Full policy

[English version see below]

1      Verantwortliche und Kontakt

Verantwortlich für die Datenverarbeitung dieses Webangebots ist die Hochschule für Wirtschaft und Recht, Badensche Strasse 52, 10825 Berlin, vertreten durch den Präsidenten. Inhaltlich verantwortlich für die Lernplattform ist das E-Learning Zentrum der HWR Berlin.

Es bestehen folgende Kontaktmöglichkeiten:

Hochschule für Wirtschaft und Recht Berlin
Badensche Straße 52
10825 Berlin

E-Learning Zentrum der HWR Berlin
elearning[at]hwr-berlin.de

Ihre Fragen zum Datenschutz beantwortet die HWR Berlin gerne. Schicken Sie eine E-Mail an: datenschutz-elearning[at]hwr-berlin.de 

Auskünfte erteilt auch unser behördlicher Datenschutzbeauftragter:

HiSolutions AG
Vitali Dick (Datenschutzbeauftragter)
Bouchéstraße 12
12435 Berlin
datenschutz[at]hwr-berlin.de

HWR Berlin
Prof. Dr. Markus Schaal (stv. Datenschutzbeauftragter)
Badensche Str. 50/51

10825 Berlin
datenschutz[at]hwr-berlin.de

 

2      Zweck der Verarbeitung personenbezogener Daten

Die Lernplattform dient der Unterstützung des Studiums an der Hochschule für Wirtschaft und Recht Berlin durch die Bereitstellung von Lehrmaterialien und -aktivitäten und Kommunikations- und Kollaborationswerkzeugen. Die erhobenen Daten können zum Zweck der Verbesserung der Lehre ausgewertet werden.

Weiterhin dient die Lernplattform der Qualifizierung der Beschäftigten und als Informationsplattform für Studienbüros und Serviceeinrichtungen der Hochschule sowie für ehemalige Studierende der Berlin Professional School (BPS).

Es ist derzeit nicht beabsichtigt, die Daten zu anderen als den genannten Zwecken zu verwenden. Falls die Daten in der Zukunft doch zu anderen Zwecken verwendet werden sollen, werden wir Sie vorab informieren.

Grundlage für die Verarbeitung sind die Datenschutzgrundverordnung der EU (EU-DSGVO), das Bundesdatenschutzgesetz, das Landesdatenschutzgesetz des Landes Berlin und die Studierendendatenverordnung des Landes Berlin.

 

3      Erhebung und Nutzung personenbezogener Daten

Wir erheben und verwenden personenbezogene Daten unserer Nutzenden grundsätzlich nur, soweit dies zur Bereitstellung von Moodle und seiner Funktionen erforderlich ist.

Ist die Verarbeitung personenbezogener Daten zur Wahrnehmung einer übertragenen Aufgabe erforderlich, dient Art. 6 Abs. 1 lit. e DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses der Hochschule für Wirtschaft und Recht Berlin oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung. Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Nutzung von Moodle werden folgende Daten erhoben:

• Verbindungsdaten (z.B. IP-Adresse, Datum und Uhrzeit des Zugriffs)
• Zugangsdaten: Benutzername, Passwort in verschlüsselter Form, (hochschulbezogene) E-Mail-Adresse, Vorname, Nachname
• Inhaltsdaten (z.B. hochgeladene Dateien, Forenbeiträge, Tests)

Die vorübergehende Speicherung der Verbindungsdaten, insbesondere der IP-Adresse, durch das System ist notwendig, um eine Auslieferung von Moodle an den Rechner des Nutzenden zu ermöglichen. Hierfür muss die IP-Adresse des Nutzenden für die Dauer der Sitzung gespeichert bleiben. Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

Logfiles

Die Daten (Verbindungs-/Zugangs- und Typen von Inhaltsdaten) werden ebenfalls in Logfiles gespeichert. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit von Moodle sicherzustellen. Zudem dienen uns die Daten zur Optimierung von Moodle und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

Die Daten in den Webserver Logfiles werden nach 30 Tagen gelöscht. Zugriff auf die Logfiles haben ausschließlich Administratoren. Die Erfassung der Daten zur Bereitstellung von Moodle und die Speicherung der Daten in Logfiles ist für den Betrieb zwingend erforderlich. Es besteht folglich seitens der/s Nutzenden keine Widerspruchsmöglichkeit.

Aktivitätsberichte

Kursverantwortliche (in der Rolle „Lehrende“) haben Zugriff auf sogenannte Aktivitätsübersichten zu Zwecken der Lehrvermittlung, der Lehrorganisation und der Lehrerfolgskontrolle im betreffenden Kurs. Dargestellt werden hier persönliche Beiträge zu Aktivitäten wie Foren, Wikis, Blogs oder Aufgaben. Diese Daten dürfen ausschließlich für Lehrzwecke verwendet werden, soweit dies zur Aufgabenerfüllung erforderlich ist und die Datenverarbeitung vor dem Hintergrund des Datensparsamkeitsprinzips in angemessenem Verhältnis zu dem mit ihr verbundenen Zweck steht. Diese Daten in den Moodle Logfiles werden nach 2 Monaten gelöscht.

