Datenschutzerklärung LMS Lernen Hamburg
Bei dem IT-Verfahren „LMS Lernen
Hamburg“ handelt es sich um ein schulisches Lernmanagementsystem (LMS), das basierend
auf der Software „Moodle LMS“ und „Moodle App“ sowie dem Videokonferenzsystem „BigBlueButton“
im Rahmen einer Auftragsverarbeitung den Schülerinnen und Schülern, Eltern und
Lehrkräften der öffentlichen Schulen der Freien und Hansestadt Hamburg das
digitale Lernen im Unterricht ermöglicht. Nachfolgend werden die Einzelheiten
der damit einhergehenden personenbezogenen Datenverarbeitung näher erläutert:
I. Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Verordnung (EU) 2016/679 (EU-Datenschutz-Grundverordnung;
nachfolgend: DSGVO) und anderer nationaler Datenschutzgesetze der
Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Freie und Hansestadt Hamburg,
Behörde für Schule und Berufsbildung (BSB),
BSB CDO,
Hamburger Straße 31,
22083 Hamburg,
Deutschland
Ansprechstelle:
BSB CDO-2
Telefon: +49 (0)40 428 280
E-Mail: webmaster@bsb.hamburg.de
II. Name und Anschrift des Datenschutzbeauftragten
Die/der behördliche Datenschutzbeauftragte des Verantwortlichen ist:
Freie und Hansestadt Hamburg,
Behörde für Schule und Berufsbildung (BSB),
Die/der behördliche Datenschutzbeauftragte,
Hamburger Straße 31,
22083 Hamburg,
Deutschland
Telefon: +49 (0)40 428 280
E-Mail: datenschutz@bsb.hamburg.de
III. Allgemeines zur Datenverarbeitung
1. Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer der Betroffenen anlässlich des Aufrufs dieser Website sowie im Rahmen der Durchführung der IT-Dienstleistung „LMS Lernen Hamburg“ nach individuellem Login grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten der Betroffenen erfolgt regelmäßig unter Berücksichtigung der nachfolgend dargelegten Rechtsgrundlagen oder – in Bezug auf solchen Daten und Datenkategorien, deren obligatorische Verarbeitung nach diesen Rechtsgrundlagen nicht gestattet ist – nur nach vorheriger Einwilligung der Betroffenen. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist.
2. Art, Zweck, Ort und Empfänger der Verarbeitung personenbezogener Daten
Soweit lediglich die Website von LMS.Lernen.Hamburg aufgerufen wird und ein Login in das LMS.Lernen.Hamburg nicht erfolgt, werden zur Bereitstellung der Website Logfiles und/oder Cookies verarbeitet. Näheres zu dieser Datenverarbeitung wird unter IV Ziffern 1 ff. erläutert (siehe unten).
Das Login in LMS.Lernen.Hamburg erfolgt durch Eingabe der Login-Daten, die der/dem jeweiligen Betroffenen durch die jeweilige Schule zur Verfügung gestellt worden sind. Im Zusammenhang mit der Bereitstellung und dem Betrieb des LMS.Lernen.Hamburg werden die folgenden personenbezogenen Daten verarbeitet:
Stammdaten
- Personenstammdaten: Name, Vorname, Benutzername von Betroffenen (Schülerinnen und Schüler, Eltern und Lehrkräfte)
- E-Mail-Adresse(n),
- Schule, Klasse(n)
Login-Daten:
- Vom Endgerät automatisch übermittelte Verbindungsdaten,
- zuvor besuchte Website,
- Datum- und Zeitangaben,
- IP-Adressen, nur soweit für die Erbringung der Dienste erforderlich,
Nutzer-IP-Adressen werden maximal 7 Tage zur Erkennung und Abwehr von Angriffen gespeichert.
Unterrichtliche Inhalts- und Kommunikationsdaten:
- Beiträge in Chat, Foren, und unterrichtlichen Beiträgen,
- Bild-, Video- und Tondaten des gesprochenen Wortes (Stream) anlässlich der Nutzung von „BigBlueButton“ (Videokonferenzsystem)
- Beiträge in Chat und Whiteboard des Videokonferenzsystems
- Unterrichtsinhalte
- Erstellte Arbeiten und Unterrichtsmaterialien von Schülerinnen und Schülern
Die beschriebenen Daten werden allein zu unterrichtlichen Zwecken bzw. zur Erfüllung des Schulverhältnisses im Rahmen der Schulpflicht verarbeitet. Eine etwaige Zweckänderung der Datenverarbeitung ist unter Berücksichtigung der Vorgaben der §§ 4, 6 Hamburgisches Datenschutzgesetz (HmbDSG) sowie sonstiger nationaler Rechtsvorschriften möglich.
