Datenschutz

Datenschutzerklärung der Hochschule Merseburg

Datenschutzverletzung

Nach der EU-Datenschutz-Grundverordnung müssen Datenschutzverletzungen binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden. Die Hochschule Merseburg kann dieser Verpflichtung nur nachkommen, wenn alle Mitarbeiter in ihren jeweiligen Verantwortungsbereichen erkannte Datenschutzverletzungen unverzüglich der Hochschulleitung, dem Datenschutzbeauftragten oder der Stabsstelle Recht zur Kenntnis geben. Dafürschreiben Sie eine E-Mail an datenschutz@hs-merseburg.de. Sie können dort Ihre Beobachtungen den Verantwortlichen der Hochschule mitteilen. Für mögliche Rückfragen ist es wünschenswert, dass Sie uns dabei Ihren Namen nennen.

1. Wer ist für die Datenverarbeitung verantwortlich?

Verantwortliche Stelle für die Verarbeitung personenbezogener Daten im Sinne der EU-Datenschutzgrundverordnung ist:

Hochschule Merseburg

vertreten durch den Rektor

Eberhard-Leibnitz-Straße 2, 06217 Merseburg

E-Mail: rektor@hs-merseburg.de

2. An wen kann ich mich als betroffene Person wenden?

Sie können sich zur Wahrnehmung ihrer Rechte als betroffene Person an unsere Datenschutzbeauftragte wenden.

Datenschutzbeauftragte

Eberhard-Leibnitz-Straße 2

06217 Merseburg,

E-Mail:datenschutz@hs-merseburg.de

3. Für wen gilt diese Datenschutzerklärung?

Diese Datenschutzerklärung gilt für die personenbezogenen Daten, die Home bei Studierenden und Absolventen (Alumni), Beschäftigten und sonstigen Nutzern und Nutzerinnen im Rahmen der Nutzung unserer Webseiten und den von uns angebotenen Diensten und Serviceportalen erhebt, speichert und verarbeitet.

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Zuge Ihrer Nutzung unserer Webseiten, Diensten und Serviceportalen verarbeiten wir im rechtlich zulässigen Umfang, insbesondere unter Berücksichtigung des Prinzips der Datenminimierung, Daten über Ihre Person.

4. Auf welcher Rechtsgrundlage werden Daten erhoben und verarbeitet?

Soweit Sie für die Verarbeitungsvorgänge Ihrer personenbezogenen Daten Ihre Einwilligung erteilt haben, ist Rechtsgrundlage der Verarbeitung personenbezogener Daten Art. 6 Abs. 1 Satz 1 lit. a DSGVO.

Ist die Verarbeitung personenbezogener Daten erforderlich, um einen Vertrag anzubahnen oder zu erfüllen, so ist Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 Satz 1 lit. b DSGVO. Für Beschäftigtendaten gilt weiterhin § 26 BDSG, für Studierendendaten § 119 HSG LSA.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Hochschule Merseburg unterliegt, dient Art. 6 Abs. 1 Satz 1  lit. c DSGVO als Rechtsgrundlage. Rechtliche Verpflichtungen ergeben sich beispielsweise aus dem Hochschulgesetz des Landes Sachsen-Anhalt oder aus dem Hochschulstatistikgesetz.

Ist die Verarbeitung personenbezogener Daten im öffentlichen Interesse oder für die Wahrnehmung hoheitlicher Aufgaben erforderlich, dienst Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit den §§ 4-9 DSAG LSA als Rechtsgrundlage für die Verarbeitung.

Für den Fall, dass die Verarbeitung zur Wahrnehmung eines berechtigten Interesses der Home oder eines Dritten erforderlich ist und wenn die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte nicht überwiegen, ist Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. f DSGVO.

5. Welche Daten werden zu welchen Zweck verarbeitet?

a.) Bereitstellung der Webseite

  • Verarbeitungsprozess:  Webpräsenz
  • personenbezogene Daten: öffentliche IP-Adresse. weiter: Betriebsdaten: Browsertyp, Betriebssystem, Zeitstempel, übertragene Datenmenge    
  • Zweck: Darstellung der Angebote und Aktivitäten. Optimierung und Funktionsfähigkeit der Webseite. Anonyme Auswertung zu statistischen Zwecken.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit.e und Art. 6 Abs. 1 lit f.
     
