DSGVO für Administrator/innen: Unterschied zwischen den Versionen

Aus MoodleDocs
Wechseln zu:Navigation, Suche
HauptseiteDSGVO
DSGVO
Keine Bearbeitungszusammenfassung
 
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DSGVO}}
{{DSGVO}}
{{Zum Überarbeiten}}


Disclaimer: The advice in this document is provided for informational purposes only, and not be construed as legal or professional advice. Moodle Pty Ltd does not warrant that the advice is accurate, complete, reliable, current or error-free. Please ensure to obtain your own independent legal and IT advice.
'''Haftungsausschluss''': Die Empfehlungen in diesem Artikel haben reinen Informationscharakter und sind nicht rechtsverbindlich. Moodle Pty Ltd übernimmt keine Garantie für die Richtigkeit, Vollständigkeit und Verlässlichkeit. Bitte sichern Sie sich in der IT- und Rechtsabteilung Ihrer Organisation ab.


== Checklist ==
== Checkliste ==


<ol>
<ol>
<li> Is the Moodle site hosted in an EU member state, or is it possible that any user of the Moodle site is an individual from an EU member state?
<li> Wird Ihre Moodle-Site in einem Mitgliedsstaat der Europäischen Union gehostet oder sind einzelnen Nutzer/innen Angehörige der Europäischen Union?
<ul>
<ul>
<li> If you answered no to this question, you are not affected by this regulation. However, the benefits of data protection afforded by the regulation are universally applicable and you may consider voluntarily complying with this legislation for the benefit of your site users.</li>
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann sind Sie von der DSGVO nicht betroffen. Dennoch können Sie von diesen Datenschutzregelungen profitieren, da sie universell anwendbar sind. Sie können also die Anforderungen der DSGVO im Interesse Ihrer Nutzer/innen auf freiwilliger Basis erfüllen. </li>
</ul>
</ul>
</li>
</li>
<li>
<li>
Do you require your site users to accept a site or privacy policy document before using your site (either in Moodle or something outside of Moodle, like a paper form)?
Verlangen Sie von Ihren Nutzer/innen, dass sie einer Nutzungs- und Datenschutzerklärung zustimmen (innerhalb oder außerhalb der Moodle-Site, z.B. in Papierform), bevor sie Moodle nutzen können?
<ul>
<ul>
<li>If you answered no to this question, you must start doing so. Users need to be aware of their rights and the processes with which they can exercise their rights.</li>
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine entsprechende Erklärung einrichten. Die Nutzer/innen müssen über ihre Rechte und über die Datenverarbeitungsprozesse informiert sein, damit sie diese Rechte wahrnehmen können.</li>
<li>If you answered yes to this question you must review your policy to make sure it covers all requirements of the new regulations (see “Site policy” below). If you change your policy you must get all site users to accept the new policy before they can continue using the site.</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie Ihre Nutzungs- und Datenschutzerklärung überprüfen und sicherstellen, dass sie alle Anforderungen der neuen DSGVO erfüllt, siehe unten. Wenn Sie Ihre Nutzungs- und Datenschutzerklärung ändern, müssen alle Nutzer/innen erneut zustimmen, bevor sie Moodle weiter nutzen können.</li>
</ul>
</ul>
</li>
</li>
<li>Is it possible that your site is used by minors? (Under 16 in most member states, but some states may reduce this as low as 13 years).
<li>Wird Ihre Moodle-Site von Minderjährigen (d.h. unter 16-Jährigen in den meisten Ländern, in einigen Ländern unter 13-Jährige) genutzt?
<ul>
<ul>
<li>If you answered yes to this question, you must ensure that the consent is obtained from their legal guardian. Keep in mind that collecting and processing personal information on minors may impact your risk assessment. You should take extra care to adequately secure this information, and retain it for as short a period as is necessary.</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, müssen Sie sicherstellen, dass die Zustimmung von einem berechtigten Vormund erteilt wird. Bedenken Sie, dass das Sammeln und Verarbeiten von Daten von Minderjährigen mit besonderer Sorgfalt erfolgen muss. Sie sollten diese Daten besonders schützen und so kurz wie möglich speichern.</li>
</ul>
</ul>
</li>
</li>
<li>Is it the collection or storage of personal data from your site users likely to result in a high risk to their rights and freedoms?
