E-Learning Plattform

1    Name und Anschrift der Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

MACH AG
Wielandstraße 14
23558 Lübeck
Deutschland

Telefon: +49 (0) 451 / 70 64 70
Telefax: +49 (0) 451 / 70 64 73 00

E-Mail: mailbox@mach.de

2    Name und Anschrift der Datenschutzbeauftragten

Der externe Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen ist:

Frank Gundlach
Datenschutzbeauftragter GDDCert.EU
Hafenstraße 1a
23568 Lübeck
Tel: 0451 - 16085226
Mail: frank.gundlach@hub24.de

http://www.mein-datenschutzbeauftragter.de/

Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

3    Allgemeines zur Datenverarbeitung

Datenverarbeitungsvorgänge umfassen das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermitteln und Löschen von personenbezogenen oder personenbeziehbaren Daten.

Personenbezogene oder personenbeziehbare Daten (nachfolgend kurz: personenbezogene Daten) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer Identität sind.

Die MACH AG verarbeitet personenbezogene Daten auf Grundlage der EU-Datenschutz-Grundverordnung (DSGVO) sowie der einschlägigen nationalen Datenschutzgesetze und -bestimmungen der Bundesrepublik Deutschland, die ergänzend oder nachrangig zu den Vorschriften der Europäischen Union Anwendung finden.

Zweck der Verarbeitung personenbezogener Daten

Die MACH AG stellt für ihre Kunden eine Lernplattform (https://machag.oncampus.de) zur Bereitstellung von Lerninhalten und der Verarbeitung von Lernaktivitäten und Lernständen zur Verfügung. Die Lernplattform dient zur Ausbildung, Fort- und Weiterbildung sowie ggf. zur Kommunikation zwischen den Nutzer:innen. Um die Teilnahme am Online-Lernen auf der Lernplattform zu ermöglichen, müssen personenbezogenen Daten verarbeitet werden.Personenbezogene Daten können, basierend auf Art. 6, Abs. 1, lit. e DSGVO, sowie Art. 89 DSGVO auch zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die Daten werden gelöscht, sobald der Statistikzweck dies erlaubt.

Des Weiteren unterliegt die MACH AG bei der Erfüllung ihres Auftrags diversen gesetzlichen Verpflichtungen, die eine Verarbeitung von personenbezogenen Daten erforderlich machen.

In Erfüllung ihrer Aufgaben ist die MACH AG außerdem verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Auch diese Maßnahmen können die Verarbeitung von personenbezogenen Daten bedingen.
Darüber hinaus kann eine Datenverarbeitung erfolgen, sofern Sie hierzu Ihre explizite, jederzeit widerrufbare Einwilligung gegeben haben (DSGVO: Art. 6 Abs. 1 lit. a).
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene:r im Sinne der DSGVO.
Rechte, die Ihnen als Betroffene:r gegenüber der MACH AG zustehen, finden Sie im Abschnitt 7 dieser Erklärung.

4    Dritte, an die personenbezogene Daten übermittelt werden

Die MACH AG hat die oncampus GmbH, Mönkhofer Weg 239, 23562 Lübeck beauftragt, für sie die Lernplattform Moodle (https://moodle.oncampus.de) technisch zu betreiben. Mit dem Betreiber oncampus GmbH wurde eine Vereinbarung zur Auftragsverarbeitung geschlossen.

5    Datenverarbeitungsvorgänge in Moodle

Die Lernplattform Moodle (https://moodle.oncampus.de) ist eine webbasierte Software, die den Zugriff auf modul- oder kursbezogene Lernumgebungen ermöglicht.

Die Systemumgebung von Moodle beinhaltet Datenbanken mit den Kurs- und Nutzerdaten und einem eigens eingerichteten Web-Server, auf dem neben dem Programmcode von Moodle auch die von Nutzer:innen hochgeladenen Dateien abgelegt werden. Zugriff auf diese IT-Basis haben ausschließlich die Systemadministrator:innen der oncampus GmbH.

Für die Nutzer:innen von Moodle ohne Administrator-Rechte sind die Daten nur webbasiert über die Funktionen in Moodle zugänglich.

5.1    Anmeldung (Zugangsdaten)

Wir erheben und verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur zum Zwecke der Erstellung von Zugangsdaten, zur Nutzung des Lernraumsystems und zur Authentifizierung der Nutzer.
Für den allgemeinen Zugang zur Lernplattform Moodle ist ein passwortgeschützter Moodle-Account notwendig. Diesen erstellen sich die Nutzer:innen selbst unter Angabe folgender Daten:


In Moodle ist eine Änderung dieser Daten für Nutzer:innen nicht möglich. Alle weiteren Angaben, die im Profil gemacht werden, wie etwa Kontaktinformationen, sind freiwilliger Natur und werden bei Angabe ebenfalls gespeichert.