  • Verarbeitungsprozess: Kontaktformular
  • personenbezogene Daten: E-Mail-Adresse, Name    
  • Zweck: Kontaktaufnahme
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a

b.) Einzelne Webseiten

  • Verarbeitungsprozess: Sonstige Kontaktformulare / Eingabeformulare
  • personenbezogene Daten: Name, Vorname, E-Mail-Adresse, Adresse, Telefonnummer, Grund der Kontaktaufnahme, IP-Adresse
  • Zweck: Serviceleistungen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit.a
     
  • Verarbeitungsprozess: Bewerberportal
  • personenbezogene Daten: Studienwunsch, Name, Geburtsname, Vorname, Adresse, Geburtsdatum, Geburtsort, akad. Titel, Staatsangehörigkeit, Krankenkasse, Versicherungsnummer, Telefonnummer, Mobilfunknummer, Angaben zum beruflichen Werdegang: Art der Hochschulzugangsberechtigung, Abschlussnote, Datum des Erwerbs der Hochschulzugangsberechtigung, entsprechende Nachweise. Alternativ: schriftliche Bewerbung.  
  • Zweck: Serviceleistung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a
  • Verarbeitungsprozess: Newsletter
  • personenbezogene Daten: E-Mail-Adresse, Name, IP-Adresse
  • Zweck: Information, Werbung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a
  • Verarbeitungsprozess: Kommentarfunktionen
  • personenbezogene Daten: E-Mail-Adresse
  • Zweck: Kommunikation
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a

c.) Zentrale Systeme

  • Verarbeitungsprozess: Nutzung von Serviceportalen nach individuellen Login für Studierende und Beschäftigte. Geschützte Bereiche. Passwort und Nutzerkennung erforderlich. (z.B. Ilias, HoMe-Portal, Medienportal)
  • personenbezogene Daten: Personaldaten gem. Arbeitsvertrag und Studierendendaten gem. Immatrikulation
  • Zweck: Nutzerverwaltung  
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. e, § 119 HSG LSA, § 26 BDSG
  • Verarbeitungsprozess: Nutzung von Serviceportalen nach individuellen Login für Studierende und Beschäftigte. Geschützte Bereiche. Passwort, Nutzerkennung, Bibilotheksnummer auf Hochschulausweis und Token (in digitaler oder Papierform erforderlich) (z.B. Sicherheitsportal, Login-Portal, Zwei-Faktor-Portal)
  • personenbezogene Daten: Personaldaten gem. Arbeitsvertrag und Studierendendaten gem. Immatrikulation
  • Zweck: Nutzerverwaltung  
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. e, § 119 HSG LSA, § 26 BDSG
  • Verarbeitungsprozess: BigBlueButton, Jitsi, Micollab (Videokonferenzsysteme)
  • personenbezogene Daten: IP-Adresse, Anonyme Nutzerkennung möglich, Bild- und Toneinstellungen sowie Chat individuell einstellbar. Aufzeichnungen nur nach Information und mit Einwilligung.
  • Zweck: Digitale Lehre, interne und externe Kommunikation
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. e, § 119 HSG LSA, § 26 BDSG
  • Verarbeitungsprozess: Microsoft Teams
  • personenbezogene Daten: Benutzername, Name,
    Vorname, E-Mail-Adresse,
    Meetingdaten, Authenti-
    fikationsdaten, Streamingdaten (Text, Video, Audio), Diagnosedaten. Ggf. Datenverknüpfung mit Google-Konto der Nutzer und Nutzerinnen.
  • Zweck: Digitale Lehre, interne und externe
    Kommunikation
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. e, § 119 HSG LSA, § 26 BDSG