<li>Stellt das Sammeln und Verarbeiten von personenbezogenen Daten in Ihrer Moodle-Site ein erhöhtes Risiko für die Rechte und Freiheiten Ihrer Nutzer/innen dar?
<ul>
<ul>
<li>Some examples that would indicate high risk are:
<li>Erhöhtes Risiko liegt z.B. in folgenden Situationen vor:
<ul>
<ul>
<li>a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person</li>
<li>systematische und extensive Auswertung von personenbezogenen Daten durch automatisierte Prozesse, inklusive Profiling, die zu Entscheidungen führen, die die Rechte der Nutzer/innen betreffen</li>
<li>processing on a large scale of special categories of data including
<li>umfangreiche Verarbeitung von speziellen Datenkategorien, z.B.:
<ul>
<ul>
<li>Racial or ethnic origin</li>
<li>Rasse und ethnische Herkunft</li>
<li>Political opinions</li>
<li>Politische Meinung</li>
<li>Religious or philosophical beliefs</li>
<li>Religiöse und philosophische Bekenntnisse</li>
<li>Trade union membership</li>
<li>Mitgliedschaft in einer Gewerkschaft oder Partei</li>
<li>Genetic data</li>
<li>Genetische Daten</li>
<li>Biometric data</li>
<li>Biometrische Daten</li>
<li>Data concerning health</li>
<li>Gesundheitsdaten</li>
<li>Sexual orientation</li>
<li>Sexuelle Orientierung</li>
<li>Data concerning a natural person’s sex life</li>
<li>Daten zum Sexualleben</li>
<li>Criminal convictions</li>
<li>Vorstrafen</li>
</ul>
</ul>
</li>
Diese Liste ist nicht vollständig und wenn Sie unsicher sind, sollten Sie im Zweifelsfall professionellen Rat einholen.</li>
<li>This is not an exhaustive list and if you are unsure if you should consider the data collected from your users as “High risk” you should refer to the legislation and seek professional advice.</li>
</ul>
</ul>
</li>
</li>
<li>If the answer is “Yes”, you should perform a Data Protection Impact Assessment. Refer to the legislation and seek professional advice.</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann sollten Sie eine Risikoabschätzung durchführen. Wenden Sie sich an Ihre Rechtsabteilung und holen Sie sich professionellen Rat.</li>
</ul>
</ul>
</li>
</li>
<li>Do you use any of the collected personal information for the purposes of marketing?
<li>Verwenden Sie die gesammelten Daten für Marketingzwecke?
<ul>
<ul>
<li>If you answered yes to this question - you must obtain a separate consent from each user to use this data for this purpose. Consent to use the data for marketing must be separately withdrawable by the user.</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann benötigen Sie eine separate Zustimmung von jedem/r einzelnen Nutzer/in, dass Sie die Daten für diesen Zweck verwenden dürfen. Die Zustimmung zur Datenverarbeitung für Marketingzwecke muss separat widerrufbar sein.</li>
</ul>
</ul>
</li>
</li>
<li>Do you use any of the collected personal information for the purposes of research?
<li>Verwenden Sie die gesammelten Daten für Forschungszwecke?
