In diesen Datenschutzhinweisen erklären wir dir ausführlich, transparent und (hoffentlich) verständlich, welche Daten wir von dir und über dich speichern und verarbeiten, wenn du dir einen Benutzendenaccount anlegst und unsere Angebote nutzt. Außerdem findest du alle deine Rechte erläutert, die du als betroffene Person hast, und Kontaktdaten von uns und weiteren Ansprechpartnern, an die du dich wenden kannst, wenn du Fragen hast.

Inhalt

Begriffsbestimmung, Rechtsgrundlagen, Geltungsbereich
Verantwortliche Stelle, Datenschutzbeauftragte/r, Ansprechpersonen und Aufsichtsbehörde
Betroffenenrechte
Verarbeitung personenbezogener Daten

A. Begriffsbestimmung, Rechtsgrundlagen, Geltungsbereich

Auf der PepperMINT Kursplattform werden bei jedem Seitenaufruf von dir eingegebene oder mit deinem Account verundene Daten verarbeitet. Soweit diese direkt oder indirekt auf dich als Person verweisen, handelt es sich um sog. "personenbezogene Daten". Das sind z.B. Vor- und Nachname, deine E-Mail-Adresse, aber auch deine IP-Adresse oder Eingaben, die du während der Bearbeitung eines unserer Kurse machst.

I. Begriffsbestimmung

Der Begriff "Kursplattform" oder "Lernplattform" meint alle Webseiten und Unterseiten der Web-Adresse https://mint.thga.de. Die Kursplattform basiert auf der quelloffenen Software "Moodle" (https://moodle.org), die auf Web- und Datenbankservern des Rechenzentrums der Technischen Hochschule Georg Agricola (https://www.thga.de, im Folgenden: THGA) betrieben wird.

Auf der Kursplattform werden Online-Kurse zu MINT-Themen, Kommunikationswerkzeuge und weitere Informationen für verschiedene Benutzendengruppen angeboten; das Angebot richtet sich an

Für alle Funktionen der Kursplattform sind sog. "Berechtigungen" notwendig. Um diese Berechtigungen nicht alle einzeln zu erteilen, sind diese in sog. "Rollen" gebündelt. Die wichtigsten Rollen sind

Diese Rollen werden in verschiedenen Kontexten vergeben. Es werden vornehmlich die Kontexte "plattformweit", "Kursbereich" bzw. "Kursunterbereich", "Kurs" und "Kursbestandteil" unterschieden.

Die Rollen werden in dem jeweiligen Kontext den entsprechenden "Benutzendenkonten" (auch: "Accounts") zugewiesen. Einem Benutzendenkonto kann also z.B. im Kontext "Plattform" die Rolle "Authentifizierte/r Benutzer/in", in einem Kurs die Rolle "Mitarbeiter/in" und in einem anderen Kurs die Rolle "Teilnehmer/in" zugewiesen sein. In jedem Kontext sind damit für den betroffenen Account ein anderer Funktionsumfang und andere Möglichkeiten der Dateneinsicht und -verarbeitung verbunden.

Die Benutzendenkonten lassen sich darüber hinaus in drei unterschiedliche Gruppen einteilen:

II. Rechtsgrundlagen

Für unsere Kursplattform gelten natürlich die Datenschutzgesetze, vor allem die europäische Datenschutz-Grundverordnung (DSGVO), zu bestimmten Details das TTDSG, das Bundes- (BDSG) und das Landesdatenschutzgesetz (DSG NW). Da die THGA eine Hochschule ist, gelten darüber hinaus - vor allem für Hochschulangehörige - tlw. das Hochschulgesetz Nordrhein-Westfalen (HG NRW), außerdem in Teilen Statut, Grundordnung, Einschreibungsordnung sowie Nutzungsordnung für die IT-Infrastruktur der THGA.

III. Geltungsbereich

Diese Datenschutzerklärung gilt für jede Nutzung dieser Kursplattform ab dem ersten Seitenaufruf und für alle Benutzenden und Benutzendengruppen, unabhängig ob es sich um Hochschulmitglieder und -angehörige oder um Nicht-Hochschulangehörige handelt und unabhängig davon, ob die Nutzung anmeldungsbasiert (mit Benutzendenkonto) oder als Gast (ohne Benutzendenkonto) erfolgt.

B. Verantwortliche Stelle, Datenschutzbeauftragte/r, Ansprechpersonen und Aufsichtsbehörde

I. Verantwortliche für den Betrieb der Kursplattform

Technische Hochschule Georg Agricola (THGA),
staatlich anerkannte Hochschule der DMT-Gesellschaft für Lehre und Bildung mbH (DMT-LB).