5.2    Lehr- und Lernbetrieb in Moodle

Die Durchführung eines Moodle-Kurses ist mit einer Vielzahl von Aktionen und Aktivitäten seitens der zugriffsberechtigten Personen verbunden. Dabei werden die nachfolgend beschriebenen Informationen in der Datenbank aufgezeichnet.

Die Erfassung dieser Daten ist für den Betrieb von Moodle und eine ordnungsgemäße Durchführung des Online-Lernens zwingend erforderlich. Es besteht folglich seitens der Nutzer:innen keine Widerspruchsmöglichkeit.

Personenbezogene Daten im Lernbetrieb mit Moodle:

Alle Beiträge, Aufgabenlösungen oder Aktionen, die im Verlauf der Plattformnutzung in Foren oder anderen Aktivitäten eingestellt oder ausgeführt werden, werden in der Moodle-Datenbank in der Form gespeichert, dass nachvollziehbar ist, wer diese Beiträge, Aufgabenlösungen oder Aktionen verfasst bzw. ausgeführt hat. Unter Aktionen sind alle Aktivitäten zu verstehen, die zu einem Ergebnis führen, wie zum Beispiel das Schreiben eines Forenbeitrags, die Stimmabgabe im Rahmen einer Abstimmung oder das Beantworten von Fragen im Rahmen eines Online-Tests.

Kursverantwortliche (in der Rolle „Teacher“) haben Zugriff auf sogenannte Aktivitätsübersichten zu Zwecken der Lehrvermittlung, der Lehrorganisation und der Lehrerfolgskontrolle im betreffenden Kurs. Dargestellt werden hier persönliche Beiträge der Kursteilnehmer:innen zu Aktivitäten wie Foren, Wikis, Blogs oder Aufgaben und der Zeitpunkt, an dem die Aktion ausgeführt wurde. Diese Daten dürfen ausschließlich für Lehrzwecke verwendet werden, soweit dies zur Aufgabenerfüllung erforderlich ist und die Datenverarbeitung vor dem Hintergrund des Datensparsamkeitsprinzips in angemessenem Verhältnis zu dem mit ihr verbundenen Zweck steht. Diese Daten in den Moodle-Logfiles werden nach 30 Tagen gelöscht.

Diese Datenaufzeichnung dient dem Zweck, die Kommunikation und Kooperation der Moodle-Nutzer:innen zu unterstützen, den Lernfortschritt zu überprüfen und um Rückmeldungen geben zu können.

5.3    Bereitstellung der Anwendung und Erstellung von Logfiles

Moodle führt serverseitig ein Logfile, in dem insbesondere jeder HTTP-Zugriff (insb. jede Verbindung eines Webbrowsers zu Moodle) vermerkt wird. Das Log erfasst zu jedem Zugriff insb. den Zeitpunkt, IP-Adresse, URL-Pfad, und bei authentifizierungspflichtigen Funktionalitäten auch eine pseudonymisierte Kennung zu den Anwender:innen. Hinzu kommen weitere technische Informationen wie z.B., ob der Zugriff TLS-geschützt war (https://) und wie der HTTP-Response-Code lautet. Auch interne Vermerke zur Service-Abarbeitung (insb. zu bei der Abarbeitung aufgetretenen Fehlern) können gespeichert werden.

Diese Informationen dienen insbesondere zu folgenden Zwecken:


Das Logfile wird jeweils über 7 Tage aufgezeichnet und im Laufe der nachfolgenden 7 Tage wieder gelöscht. Lediglich die Systemadministratoren haben Zugriff darauf.

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO.

Die Erfassung der Daten zur Bereitstellung der Anwendung und die Speicherung der Daten in Logfiles sind für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzer:innen keine Widerspruchsmöglichkeit.

5.4    Verwendung von Cookies

Moodle verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Wird Moodle aufgerufen, so kann ein Cookie auf dem Betriebssystem der Nutzer:innen gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

Moodle setzt zwei Cookies ein: Ein Cookie heißt MoodleSession. Dieses Cookie muss erlaubt sein, damit der Login bei den Zugriffen von Seite zu Seite erhalten bleibt. Beim Abmelden oder beim Beenden des Webbrowsers wird das Cookie automatisch gelöscht.

Das andere Cookie dient der Nutzungsvereinfachung und heißt standardmäßig MoodleID. Dieses Cookie speichert den Anmeldenamen im Webbrowser und bleibt auch nach dem Abmelden erhalten. Beim nächsten Login ist dann der Anmeldename bereits eingetragen. Dieses Cookie kann man verbieten, man muss dann aber bei jedem Login seinen Anmeldenamen neu eingeben.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Websites für die Nutzende zu vereinfachen. Einige Funktionen von Moodle können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.

