Datenschutzinformation gemäß Art. 13 DSGVO über „Moodle“ an der HfBK Dresden

1. Kontaktdaten

2. Verarbeitungszwecke

Wir nutzen „Moodle“ (Modulare dynamische objekt-orientierte Lernumgebung), eine standardisierte Open Source eLearning Umgebung, zu Zwecken der Hochschullehre sowie für die projektbezogenen Kommunikation – unter anderem auch mit Kooperationseinrichtungen. Moodle unterstützt verschiedene Lern-, Lehr- und Kommunikationsaktivitäten, sodass bei der Nutzung von Moodle verschiedene Datenarten verarbeitet werden können. Der Umfang dieser Daten hängt dabei auch davon ab, welche Daten Sie in den spezifischen Lern- und Projektumgebungen bereitstellen. Kategorien betroffener Datenarten können dabei sein:

• Verbindliche Registrierungsdaten: Hierbei handelt es sich abschließend um Name, Vorname und hochschulinterne/ dienstliche E-Mail-Adresse der Nutzer/-innen. Im Rahmen des Login-Vorgangs werden genannte Studierenden- und Lehrendendaten automatisiert über Schnittstellen aus den Hochschulverzeichnissen übernommen und in das korrespondierende Moodle-Nutzendenprofil übertragen. Für Externe erfolgt eine direkte Erfassung im System. Die Erfassung dieser Daten ist zwingend erforderlich. Es besteht seitens der Nutzer/-innen keine Widerrufs- oder Widerspruchsmöglichkeit. In Moodle ist daher eine Änderung dieser Daten durch Sie nicht möglich.

• Optionale Einträge: Jede Nutzerin / jeder Nutzer kann auf freiwilliger Basis im persönlichen Profil weitere personenbezogene Daten erfassen, wie z.B. ergänzende Kontaktdaten, Funktion/ Stellung sowie die Institutionszugehörigkeit. Diese Angaben können jederzeit in Ihrem Nutzendenprofil geändert oder gelöscht werden.

• Personenbezogene Daten im Lern- und Projektbetrieb in Moodle: Alle Beiträge, Aufgaben und Aktionen, die im Verlauf der Plattformnutzung Ihrem Account und damit Ihrer Person zugordnet werden können, zählen unter diesen Abschnitt (z.B. Text- Audio- und ggf. Videodaten, Zuordnung der Lern- oder Projektumgebung, Resultate von Aufgabenstellungen etc.). Im Bereich des Lehrbetriebs sind die für Lehrzwecke erforderliche Angaben und Informationen durch Sie bereitzustellen. Es besteht seitens der Nutzer/-innen keine Widerrufs- oder Widerspruchsmöglichkeit. Projektumgebungen gestalten sich in der Regel in der Bereitstellung von Informationen durch Sie freier.

• Log-Dateien: Wir führen auf Grundlage berechtigter Interessen serverseitig ein Logfile, in dem insbesondere jeder HTTP-Zugriff (insb. jede Verbindung Ihres Webbrowsers zu Moodle) vermerkt wird. Das Log erfasst zu jedem Zugriff insb. den Zeitpunkt, die IP-Adresse, den URL-Pfad und bei authentifizierungspflichtigen Funktionalitäten auch eine pseudonymisierte Kennung der Nutzenden. Hinzu kommen weitere technische Informationen wie z.B., ob der Zugriff TLS-geschützt war und wie der HTTP-Response-Code lautet. Auch interne Vermerke zur Service-Abarbeitung (insb. zu bei der Abarbeitung aufgetretenen Fehlern) können gespeichert werden. Eine statistische Auswertung der Protokolle findet nicht statt, jedoch kann die Administration anlassbezogen und aus driftigen Gründen nach dem 4-Augen-Prinzip die Protokolle zur Sachverhaltsklärung einsehen.

• Cookies: Wir verwenden auf Grundlage berechtigter Interessen ein Cookie mit der Bezeichnung „MoodleSession“. Dieses Cookie bewirkt, dass Nutzende beim Zugriff auf weitere Moodle-Seiten eingeloggt bleiben. Es enthält lediglich eine verschlüsselte Session-ID, die auf eine serverseitig temporär gespeicherte Session verweist. Eine so genannte Session ist ein auf dem Server vorübergehend gespeicherter Zustand einer konkreten Browsersitzung einer oder eines Endnutzenden, kann also die Information enthalten, ob und unter welchem Benutzernamen sich die oder der Browsernutzende beim System eingeloggt hat. Die Session-ID wird dann browserseitig im bereits angesprochenen Cookie „MoodleSession“ gespeichert.