d.) Stellenbesetzungsverfahren

  • Verarbeitungsprozess: (Bewerber-E-Mail), Papier (hochschulinterne Anschreiben, ggf. Mitbestimmung Personalrat)
  • personenbezogene Daten: Vor- und Nachname, Land, Anschrift, E-Mail-Adresse, Telefonnummer, Bewerbungsfoto, Angaben zur beruflichen Qualifikation und (Hoch)Schulausbildung, Angaben zur beruflichen Weiterbildung, Angaben zum Grad der Behinderung (GdB) (soweit erforderlich), Referenzen
  • Zweck: Auswahl zur Anbahnung eines Beschäftigungsverhältnisses
  • Rechtsgrundlage: Art. 88 DSGVO in Verbindung mit § 26 Abs. 1 BDSG, Art. 6 Abs. 1 lit. b DSGVO
  • Durch wen erfolgt die Datenverarbeitung: Dezernat Personal, Leiter oder Leiterin der ausschreibenden Stelle, Interessenvertretungen (Personalrat, Gleichstellungskommission, Schwerbehindertenvertretung)

6. Wer bekommt die personenbezogenen Daten?

Die personenbezogenen Daten, die Sie uns übermitteln, werden von unseren Beschäftigten ausschließlich zu den oben mitgeteilten Zwecken eingesehen und verarbeitet.  Eine Übermittlung oder Weitergabe von personenbezogenen Daten an Dritte in jedweder Form, zum Zeitpunkt der Erfassung und zu einem späteren Zeitpunkt, erfolgt nicht. Wir weisen aber darauf hin, dass die Bereitstellung von personenbezogenen Daten in bestimmten Fällen (z.B. strafrechtlichen Vorschriften) gesetzlich vorgeschrieben ist.

7. Wie lange werden meine Daten aufbewahrt?

Home wird Ihre Daten im Einklang mit Art. 17 DSGVO nur so lange aufbewahren, wie dies für die jeweiligen betreffenden Zwecke, für die wir Ihre Daten verarbeiten, notwendig ist. Falls wir Daten für mehrere Zwecke verarbeiten, werden sie automatisch gelöscht oder in einem Format gespeichert, das keine direkten Rückschlüsse auf Ihre Person zulässt, sobald der letzte spezifische Zweck erfüllt worden ist. Zur Sicherstellung, dass alle Ihre Daten im Einklang mit dem Prinzip der Datenminimierung und Art. 17 DSGVO wieder gelöscht werden, hat die HoMe ein internes Löschkonzept entworfen. Die grundsätzlichen Prinzipien, nach denen dieses Löschkonzept die Löschung Ihrer personenbezogenen Daten vorsieht, sind im Folgenden dargestellt.

Für den Fall, dass nach Onlinebewerbung keine Immatrikulation erfolgt, werden die Daten gelöscht, wenn der Zweck der Speicherung entfällt. Der Zweck der Speicherung entfällt, wenn Rechtsmittelfristen verstrichen sind. 

Darüber hinaus werden personenbezogene Daten von Studierenden und sonstigen Hochschulangehörigen für die Dauer des bestehenden Rechtsverhältnisses verarbeitet und gespeichert. Dabei ist zu beachten, dass es sich bei diesen Rechtsverhältnissen in der Regel um Dauerschuldverhältnisse handelt, also um Rechtsverhältnisse, die u.U. auf Jahre angelegt sind.

Auch nach Exmatrikulation oder Beendigung von Arbeits- oder Dienstverhältnissen kann eine Speicherung erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir als Verantwortliche unterliegen, vorgesehen wurde. Entsprechende Pflichten können sich beispielsweise aus dem Hochschulgesetz LSA oder dem Hochschulstatistikgesetz sowie beamten- und arbeitsrechtlichen Vorschriften ergeben.