 

4      Registrierung (Zugangsdaten)

Für die Nutzung unseres Dienstes ist es notwendig, sich unter Angabe personenbezogener Daten zu registrieren. Die Daten werden dabei in eine Eingabemaske eingegeben und an uns übermittelt und gespeichert. Eine Weitergabe der Daten an Dritte findet nicht statt.

Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben. Diese Daten werden in der Regel aus der zentralen Benutzerverwaltung (Active Directory) der Hochschule für Wirtschaft und Recht übernommen.

• Benutzername
• Passwort in verschlüsselter Form
• (hochschulbezogene) E-Mail-Adresse
• Vorname
• Nachname

Im Zeitpunkt der Registrierung werden zudem folgende Daten gespeichert:

• Die IP-Adresse der/s Nutzenden
• Datum und Uhrzeit der Registrierung

Im Rahmen des Registrierungsprozesses wird über die Verarbeitung dieser Daten informiert. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e DSGVO. Eine Registrierung der/s Nutzenden ist für das Bereitstellen der Inhalte und Funktionen von Moodle zum Zweck der Durchführung von Forschung und Lehre erforderlich. Die Registrierung ermöglicht die Einhaltung urheberrechtlicher Vorgaben aus § 60a UrhG bei der Bereitstellung urheberrechtlich geschützter Inhalte, die Zuordnung von Beiträgen zu Nutzenden, die Organisation und Durchführung von Kommunikation und Kollaboration, die Bewertung und das Kommentieren von Eingaben der Nutzenden.

Die Daten werden gelöscht, wenn das Moodle-Nutzerkonto bei Moodle gelöscht wird. Einträge in Moodle-Aktivitäten bleiben nach der Löschung mit der Kennzeichnung „deleted user“ erhalten. Bewertungen, die aus Aktivitäten wie z.B. Tests oder Aufgaben resultieren, werden gelöscht. Im Fall von Lehrenden werden Kurse nicht automatisch mitgelöscht.

Nutzende können die Zugangsdaten jederzeit berichtigen lassen. Hierzu reicht das Schreiben einer formlosen E-Mail an den Moodle-Helpdesk unter der Adresse elarning[at]hwr-berlin.de. Eine Mitteilung hierüber an andere Nutzende erfolgt nicht.

 

5      Inhaltsdaten

Im Rahmen der Nutzung unseres Dienstes werden Inhalte in Moodle hinzugefügt, als Dateien, Links oder in der Form von Texteingaben. Die Inhalte enthalten in der Regel einen Personenbezug, eine anonyme Nutzung ist teilweise auch möglich (z.B. bei Feedbacks). Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e DSGVO.

Das Hochladen und Einstellen von Inhalten ist zum Zweck der Durchführung von Forschung und Lehre erforderlich. Lehrende haben die Möglichkeit, jederzeit Kursdaten aus Moodle zu exportieren, um diese auch in anderen Moodle-Umgebungen weiternutzen zu können. Hierzu reicht das Schreiben einer formlosen E-Mail an den Moodle-Helpdesk unter der Adresse elearning[at]hwr-berlin.de.

 

6      Dauer der Speicherung von Daten/ Löschfristen

Studierende

Ihr zentrales Benutzerkonto der HWR Berlin wird 120 Tage nach der Exmatrikulation deaktiviert und nach weiteren 30 Tagen gelöscht. Mit dem Datum der Deaktivierung können Sie sich nicht mehr in Moodle anmelden. Ihr Konto inklusive der personenbezogenen Angaben im dazugehörigen Benutzerprofil wird 150 Tage nach der Exmatrikulation gelöscht.

Sie können das Moodle Konto vor Ablauf der o.g. Frist löschen lassen. Hierzu reicht das Schreiben einer formlosen E-Mail an den Moodle-Helpdesk unter der Adresse elearning[at]hwr-berlin.de. Werden Sie vor Ablauf der Löschfrist erneut an der HWR Berlin immatrikuliert, behalten Sie das Moodle-Konto.

Die Daten aus der Teilnahme des Kurses werden bis zur Löschung des Kurses gespeichert. Prüfungsrelevante Ergebnisse aus Tests, Lernpaketen und Aufgaben sowie Daten zum Abschluss und der Gesamtbewertung werden bis zum Ablauf gesetzlicher Aufbewahrungspflichten aufbewahrt.

Profildaten, die Sie auf freiwilliger Basis eingegeben haben, können Sie jederzeit selbst löschen.

