Datenschutzhinweise für das E-Learning über die Moodle-Lernplattform (Stand vom 14.02.2023)
I. Verantwortlicher
Hochschule für angewandte Wissenschaften München
Lothstr. 34
D-80335 München
Tel.: +49 (0) 89 12 65 - 0
Fax: +49 (0) 89 12 65 - 3000
E-Mail: presse@hm.edu
Internet: www.hm.edu
Die Hochschule für angewandte Wissenschaften ist eine Körperschaft des Öffentlichen Rechts. Sie wird durch ihren Präsidenten Prof. Dr. Martin Leitner gesetzlich vertreten.
II. Anmeldung und Registrierung
1. Pflichtangaben bei der Registrierung
Im Rahmen der Registrierung werden bei den Anmeldeprozeduren folgende Daten, so genannte Bestandsdaten, eines Teilnehmers1 in Moodle gespeichert:
Anmeldename, Vor- und Nachname, E-Mail-Adresse, Matrikelnummer2, ID Nummer 3, PersonScopedAffiliation4, Hochschule5 und Fakultät6.
Für den Zugang zu Moodle-Kursen sind i.d.R. die einmalige Registrierung auf der Lernplattform Moodle mit den zentralen Hochschulaccount-Daten sowie die Anmeldung zum jeweiligen Kurs mittels eines Zugangsschlüssels erforderlich. Durch die Anbindung der Lernplattform Moodle an die zentrale Hochschuldatenbank (Identity Management) mittels eines Authentifizierungsverfahrens (Shibboleth) entsprechen die persönlichen Zugangsdaten (Anmeldename und Kennwort) denen der zentralen Hochschuldatenbank und können in Moodle nicht geändert werden. Externe Nutzer müssen bei der Zentralen IT einen Gastaccount beantragen.
Alle im Rahmen der Anmeldung und Registrierung erhobenen persönlichen Daten der Teilnehmer werden entsprechend der geltenden gesetzlichen Datenschutzbestimmungen verarbeitet. Dies gilt auch für die systembedingt notwendige, zeitlich befristete Speicherung von individuellen Verbindungsdaten zur Lernplattform. Eine Weitergabe der Daten an Dritte ist ausgeschlossen, sofern nicht der Nutzer dieses gestattet oder der Betreiber aufgrund gesetzlicher Vorschriften zur Herausgabe verpflichtet ist.
2. Freiwillige Daten bei der Registrierung
Bei der Registrierung auf der Lernplattform werden neben den verpflichtenden Bestandsdaten zusätzlich ab dem Zeitpunkt der Registrierung von den Teilnehmern freiwillig eingegebene 7 und/oder bei der Nutzung anfallende Daten, so genannte Nutzungsdaten elektronisch in einer Datenbank gespeichert; dazu gehören automatisch anfallende und von den Teilnehmern eingegebene Informationen.
Zu den freiwilligen Angaben, die im Profil eingetragen werden können, zählen:
- Wohnadresse
- private Telefonnummer (auch mobil)
- Stadt
- Land
- Instant Messaging-Programm
- Profilbeschreibung
- Profilbild
- eigene Webseite
- Kursprofil (nur im eigenen Profil sichtbar)
III. Protokolldateien und Cookies
Es wird protokolliert, zu welcher Zeit Sie auf welche Bestandteile der Lernplattform zugegriffen haben und an welchen Aktivitäten Sie teilgenommen haben. Weder Kursverantwortliche (z.B. in der Rolle „Trainer/in“), noch andere Kursteilnehmer (z.B. in der Rolle „Teilnehmer/in“) haben Zugriff auf diese Protokolldateien und die Datenbank.
Die mit der technischen Verwaltung der Moodle-Plattform (z.B. in der Rolle Administrator/in“) sowie des Datenbank- und Webservers betrauten Personen haben Zugriff auf alle im System gespeicherten personenbezogenen Daten. Sie dürfen diese Daten ausschließlich insoweit verarbeiten, wie dies zur Gewährleistung des Betriebs von Moodle erforderlich ist.
Zusätzlich benutzt die Lernplattform Moodle zwei Arten von Cookies.
- MoodleSession (Session Cookie): Dieses Cookie muss erlaubt werden, damit der Login bei Moodle-Zugriffen von Seite zu Seite erhalten bleibt. Nach dem Ausloggen oder dem Schließen des Webbrowsers wird das Cookie gelöscht.