Kontaktmöglichkeiten:
Telefon +49 (0) 234 - 968 - 02
Telefax +49 (0) 234 - 968 - 3417
E-Mail: info@thga.de
Internet: https://www.thga.de

Die THGA ist eine unselbstständige Betriebseinheit der DMT-LB. Rechtsgeschäfte werden daher im Namen und auf Rechnung der DMT-LB getätigt. Vertretungsberechtigte Personen sind die Geschäftsführer Prof. Dr. Jürgen Kretschmann (Vorsitzender) und Ulrich Wessel.

II. Datenschutzbeauftragte des Unternehmens

III. Projektverantwortliche für PepperMINT

IV. Technischer Ansprechpartner für die Kursplattform

Kontaktmöglichkeiten:
Telefon +49 (0) 234 - 968 - 3444
E-Mail: moodle@thga.de

V. Zuständige Aufsichtsbehörde für Datenschutzbelange

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
(LDI NRW)

C. Betroffenenrechte

Werden personenbezogene Daten von dir verarbeitet, bist du eine sog. "betroffene Person" im Sinne der DSGVO. Damit hast du auch Rechte gegenüber uns, den "Verantwortlichen" für die Datenverarbeitung:

I. Informationspflicht der Verantwortlichen nach Art. 13 und 14 DSGVO

Du hast nicht nur ein Recht darauf, über alle Datenverarbeitungen deiner personenbezogenen Daten informiert zu werden. Wir haben sogar die ausdrückliche Pflicht, dich über alle entsprechenden Datenverarbeitungen zu informieren. Mit diesen Datenschutzhinweisen und der Erläuterung der darin beschriebenen Datenverarbeitungen kommen wir dieser Informationspflicht gegenüber allen Betroffenen (nach Art. 13 und 14 DSGVO) nach. Dies gilt für alle direkt bei der Person erhobenen Daten wie auch für über sie an anderen Stellen erhobenen Daten.

II. Auskunftsrecht nach Art. 15 DSGVO

Du hast ein Auskunftsrecht über die Datenverarbeitung (nach Art. 15 DSGVO). Diese Datenschutzerklärung ist daher vor und auch nach der Einwilligung in die beschriebene Datenverarbeitung unter dem Link https://mint.thga.de/datenschutz einsehbar; der Link ist auf jeder Seite und Unterseite der Kursplattform in der Fußzeile zu finden.

Du kannst die über dich gespeicherten Daten über den entsprechenden Link in deinem Benutzendenprofil (Abschnitt Datenschutz und Richtlinien > Datenanfragen) beantragen. Daraufhin werden dir die über dich gespeicherten Daten in einem strukturierten, gängigen, menschen- und maschinenlesbaren Format (hier: JavaScript Object Notation, *.json, außerdem *.html) zur Verfügung gestellt.

III. Recht auf Berichtigung nach Art. 16 DSGVO

Du hast ein Recht auf Berichtigung der über dich gespeicherten Daten (nach Art. 16 DSGVO): Nutze dafür bitte entweder die Kontaktmöglichkeiten in deinem Moodle-Profil (Abschnitt Datenschutz und Richtlinien > Kontakt für Datenschutzfragen) oder die Kontaktdaten unter B. I. - B. IV. (Verantwortliche, Datenschutzbeauftragte/r, Projektverantwortliche oder Ansprechperson für die Kursplattform), wenn dir eine Bearbeitung der Daten über dein Benutzendenprofil nicht möglich ist.

IV. Recht auf Löschung nach Art. 17 DSGVO

Du hast ein Recht auf Löschung, vor allem, wenn die personenbezogenen Daten für die angegebenen Zwecke nicht mehr notwendig sind oder du die Einwilligung in die Verarbeitung (sofern du eine solche gegeben hast) widerrufst oder die Datenverarbeitung widerrechtlich erfolgt ist. Die Löschung erfolgt in manchen Fällen (Beendigung eines Dienst-/Arbeitsvertrages von THGA-Mitarbeitenden, Beedingung eines Studiums, o.ä.) automatisch, ansonsten wende dich bitte mit deinem Anliegen (auch formlos) an die E-Learning Koordinationsstelle (moodle@thga.de) oder nutze den Link in deinem Benutzendenprofil (Abschnitt Datenschutz und Richtlinien > Meinen Account löschen).

V. Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO

Du hast ein Recht auf Einschränkung der Datenverarbeitung (nach Art. 18 DSGVO), während eine Berichtigung deiner Daten bearbeitet wird oder ein Löschungsgrund vorliegt, die Daten aber nach Art. 18 (1) b) oder c) auf deinen Wunsch hin nicht gelöscht werden sollen oder wenn du von deinem Widerspruchsrecht (s.u.) Gebrauch machst. Eine Einschränkung der Verarbeitung wird durch eine Sperrung des Benutzendenkontos hergestellt. Mit einem gesperrten Benutzendenkonto ist die Kursplattform nicht mehr nutzbar.

VI. Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Du hast ein Recht auf Datenübertragbarkeit (nach Art. 20 DSGVO). Nutze dafür bitte die Funktion "Alle über mich gespeicherten Daten exportieren" in deinem Benutzendenprofil (Abschnitt Datenschutz und Richtlinien). Daraufhin werden dir die über dich gespeicherten Daten in einem strukturierten, gängigen, menschen- und maschinenlesbaren Format (hier: JavaScript Object Notation, *.json, außerdem *.html) zur Verfügung gestellt.

VII. Widerspruchsrecht nach Art. 21 DSGVO

Du hast ein Recht auf Widerspruch in die Datenverarbeitung gegegnüber uns (nach Art. 21 DSGVO), wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f basiert. Richte deinen Widerspruch unter Angabe von Gründen bitte an die Verantwortliche und oder die von ihr benannte Datenschutzbeauftragte. Die Kontaktdaten findest du unter B. I. und II.

VIII. Beschwerderecht nach Art. 77 DSGVO

Darüber hinaus hast du ein Recht auf Beschwerde bei einer Aufsichtsbehörde (nach Art. 77 (1) DSGVO). Die Kontaktdaten der zuständigen Aufsichtsbehörde findest du unter B. V.

D. Verarbeitung personenbezogener Daten

Auf der Kursplattform werden diverse Daten mit unmittelbarem oder mittelbarem Personenbezug in verschiedenen Kontexten gespeichert und verarbeitet. Diese lassen sich in mehrere Datengruppen unterteilen:

Herkunft, Umfang, Inhalt, Sichtbarkeit, Speicherdauer der Daten, Zugriffsmöglichkeiten auf die Daten sowie Zweck und Umfang der Datenverarbeitung, die Rechtsgrundlage für die Datenverarbeitung und die Betroffenenrechte variieren je nach Datum, Kontext und Benutzendengruppe.

I. Personendaten

1. Beschreibung und Umfang der verarbeiteten Daten

Für alle Benutzenden der Kursplattform mit einem eigenen Benutzendenprofil werden folgende Daten verarbeitet:

Das im Registrierungsprozess angegebene Alter wird nicht gespeichert. Wir müssen lediglich Benutzende unter 18 Jahren darauf hinweisen, dass eine Einwilligung von Erziehungsberechtigten erforderlich ist, um einen entsprechenden Nutzungsvertrag abzuschließen.

2. Rechtsgrundlage

Mit Registrierung eines Benutzendenkontos kommt ein Nutzungsvertrag zwischen dir und der Betreiberin zustande, daher werden für alle Benutzenden die in D. I. 1. genannten Daten auf der Rechtsgrundlage des Art. 6 (1) b) DSGVO erhoben und verarbeitet. Die Nutzung der Kursplattform ist für dich freiwillig und darf auch nicht - z.B. von einer Lehrperson deiner Schule oder Hochschule - von dir verlangt werden. Du kannst jederzeit den mit uns abgeschlossenen Vertrag durch das Löschen deines Nutendenkontos kündigen. Die Löschung des Benutzendenprofils ist irreversibel und umfasst auch alle dem entsprechenden Benutzendenprofil zugeordneten Berechtigungen incl. aller aktuellen Kurseinschreibungen. Eine Nutzung der Kursplattform ist danach entsprechend nur mit einem eingeschränkten Gastzugang möglich, oder erst wieder nach dem Anlegen eines neuen Benutzendenprofils.