Cookies werden auf dem Rechner des Nutzenden gespeichert und von diesem an unsere Seite übermittelt. Daher haben Nutzer:innen auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in ihrem Internetbrowser können sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für Moodle deaktiviert, können möglicherweise nicht mehr alle Funktionen von Moodle vollumfänglich genutzt werden.

5.5    Webanalyse und Social Media

Social-Media-Plugins sind nicht zentral für alle Moodle-Nutzer:innen eingebunden.

5.6    Verantwortungsbereiche der Inhalteanbieter:innen

Kursverantwortliche haben im Rahmen der Dateiauswahl die Möglichkeit, externe Dienste (z.B. YouTube, Wikimedia etc.) anzubinden und Dateien in Moodle zu übernehmen. Diese Angebote werden nicht von der MACH AG betrieben und unterliegen in Bezug auf Sicherheit und Datenschutz allein den Verfahrensweisen des externen Anbieters. Die externen Repositories sind als solche gekennzeichnet. Eine Übermittlung von personenbezogenen Daten aus der Lernplattform an die Anbieter externer Repositories ist ausgeschlossen.

6    Dauer der Speicherung von Daten / Löschfristen

Die personenbezogene Daten der betroffenen Person werden nur für den Zeitraum verarbeitet und gespeichert, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der für die Verarbeitung Verantwortliche unterliegt, vorgesehen wurde.

Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Prüfungsrelevante Ergebnisse aus Tests, Lernpaketen und Aufgaben sowie Daten zum Abschluss und der Gesamtbewertung werden bis zum Ablauf gesetzlicher Aufbewahrungspflichten aufbewahrt.

Profildaten, die Nutzer:innen auf freiwilliger Basis eingegeben haben, können jederzeit von ihnen selbst gelöscht werden.

7    Rechte der betroffenen Person

7.1    Auskunftsrecht – Art 15 DSGVO

Nutzer:innen können von der MACH AG eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden.

Liegt eine solche Verarbeitung vor, kann über folgende Informationen Auskunft verlangt werden:

Nutzer:innen steht das Recht zu, Auskunft darüber zu verlangen, ob die sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

7.2    Recht auf Berichtigung – Art 16 DSGVO

Nutzer:innen haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber der MACH AG, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Die MACH AG hat die Berichtigung unverzüglich vorzunehmen.

7.3    Recht auf Einschränkung der Verarbeitung– Art 18 DSGVO

(1) Die Nutzer:innen hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:

Das o.g. Recht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.

7.4    Recht auf Löschung – Art 17 DSGVO

Unter den folgenden Voraussetzungen können Nutzer:innen die Löschung der sie betreffenden personenbezogenen Daten verlangen, sofern einer der folgenden Gründe zutrifft:


Ausnahmen:
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

7.5    Recht auf Unterrichtung – Art 19 DSGVO

Haben Nutzer:innen das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfänger:innen, denen die sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Nutzer:innen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger:innen unterrichtet zu werden.

7.6    Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art7 Abs.3 DSGVO

Personen, die freiwillig einer Verarbeitung Ihrer Daten zugestimmt haben, können ihre datenschutzrechtliche Einwilligungserklärung jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten Sie bitte formlos an die Daten führende Stelle, der gegenüber Sie in die Datenverarbeitung eingewilligt haben.

7.7    Widerspruchsrecht – Art 21 DSGVO

(1) Der/die Nutzer/in hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 lit. e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Nutzers/ der Nutzerin überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat der/die Nutzer/in das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3) Widerspricht der/die Nutzer/in der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

(5) Nutzer:innen haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:

(6) Nutzer:innen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

7.8    Recht auf Beschwerde – Art 77 DSGVO

Nutzer:innen haben ein Beschwerderecht bei einer Aufsichtsbehörde (gemäß Art. 77 DSGVO). Im Falle eines Verstoßes gegen gesetzliche Bestimmungen zum Schutz der über sie gespeicherten Daten können sie die zuständige Aufsichtsbehörde ansprechen.

Die zuständige Aufsichtsbehörde für Schleswig-Holstein ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Postfach 71 16, 24171 Kiel
Holstenstraße 98, 24103 Kiel
Telefon: 04 31/988-12 00
Telefax: 04 31/988-12 23
E-Mail: mail@datenschutzzentrum.de

Internet: http://www.datenschutzzentrum.de/

8    Rechtsgrundlagen

Bundesgesetze:
Datenschutz-Grundverordnung (EU-DSGVO)
https://dsgvo-gesetz.de/

Bundesdatenschutzgesetz (BDSG)
https://dsgvo-gesetz.de/bdsg/

Telemediengesetz (TMG)
http://www.gesetze-im-internet.de/tmg/

Landesgesetze Schleswig-Holstein:
Landesdatenschutzgesetz (LDSG)

http://www.gesetze-rechtsprechung.sh.juris.de/jportal/?quelle=jlink&query=DSG+SH&psml=bsshoprod.psml&max=true