3 Rechtliche Grundlage

• Für Studierende, Lehrpersonal und Externe: Wir verarbeiten Ihre Daten über Moodle, sofern die Nutzung zur Wahrung unserer im öffentlichen Interesse liegenden Aufgaben erforderlich ist. Werden für die Organisation beziehungsweise Teilnahme an Lehr- oder Projektumgebungen personenbezogene Daten von Studierenden sowie anderen Mitgliedern und Angehörigen der HfBK Dresden verarbeitet, die nicht in einem Beschäftigungsverhältnis zur HfBK Dresden stehen, so geschieht dies auf Grundlage des Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DS-GVO in Verbindung mit § 14 Abs. 1 S. 1 Nr. 1 SächsHSFG. Demnach ist die Datenverarbeitung rechtmäßig, wenn sie für die Durchführung des Studiums erforderlich ist.
  Sollte keine in Erfüllung unserer Aufgaben vorgenommene Verarbeitung bestehen (z.B. bei spezifischen Projektkollaborationen), verarbeiten wir Ihre Daten im Einzelfall auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) oder f) DS-GVO.

• Für Beschäftigte: Soweit eine Verarbeitung personenbezogener Daten von Beschäftigten der HfBK Dresden für die Erfüllung der ihnen übertragenen Aufgaben und somit für die Durchführung des Dienstverhältnisses erforderlich ist, dient Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DS-GVO in Verbindung mit § 11 SächsDSDG sowie vertraglichen Vorgaben als Rechtsgrundlage für die Datenverarbeitung.

• Für Alle: Sofern Sie bei der Nutzung der Plattformen freiwillig Angaben zu Ihrer Person machen, erfolgt die damit einhergehende Datenverarbeitung auf Grundlage Ihrer widerrufbaren Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ein Nachteil entsteht Ihnen daraus nicht.

Empfänger bei Datenübermittlung:

Daten, welche im Rahmen der Nutzung von Moodle verarbeitet werden, stehen an der HfBK Dresden grundsätzlich nur denjenigen Mitarbeitern/-innen zur Verfügung, welche diese Daten für die Erfüllung ihrer Aufgaben und zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus erhält Moodle als eingesetzter Dienstleister notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrages vorgesehen ist. Eine darüberhinausgehende Übermittlung erfolgt nur, wenn wir dazu gesetzlich verpflichtet sind. Sie werden sodann separat informiert.

Dauer der Speicherung:

Wir verarbeiten und speichern Ihre Daten, solange es für die Erfüllung der o.g. Zwecke, insbesondere vertraglicher und gesetzlicher Pflichten erforderlich ist. Sind die Daten für die Erfüllung der Zwecke nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren befristete Weiterverarbeitung ist erforderlich (Eingreifen gesetzlicher Aufbewahrungsfristen). Im Einzelnen können folgende regelmäßige Löschfristen benannt werden:

• Benutzeraccount/ Registrierungsdaten/ Optionale Angaben: Benutzeraccounts und damit sämtliche Daten inkl. der Lern- oder Projektdokumentation, die mit Ihrem Account verbunden sind, werden regelmäßig im Jahr, spätestens aber ein Jahr nach dem Ausscheiden aus der Hochschule bzw. nach spezifischen Kooperations- oder Projektabschluss gelöscht. Darüber hinaus kann jede Nutzerin, jeder Nutzer über ihr / sein Nutzerprofil die Löschung des Accounts beantragen.

• Log-Dateien: Die automatisierte Löschung der Protokollierungsdaten erfolgt spätestens nach 35 Tagen.

• Cookie: Das MoodleSession-Cookie ist ein Sitzungs-Cookie, das die Browsersitzung nicht überlebt, also spätestens beim Beenden des Webbrowsers wieder gelöscht wird. Beim Beenden des Webbrowsers werden sowohl das Cookie als auch die Session automatisch gelöscht.

Hinweise auf Betroffenenrechte:

Betroffene können jederzeit Auskunft über die sie betreffenden personenbezogenen Daten sowie gegebenenfalls Berichtigung oder Löschung beziehungsweise Einschränkung der Verarbeitung verlangen oder einer Verarbeitung widersprechen. Außerdem besteht zu ihren Gunsten ein Recht auf Datenübertragbarkeit. Darüber hinaus kann, sofern die Datenverarbeitung aufgrund einer Einwilligung durchgeführt wird, diese jederzeit für die Zukunft widerrufen werden. Zur Ausübung Ihrer Rechte steht Ihnen unser Datenschutzbeauftragter unter den oben genannten Kontaktdaten zur Verfügung. Es besteht für jede betroffene Person gemäß Art. 77 DS-GVO ein Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn vermutet wird, dass die Verarbeitung der personenbezogenen Daten rechtswidrig erfolgt.