Inhaltsdaten werden gelöscht, wenn der Moodlekurs gelöscht wird. Kurse werden für die Dauer von 5 Jahren auf dem Server belassen und anschließend gelöscht. Vor der Löschung wird per E-Mail darauf hingewiesen. Lehrende können ihren Kurs für vergangene Semester vor Ablauf dieser Frist löschen lassen. Hierzu reicht das Schreiben einer formlosen E-Mail an den Moodle-Helpdesk unter der Adresse elearning[at]hwr-berlin.de.

Beschäftigte, hauptamtlich Lehrende und Lehrbeauftragte

Mit der Deaktivierung des zentralen Benutzerkontos der HWR Berlin ist eine Anmeldung in Moodle nicht mehr möglich. Das Konto wird entsprechend der festgelegten Fristen der Datenverarbeitungssatzung der HWR Berlin gelöscht.

Externe Accounts

Das Moodle-Konto wird nach einem Jahr Inaktivität ohne Vorankündigung gelöscht.

 

7      Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

• Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen Auskunft über sowie eine Kopie diese/r Daten gemäß Art. 15 DSGVO verlangen.

• Sie haben außerdem das Recht auf Berichtigung (gemäß Art. 16 DSGVO). Sofern inkorrekte Daten gespeichert werden, können Sie diese zum Teil selber anpassen (selbst erfasste Profildaten) oder die Verantwortlichen auffordern dies zu tun. Die Verantwortlichen werden der Aufforderung nachkommen, sofern die Berichtigung berechtigt und angemessen ist.

• Sie haben ein Recht auf Löschung der Sie betreffenden personenbezogenen Daten (gemäß Art. 17 DSGVO). Sie haben einen Anspruch darauf, dass Daten gelöscht werden, die tatsächlich falsch sind oder für der Verantwortliche keinen weiteren Zweck hat. Ein Recht auf Löschung von Daten besteht nicht, wenn der Verantwortliche verpflichtet ist, die Daten aus gesetzlichen Gründen oder durch andere Verpflichtungen noch vorzuhalten. Die Pflicht zur Speicherung von Daten kann auch Exmatrikulation bestehen. Es besteht ebenfalls kein Anspruch auf Löschung, wenn Informationen von Ihnen selber verfasst wurden und diese im Kontext mit Informationen anderer Nutzenden stehen (z.B. Forenbeiträge).

• Sie haben ein Recht auf Einschränkung der Verarbeitung durch die Verantwortlichen (gemäß Art. 18 DSGVO). Die Verantwortlichen werden sicherstellen, dass Daten im Fall der Einschränkung nur solchen Personen zugänglich sind, die die Daten unbedingt einsehen müssen. Dazu können sie sich der Mittel der Pseudonymisierung und der Anonymisierung bedienen.

• Sie haben ein Widerspruchsrecht gegen diese Verarbeitung (gemäß Art. 21 DSGVO). Sie können der weiteren Nutzung der Daten widersprechen. Dies kann nur in die Zukunft hinein wirksam werden. Das Widerspruchsrecht ist keine automatische Verpflichtung zur Löschung der Daten für die Verantwortlichen. Sofern die Verantwortlichen Speicherpflichten aus anderen Gründen haben, werden sie dies abwägen und Sie informieren.

• Sie haben ein Recht auf Datenübertragbarkeit (gemäß Art. 20 DSGVO). Sie haben einen Anspruch, Daten, die von Ihnen selbst verfasst wurden, in einem elektronischen Format, das für die Nutzung an einer anderen Stelle eingesetzt werden kann. Das Recht ist beschränkt auf Daten, die nicht an andere Stellen übertragen werden dürfen oder die Rechte Anderer z.B. Urheberrecht betreffen.

 

8      Recht auf Beschwerde

Außerdem haben Sie ein Beschwerderecht bei einer Aufsichtsbehörde (gemäß Art. 77 DSGVO). Im Falle eines Verstoßes gegen gesetzliche Bestimmungen zum Schutz der über Sie gespeicherte Daten können Sie die zuständige Aufsichtsbehörde ansprechen. Die zuständige Aufsichtsbehörde ist

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Friedrichstr. 219

10969 Berlin

mailbox[at]datenschutz-berlin.de

Telefon: 030 / 13889-0

Telefax: 030 / 2155050

 

9      Informationen über Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (gemäß Art. 22 DSGVO).

Es erfolgt kein Profiling im Sinne der Datenschutzgrundverordnung. Im Rahmen von Kursen können Tests Grundlage für den Nachweis der erforderlichen Qualifikation bzw. Erfolgskontrolle sein. Die Fragen sind für jeden einzelnen Test durch Menschen zusammengestellt.

 

10   Verwendung von Cookies

Moodle verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Wird Moodle aufgerufen, so kann ein Cookie auf dem Betriebssystem der/s Nutzenden gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

Moodle setzt zwei Cookies ein: Ein Cookie heißt MoodleSession. Dieses Cookie muss erlaubt sein, damit der Login bei den Zugriffen von Seite zu Seite erhalten bleibt. Beim Abmelden oder beim Beenden des Webbrowsers wird das Cookie automatisch gelöscht.