<ul>
<ul>
<li>If you answered yes to this question, you must either obtain a specific consent from each user to use the data for this purpose, or completely anonymise the data before using it for research. <br /><br />[https://github.com/moodlehq/moodle-local_anonymise https://github.com/moodlehq/moodle-local_anonymise] is an example of a tool designed to anonymise all the data on a moodle site.</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie dafür die Zustimmung von jedem/r einzelnen Nutzer/in einholen oder die Daten für die Forschung vollständig anonymisieren. <br />[https://github.com/moodlehq/moodle-local_anonymise https://github.com/moodlehq/moodle-local_anonymise] ist ein Beispiel für ein Werkzeug, das alle Daten einer Moodle-Site anonymisiert.</li>
</ul>
</ul>
</li>
</li>
<li>Do you share any of the collected data with any third parties? This includes sites and services that integrate with Moodle such as: Google analytics, LTI, Repositories (Google Docs, OneDrive etc), Authentication systems etc. This also includes sites and services used in the provision of your own Moodle site such as hosting providers.
<li>Teilen Sie die gesammelten Daten mit Dritten? Das schließt Seiten und Dienste ein, die in Moodle integriert sind, z.B. Google Analytics, LTI, Repositories (Google Docs, OneDrive, etc.), Authentifizierungssysteme usw. Es schließt auch den Provider ein, falls Sie Ihr Moodle hosten lassen.
<ul>
<ul>
<li>If you answered yes to this question then you are responsible for all data that is shared with a third party. You must obtain the user’s consent to share this data with each third party. If the list of third party services changes you must re-obtain consent from all site users for each new third party site/service. You should also take reasonable steps to ensure that each third party will adequately protect users personal data including:
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann sind Sie für alle Daten verantwortlich, die mit Dritten geteilt werden. Sie müssen von jedem/r einzelnen Nutzer/in und für jeden Drittanbieter und dessen Seite bzw. Dienst die Zustimmung einholen. Sie sollten auch dafür sorgen, dass die Drittanbieter die Daten angemessen schützen. Dazu gehört:
<ul>
<ul>
<li>Reviewing the third party privacy policy to make sure it is congruent with your own</li>
<li>Prüfen Sie die Richtlinien und Datenschutzerklärungen der Drittanbieter und stellen Sie sicher, dass diese mit Ihren Richtlinien konform sind.</li>
<li>Monitoring and notifying your site users about changes to the third party privacy policy</li>
<li>Informieren Sie Ihre Nutzer/innen, wenn sich die Richtlinien und Datenschutzerklärungen der Drittanbieter ändern.</li>
<li>Identify the mechanism for processing requests to erase or correct personal data with each third party so that you can follow this process when you receive one of these requests for your own site</li>
<li>Legen Sie Prozesse für die Bearbeitung von Anfragen zum Ändern oder Löschen personenbezogener Daten beim Drittanbieter fest, so dass sie diese Vorgänge nachverfolgen können, wenn an Sie als Moodle-Betreiber/in Anfragen zum Ändern oder Löschen gestellt werden.</li>
<li>Identify and list the data protection officer, and privacy policy for each third party site as part of your own privacy policy</li>
<li>Weisen Sie die Datenschutzverantwortlichen und Datenschutzerklärungen aller Drittanbieter als Teil Ihrer eigenen Datenschutzrichtlinie aus.</li>
</ul>
</ul>
</li>
</li>
<li>Google analytics for example has not yet provided clear updated instructions on how to comply with the new GDPR when using their service. It is probable that they will issue guidance on how to use Google Analytics in compliance with the GDPR before it becomes enforceable, but this example demonstrates that it is your responsibility to ensure the protection of privacy of the users of your site and it is not legal to use cloud services without considering the privacy implications of each and every service provider.</li>
<li>Google Analytics hat z.B. noch keine aktualisierten Anleitungen bereitgestellt, wie die Anforderungen der DSGVO erfüllt werden können. Gleichwohl bleibt es in Ihrer Verantwortung, die Daten Ihrer Nutzer/innen zu schützen. Es ist nicht rechtens, Cloud-Dienste zu nutzen, ohne sich Gedanken über die Folgen für den Datenschutz bei jedem einzelnen Dritt-Dienstleister zu machen. </li>
</ul>
</ul>
</li>
</li>
<li>Do you follow best practice policies and procedures to ensure data security?
<li>Nutzen Sie Best-Practise-Richtlinien und Prozesse, um den Datenschutz sicherzustellen?