3. Herkunft der Daten

Die in D. I. 1. genannten Daten werden im Falle einer Hochschulangehörigkeit aus anderen datenführenden IT-Systemen in die Kursplattform importiert. Dies ist bei Lehrenden, Mitarbeitenden und Studierenden der THGA der Verzeichnisdienst aller Benutzendenkonten für das THGA-Netzwerk. Die Daten in diesem System wurden gem. § 4 (1) der Nutzungsordnung für die IT-Infrastruktur aufgrund Ernennung bzw. Abschluss eines Dienstvertrages, bei Lehrbeauftragten, Gastdozent:innen, Gastwissenschaftler:innen evtl. auch auf Basis eines entsprechenden gesonderten Antrags, tlw. automatisiert im Rahmen der Immatrikulations- oder Einstellungsmodalitäten erhoben und verarbeitet.

Die Daten von Nicht-Hochschulangehörigen werden im Rahmen einer sog. Selbstregistrierung erhoben und von diesen selbst eingegeben. Hierbei können Namen anonymisiert und E-Mail-Adresse pseudonymisiert werden, die E-Mail-Adresse muss allerdings zum Abschluss der Registrierung eine tatsächlich erreichbare Adresse sein. Sog. Wegwerf- oder Einmal-Adressen können bei dem Versuch, sich einen Account anzulegen, abgelehnt werden.

4. Zweck der Datenverarbeitung

Die unter D. I. 1. genannten Daten sind aus mehreren Gründen erforderlich, vor allem zur Zuweisung individueller oder gruppenbezogener Berechtigungen auf der Kursplattform (z.B. der Zuweisung der Rolle "Kursverantwortliche/r" oder "Teilnehmer/in" zu eindeutig identifizierbaren natürlichen Personen), um unberechtigte Zugriffe auf Kurse, Kursinhalte und Funktionen der Plattform zu verhindern.

Die E-Mail-Adresse wird gespeichert, da viele Kommunikationswerkzeuge der Plattform E-Mail-basiert sind (Weiterleitung von Forenbeiträgen und Informationen, Erinnerungen an Abgabetermine o. ä.). Eine vollumfängliche Nutzung der Plattform ohne eine gültige E-Mail-Adresse ist kaum möglich.

Die E-Mail-Adresse kann bei Vorliegen eines Verstoßes gegen die IT-Benutzendenordnung oder bei dem Verdacht auf eine Straftat gem. § 14 (2) ff. TMG zur Identifikation des Benutzenden herangezogen werden.

Die LoginID ist bei Hochschulangehörigen der über alle IT-Systeme vereinheitlichte Anmeldename, muss daher ebenfalls mit den anderen genannten Personendaten in Beziehung gesetzt werden und dient der Identifikation bei der Anmeldung an der Kursplattform. Diese Liste der Verarbeitungszwecke ist nicht abschließend.

5. Zugriff auf die Daten und Dauer der Speicherung

Vor- und Nachname(n) sind für alle authentifizierten Benutzenden der Kursplattform einsehbar.

Die E-Mail-Adresse kann von jedem Benutzenden selbst im eigenen Benutzendenprofil in unterschiedlichen Sichtbarkeitsstufen ("für alle", "für andere Kursteilnehmende", "für niemanden (Standard)") konfiguriert werden. Diese Sichtbarkeitseinstellung gilt allerdings nicht für Administrierende der Plattform: Für diese ist die E-Mail-Adresse aller Benutzenden immer einsehbar.

Die LoginID ist ausschließlich für die jeweils betroffene Person und für Administrierende einsehbar.

Alle unter D. I. 1. genannten Daten bleiben über die Dauer des Bestehens des Benutzendenkontos gespeichert. Dieses wird bei Hochschulangehörigen nach Beendigung des Arbeitsverhältnisses oder Exmatrikulation auf Antrag des zuständigen Wissenschaftsbereiches oder anderen zuständigen Stellen gelöscht. Die Löschfrist kann aus Sicherheits- und Wartungsgründen bis zu sechs Monate betragen. Die Benutzendenkonten von Nicht-Hochschulangehörigen werden auf Antrag (formlos an moodle@thga.de oder durch die Nutzung der Funktion "Meinen Account löschen") gelöscht.

II. Nutzungsdaten

1. Beschreibung und Umfang der verarbeiteten Daten

Für alle Benutzenden der Kursplattform werden darüber hinaus folgende Nutzungsdaten im Rahmen des Benutzendenprofils verarbeitet:

2. Rechtsgrundlage

Die Daten werden auf Grundlage von Art. 6 (1) f) DSGVO verarbeitet. Das berechtigte Interesse der Verantwortlichen liegt in der (teil-)automatischen Sperrung oder Löschung inaktiver Benutzendenkonten und Identifikation inaktiver Kurseinschreibungen.