Das andere Cookie dient der Nutzungsvereinfachung und heißt standardmäßig MoodleID. Dieses Cookie speichert den Anmeldenamen im Webbrowser und bleibt auch nach dem Abmelden erhalten. Beim nächsten Login ist dann der Anmeldename bereits eingetragen. Dieses Cookie kann man verbieten, man muss dann aber bei jedem Login seinen Anmeldenamen neu eingeben.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Websites für die Nutzende zu vereinfachen. Einige Funktionen von Moodle können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.

Cookies werden auf dem Rechner des Nutzenden gespeichert und von diesem an unserer Seite übermittelt. Daher haben Nutzende auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für Moodle deaktiviert, können möglicherweise nicht mehr alle Funktionen von Moodle vollumfänglich genutzt werden.

 

11   Auskunft

Wir teilen Ihnen auf Ihre Anforderung umgehend mit, welche personenbezogenen Daten über Sie in Moodle gespeichert sind. Bitte wenden Sie sich hierzu per E-Mail an die Administration der Lernplattform. Die E-Mail-Adresse lautet: datenschutz-elearning[at]hwr-berlin.de.

Auskünfte erteilt auch unser behördlicher Datenschutzbeauftragter: Prof. Dr. Hartmut Aden: datenschutz[at]hwr-berlin.de.

 

12   Nutzung externer Dienste

Kursverantwortliche (mind. in der Rolle „Gastdozent/in“) haben im Rahmen der Dateiauswahl die Möglichkeit externe Dienste (z.B. YouTube, WikiMedia) anzubinden und Dateien in Moodle zu übernehmen. Diese Angebote werden nicht von der HWR Berlin betrieben und unterliegen in Bezug auf Sicherheit und Datenschutz allein den Verfahrensweisen des externen Anbieters. Die externen Repositories sind als solche gekennzeichnet. Eine Übermittlung von personenbezogenen Daten aus der Lernplattform an die Anbieter externer Repositories ist ausgeschlossen.

Des Weiteren erfolgt eine Datenübermittlung aus den Campus Management Systemen nach Moodle. Nach dem Anlegen und der Belegung einer Lehrveranstaltung im Campus Management System erfolgt die Erstellung eines entsprechenden Kurses in Moodle sowie automatisch die Einschreibung in diesen Moodle-Kurs in der Rolle „Teilnehmer/-in / Student/-in“ oder Dozent/-in. Hierfür werden gesicherte Webservices zwischen den Systemen genutzt. Eine Zwischenspeicherung auf Drittsystemen erfolgt nicht.

Mit der Integration des Moodle Blocks „block_onlinesurvey“ werden den Lernenden die relevanten EvaSys-Onlineumfragen der HWR Berlin direkt in Moodle angezeigt. angezeigt.  Das Plugin ist über ein SOAP Schnittstelle an Moodle angebunden. Die Identifizierung der relevanten Umfragen für den Moodle Nutzenden erfolgt ausschließlich über die hochschuleigene E-Mail-Adresse. Eine Übermittlung von personenbezogenen Daten aus der Lernplattform an Evasys erfolgt nicht.

Moodle verwendet Plugins, um Medien von der Medienplattform der HWR Berlin unter media.hwr-berlin.de in Moodle Kurse zu integrieren. Dabei werden die Plugins „Vimp SSO“, „Vimp Aktivität“ und „Vimp Atto“ verwendet. Hierbei wird sichergestellt, dass in Moodle registrierte Nutzende nur auf die Medien der Medienplattform zugreifen können, auf die Sie Berechtigungen haben (Single Sign On). Die Identifizierung erfolgt über den zentralen Benutzeraccount der HWR Berlin.

Moodle verwendet H5P als so genanntes 3rd Party Plugin. Es werden keine Nutzungsstatistiken an H5P übermittelt, die Funktion wurde auf dem Moodle der HWR Berlin deaktiviert. Aktiviert ist dagegen der H5P Hub, eine Schnittstelle für Updates von so genannten Inhaltstypen, also den eigentlichen Bausteinen dieses Plugins.

Der MathJax-Filter wandelt TeX-Ausdrücke, die innerhalb von speziellen Zeichen kodiert sind, in lesbare mathematische Formeln um und verbessert die Darstellung von Buttons und die Vorschau im Formeleditor des Atto Text-Editors. Der MathJax Filter nutzt zur Konvertierung standardmäßig Bibliotheken von https://cdn.jsdelivr.net/npm/mathjax@2.7.8/MathJax.js.

12.1   Integration von BigBlueButton in Moodle

Für die Durchführung von Webkonferenzen steht das Tool BigBlueButton als Plugin in Moodle zur Verfügung.