- EU_COOKIE_LAW_CONSENT: Dieses Cookie speichert die Einwilligung in die Nutzungsbedingungen von Moodle und wird gesetzt, wenn auf dem dazugehörigen Banner auf „Fortsetzen“ geklickt wird. Das Cookie wird einen Monat gespeichert.
IV. Vom Nutzer übermittelte Inhalte
Neben den personenbezogenen Daten, die im Registrierungsprozess erhoben werden, geben die Nutzer darüber hinaus sämtliche im Rahmen der Nutzung des Systems erforderlichen Inhalte weiter, die dem konkreten Nutzer zugeordnet werden können. Hier ist eindeutig zwischen den absolut freiwilligen und den verpflichtenden Inhalten zu unterscheiden.
1. Verpflichtende Inhalte
Mehrere Moodle-Funktionalitäten können aus didaktischen Gründen nur als verpflichtender Bestandteil in Pflicht-, Wahl- und Wahlpflichtfächern eingesetzt werden. Alternative Angebote müssen demnach nicht zur Verfügung gestellt werden.
Rechtsgrundlage der Datenverarbeitung bei den verpflichtenden Funktionalitäten ist die Erfüllung der der Hochschule München übertragen hoheitlichen Aufgabe zur Pflege und Entwicklung der Wissenschaften und der Künste durch Forschung, Lehre, Studium und Weiterbildung. Dies ergibt sich im Einzelnen aus Art. 4, Abs. 1 BayDSG, Artt. 6 Abs. 2 -3, Abs. 1, S. 1 lit e DSGVO. Weitere Rechtsgrundlagen sind: Art. 6, Abs. 1 BayDSG, Art. 2; Art. 17, Abs. 1, S. 1 BayDIG, Art. 2, Abs. 1, S. 1,2,3 & 6; Art. 10, Abs. 1; Art. 76, Abs. 2, S BayHIG.
Die Datenverarbeitung im Rahmen folgender Moodle-Funktionalitäten ist daher verpflichtend:
a) Nutzung eines angelegten Moodle-Kurses
Der angelegte Moodle-Kurs besteht aus einem Grundgerüst (Kursname, Kursbeschreibung) sowie weiteren Einstellungen und Inhalten, die der Kursverantwortliche bestimmt. Der Kurs besteht auch dann weiter, wenn der Kursverantwortliche sich aus dem Kurs abmeldet oder sein Account gelöscht wird.
b) Einträge in der Aktivität Datenbanken
Die Einträge in Datenbanken dienen der strukturierten Erfassung von Informationen. Hierbei handelt es sich um eine von Kursverantwortlichen erstellte Tabelle, die gezielt durchsucht und wieder aufgerufen werden kann und in denen Kursteilnehmer auch Einträge vornehmen können. (z.B. Literatursammlungen); Die Nutzung dient der Lehre und ist daher nicht lediglich nur freiwillig.
c) Einträge in Foren
Foren dienen z.B. als Diskussions- bzw. Austauschmöglichkeit; Über Foren können auch als zu bewertende Aufgaben gestellt werden; eine lediglich rein freiwillige Nutzung ist daher nicht möglich
d) Einträge in Glossaren
Glossaren ist z.B. ein Fachwörter-Lexikon; Glossaren können bewertet werden; eine lediglich rein freiwillige Nutzung ist hier nicht möglich
e) Einträge in Wikis
Einträge in Wikis können bewertet werden; eine lediglich rein freiwillige Nutzung ist hier nicht möglich
f) Gegenseitige Bewertungen / Beurteilungen durch die Lernenden
Zum Zwecke des Lernens durch Lehren können über Moodle sich Studierende gegenseitig bewerten und beurteilen. Hierfür können Kursteilnehmer Dateien hochladen. Diese werden von anderen Kursteilnehmern bewertet. Eine lediglich rein freiwillige Nutzung ist hier nicht möglich
g) Einreichen von Aufgabenlösungen
Über das Moodle E-Learningsystem können Aufgabenlösungen als Datei eingereicht werden, zum Beispiel die Hausarbeit als Word- oder PDF-Datei. Diese Aufgabenlösungen werden vom Lehrenden bewertet, Eine freiwillige Nutzung ist hier daher nicht möglich.