3. Herkunft der Daten

Die Daten werden von der der Kursplattform zu Grunde liegenden Software Moodle aufgrund der Benutzendenaktivitäten angelegt und gespeichert. Neuere Einträge (letzter Zugriff auf Plattform oder Kurs) überschreiben ältere.

4. Zweck der Datenverarbeitung

In unregelmäßigen Abständen werden Aufräumarbeiten auf der Kursplattform durchgeführt, bei denen aus Sicherheits-, Datenschutz- und weiteren Gründen auch inaktive oder verwaiste Benutzendenkonten gesperrt oder gelöscht werden. Dafür ist das Alter des Benutzendenkontos und der letzte Zugriff auf dieses mit ausschlaggebend. Für Kursverantwortliche bietet das Datum des letzten Zugriffs auf Kurse die Möglichkeit, nicht mehr aktive Teilnehmende in ihren Kursen zu identifizieren und ggf. aus diesen abzumelden.

Das Datum "Zeitpunkt des ersten Zugriffs auf die Kursplattform" ist gleichzeitig der Nachweis, wann du dein Konto registriert hast und das Startdatum des Nutzungsvertrages zwischen dir und uns.

5. Zugriff auf die Daten und Dauer der Speicherung

Für Administrierende sind die unter D. III. 1 genannten Daten aller Benutzenden einsehbar. Das Datum zum letzten Kurszugriff ist darüber hinaus für diejenigen Benutzenden einsehbar, welche in dem entsprechenden Kurs die Rolle "Kursverantwortliche/r" oder "Mitarbeiter/in" haben.

III. Angaben zum Lehrangebot

1. Beschreibung und Umfang der verarbeiteten Daten

gespeichert. Die Rollen im Kurs können im Rahmen der Kurskonfiguration auch umbenannt werden.

2. Rechtsgrundlage

Diese Daten werden im Rahmen der Aufgaben von öffentlichem Interesse der Verantwortlichen nach Art. 6 (1) e) DSGVO sowie als evtl. notwendiger Teil der Anbieterkennzeichnung (Benennung einer verantwortlichen Person für journalistisch-redaktionelle Inhalte eines Telemediendienstes nach § 55 (2) RStV, dann auch gem. Art. 6 (1) f) DSGVO) gespeichert und verarbeitet.

3. Herkunft der Daten

Kursbereiche und Kurse können nur von Administrierenden angelegt werden. Dies geschieht auf (tlw. formlosen) Antrag, der von den Betroffenen selbst gestellt wird. Die Daten fallen dann automatisch an, wenn ein Kursbereich entsprechend benannt wird bzw. die Rollen "Kursverantwortliche/r" bzw. "Mitarbeiter/in" in einem Kurs zugewiesen werden.

4. Zweck der Datenverarbeitung

Diese Angaben sind zur Auffindbarkeit eines Kurses und zur Information für Teilnehmende notwendig und als Teil der Anbieterkennzeichnung teilweise verpflichtend.

5. Zugriff auf die Daten und Dauer der Speicherung

Diese Daten sind öffentlich auf der Startseite und in den Kurslisten der Kursplattform über das Internet so lange einsehbar, wie der entsprechende Kursbereich besteht, der Kurs angeboten wird, bzw. den Betroffenen die Rolle "Kursverantwortliche/r" bzw. "Mitarbeiter/in" zugewiesen ist.

IV. Freiwillige Angabe von weiteren Profildaten

1. Beschreibung und Umfang der verarbeiteten Daten

Die über o.g. Angaben hinausgehenden Profilfelder verlangen für alle Benutzendengruppen keine Pflichtangabe, sind also freiwillige Angaben. Das sind

2. Rechtsgrundlage

Die Angabe dieser Daten ist freiwillig. Die Nutzung der Kursplattform wird bei fehlenden Einträgen in keiner Weise beeinträchtigt. Die Möglichkeit, freiwillige Angaben im eigenen Benutzendenprofil zu machen, ist Bestandteil des durch Registrierung zustande gekommenen Nutzungsvertrages, die Verarbeitung erfolgt gem. Art. 6 (1) b) DSGVO. Die Daten können selbstständig von den Betroffenen wieder aus dem eigenen Benutzendenprofil gelöscht werden.

3. Herkunft der Daten

Die Daten werden von den Betroffenen selbst eingegeben und - wenn gewünscht - auch wieder gelöscht.

4. Zweck der Datenverarbeitung

Die Daten werden zur Angabe weiterführender Informationen (z.B. Kontaktdaten, Sprechzeiten von Kursverantwortlichen, Social-Media-Profile) verarbeitet und werden in den entsprechenden Benutzendenprofilen angezeigt.

