt diverse Eingabemöglichkeiten für Quell- / HTML-Code. Mit diesen Funktionen können Kursverantwortliche bzw. -teilnehmer Inhalte Dritter in Bereiche des LMS integrieren. Beispiele hierfür sind eingebettete YouTube-Videos oder ähnliche auf iframes bzw. auf embedding beruhende Inhalte.
Eingebettete Inhalte Dritter können sich exakt so verhalten, als ob die betroffene Webseite des Anbieters direkt besucht wird. Somit können diese Webseiten personenbezogene Daten sammeln, Cookies speichern, zusätzliche Tracking-Dienste von Dritten einbinden und Interaktion mit den eingebetteten Inhalten aufzeichnen.
Für eingebettete Inhalten Dritter gelten daher für Betroffene die Datenschutzbestimmungen der Anbieter dieser Inhalte.
Die Systemverantwortlichen haben keinen Einfluss auf derartige Kursinhalte. Gegenüber der HOST können keine Haftungsansprüche als Betreiber des LMS geltend gemacht werden, welche auf eingebettete Inhalte Dritter zurückzuführen sind.
§1.6.2.2. Zugriff auf externe Schnittstellen (APIs) und Content Delivery Networks (CDNs)
Einzelne LMS-Erweiterungen greifen über eine API auf externe CDNs zu. Für manche Kursbestandteile ist die Nutzung dieser Dienste unabdingbar. Die Integration entsprechender Erweiterungen steht unter der Rechtgrundlage von Art. 6 Abs. 1 f) DSGVO.
Das LMS benutzt Dienste von
Google LLC
1600 Amphitheatre Pkwy
Mountain View, California 94043, USA
, um z.B. grafische Ergebnisdarstellungen von Live-Befragungen, Tooltips und QR-Code-Grafiken zu generieren und anzuzeigen. Beim Aufruf eines solchen Bestandteils des LMS werden Inhalte von den Google-Servern auf Ihr Endgerät übertragen. Google kann dabei Kenntnis darüber erlangen, dass über Ihre IP-Adresse das LMS zu einem bestimmten Zeitpunkt genutzt wurde.
Weitere Informationen zu den Google Diensten finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de
§1.7 Löschung von Daten
Soweit keine gesetzlichen Fristen zur Aufbewahrung von Daten bestehen, werden diese aus dem LMS entfernt, sobald sie für Erhebungszwecke nicht mehr relevant sind bzw. der Widerruf der Nutzungsbestimmung seitens eines Benutzeraccounts formuliert wurde.
- Daten, welche über einen Benutzeraccount erstellt wurden (Informationen im Nutzerprofil, Foreneinträge etc.), können durch ihn wiederum gelöscht werden.
- Stammdaten eines Benutzeraccounts werden bis zu seiner Löschung gespeichert. Die Löschung wird bestimmt durch:
- Einen Zeitraum von sechs Monaten nach der Exmatrikulation von Studierenden.
- Einen Zeitraum der Inaktivität von zwei Jahren nach dem letzten Login.
- Bestandsdaten, die während der Interaktion mit Kursen bzw. dessen Aktivitäten entstehen, werden bis zur Löschung des Kurses gespeichert. Ergebnisse aus Tests, Lernpaketen und Aufgaben sowie Daten zum Abschluss des Kurses und der Gesamtbewertung werden maximal bis zum Ablauf gesetzlicher Aufbewahrungspflichten aufbewahrt. Es besteht kein Anspruch auf Löschung von Daten, wenn diese durch einen Benutzeraccount erstellt wurden und sie im Kontext mit Informationen anderer Systembenutzer stehen.
- Bewegungsdaten (Logdaten) werden nach 30 Tagen aus dem LMS gelöscht.
§1.8 Nutzerrechte
Benutzer des LMS haben gegenüber den Systemverantwortlichen verschiedene Ansprüche im Verhältnis zur personenbezogenen Datenspeicherung. Sollte das LMS einzelne Daten aus Fremd-systemen beziehen, wie z.B. Teile der Stammdaten eines Benutzeraccounts, können diese Informationen nur von den jeweiligen Systemverantwortlichen entsprechender Dienste beauskunftet, berichtigt oder gelöscht werden.
- Recht auf Auskunft (Art. 15 DSGVO): Benutzer haben das Recht zur Auskunft über die Speicherung und Verarbeitung von personenbezogenen Daten. Im Rahmen des LMS sind diese Daten als Stammdaten zu betrachten und können eigenständig im Nutzerprofil eingesehen werden.
- Recht auf Berichtigung (Art. 16 DSGVO): Benutzer haben das Recht auf Anpassung inkorrekter personenbezogener Daten. Im Rahmen des LMS sind diese Daten als Stammdaten zu betrachten und können, sofern durch einen Benutzeraccount selbstständig hinterlegt, eigenständig im Nutzerprofil bearbeitet werden. Stammdaten, welche im LMS nicht direkt bearbeitet werden können, stammen aus einem Fremdsystem. Aufgrund von Bearbeitungszeiten sollten derartige Änderungsansprüche direkt im Studienbüro beauftragt werden.