Im Rahmen von Stellenbesetzungsverfahren werden die personenbezogenen Daten bzw. Bewerbungsunterlagen der nicht berücksichtigten Bewerberinnen und Bewerber spätestens sechs Monate nach Beendigung des Stellenbesetzungsverfahrens (Bekanntgabe der Absageentscheidung) gelöscht, sofern nicht eine längere Speicherung rechtlich erforderlich oder zulässig ist. Wir speichern Ihre personenbezogenen Daten darüber hinaus nur, soweit Sie Ihre Einwilligung hierzu erteilt haben oder soweit dies im konkreten Fall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für die Dauer eines Rechtsstreits erforderlich ist. Kommt es im Anschluss an das Stellenbesetzungsverfahren zu einem Beschäftigungsverhältnis, Ausbildungsverhältnis oder Praktikantenverhältnis, werden Ihre Daten, soweit erforderlich und zulässig, zunächst weiterhin gespeichert und anschließend in die Personalakte überführt.

Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Die unter Ziffer 5 c angegebenen Daten werden so lange verarbeitet, wie es für die Durchführung der Lehrveranstaltung, des Onlinemeetings oder der Konferenz sowie sonstigen Veranstaltung und dem damit zusammenhängenden Service erforderlich ist. Dies gilt nicht, sofern abweichend hiervon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben ist oder für die Rechtsdurchsetzung innerhalb der gesetzlichen Verjährungsfristen erforderlich ist.

Wird eine Lehrveranstaltung online aufgezeichnet, werden die Daten des Audio- und Videostreams sowie optional die Nachrichten aus dem Chat gespeichert und bleiben über die Dauer des Meetings hinaus für zwei Semester bestehen.

Daten, die von Microsoft erhoben werden, werden nach Angaben von Microsoft 90 Tage nach Deaktivierung des Onlinekontos der Hochschule Merseburg oder Beendigung des Vertrages gelöscht.

8. Ihre Rechte als betroffene Person

Die Betroffenenrechte sind ausführlich in den Art. 15 – 21 DSGVO geregelt.

  • Sie können darüber Auskunft verlangen, ob die HoMe personenbezogene Daten von Ihnen verarbeitet. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Das Recht auf Auskunft kann in bestimmten Fällen, z.B. gemäß §§ 10ff. DSAG LSA, beschränkt werden.
  • Sofern personenbezogene Daten nicht oder nicht mehr zutreffend oder nicht vollständig sind, können Sie Berichtigung oder Vervollständigung der Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung gemäß Art. 17 Abs. 1 und 2 DSGVO besteht nicht, wenn die Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben der HoMe, die im öffentlichen Interesse liegen oder der Ausübung öffentlicher Gewalt, erforderlich ist.
  • Wenn Sie in die Verarbeitung eingewilligt haben oder einen Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragung zu (Art. 20 DSGVO).

Zum Widerrufsrecht und Widerspruchsrecht gilt folgendes:

Widerspruchsrecht

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung sie betreffender personenbezogener Daten durch uns jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Widerrufsrecht

Sie können erteilte Einwilligungen im Sinne von Art. 6 Abs. 1 lit. a DSGVO  jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) durch eine formlose E-Mail an

kanzlerin@hs-merseburg

oder postalisch an die

Hochschule Merseburg

Die Kanzlerin

Eberhard-Leibnitz-Straße 2

06217 Merseburg,

widerrufen. Vom Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Einwilligung nicht berührt. Auch in Bezug auf den Widerruf der Einwilligung steht Ihnen ein Beschwerderecht bei der Aufsichtsbehörde zu.

Sie können die vorgenannten Rechte unentgeltlich geltend machen. HoMe kann für den Fall, dass Sie Kopien in mehrfacher Ausfertigung wünschen, Kopierkosten nach Verwaltungsaufwand geltend machen.

Unabhängig davon haben Sie immer die Möglichkeit, Ihre Rechte gegenüber HoMe auszuüben oder Fragen zum Thema personenbezogene Daten zu stellen.

Zuständig für die Einhaltung des Datenschutzes an der HoMe und Ihre Ansprechperson als Betroffener oder Betroffene ist unsere oben benannte Datenschutzbeauftragte.

Bestehen begründete Zweifel an der Identität der antragstellenden Person, kann HoMe zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind.