5. Zugriff auf die Daten und Dauer der Speicherung

Die Daten sind für authentifizierte Benutzende sichtbar, wenn diese Zugriff auf das betroffene Benutzendenprofil haben, bis sie von den Betroffenen selber gelöscht werden oder das Benutzendenprofil gesperrt oder gelöscht wird.

V. Kursverlaufsdaten

1. Beschreibung und Umfang der verarbeiteten Daten

Bei Kursteilnahme fallen ebenfalls personenbezogene Daten von allen in einen Kurs eingeschriebenen Benutzenden (auch von Kursverantwortlichen) an. Das können Stimmabgaben (bei Abstimmungen), hochgeladene Dateien oder Texteingaben (bei Aufgaben oder Datenbanken), Chat- und Forenbeiträge, Antworten auf Fragen (bei Feedbacks, Lektionen und Tests), Glossar- und Wiki-Beiträge und mehr sein. Mit all diesen Kursbeiträgen können Bewertungen und Kommentare einhergehen.

Darüber hinaus kann im Rahmen der Funktion "Abschlussverfolgung" von Benutzenden mit der Rolle "Kursverantwortliche/r" oder "Mitarbeiter/in" eventuell nachgehalten werden, welcher Kursteilnehmende welchen Kursbestandteil zu welchem Zeitpunkt genutzt hat. Die Auswahl und Konfiguration der in einem Kurs eingesetzten Werkzeuge obliegt den jeweiligen Kursverantwortlichen.

2. Rechtsgrundlage

Rechtsgrundlage ist der Nutzungsvertrag zwischen dir und der Betreiberin, die Daten werden daher auf Basis von Art. 6 (1) b) DSGVO verarbeitet. Du kannst jederzeit den mit uns abgeschlossenen Vertrag durch das Löschen deines Nutendenkontos kündigen. Die Löschung des Benutzendenprofils ist irreversibel und umfasst auch alle dem entsprechenden Benutzendenprofil zugeordneten Berechtigungen incl. aller aktuellen Kurseinschreibungen. Eine Nutzung der Kursplattform ist danach entsprechend nur mit einem eingeschränkten Gastzugang möglich, oder erst wieder nach dem Anlegen eines neuen Benutzendenprofils.

3. Herkunft der Daten

Die Daten werden von der der Kursplattform zu Grunde liegenden Software Moodle aufgrund der Benutzendenaktivitäten angelegt und gespeichert.

4. Zweck der Datenverarbeitung

Die Kursteilnahme kann nur dann sinnvoll organisiert werden, wenn die Kursaktivitäten zu Personen zugeordnet werden können, z.B. Forenbeiträge zu den entsprechenden Urheber:innen. Darüber hinaus können Kurse komplexen Lehr-Lernarrangements unterliegen, z.B. können Testergebnisse oder Lernverläufe Verfügbarkeit und Auswahl folgender Materialien und Aktivitäten beeinflussen. Alle diese Kursgestaltungsmöglichkeiten sind ohne personenbezogene Kursverlaufsdaten nicht möglich und würden den Einsatz einer Kursplattform konterkarieren.

5. Zugriff auf die Daten und Dauer der Speicherung

Die Daten sind Administrierenden und den jeweiligen Kursen mit der Rolle "Kursverantwortliche/r" oder "Mitarbeiter/in" zugeordneten Personen sichtbar und werden bei Abmeldung aus einem Kurs, spätestens jedoch bei Löschung des Kurses oder durch Zurücksetzen des Kurses ebenfalls gelöscht. Daten im Zusammenhang mit auf gemeinsames Lernen zielenden Online-Aktivitäten sind teilweise auch für andere Benutzende (zumeist Teilnehmende in denselben Kursen) sichtbar.

Tlw. können Daten die Abmeldung der betroffenen Person aus einem Kurs und sogar die Löschung eines Benutzendenkontos überdauern, wenn sie zur Aufrechterhaltung einer Funktion eines Kursbestandteils notwendig sind (z.B. bleiben Forenbeiträge auch nach der Abmeldung aus dem Kurs bzw. nach Löschung eines Benutzendenkontos tlw. erhalten, wenn Antworten auf diesen Beitrag existieren, welche ohne den Anfangsbeitrag aus dem Kontext gerissen würden.).