2. Freiwillige Inhalte
Darüber hinaus gibt es weitere Moodle-Funktionalitäten, die nicht als verpflichtenden Bestandteil in Pflicht-, Wahl- und Wahlpflichtfächern eingesetzt werden können. Nutzung dieser Funktionalität ist aufgrund der im Grundgesetz und im Hochschulgesetz angelegten Studierfreiheit (Art. 5 Abs. 3 Satz 1 des Grundgesetzes und Art. 108 der Bay. Verfassung, Art. 20 BayHIG) nur mit (konkludenter) Einwilligung des Studierenden möglich. Eine verpflichtende Teilnahme ist ausgeschlossen. Funktionalitäten, welche den Lernfortschritt eines konkreten Studierenden erfassen und dem Lehrenden Einblick verschaffen ist ohne Einwilligung des Studierenden nicht zulässig und verstößt gegen die Studierfreiheit.
Rechtsgrundlage der Datenverarbeitung ist daher die (konkludente) Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 7 DSGVO. Die Einwilligung muss insbesondere freiwillig, informiert, auf einen bestimmten Zweck und auf eine bestimmte Verarbeitung bezogen sowie unmissverständlich sein (siehe Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DSGVO).
Grundsätzlich können auch konkludente Handlungen eine Einwilligung darstellen, etwa die freiwillige Eingabe nicht erforderlicher Information in der Moodle-Plattform. Allerdings trifft den Verantwortlichen im Rahmen seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nach Art. 7 Abs. 1 DSGVO die Pflicht, nachweisen zu können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies geschieht durch die Bestätigung der Kenntnisnahme dieser Information im Rahmen des Registrierungsprozesses.
Die Datenverarbeitung im Rahmen folgender Moodle-Funktionalitäten ist freiwillig. Studierenden dürfen weder direkt noch indirekt durch in Aussichtstellen etwaiger Nachteile gezwungen werden folgende Funktionalitäten zu benutzen:
a) Abstimmungen
In einem Moodle-Kurs können Abstimmungen durchgeführt werden, zum Beispiel zum Thema der nächsten Lehrveranstaltung oder zur Gruppenbildung. Die Abstimmungs-ergebnisse werden dann personenbezogen den Zugriffberechtigten angezeigt.
Die Teilnahme ist nicht anonym möglich, daher ist die Teilnahme nur mit (konkludenter) Einwilligung möglich.
b) Ergebnisse Feedbackteilnahme
Die Moodle Aktivität Feedback dient zur Erstellung eigener Befragungen, bspw. zur Abfrage der Vorkenntnisse und Anpassung des Lehrstoffes. Eine Teilnahme am Feedback ist – wenn so konfiguriert – auch anonym möglich.
Die Teilnahme ist freiwillig und anonym möglich / bei Personenbezug ist die Teilnahme mit (konkludenter) Einwilligung möglich
c) Test-Teilnahme
Über Moodle ist die Teilnahme an Multiple-Choice-Test zur Prüfungsvorbereitung möglich. Die Testergebnisse können vom Lehrenden angesehen und ausgewertet werden. Dadurch ist eine individuelle Bestandsaufnahme des Lernfortschritts möglich. Diese Funktionalität ist nur mit (konkludenter) Einwilligung des Studierenden möglich. Eine verpflichtende Teilnahme ist ausgeschlossen.
d) Umfrageergebnisse
In einem Online-Kurs können vom Kursverantwortlichen Umfragen durchgeführt werden. Die Teilnahme sollte grundsätzlich anonym erfolgen können. Eine personenbezogene Umfrage ist nur mit (konkludenter) Einwilligung des Studierenden möglich. Die Freiwilligkeit bei der Teilnahme ist durch die Lehrenden zu garantieren. Eine verpflichtende Teilnahme ist ausgeschlossen.
e) Mitteilungen
Kurz-Nachrichten (keine Dateianhänge möglich) werden über den internen Dienst des E-Learningsystems an andere Nutzer verschickt. Diese werden in einem persönlichen Archiv gespeichert (empfangene und gesendete Mitteilungen je Nutzer). Studierende können freiwillig über den Versand von Kurznachrichten entscheiden. Es handelt sich hierbei um ein mögliches Kommunikationsmittel.