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt werden (Art. 30 Abs. 1 S. 2 lit. d DSGVO):
Zugriffsberechtigte im Sinne der Moodle-Rollen:
- Trainerinnen /Trainer
- Teilnehmerinnen / Teilnehmer (Lehrkräfte, Schülerinnen und Schüler; Sorgeberechtigte anlässlich der Nutzung von „BigBlueButton“)
- Managerinnen / Manager (Moodle)
- Administratorinnen / Administratoren in der Schule
Weitere:
- Verfahrensadministratorinnen / Verfahrensadministratoren
- Supportmitarbeiterinnen und -mitarbeiter
- Verwaltungsbeschäftigte
- Dienstleister für Betrieb und Entwicklung
Externe Empfänger im Sinne einer Auftragsverarbeitung gemäß Art. 28 DSGVO:
oncampus GmbH,
Mönkhofer Weg 239,
23562 Lübeck
Deutschland
Telefon: +49 (0)451 160818-17
E-Mail: datenschutz@oncampus.de
und Unter-Auftragsverarbeiterin
Hetzner Online GmbH
Industriestr. 25,
91710 Gunzenhausen,
Deutschland
Tel.: +49 (0)9831 505-0
E-Mail: info@hetzner.com
im Rahmen der vereinbarten Entwicklungs-, Administrations- und Support-Tätigkeit.
Die personenbezogenen Daten werden innerhalb der EU (Deutschland) bzw. innerhalb des EWG verarbeitet. Eine Datenübermittlung in ein Drittland oder zu einer internationalen Organisation findet nicht statt.
3. Rechtsgrundlagen für die Verarbeitung
personenbezogener Daten
Anlässlich der Bereitstellung sowie des Betriebs von LMS Lernen Hamburg erfolgt die Verarbeitung der zur Erfüllung des Schulverhältnisses erforderlichen Daten auf der Grundlage von Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit §§ 98 ff. Hamburgisches Schulgesetz (HmbSG). § 98 b HmbSG regelt die Einzelheiten im Zusammenhang mit der Nutzung von LMS Lernen Hamburg als digitale Lernplattform. § 98 c HmbSG regelt die Einzelheiten der Videokommunikation unter Verwendung von „BigBlueButton“.
Soweit
der Verantwortliche darüber hinaus für Verarbeitungsvorgänge personenbezogener
Daten eine Einwilligung der betroffenen Person einholt, dient Art. 6 Abs. 1
lit. a DSGVO als Rechtsgrundlage.
Bei
der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages,
dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6
Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für
Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen
erforderlich sind.
Soweit
eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen
Verpflichtung erforderlich ist, der unser Unternehmen und/oder der
Auftragsverarbeiter unterliegen, dient Art. 6 Abs. 1 lit. c DSGVO als
Rechtsgrundlage.
Für
den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer
anderen natürlichen Person eine Verarbeitung personenbezogener Daten
erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens
oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und
Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art.
6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
4. Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder
gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann
darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen
Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen
Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine
Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die
genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine
Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss
oder eine Vertragserfüllung besteht.
Es gelten darüber hinaus die Aufbewahrungsbestimmungen nach §§ 98, 98 c HmbSG in Verbindung mit § 4 der Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen (Schuldatenschutzverordnung).
Sowohl die Videokonferenzdaten als auch die Dateneingaben im Chat oder im Whiteboard der Videokonferenzlösung werden nach Ende eines Meetings unzugänglich gemacht und nach maximal 24 Stunden unwiderruflich gelöscht. Eine Aufzeichnung der Videokonferenzen (BigBlueButton) selbst findet nicht statt und ist auch technisch nicht vorgesehen. Ein Meeting ist beendet, sobald sich eine Minute lang keine Teilnehmer und Teilnehmerinnen im Meeting befinden. Nur Administratorinnen und Administratoren können diese Daten im genannten Zeitraum wiederherstellen.
IV. Bereitstellung der Website und Erstellung von Logfiles
1. Beschreibung und Umfang der Datenverarbeitung
Bei jedem Aufruf der Website erfasst das System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.