VI. Protokolldaten (Logdaten) der Kursplattform

1. Beschreibung und Umfang der verarbeiteten Daten

Die der Kursplattform zugrundeliegende Software Moodle protokolliert in einer Datenbank, welche/r Benutzende zu welcher Zeit auf welche Bestandteile der Kursplattform zugreift. Der Datensatz eines Logdatums besteht aus den Daten

2. Rechtsgrundlage

Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 f) DSGVO. Das berechtigte Interesse der Verantwortlichen besteht in der Sicherstellung der fehlerfreien Funktion aller Bestandteile der Kursplattform.

3. Herkunft der Daten

Die Daten werden von der der Kursplattform zu Grunde liegenden Software Moodle automatisch aufgrund der Benutzendenaktivitäten angelegt und gespeichert.

4. Zweck der Datenverarbeitung

Die Daten werden für den technischen Support, die Reproduzierbarkeit von Fehlern und deren Beseitigung benötigt, und um anonymisierte Statistiken und Berichte zu generieren.

5. Zugriff auf die Daten und Dauer der Speicherung

Der Zugriff auf die Daten ist Administrierenden vorbehalten. Die Daten werden nach fünf Tagen gelöscht. Eine darüberhinausgehende Speicherung wird für die Erstellung von anonymisierten Statistiken und Berichten genutzt; in diesem Fall werden Namen, IP-Adressen und andere Personenbezüge zu Benutzenden gelöscht oder verfremdet, sodass eine Zuordnung zu Betroffenen nicht mehr möglich ist. Diese anonymisierten Statistiken und Berichte stehen in Form von Kursberichten und -statistiken auch denjenigen Benutzenden zur Verfügung, die einem Kurs mit der Rolle "Kursverantwortliche/r" oder "Mitarbeiter/in" zugeordnet sind, dann allerdings nur in dem Umfang, in dem sie den entsprechenden Kurs betreffen.

VII. Protokolldaten (Logdaten) des Webservers

1. Beschreibung und Umfang der verarbeiteten Daten

Bei jedem Aufruf der Kursplattform erfasst der Webserver automatisiert Daten und Informationen vom Computersystem bzw. Endgerät des aufrufenden Benutzenden. Folgende Daten werden hierbei erhoben:

Die Daten werden in den Logfiles des Webservers gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Benutzenden oder eine Zusammenführung oder Verknüpfung mit anderen Daten oder Datenquellen findet nicht statt.

2. Rechtsgrundlage

Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 f) DSGVO. Das berechtigte Interesse besteht in der Sicherstellung der fehlerfreien Auslieferung der Webseiten und Webseiteninhalte an das Endgerät des Benutzenden.

3. Herkunft der Daten

Diese Daten fallen automatisiert durch das Betriebssystem und die beteiligten Softwares des Webservers bei Betrieb eines solchen an.

4. Zweck der Datenverarbeitung

Die Erfassung der Daten zur Bereitstellung der Webseite und die Speicherung der Daten in Logfiles ist für den Betrieb der Kursplattform zwingend erforderlich. Zudem dient die Logdatei der Sicherstellung von Systemsicherheit und -stabilität, administrativen Zwecken und zur Aufrechterhaltung der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf den Webserver.

5. Zugriff auf die Daten und Dauer der Speicherung

Die Daten werden spätestens nach 14 Tagen gelöscht. Eine darüberhinausgehende Speicherung ist möglich, in diesem Fall werden die IP-Adressen der Benutzenden allerdings gelöscht oder verfremdet, sodass eine Zuordnung zum aufrufenden Client nicht mehr möglich ist. Es erfolgt keinerlei Auswertung dieser Daten außer für statistische Zwecke in anonymisierter Form (s. dazu Abschnitt D XI.)

Zugriff auf die Daten haben Administrierende des Webservers. Dieser wird vom Rechenzentrum der THGA betrieben. Die entsprechende Hardware befindet sich am Standort der Verantwortlichen.

VIII. Cookies

1. Beschreibung und Umfang der verarbeiteten Daten

Bei Cookies handelt es sich um kleine Textdateien, die durch den Internetbrowser von einer Internetseite auf dem Computersystem bzw. Endgerät des Benutzenden gespeichert werden: Ruft ein/e Benutzende/r die Kursplattform auf, so kann ein Cookie gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht.

2. Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 f) DSGVO und §25 Abs. 2 Nr. 2 TTDSG. Die berechtigten Interessen der Verantwortlichen liegen in Aufrechterhaltung der Funktionalität und Steigerung der Benutzendenfreundlichkeit sowie in Optimierung der Kursplattform für verschiedene Endgeräte, Betriebssysteme und Browser.