Wir werden unser Möglichstes tun, um Ihre Fragen bezüglich der Verarbeitung personenbezogener Daten so schnell wie möglich zu beantworten. Eine Antwort erhalten Sie aber immer spätestens innerhalb einer Frist von einem Monat ab Zugang Ihrer Anfrage.

Bitte beachten Sie, dass Sie selbst ebenfalls verpflichtet sind, die einschlägigen Datenschutzbestimmungen zu beachten. Es ist z.B. untersagt, personenbezogene Daten Dritter, zu denen Sie Zugang haben, ohne Erlaubnis zu speichern oder zu verarbeiten oder allgemein Handlungen vorzunehmen, die geeignet sind, Rechte eines Dritten zu verletzen.

9. Verwendung von Cookies

Bei Verwendung von Cookies auf unseren Serviceportalen wird der Nutzer an entsprechender Stelle auf die Nutzung von Cookies hingewiesen.

HoMe benutzt auf ihrer Webseite Matomo. Hierbei handelt es sich um einen Webanalysedienst. Matomo verwendet Cookies. Die verwendeten Cookies haben das Ziel, unsere Webseite den Bedürfnissen unserer Nutzer anzupassen. Die Erhebung folgender Daten erfolgt deshalb anonymisiert:

  • Dauer des Besuchs unserer Webseite
  • Konkret besuchte Webseite

Wenn Sie mit der Spei­che­rung und Aus­wer­tung die­ser Daten aus Ihrem Besuch nicht ein­ver­stan­den sind, dann kön­nen Sie der Spei­che­rung und Nut­zung nachfolgend per Maus­klick jederzeit wider­spre­chen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Matomo kei­ner­lei Sit­zungs­da­ten erhebt. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss. Nach Verlassen unserer Webseiten (beispielsweise über das Anklicken eines externen Links) können von der angeklickten Zielseite Cookies gesetzt werden. Für diese ist HoMe nicht verantwortlich.

HoMe fordert alle Nutzer ihrer Serviceportale dazu auf, sich über die möglichen Sicherheitseinstellungen im verwendeten Browser zu informieren und diese gezielt für die eigenen Sicherheitsinteressen einzustellen und zu nutzen.

Sie können die Browsersoftware so konfigurieren, dass die Software Ihnen das Vorhandensein von Cookies meldet und Ihnen vorschlägt, diese zu akzeptieren oder abzulehnen. Sie können Cookies so im Einzelfall ablehnen oder annehmen oder die Einstellungen im Browser generell verändern. Im Hilfemenü Ihres Browsers wird beschrieben, wie Sie die Einstellungen für Cookie verändern können.

10. Nutzung von Microsoft 365

Die HoMe stellt den Beschäftigten und Studierenden einen persönlichen Microsoft-Account zur Verfügung. Im Rahmen des Lizenzvertrages mit Microsoft werden bei der Nutzung des Microsoft-Accounts personenbezogene Daten verarbeitet. Die Verarbeitung erfolgt entsprechend den Datenschutzbestimmungen von Microsoft.

a. Verantwortliche und Datenschutzbeauftragte (neben der HoMe)

Datenschutz:

Microsoft Ireland Operations Limited

Attn: Data Privacy

One Microsoft Place

South County Business Park

Leopardstown

Dublin 18, Ireland

Verantwortlicher:

Microsoft Corporation

One Microsoft Way Redmond

Washington 98052

Weitere Hinweise zum Datenschutz: https://support.microsoft.com/de-DE/privacy

b. Zu welchem Zweck erfolgt die Datenerhebung von Microsoft

  • Verarbeitung zur Bereitstellung der Onlinedienste für den Kunden, insbesondere,
    • die Bereitstellung von Funktionen wie vom Kunden und dessen Benutzern und Benutzerinnen lizenziert, konfiguriert und verwendet, einschließlich der Bereitstellung personalisierter Benutzererfahrungen,
    • die Problembehandlung (Verhinderung, Erkennung und Behebung von Problemen) und
    • die kontinuierliche Verbesserung (installieren der neuesten Updates und Verbesserungen in Bezug auf Benutzerproduktivität, Zuverlässigkeit, Effektivität und Sicherheit) sowie
  • Verarbeitung für legitime Geschäftstätigkeiten von Microsoft, insbesondere
    • Abrechnungs- und Kontoverwaltung
    • Vergütung
    • Interne Berichterstattung und Geschäftsmodellierung
    • Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen
    • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
    • Finanzberichterstattung und
    • Einhaltung gesetzlicher Verpflichtungen.