f) Einträge bei Lernpaketen
Ein Lernpaket ist eine extern erstellte Sharable Content Object Reference Model (SCORM)-Datei. Die Inhalte sind interaktiv aufbereitete Lehrmaterialien und können z.B. Lernspiele und Tests beinhalten. Über die Lernpakete können die Lernaktivitäten des Studierenden ausgewertet werden und Bestandsaufnahmen des Lernfortschritts des Studierenden durch den Lehrenden eingesehen und auch ausgewertet werden. Diese Funktionalität ist nur mit (konkludenter) Einwilligung des Studierenden möglich. Eine verpflichtende Teilnahme ist ausgeschlossen. Darüber hinaus wird hier das Zurverfügungstellen von Lernmaterialien vom Lernfortschritt (ähnlich einem Lernspiel mit mehreren Levels) abhängig gemacht. Die Nutzung dieser Funktionalität ist aufgrund der verfassungsrechtlich verbürgten Studierfreiheit (Art. 5 Abs. 3 Satz 1 des Grundgesetzes und Art. 108 der Bay. Verfassung, Art. 20 BayHIG) nur mit (konkludenter) Einwilligung des Studierenden möglich. Eine verpflichtende Teilnahme ist ausgeschlossen. Es wird seitens der Lehrenden sichergestellt, dass Studierende auch ohne Kenntnisnahme der interaktiv aufbereiteten Lehrmaterialien an die für das Ableisten von summativen Prüfungen erforderlichen Materialien ohne zusätzlichen Umwege gelangen können.
g) Einträge bei Lektionen
Mit der Aktivität Lektion kann der Kursverantwortliche Lehrmaterialien mit Testfragen (z.B. Multiple-Choice) anreichern. Das Zurverfügungstellen von Lernmaterialien wird hier vom Lernfortschritt (ähnlich einem Lernspiel mit mehreren Levels) abhängig gemacht. Die Nutzung dieser Funktionalität ist aufgrund der verfassungsrechtlich verbürgten Studierfreiheit (Art. 5 Abs. 3 Satz 1 des Grundgesetzes und Art. 108 der Bay. Verfassung, Art. 20 BayHIG) nur mit (konkludenter) Einwilligung des Studierenden möglich. Eine verpflichtende Teilnahme ist ausgeschlossen. Es wird seitens der Lehrenden sichergestellt, dass Studierende auch ohne Kenntnisnahme der interaktiv aufbereiteten Lehrmaterialien an die für das Ableisten von summativen Prüfungen erforderlichen Materialien ohne Umwege gelangen können.
h) Moodle Chats
Die Moodle Einträge in Chats/Chatprotokolle erfolgt in Chaträumen zur synchronen Kommunikation. Die Unterhaltungen werden in Chatprotokollen gespeichert. Das Nutzen des Chats ist freiwillig.
i) Sichtbarkeit der E-Mail-Adressen
Die vom Zentralen Identity Management der Hochschule München bereitgestellte E-Mail-Adresse (Pflichtfeld) wird in Mitteilungen des Systems genannt, die durch Aktionen des Nutzers ausgelöst werden, und ist damit für den Empfänger solcher System-Mitteilungen sichtbar und kann von ihm für die Kommunikation weiterverwendet werden. Eine solche Systemmitteilung an eine/n Nutzer/in wird z.B. ausgelöst durch Versand von Nachrichten über die Moodle-interne Nachrichtenverwaltung.
Die E-Mail-Adressen von Nutzern sind für Lehrende (in der Rolle „Trainer/in) grundsätzlich immer sichtbar. Andere Kursteilnehmer (z.B. in der Rolle „Teilnehmer/in“) können die E-Mail-Adresse sehen, sofern dies vom Nutzer in den Profileinstellungen freigeschaltet wurde.
j) Moodle-Plugin „Dringende Frage“
Kursverantwortliche können mittels des Plugins „Dringende Frage“ den Kursteilnehmern die Möglichkeit geben kursbezogene Fragen zu stellen, die für alle Kursteilnehmer sichtbar sind. Wenn bei der Veröffentlichung der Frage die Option „als anonym anzeigen“ ausgewählt wird, wird es für Trainer und Teilnehmer des Moodle-Kurses nicht erkennbar sein von wem die Frage stammt. Der Fragesteller kann allerdings von Moodle-Administratoren identifiziert werden, falls es hierfür gewichtige Gründe gibt (bspw. bei einem schwerwiegenden Verstoß gegen die Moodle-Nutzungsbedingungen). Die Rechtsgrundlage für die Datenverarbeitung ist die konkludente Einwilligung des Fragestellers. Eine verpflichtende Nutzung des Plugins ist ausgeschlossen.
V. Zweck und Rechtsgrundlage der Datenverarbeitung
1. Zweck der Datenverarbeitung ist die Lehre als öffentlichen Aufgabe der Hochschule. Durch das E-Learning wird die:
- Verwaltung von Lehr- und Lernmaterialien,
- Präsentation der Materialien für Lehrende und Lernende,
- Administration von Nutzern, Lernenden und Lehrenden,
- Kommunikation zwischen Lernenden untereinander bzw. Lernenden und Lehrenden,
- Führung von Lernenden durch Lehrmaterialien
- Interaktion von Lernenden mit der Lernsoftware
sichergestellt.