• Zweck: Integration des von der HWR Berlin bereitgestellten Webkonferenzsystems in die zentrale Online-Lehrplattform zur Durchführung von Online-Lehre.
• Erforderlichkeit: Vereinfachung der Prozesse zur Durchführung der Online-Lehre, Verbesserung der Nutzerfreundlichkeit von BigBlueButton, Vermeidung von Fehlern und Fehlbedienungen bei Bereitstellung von Online-Konferenzen zwischen Lehrenden und Studierenden.
• Verarbeitete personenbezogene Daten: fullName, Meeting ID, User ID, Rolle
• Sicherheit der Verarbeitung: Die Integration von BigBlueButton wurde von der IT einer Überprüfung hinsichtlich Risiken in den Bereichen Datenschutz und Datensicherheit unterzogen. Es wurden geeignete technische und organisatorische Maßnahme zur Absicherung eines angemessenen Schutzniveaus getroffen.
• Löschfristen: Die zur Durchführung der Webkonferenz übermittelten Daten werden nach Beendigung dieser gelöscht. Technisch erforderliche Logdaten werden nach 7 Tagen gelöscht.
• Ort der Verarbeitung: Die Systeme Moodle und BigBlueButton werden an der HWR Berlin betrieben. Die Datenverarbeitung erfolgt somit in Deutschland.
• Empfänger und Übermittlungen der personenbezogenen Daten: Die Verknüpfung erfolgt über den BigBlueButton Endpoint mit einem dazugehörigen Secret (zur Absicherung). Eine Übermittlung von Verbindungsdaten an Dritte außerhalb der Hochschule (externe Empfänger) erfolgt durch das Plugin nicht.

12.1.1 Aufzeichnungen

BigBlueButton Webkonferenzen können von den Lehrenden aufgezeichnet werden. Hierbei zeichnen die Lehrenden ohne Einwilligung der Teilnehmenden weder Bild-, Ton- noch Textdaten der Studierenden auf. Gewährleistet werden kann dies durch den applikationsseitigen Entzug der Zuschauerrechte und Löschung des Chatverlaufs vor Beginn der Aufzeichnung.

Werden Bild-, Ton- und Textdaten der Studierenden aufgezeichnet, ist vorab durch die Lehrenden eine Einwilligung der Studierenden einzuholen. Die Aufnahmen werden den Studierenden im Nachgang per Link oder Moodle-Integration zur Verfügung gestellt. Die Aufnahmen werden auf demselben HWR-Server gespeichert, über den der Dienst BigBlueButton zur Verfügung gestellt wird. Die Daten verlassen die HWR Berlin somit nicht. Nach neun Monaten werden die Aufnahmen automatisch durch die HWR Berlin gelöscht.

Die Aufnahmen können nur von Studierenden oder Lehrenden der HWR Berlin geöffnet und abgespielt werden. Die HWR stellt dies sicher, indem der Link zum Speicherort nur per Login mit einem HWR-Account zugänglich ist. Für in Moodle abgelegte Aufzeichnungen ist die entsprechende Aufzeichnung nur für im jeweiligen Kurs eingeschriebene Studierende aufrufbar. Im Übrigen verweisen wir auf die Datenschutzerklärungen von BigBlueButton und Aufzeichnungen in BBB.

13   Rechtsgrundlagen

Datenschutz-Grundverordnung (EU-DSGVO)
Studierendendatenverordnung (StudDatVO)
Bundesdatenschutzgesetz (BDSG)
Berliner Datenschutzgesetz (BlnDSG)
Telemediengesetz (TMG)

Datenverarbeitungssatzung der HWR Berlin (DVS HWR Bln)

Weitere Informationen zum Datenschutz finden Sie im Internetauftritt des Landesbeauftragten für den Datenschutz:
https://www.datenschutz-berlin.de

Stand: 08.06.2020

-------------------------------------------

[Deutsche Version siehe oben]

Privacy Policy for E-Learning at the Berlin School of Economics and Law on the Moodle learning platform in accordance with the EU General Data Protection Regulation (EU-DSGVO)

1 Responsible persons and contact

Responsible for the data processing of this website is the Berlin School of Economics and Law, Badensche Strasse 52, 10825 Berlin, represented by the President. The E-Learning Centre of the HWR Berlin is responsible for the content of the learning platform.

The following contact options exist:

Berlin School of Economics and Law
Badensche Straße 52
10825 Berlin

E-Learning Centre of the HWR Berlin
elearning[at]hwr-berlin.de

The HWR Berlin will be happy to answer your questions about data protection. Send an email to: datenschutz-elearning[at]hwr-berlin.de

Information can also be obtained from our data protection officer:

HiSolutions AG
Vitali Dick (Data Protection Officer)
Bouchéstraße 12
12435 Berlin
datenschutz[at]hwr-berlin.de

HWR Berlin
Prof. Dr. Markus Schaal (Deputy Data Protection Officer)
Badensche Str. 50/51

10825 Berlin
datenschutz[at]hwr-berlin.de

2 Purpose of the processing of personal data

The learning platform serves to support studies at the Berlin School of Economics and Law by providing teaching materials and activities and communication and collaboration tools. The data collected can be evaluated for the purpose of improving teaching.