Microsoft erhebt personenbezogene Daten im Rahmen des bestehenden Lizenzvertrages nicht für folgende Zwecke:

  • Benutzerprofilerstellung
  • Werbung oder ähnliche kommerzielle Zwecke
  • Marktforschung zur Entwicklung neuer Funktion, Dienstleistungen oder Produkte

c. Datenkategorien

Folgende Datenkategorien werden verarbeitet:

  1. Dokumente und Dateien
  2. Aufgaben und Lösungen
  3. Kommunikationsdaten
  4. personenbezogene Basisdaten
  5. Authentifizierungsdaten
  6. Kontaktinformationen
  7. Profilierung
  8. Logfile mit Zugriffen
  9. Systemgenerierte Protokolldaten

d. Wer ist Empfänger der personenbezogenen Daten?

  • Microsoft Ireland Operations Ltd., zum Zweck der Auftragsverarbeitung und Vertragserfüllung,
  • Microsoft Corporation, zum Zweck der Auftrags Vorarbeit, Vertragserfüllung und legitimer Geschäftstätigkeiten von Microsoft sowie
  • deren Unterauftragsverarbeiter und Supportdienstleister.  

e. Rechtsgrundlage für den internationalen Datentransfer

Entsprechend den Datenschutzbestimmungen von Microsoft sind Rechtsgrundlage für den internationalen Datentransfer die Standarddatenschutzklauseln.

f. Wie lange werden die Daten gespeichert?

  • 90 Tage nach Löschung des Accounts auf Verlangen oder noch Widerspruch (Daten Kategorien 4-7)
  • 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1-3
  • 180 Tage (Daten Kategorien 8, 9)

11. Einbindung externer Dienste und Inhalte Dritter

(A) H5P

Speichern von Ergebnissen

Falls das Speichern von Ergebnissen aktiviert ist und Nutzer*innen auf der Plattform angemeldet sind, auf der H5P läuft, und falls der verwendete Inhaltstyp Ergebnisse übermittelt, dann können auf eurer Plattform (nicht irgendwo anders) die erzielten Ergebnisse und einige weitere Daten mit Bezug zur eingeloggten Person gespeichert werden. Der Umfang der gespeicherten Daten kann sich je nach Plattform unterscheiden.

Speichern des Zustands

Falls das Speichern des Zustands von H5P-Inhalten aktiviert ist und Nutzer*innen auf der Plattform angemeldet sind, auf der H5P läuft, und falls der verwendete Inhaltstyp den aktuellen Zustand übermittelt, dann kann dieser mit Bezug zur eingeloggten Person auf eurer Plattform gespeichert werden (nicht irgendwo anders), damit die Person eine Aufgabe später dort fortsetzen kann, wo sie verlassen wurde. Entsprechend enthalten solche Zustände insbesondere Antworten, die von Nutzer*innen gegeben wurden. Das könnten beispielsweise die in einem Lückentext eingetragenen Texte sein.

Anonymisierte Statistiken

Bei den offiziellen H5P-Plugins besteht die Möglichkeit, anonymisierte Statistiken an das H5P-Kernteam (Norwegen) zu senden, um ihnen Erkenntnisse über die H5P-Nutzung zukommen zu lassen (vgl. https://h5p.org/tracking-the-usage-of-h5p). Diese Daten sind zwar nicht personenbezogen, aber sei es drum. Die Option ist standardmäßig deaktiviert, und wird erst nach Zustimmung zur Nutzung des H5P-Hubs aktiv. Sie kann danach in den Einstellungen des H5P-Plugins wieder deaktiviert werden, ohne die Nutzung des H5P-Hubs zu beeinträchtigen