- Recht auf Löschung (Art. 17 DSGVO): Benutzer haben das Recht auf Löschung von personenbezogenen Daten, wenn diese nachweislich inkorrekt sind oder der Verantwortliche keinen Verarbeitungszweck nachweisen kann. Das Recht auf Löschung besteht nicht, sofern der Verantwortliche gesetzlich und / oder dienstlich verpflichtet ist, betreffende Daten temporär nachzuhalten und der Zeitraum noch nicht verstrichen ist. Sofern einzelne Daten durch einen Benutzeraccount selbstständig erzeugt wurden und diese in einem unauflöslichen Kontext anderer Daten stehen, ist das Recht auf Löschung nicht gegeben. Die System-verantwortlichen sind auch nach der Teilnahme eines Kurses, der Beendigung des Studiums bzw. eines Beschäftigungsverhältnisses oder einem Widerruf der Nutzungsbedingungen verpflichtet, dem Recht auf Löschung nachzukommen. Wird dieses Recht seitens eines Benutzers wahrgenommen, kann dies als Widerruf der Einwilligung der Nutzungs-bedingungen gewertet werden. Entsprechend kann dies dazu führen, dass dem Benutzer-account der Zugang zum LMS entzogen wird.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Die Systemverantwortlichen stellen sicher, dass personenbezogene Daten mit eingeschränkten Berechtigungen der Verarbeitung nur Personengruppen zugänglich gemacht werden, die diese Daten verarbeiten müssen. Hierzu können technische Verfahren zur Anonymisierung und / oder Pseudonymisierung eingesetzt werden. Wird dieses Recht seitens eines Benutzers wahrgenommen, kann dies dazu führen, dass dem Benutzeraccount der Zugang zum LMS entzogen wird.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Benutzer können unter der Einhaltung gesetzlicher Voraussetzungen einen Anspruch geltend machen, um von ihnen selbstständig produzierte Daten, in einem elektronischen Format, zu erhalten, mit der Berechtigung diese in anderen Kontexten zu verwenden. In diesem Zusammenhang können Geschäftsgeheimnisse, Persönlichkeits- oder Urheberrechte etc. dazu führen, dass der Systembetreiber die Datenübertragung aussetzen kann.
- Widerspruchsrecht (Art. 21 DSGVO): Benutzer können unter gesetzlichen Voraussetzungen einer weiteren Nutzung von personenbezogenen Daten widersprechen. Bei einem Widerspruch wird dieser Umstand für zukünftige Arbeiten des Systembetreibers wirksam. Der Widerspruch selbst ist keine automatische Verpflichtung des Systembetreibers zur Löschung von Daten. Sofern der Verantwortliche Speicherpflichten aus anderen gesetzlichen Gründen hat, gehen diese vor. Wird dieses Recht seitens eines Benutzers wahrgenommen, kann dies dazu führen, dass dem Benutzeraccount der Zugang zum LMS entzogen wird.
- Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Benutzer haben das Recht ihre Einwilligung zur Verarbeitung personenbezogener Daten für zukünftige Arbeiten des Systembetreibers zu widerrufen. Bei einem Widerruf verbleiben die bis zu diesem Zeitpunkt erhobenen Daten im Status der rechtmäßigen Erhebung. Der Widerruf selbst ist keine automatische Verpflichtung des Systembetreibers zur Löschung von Daten. Wird dieses Recht seitens eines Benutzers wahrgenommen, kann dies dazu führen, dass dem Benutzeraccount der Zugang zum LMS entzogen wird und somit eine Teilnahme an Kursen nicht mehr möglich ist. Für Personen-kreise mit einem Anstellungsverhältnis mit der HOST kann dieses Recht eingeschränkt sein.
Durch die Inanspruchnahme der Löschung, Einschränkung oder des Widerrufs eines Benutzers kann die Nutzung des LMS mit sofortiger Wirkung unterbunden und der Benutzeraccount deaktiviert bzw. gelöscht werden. Somit ist die Einsicht von im LMS gespeicherte Informationen, die Teilnahme an Kursen und die Interaktion mit dortigen Aktivitäten nicht mehr möglich. Entsprechend des Kursformates kann sich dies u. a. auf die Zusammenarbeit mit den Lehrenden und / oder Lernenden sowie die Teilnahme an (Pflicht-) Veranstaltungen und Leistungsnachweisen auswirken.
§2 Verantwortliche Stellen
§2.1 Systembetreuung
Hochschule Stralsund
zur Schwedenschanze 15
18435 Hansestadt Stralsund
Tel.: +49 (0) 3831 45 6592
E-Mail: lms@hochschule-stralsund.de
E-Mails, welche an die angegebene E-Mail-Adresse übermittelt werden, können im Ticketsystem der HOST weiterverarbeitet werden (siehe §1.6.1).
§2.2 Datenschutzbeauftragter
René Schülke
Tel.: +49 (0) 385 545 5203
E-Mail: datenschutz@hochschule-stralsund.de