Furthermore, the learning platform serves the qualification of employees and as an information platform for study offices and service facilities of the university as well as for former students of the Berlin Professional School (BPS).

It is currently not intended to use the data for purposes other than those mentioned. If the data is to be used for other purposes in the future, we will inform you in advance.

The basis for the processing is the EU Data Protection Regulation (EU-DSGVO), the Federal Data Protection Act, the Data Protection Act of the State of Berlin and the Student Data Regulation of the State of Berlin.

3 Collection and use of personal data

 We collect and use personal data from our users only to the extent necessary to provide Moodle and its features.

If the processing of personal data is necessary for the performance of a delegated task, Art. 6 (1) lit. e DSGVO serves as the legal basis. If processing is necessary to protect a legitimate interest of the Berlin School of Economics and Law or a third party and if the interests, fundamental rights and freedoms of the data subject do not override the first-mentioned interest, Art. 6 (1) lit. f DSGVO serves as the legal basis for the processing. Insofar as we obtain the consent of the data subject for processing operations involving personal data, Article 6 (1) (a) of the EU General Data Protection Regulation (GDPR) serves as the legal basis.

The following data is collected when using Moodle:

• Connection data (e.g. IP address, date and time of access)
• Access data: User name, password in encrypted form, (university-related) e-mail address, first name, last name
• Content data (e.g. uploaded files, forum posts, tests)

The temporary storage of connection data, in particular the IP address, by the system is necessary to enable Moodle to be delivered to the user's computer. For this purpose, the user's IP address must remain stored for the duration of the session. The legal basis for the temporary storage of the data is Art. 6 para. 1 lit. f DSGVO.

Log files

The data (connection/access and types of content data) are also stored in log files. The storage in log files is done to ensure the functionality of Moodle. In addition, we use the data to optimise Moodle and to ensure the security of our information technology systems. These purposes are also our legitimate interest in data processing according to Art. 6 para. 1 lit. f DSGVO.

The data in the web server log files are deleted after 30 days. Only administrators have access to the log files. The collection of data for the provision of Moodle and the storage of data in log files is absolutely necessary for its operation. Consequently, there is no possibility for users to object.

Activity reports

Course administrators (in the role of "teacher") have access to so-called activity overviews for purposes of teaching mediation, teaching organisation and teacher success monitoring in the course in question. Personal contributions to activities such as forums, wikis, blogs or assignments are displayed here. This data may be used exclusively for teaching purposes, insofar as this is necessary for the fulfilment of the task and the data processing is proportionate to the purpose associated with it against the background of the principle of data economy. This data in the Moodle log files is deleted after 2 months.

4 Registration (access data)

In order to use our service, it is necessary to register by providing personal data. The data is entered in an input mask and transmitted to us and stored. The data is not passed on to third parties.

The following data is collected as part of the registration process. This data is usually taken from the central user administration (Active Directory) of the School of Economics and Law.

• Username
• Password in encrypted form
• (university-related) e-mail address
• First name
• Last name

The following data is also stored at the time of registration:

• The IP address of the user
• Date and time of registration

Information on the processing of this data is provided as part of the registration process. The legal basis for the processing of the data is Art. 6 para. 1 lit. e DSGVO. Registration of the user is necessary for providing the content and functions of Moodle for the purpose of conducting research and teaching. Registration enables compliance with copyright requirements under Section 60a UrhG when providing copyright-protected content, the assignment of contributions to users, the organisation and implementation of communication and collaboration, and the evaluation and commenting on user entries.

The data is deleted when the Moodle user account is deleted from Moodle. Entries in Moodle activities remain with the "deleted user" flag after deletion. Assessments resulting from activities such as tests or assignments are deleted. In the case of teachers, courses are not automatically deleted as well.

Users can have their access data corrected at any time. All they need to do is send an informal e-mail to the Moodle Helpdesk at elarning[at]hwr-berlin.de. This will not be communicated to other users.

5 Content data

In the course of using our service, content is added to Moodle as files, links or in the form of text input. The content usually contains a personal reference; anonymous use is also possible in some cases (e.g. for feedback). The legal basis for processing the data is Art. 6 para. 1 lit. e DSGVO.

Uploading and posting content is necessary for the purpose of conducting research and teaching. Teachers have the option of exporting course data from Moodle at any time in order to be able to continue using it in other Moodle environments. All they need to do is send an informal e-mail to the Moodle Helpdesk at elearning[at]hwr-berlin.de.