Übertragen werden im Falle des Falles:

  • Seitentyp: Lokal, Netzwerk, Internet,
  • Version des Plugins,
  • Anzahl der Autor*innen von H5P-Inhalten,
  • Informationen zu den verwendeten Inhaltstypen: Version, Anzahl, Anzahl der Ladeversuche im Editor, Anzahl der Fassungen, Anzahl der Uploads von Inhalten, Anzahl des Löschens von Inhalten, Anzahl der Einblicke in die Ergebnisse, Anzahl des Nutzens von Shortcodes,
  • Datum und IP-Adresse des Servers (nicht die IP-Adresse der Nutzenden),
  • zufällig generierter Key für die Plattform

Des weiteren kommen innerhalb von H5P noch kleinere Dinge zum Tragen, die aus der Perspektive Datenschutz wohl eher unbedeutend sind:

UUID im LocalStorage

Sind Nutzer*innen von Inhaltstypen nicht auf der Plattform angemeldet, wird eine zufällig generierte ID im LocalStorage des Browsers abgelegt, um Personen ggf. für pseudonymisierte Statistiken mittels xAPI-Schnittstelle wiedererkennen zu können. Man weiß dann, dass eine bestimmte Person eine Aufgabe bearbeitet hat, aber nichts über die Person. Das Speichern lässt sich in den Einstellungen nicht unterbinden, kann aber herausgepatched werden (ggf. mit Pull Request, um die Änderung dauerhaft zu ermöglichen).

Wichtig ist hier zu wissen: H5P selbst nutzt diese ID nicht weiter. Sie kommt nur zum Tragen, wenn ihr selbst die xAPI-Schnittstelle nutzt, um detailliertere Informationen über die Nutzer*innen zu sammeln.

Erfassen von Ereignissen

H5P loggt einige administrative Ereignisse in der lokalen Datenbank mit, namentlich das Installieren und Aktualisieren von Bibliotheken sowie das Erstellen und Aktualisieren von Inhalten, betrifft also Admins und Autor*innen, nicht aber Lernende (Nutzer-ID, Zeitpunkt des Ereignisses, Ereignistyp, Art der Änderung, ggf. ID des Inhalts, ggf. Titel des Inhalts, Name der H5P-Bibliothek, Version der H5P-Bibliothek).

Die Einträge werden nach 30 Tagen automatisch gelöscht. Das Erfassen von Ereignissen lässt sich meines Wissens standardmäßig nicht deaktivieren, kann aber herausgepatched werden (ggf. mit Pull Request, um die Änderung dauerhaft zu ermöglichen).

H5P-Inhalte im LocalStorage

Autor*innen können H5P-Inhalte kopieren und an anderer Stelle wieder einfügen. Das Kopieren läuft über den LocalStorage des eigenen Browsers, betrifft aber keine personenbezogenen Daten – es sei denn, ein Autor/eine Autorin hat Informationen über sich angegeben, etwa in den Metadaten. Sollte der Browser also von mehreren Personen genutzt werden …

(B) H5P-Plugin für WordPress

Das H5P-Plugin für WordPress unterstützt die von WordPress eingeführte “DSGVO-Schnittstelle”, über die Datenschutzanfragen abgewickelt werden können (Daten herausgeben, Daten exportieren, Daten löschen).

Speichern von Ergebnissen

Ist das Speichern von Ergebnissen aktiviert (Menü Einstellungen -> H5P -> Benutzer-Ergebnisse: Ergebnisse für angemeldete Benutzer protokollieren), und ist ein/e Nutzer*in in WordPress angemeldet, und unterstützt ein H5P-Inhaltstyp diese Funktion, dann werden typischerweise beim Anwählen des “Überprüfen”-Buttons, bei einigen Inhaltstypen wie Interactive Video oder Interactive Book auch erst beim Anwählen eines “Einsenden”-Buttons, Ergebnisse an die Plattform gesendet. Diese werden in der Datenbank gespeichert und umfassen:

  • WordPress-Nutzer-ID: Numerischer Wert, der dem/der angemeldeten Nutzer*in von WordPress zugewiesen wurde und über den die Ergebnisse einer Person zugeordnet werden können
  • ID des H5P-Inhalts: Numerischer Wert, der die Verbindung zum absolvierten H5P-Inhalt herstellt
  • Punktzahl: Numerischer Wert, der die erreichte Punktzahl festhält
  • Maximal mögliche Punktzahl: Numerischer Wert, der die maximal erreichbare Punktzahl festhält
  • Zeitpunkt des Startens des H5P-Inhalts: Numerischer Wert (Zeitstempel), der festhält, wann die Person den H5P-Inhalt aufgerufen hat.
  • Zeitpunkt des Absolvierens des H5P-Inhalts: Numerischer Wert (Zeitstempel), der festhält, wann das Ergebnis übertragen wurde.
  • benötigte Zeit: Numerischer Wert, der angibt, wie lange die Bearbeitung der Aufgabe in Sekunden dauerte.

Die H5P-Integration für WordPress legt keine Historie an. Wiederholt ein/e Nutzer*in eine Aufgabe und übersendet dadurch ein weiteres Ergebnis, werden dadurch bestehende Einträge in der Datenbank überschrieben.

Einsicht in diese Daten haben:

  • Personen, die über Zugriff auf die entsprechenden Datenbanktabellen verfügen (ggf. auch über weitere Plugins, die Zugriff auf die H5P-Daten ermöglichen)
  • Nutzer*innen der WordPress-Plattform, die das Recht zum Bearbeiten des absolvierten Inhalts haben (WordPress-Capability edit_h5p_contents für eigens erstellte H5P-Inhalte bzw. edit_others_h5p_contents für von anderen erstellte H5P-Inhalte). Diese Nutzer*innen können sich zu einem bestimmten H5P-Inhalt eine Übersicht aller für diesen Inhalt übersandten Ergebnisse anzeigen lassen und sehen somit jeweils:
    • Nutzernamen der Person
    • Erreichte Punktzahl
    • Maximal mögliche Punktzahl
    • Datum und Uhrzeit des Öffnens des Inhalts
    • Datum und Uhrzeit des Übersenden der Ergebnisse
    • Benötigt Zeit als Timecode.
  • Nutzer*innen der WordPress-Plattform, die das Recht haben, ihre eigenen Ergebnisse einzusehen (WordPress-Capability view_h5p_results). Diese Nutzer*innen können sich im H5P-Menü (H5P-Inhalt -> Meine Ergebnisse) eine Übersicht über alle von ihnen übersandten Ergebnisse anzeigen lassen und sehen somit jeweils:
    • Titel des H5P-Inhalts
    • Erreichte Punktzahl
    • Maximal mögliche Punktzahl
    • Datum und Uhrzeit des Öffnens des Inhalts
    • Datum und Uhrzeit des Übersenden der Ergebnisse
    • Benötigt Zeit als Timecode.

Speichern des Zustands

Ist das Speichern von Ergebnissen aktiviert (Menü Einstellungen -> H5P -> Inhalt statisch speichern: Angemeldeten Benutzern erlauben, Aufgaben wieder aufzunehmen), und ist ein/e Nutzer*in in WordPress angemeldet, und unterstützt ein H5P-Inhaltstyp diese Funktion, dann wird zu definierten Ereignissen der aktuelle Zustand des H5P-Inhalts abgerufen und in der Datenbank der Plattform gespeichert.

Einsicht in diese Daten haben:

  • Personen, die über Zugriff auf die entsprechenden Datenbanktabellen verfügen (ggf. auch über weitere Plugins, die Zugriff auf die H5P-Daten ermöglichen)
  • Nutzer*innen der WordPress-Plattform, wenn sie auf der Plattform angemeldet sind und einen von ihnen zuvor bearbeiteten H5P-Inhalt wieder aufrufen

Anonymisierte Statistiken

Das Versenden anonymisierter Statistiken kann jederzeit deaktiviert werden.