Folgende Daten werden hierbei erhoben:
(1) Informationen über den Browsertyp und die verwendete Version
(2) Das Betriebssystem des Nutzers
(3) Den Internet-Service-Provider des Nutzers
(4) Die IP-Adresse des Nutzers
(5) Datum und Uhrzeit des Zugriffs
(6) Websites, von denen das System des Nutzers auf unsere Internetseite
gelangt
(7) Websites, die vom System des Nutzers über unsere Website aufgerufen
werden
Die Daten werden ebenfalls in den Logfiles des Systems gespeichert. Eine
Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des
Nutzers findet nicht statt.
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.
3. Zweck der Datenverarbeitung
Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig,
um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen.
Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert
bleiben.
Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
5. Widerspruchs- und Beseitigungsmöglichkeit
Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.
V. Verwendung von Cookies
1) Beschreibung und Umfang der Datenverarbeitung
Die
Webseite verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im
Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers
gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf
dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine
charakteristische Zeichenfolge, die eine eindeutige Identifizierung des
Browsers beim erneuten Aufrufen der Website ermöglicht.
Es werden Cookies eingesetzt, um die Website nutzerfreundlicher zu gestalten. Einige Elemente der Website erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann.
Die auf diese Weise erhobenen Daten der Nutzer werden durch technische
Vorkehrungen pseudonymisiert. Daher ist eine Zuordnung der Daten zum
aufrufenden Nutzer nicht mehr möglich. Die Daten werden nicht gemeinsam mit
sonstigen personenbezogenen Daten der Nutzer gespeichert.
2) Rechtsgrundlage für die Datenverarbeitung
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO.
3) Zweck der Datenverarbeitung
Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von
Websites für die Nutzer zu vereinfachen. Einige Funktionen unserer
Internetseite können ohne den Einsatz von Cookies nicht angeboten werden. Für
diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel
wiedererkannt wird.
4) Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit
Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an
unserer Seite übermittelt. Daher haben Sie als Nutzer auch die volle Kontrolle
über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem
Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder
einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden.
Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website
deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website
vollumfänglich genutzt werden.
VI. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener
i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen
zu. Diese setzen allerdings voraus, dass Ihre personenbezogenen Daten tatsächlich
im Verantwortungsbereich des Verantwortlichen verarbeitet werden. Einzelheiten
ergeben sich aus den Artikeln 15 bis 18 und 21 DSGVO.
• Recht auf Auskunft (Artikel 15 DSGVO)
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob
personenbezogene Daten, die Sie oder Ihre Kinder betreffen, von uns verarbeitet
werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen
über Auskunft verlangen:
• Recht auf Berichtigung (Artikel 16 DSGVO)
Sollten die Sie betreffenden Angaben nicht (mehr) zutreffend sein, können Sie
unverzüglich eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein,
können Sie eine Vervollständigung verlangen.
• Recht auf Löschung/„Recht auf Vergessenwerden“ (Artikel 17 DSGVO)
Ob eine unverzügliche Löschung der personenbezogenen Daten verlangt werden
kann, hängt u. a. davon ab, ob die Sie betreffenden Daten von der zuständigen Stelle
zur Erfüllung der gesetzlichen Aufgaben noch benötigt werden.
• Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
Sie haben unter bestimmten Voraussetzungen das Recht, eine Einschränkung der
Verarbeitung der Sie betreffenden Daten zu verlangen.
• Recht auf Widerspruch (Artikel 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben,
jederzeit der Verarbeitung der Sie betreffenden personenbezogenen Daten zu
widersprechen. Allerdings kann dem nicht nachgekommen werden, wenn der
Verantwortliche zwingende schutzwürdige Gründe für die Verarbeitung nachweisen
kann, die Ihre Interessen, Rechte und Freiheiten überwiegen oder wenn die
Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen dient.
• Recht auf Beschwerde (Artikel 77 DSGVO)
Wenn Sie der Auffassung sind, dass die Verarbeitung der Sie betreffenden
personenbezogenen Daten gegen die DSGVO verstößt, können Sie bei der
zuständigen Datenschutzaufsichtsbehörde Beschwerde einlegen. Dies ist die bzw. der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Die
entsprechenden Kontaktdaten der bzw. des Hamburgischen Beauftragten für
Datenschutz und Informationsfreiheit lauten:
Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str 22, 7. OG,
20459 Hamburg,
Deutschland
Tel.: +49 (0) 40 4 28 54 - 40 40,
E-Fax: +49 (0) 40 4 279 - 1181
E-Mail: mailbox@datenschutz.hamburg.de