2. Rechtsgrundlage der Verarbeitung ist: Art. 4, Abs. 1 BayDSG, Artt. 6 Abs. 2 -3, Abs. 1, S. 1 lit e DSGVO.
Weitere Rechtsgrundlagen sind: Art. 6, Abs. 1 BayDSG Art. 2; Art. 17, Abs. 1, S. 1 BayDIG; Art. 2, Abs. 1, S. 1,2,3 & 6; Art. 10, Abs. 1; Art. 76 Abs. 2 BayHIG.
Für alle freiwillig angegeben personenbezogenen Daten seitens der Studierenden ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit a, Art. 7 DSGVO die Rechtsgrundlage.
VI. Betroffenenrechte
Alle registrierten Teilnehmer können jederzeit gegenüber der Hochschule München Auskunft über ihre auf der Lernplattform gespeicherten persönlichen Daten anfordern bzw. die Löschung ihrer kompletten Daten beantragen (Art. 15 DSGVO). Sollten Sie Ihren zentralen Hochschulaccount zum Einloggen in Moodle verwenden, werden nur die in Moodle gespeicherten Nutzerdaten (d.h. die Daten Ihres persönlichen Profils) gelöscht, nicht jedoch der zentrale Hochschulaccount. Von der Löschung ausgenommen sind von den Teilnehmern in Moodle veröffentlichte Beiträge in Foren, Chats, Blogs, Wikis etc. bzw. von ihnen zum Abruf bereit gestellte Dateien, die bis zur Löschung des jeweiligen Moodle-Kurses verfügbar bleiben.
Sollten unrichtige personenbezogene Daten verarbeitet werden, steht dem Nutzer das Recht auf Berichtigung zu (Art. 16 DSGVO). Wenn in die Datenverarbeitung eingewilligt wurde oder wenn ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Betroffenen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). Betroffene haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt (Art. 7 DSGVO). Den Nutzer steht das Recht zu, Auskunft darüber zu verlangen, ob eine automatisierte Entscheidungsfindung einschließlich Profiling besteht (Art. 22 DSGVO). Darüber hinaus haben Nutzer das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. e oder f DSGVO erfolgt (Art. 21 Abs. 1 Satz 1 DSGVO).
Sollte von den oben genannten Rechten Gebrauch gemacht werden, prüft die öffentliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Weiterhin besteht ein Beschwerderecht bei einer Aufsichtsbehörde. Die für die Hochschule München zuständige Behörde ist der Bayerische Landesbeauftragte für den Datenschutz.
Dieser ist unter folgenden Kontaktdaten erreichbar:
Postanschrift:
Postfach 22 12 19
80502 München
Adresse:
Wagmüllerstraße 18
80538 München
Tel.: +49 (0) 89 212672 - 0
Fax: +49 (0) 89 212672 - 50
E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de/
Sonstiges zu unserer Datenschutzerklärung
Die Hochschule München behält sich vor, diese Datenschutzerklärung gelegentlich anzupassen, damit diese stets den aktuellen rechtlichen Anforderungen entspricht. Für eine erneute Nutzung der Lernplattform gilt dann die neue Datenschutzerklärung.
Bei Fragen können sich Interessierte vertrauensvoll an den Datenschutzbeauftragen (datenschutzbeauftragter@hm.edu) wenden oder auch eine E-Mail schreiben an: elc@hm.edu
1 In diesem Dokument werden nicht immer die männliche und die weibliche Form erwähnt. Dort, wo aus Gründen der Einfachheit nur die männliche Form verwendet wird, ist immer auch die weibliche Form gemeint.
2 Gilt nur für Hochschulangehörige; die Daten stammen aus dem zentralen Identity Management. Studierende können keine Matrikelnummern von anderen Studierenden einsehen.
3 Gibt den Zugehörigkeitsstatus zur Hochschule München an. Gilt nur für Hochschulangehörige; die Daten stammen aus dem zentralen Identity Management.
4 Gibt den Zugehörigkeitsstatus zur Hochschule München an. Gilt nur für Hochschulangehörige; die Daten stammen aus dem zentralen Identity Management.
5 Die Daten stammen aus dem zentralen Identity Management.
6 Die Daten stammen aus dem zentralen Identity Management.
7 So z.B. ein Profilbild, Interessensfelder, die eigene Homepage oder Telefonnummer