Datenschutzerklärung für das Lernmanagementsystem (LMS)

 

Verantwortlich nach Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO)

Leonie Hannig, Markus Otto, Andreas Steinhauser

Datenschutzbeauftragter nach Art. 37 Abs.1 DSGVO

Dr. Thomas Pudelko, datenschutz@t-pudelko.de

Zweck der Verarbeitung

Zweck der Datenverarbeitung ist die Bereitstellung eines Lernmanagementsystems (LMS), welches durch infra.run basierend auf Open-Source-Software, einschließlich der darin eingebundenen Zusatzanwendungen (Plugins), betrieben wird.

Erhebung personenbezogener Daten bei der Nutzung des LMS

Die Verarbeitung umfasst folgende personenbezogene Daten:

  • Profildaten: Vor- und Nachname, Anmeldename, E-Mail-Adresse, Profil-Konfigurationen, Rolle, ID sowie weitere freiwillige Eingaben wie z. B. ein persönlicher Profiltext oder ein Profilbild
  • Organisationsdaten: Bildungseinrichtungs- und Kurszugehörigkeit (oder entsprechend bei nicht-schulischen Organisationen)
  • nutzergenerierte Daten: Daten, welche die Nutzerin oder der Nutzer bei der Nutzung selbst eingibt, mit Namen und Zeitstempel wie z. B. abgegebene Aufgaben, Tests oder Quizzes, Beiträge in Wikis, Chats, Abstimmungen oder Glossaren, selbst hochgeladene Dateien
  • Metadaten: Zugriffszeitpunkt, Session-ID
  • Folgende Daten werden nur im Fehlerfall und ggf. zum Zweck einer Fehleranalyse zwischenzeitlich erhoben:
    • Geräteidentifikation: zuletzt gesehene IP-Adressen des Clients mit Zeitstempel und Gerätename; verwendete Art des Endgerätes (Mobil/Desktop), Betriebssystem, Browser
    • Serverprotokoll: IP-Adressen mit Zeitstempel
    • Serverlogs zu Ereignissen des LMS (z.B. Zeitpunkt von Ereignissen)

Speicherung von Cookies

Das LMS speichert nur ein technisch notwendiges Session-Cookie. Es werden keine Cookies von Drittanbietern an Ihr System gesendet. Zusätzlich zum Cookie werden Daten verschiedener Plugins im Session Storage und Local Storage Ihres Browsers gespeichert. Weitere Cookies fallen ggf. noch bei der Nutzung einer Single-Sign-On-Lösung an (Keycloak). Diese sind nur notwendig, um die User gegenüber dem System zu authentifizieren.

Löschung von gespeicherten Daten

Personenbezogene Daten werden grundsätzlich dann gelöscht, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht. Generelle Logdaten werden nach drei Tagen gelöscht, sofern dies nicht gesetzlich anders geregelt ist.

Weitergabe von Daten

Eine Übermittlung von persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet durch uns nicht statt. Wir geben persönlichen Daten nur an Dritte weiter, wenn

  • der/die Nutzer:in uns nach Artikel 6 Abs.1 S.1 lit.a DSGVO ausdrückliche Einwilligung dazu erteilt hat,
  • dies gesetzlich zulässig und nach Artikel 6 Abs.1 S.1 lit.b DSGVO für die Abwicklung von Vertragsverhältnissen unbedingt erforderlich ist,
  • für die Weitergabe nach Artikel 6 Abs.1 S.1 lit.c DSGVO eine gesetzliche Verpflichtung besteht,
  • die Weitergabe nach Artikel 6 Abs.1 S.1 lit.f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten besteht.

Serverstandorte

infra.run nutzt ausschließlich Rechenzentren in Deutschland mit ISO27001-Zerfitizierung.

Rechtsgrundlage der Verarbeitung

Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zur unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).

Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter:innen und unserer Anteilseigner:innen.

Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem:r Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch eine betroffene Person muss sich die betroffene Person an eine:n unserer Mitarbeiter:innen wenden. Unser:e Mitarbeiter:in klärt die betroffene Person einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.

Recht auf Auskunft und Löschung

Wer das von der infra.run Service GmbH betriebene LMS aufruft, hat das Recht auf Auskunft über die ihn/sie betreffenden personenbezogenen Daten. Eine Auskunft wird jederzeit gegeben. Jede:r hat ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit der Person dies gesetzlich zusteht. Eine Löschung kommt nicht in Betracht, wenn ggf. ein Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen bestehen. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht anderweitig sicher verifiziert werden kann, muss damit gerechnet werden, dass Rückfragen bezüglich der Identität der nachfragenden Person erfolgen. Es muss sicher gestellt werden, dass die Person, die anfragt auch diese Person ist. Schließlich hat jede natürliche Person ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Insbesondere wenn ein Widerspruchsrecht gegen eine Verarbeitung dieser Daten auf Basis der Interessenabwägung geltend gemacht werden, muss damit gerechnet werden, dass dies genau geprüft wird. Die Interessenabwägungen wurden hier sorgfältig vorgenommen. Also den Art. 21 DSGVO bitte genau lesen und damit rechnen, dass auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO gestellt werden. Natürlich hat jede natürliche Person auch ein Recht auf Datenübertragbarkeit. Auch hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.

Beschwerderecht bei einer Aufsichtsbehörde

Jede natürliche Person hat das Recht, sich über die Verarbeitung personenbezogener Daten durch den Seitenbetreiber bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Diese Datenschutzhinweise werden bei Änderungen an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen, verändert. Die jeweils aktuelle Fassung ist stets auf dieser Internetseite zu finden.