6 Duration of data storage / deletion periods

Students

Your central user account at HWR Berlin will be deactivated 120 days after exmatriculation and deleted after a further 30 days. You will no longer be able to log in to Moodle from the date of deactivation. Your account including the personal details in the associated user profile will be deleted 150 days after exmatriculation.

You can have your Moodle account deleted before the above deadline. To do so, simply send an informal email to the Moodle Helpdesk at elearning[at]hwr-berlin.de. If you enrol again at the HWR Berlin before the deletion deadline, you will keep the Moodle account.

Data from course participation will be stored until the course is deleted. Examination-relevant results from tests, learning packages and assignments as well as data on completion and the overall assessment are stored until the expiry of statutory retention obligations.

You can delete profile data that you have entered voluntarily at any time.

Content data is deleted when the Moodle course is deleted. Courses are left on the server for a period of 5 years and then deleted. Prior to deletion, this will be indicated by e-mail. Teachers can have their course deleted for past semesters before this period expires. All they need to do is send an informal e-mail to the Moodle Helpdesk at elearning[at]hwr-berlin.de.

Employees, full-time teachers and lecturers

With the deactivation of the central user account of the HWR Berlin, logging into Moodle is no longer possible. The account will be deleted according to the specified deadlines of the data processing statutes of the HWR Berlin.

External accounts

The Moodle account will be deleted without notice after one year of inactivity.

7      Rights of the data subject

If your personal data is processed, you are a data subject within the meaning of the GDPR and you have the following rights vis-à-vis the controller:

• You may request confirmation from the controller as to whether personal data concerning you are being processed by us. If such processing is taking place, you can request information about and a copy of this/these data from the controller in accordance with Article 15 of the GDPR.
  

• You also have the right to rectification (in accordance with Article 16 of the GDPR). If incorrect data is stored, you can partly adjust it yourself (profile data you have collected yourself) or request the data controllers to do so. The data controllers will comply with the request if the correction is justified and appropriate.
  

• You have a right to have the personal data concerning you deleted (in accordance with Art. 17 DSGVO). You have a right to have data deleted that is actually incorrect or has no further purpose for the controller. You do not have the right to have data deleted if the controller is obliged to still retain the data for legal reasons or due to other obligations. The obligation to store data may also apply to exmatriculation. There is also no right to deletion if information was written by you yourself and this is in the context of information from other users (e.g. forum posts).
  

• You have a right to restriction of processing by the controllers (pursuant to Art. 18 GDPR). The controllers will ensure that, in the event of restriction, data is only accessible to those persons who absolutely need to see the data. For this purpose, they may use the means of pseudonymisation and anonymisation.
  

• You have the right to object to this processing (pursuant to Art. 21 DSGVO). You can object to the further use of the data. This can only take effect in the future. The right to object is not an automatic obligation for the data controller to delete the data. If the data controllers have storage obligations for other reasons, they will consider this and inform you.
  

• You have a right to data portability (in accordance with Art. 20 DSGVO). You have a right to receive data that you have written yourself in an electronic format that can be used elsewhere. The right is limited to data that may not be transferred to another body or that affect the rights of others, e.g. copyright.

8      Right to complain

You also have the right to lodge a complaint with a supervisory authority (pursuant to Art. 77 DSGVO). In the event of a breach of legal provisions for the protection of data stored about you, you can contact the competent supervisory authority. The competent supervisory authority is

Berlin Commissioner for Data Protection and Freedom of Information
Friedrichstr. 219
10969 Berlin
mailbox[at]datenschutz-berlin.de

Phone: 030 / 13889-0
Fax: 030 / 2155050

9 Information about profiling

You have the right not to be subject to a decision based solely on automated processing which produces legal effects concerning you or similarly significantly affects you (pursuant to Art. 22 GDPR).

There is no profiling in the sense of the Basic Data Protection Regulation. In the context of courses, tests can be the basis for proving the required qualification or success control. The questions are compiled by people for each individual test.

10 Use of cookies

Moodle uses cookies. Cookies are text files that are stored in the internet browser or by the internet browser on the user's computer system. When Moodle is accessed, a cookie may be stored on the user's operating system. This cookie contains a characteristic string of characters that enables the browser to be uniquely identified when the website is called up again.

Moodle uses two cookies: One cookie is called MoodleSession. This cookie must be allowed so that the login is preserved when accessing from page to page. When logging out or exiting the web browser, the cookie is automatically deleted.

The other cookie is for ease of use and is called MoodleID by default. This cookie stores the login name in the web browser and is retained even after logging out. The next time you log in, the login name is already entered. You can disallow this cookie, but then you have to re-enter your login name every time you log in.

The legal basis for the processing of personal data using cookies is Art. 6 (1) lit. f DSGVO. The purpose of using technically necessary cookies is to simplify the use of websites for users. Some functions of Moodle cannot be offered without the use of cookies. For these, it is necessary that the browser is recognised even after a page change.