3. Zweck der Datenverarbeitung

Die Cookies werden eingesetzt, um die Anmeldung an der Kursplattform zu ermöglichen und die Kursplattform benutzendenfreundlicher zu gestalten. Einige Elemente der Kursplattform erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann. Werden Cookies für Moodle deaktiviert, ist eine Anmeldung an der Kursplattform nicht möglich, es können also nicht mehr alle Funktionen vollumfänglich genutzt werden.

4. Herkunft der Daten

Die Cookies werden von der der Kursplattform zu Grunde liegenden Software Moodle automatisiert generiert und auf dem Endgerät des Benutzenden gespeichert.

5. Zugriff auf die Daten und Dauer der Speicherung

Das Session-Cookie wird beim Logout, spätestens beim Schließen des Browsers gelöscht. Das Setzen des ID-Cookie kann von jedem Betroffenen selbst über die Option "Anmeldenamen merken" gesteuert werden.

IX. Datenverkehrsanalyse

Die Kursplattform benutzt das quelloffene Analysewerkzeug Matomo, (https://matomo.org) um statistische Auswertungen über technische Aspekte der Nutzung zu erzeugen. Die Matomo-Instanz wird vom Rechenzentrum der THGA auf eiegen Servern betrieben und speichert die gesammelten Daten (u.a. Geräteart, Browser, Betriebssystem, Bildschirmauflösung) in einer Datenbank. Diese Daten werden genutzt, um die Kursplattform benutzendenfreundlicher zu gestalten (z.B. für die Nutzung mit Mobilgeräten weiter zu optimieren) und auf technische Entwicklungen in der Benutzendenschaft zu reagieren (z.B. die Darstellung an höher frequentierte Browser anzupassen oder die Nutzungsdaten verschiedener Browser-Plugins zu berücksichtigen). Die mit Mamoto erzeugten Auswertungen sind anonymisiert und lassen sich nicht zur Identifikation einzelner Personen nutzen: IP-Adressen werden unkenntlich gemacht, bevor sie gespeichert werden. Eine Verknüpfung der gespeicherten Daten mit anderen Datenquellen oder eine Weitergabe an Dritte findet nicht statt. Zugriffsberechtigt sind ausgewählte Mitarbeitende des E-Learning-Teams und des Rechenzentrums der THGA.

X. Datenübertragung

Eine gezielte Übertragung personenbezogener Daten an Dritte findet nicht statt. Allerdings können Schnittstellen zu anderen IT-Systemen eingesetzt werden, bei denen Daten übertragen und/oder verarbeitet werden können.

1. Schriftarten, Icons und externe Skripte

Das Design der Kursplattform umfasst auch verschiedene Schriftarten (sog. "Webfonts") und Icon-Bibliotheken. Diese werden jedoch alle auf dem eigenen Webserver vorgehalten, so dass keine Verbindung zu Servern Dritter aufgebaut werden muss, um diese zu laden. Externe Skripte wurden - so weit technisch möglich - deaktiviert oder durch selbst gehostete Alternativen ersetzt.

2. Dienste Dritter

Onlinevideos (z.B. von YouTube oder Vimeo), Karten (von Google Maps, o.ä.) und Lernressourcen von Diensten wie LearningSnacks oder PhET werden lediglich verlinkt und nicht - z.B. als iframe - eingebettet. Außerdem wird ein entsprechender Hinweis oberhalb eines jeden Links angezeigt. Dieser weist dich auf die mit dem Aufruf verbundene Datenverarbeitung hin.

3. Evaluationen

Zur Projektevaluation des PepperMINT Projektes kann der Einsatz und Nutzungsgrad der Kursplattform evaluiert werden. Dabei können durch Administrierende der Plattform auch personenbezogene Daten herangezogen werden, die in verdichteter und anonymisierter Form Projektstakeholdern und der Geschäftsführung der DMT-LB und den Präsidiumsmitgliedern der THGA bekannt gemacht werden können.

Dafür kann auch die Befragungssoftware evasys (https://evasys.de/) eingesetzt, die durch das Rechenzentrum der THGA auf eigener Infrastruktur betrieben wird. Zur Zuordnung von Kursteilnehmenden zu Befragungen kann eine Schnittstelle zwischen PepperMINT-Kursplattform und evasys eingesetzt werden, mittels der es auch zu Datenübertragungen zwischen beiden Systemen kommen kann.