Cookies are stored on the user's computer and transmitted to our site by the user. Therefore, users have full control over the use of cookies. You can deactivate or restrict the transmission of cookies by changing the settings in your internet browser. Cookies that have already been saved can be deleted at any time. This can also be done automatically. If cookies are disabled for Moodle, it may no longer be possible to use all of Moodle's functions to their full extent.

11 Information

Upon request, we will inform you immediately which personal data about you is stored in Moodle. Please contact the administration of the learning platform by e-mail. The e-mail address is: datenschutz-elearning[at]hwr-berlin.de. Information can also be obtained from our official data protection officer: Prof. Dr. Hartmut Aden: datenschutz[at]hwr-berlin.de.

12 Use of external services

Course instructors (at least in the role of "guest lecturer") have the option of connecting external services (e.g. YouTube, WikiMedia) and transferring files to Moodle within the framework of file selection. These services are not operated by the HWR Berlin and are solely subject to the procedures of the external provider with regard to security and data protection. The external repositories are marked as such. The transfer of personal data from the learning platform to the providers of external repositories is excluded.

Furthermore, data is transferred from the campus management systems to Moodle. After a course has been created and booked in the Campus Management System, a corresponding course is created in Moodle and enrolment in this Moodle course in the role of "participant/student" or lecturer takes place automatically. Secure web services between the systems are used for this purpose. There is no intermediate storage on third-party systems.

With the integration of the Moodle block "block_onlinesurvey", learners are shown the relevant EvaSys online surveys of the HWR Berlin directly in Moodle. displayed.  The plugin is connected to Moodle via a SOAP interface. The identification of the relevant surveys for the Moodle user takes place exclusively via the university's own e-mail address. Personal data is not transferred from the learning platform to Evasys.

Moodle uses plugins to integrate media from the HWR Berlin media platform at media.hwr-berlin.de into Moodle courses. The plugins "Vimp SSO", "Vimp Activity" and "Vimp Atto" are used for this. This ensures that users registered in Moodle can only access the media of the media platform to which they have authorisation (Single Sign On). Identification takes place via the central user account of the HWR Berlin.

Moodle uses H5P as a so-called 3rd party plugin. No usage statistics are transmitted to H5P; the function has been deactivated on Moodle at the HWR Berlin. However, the H5P Hub, an interface for updates of so-called content types, i.e. the actual building blocks of this plugin, is activated.

12.1 Integration of BigBlueButton in Moodle

The BigBlueButton tool is available as a plug-in in Moodle for conducting web conferences.

• Purpose: Integration of the web conferencing system provided by the HWR Berlin into the central online teaching platform for the implementation of online teaching.
• Necessity: Simplification of the processes for conducting online teaching, improvement of the user-friendliness of BigBlueButton, avoidance of errors and operating errors when providing online conferences between teachers and students.
• Personal data processed: fullName, Meeting ID, User ID, Role
• Security of processing: The integration of BigBlueButton was subjected to a review by IT with regard to risks in the areas of data protection and data security. Appropriate technical and organisational measures have been taken to ensure an adequate level of protection.
• Deletion periods: The data transmitted for conducting the web conference will be deleted after the end of the web conference. Technically required log data will be deleted after 7 days.
• Place of processing: The Moodle and BigBlueButton systems are operated at the HWR Berlin. The data processing therefore takes place in Germany.
• Recipients and transfers of the personal data: The link is made via the BigBlueButton endpoint with an associated secret (for security). The plug-in does not transmit connection data to third parties outside the university (external recipients).

 

12.1.1  Records

BigBlueButton web conferences can be recorded by the teachers. In this case, the teachers record neither image, sound nor text data of the students without the consent of the participants. This can be ensured by withdrawing the viewer rights on the application side and deleting the chat history before the recording begins.

If students' image, sound and text data are recorded, the lecturers must obtain the students' consent in advance. The recordings are made available to the students afterwards via a link or Moodle integration. The recordings are stored on the same HWR server that provides the BigBlueButton service. The data therefore does not leave the HWR Berlin. After nine months, the recordings are automatically deleted by the HWR Berlin.

The recordings can only be opened and played by students or teachers of the HWR Berlin. The HWR ensures this by making the link to the storage location accessible only via login with an HWR account. For recordings stored in Moodle, the corresponding recording can only be accessed by students enrolled in the respective course. For the rest, we refer to the privacy statements of BigBlueButton and records in BBB.

13   Legal basis

General Data Protection Regulation (EU-DSGVO)
Student Data Ordinance (StudDatVO)
Federal Data Protection Act (BDSG)
Berlin Data Protection Act (BlnDSG)
Telemedia Act (TMG)

Data Processing Statutes of the HWR Berlin (DVS HWR Bln)

Further information on data protection can be found on the website of the State Commissioner for Data Protection:
https://www.datenschutz-berlin.de

Status: 08.06.2020