<ul>
<ul>
<li>If you answered no to this question then you have must review your policies and procedures to ensure you are not placing your sites users personal data at risk.
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie Ihre Richtlinien und Prozesse überprüfen, um sicherzustellen, dass die persönlichen daten Ihrer Nutzer/innen keinem Risiko ausgesetzt sind.
<ul>
<ul>
<li>“Best practices” includes but is not limited to organisational and technical measures to ensure a level of security appropriate to the risk such that:
<li>"Best Practices" schließt organisatorische und technische Maßnahmen ein, um ein dem Risiko angemessenes Sicherheitslevel zu gewährleisten, z.B.:
<ul>
<ul>
<li>pseudonymisation and encryption of personal data</li>
<li>Pseudonymisierung und Verschlüsselung persönlicher Daten</li>
<li>the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services</li>
<li>fortlaufende Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der datenverarbeitenden Systeme und Dienste</li>
<li>the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident</li>
<li>die Möglichkeit der Wiederherstellung und des Zugriffs auf die Daten im Fall einer technischen Störung</li>
<li>a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing</li>
<li>ein Prozess des regelmäßigen Testens und der Bewertung der Effektivität der organisatorischen und technischen Sicherheitsmaßnahmen</li>
</ul>
</ul>
</li>
</li>
<li>Examples:
<li>Beispiele:
<ul>
<ul>
<li>Appropriate use of encryption (https)</li>
<li>Verwendung von Verschlüsselung (https)</li>
<li>Maintaining all systems and software with relevant security updates.</li>
<li>Durchführung von relevanten Sicherheitsupdates auf allen Systemen und der Software</li>
<li>Deletion of personal data as soon as possible, once it is no longer required for the purpose it was collected.</li>
<li>Löschen der persönlichen Daten, sobald der Grund für deren Sammlung und Speicherung entfällt</li>
</ul>
</ul>
</li>
</li>
Zeile 95: Zeile 93:
</ul>
</ul>
</li>
</li>
<li>Do you have defined policies and procedures for disclosing data breaches?
<li>Haben Sie Prozesse und Richtlinien festgelegt, wie Datenpannen angezeigt werden?
<ul>
<ul>
<li>If you answered no this question then you must define some</li>
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine Vorgehensweise definieren.</li>
<li>If you have existing policies and procedures they should be reviewed</li>
<li>Wenn Sie für diesen Fall Prozesse und Richtlinien definert haben, dann müssen sie diese überprüfen.</li>
<li>These policies and procedures must include notifying the Supervisory Authority within 72 hours of the data breach and notifying all affected users if they have been adversely affected (personal data disclosed).</li>
<li>Die Prozesse und Richtlinien müssen enthalten, dass im Fall einer Datenpanne die Aufsichtsbehörde innerhalb von 72 Stunden informiert wird und alle betroffenen Nutzer/innen benachrichtigt werden.</li>
</ul>
</ul>
</li>
</li>
<li>Have you appointed a data protection officer, and listed them in your privacy policy?
<li>Haben Sie einen Datenschutzbeauftragten benannt und in Ihrer Datenschutzrichtlinie ausgewiesen?
<ul>
<ul>
<li>If you answered no to this question then you must appoint one and list them in your site's privacy policy. The data protection officer is expected to be “proficient at managing IT processes, data security (including dealing with cyber-attacks) and other critical business continuity issues around the holding and processing of personal and sensitive data [[#ref1|1]].</li>
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine Personen benennen und entsprechend ausweisen. Der Datenschutzbeauftragte muss IT-Prozesse managen, Datensicherheit und Datenschutz gewährleisten und mit Cyber-Attacken umgehen können.</li>
</ul>
</ul>
</li>
</li>
<li>Do you have a mechanism with with your site users can request their personal data is erased, corrected or made available to the requesting user on your site?
<li>Gibt es eine Vorgehensweise, wie Nutzer/innen Datenanfragen stellen können?
<ul>
<ul>
<li>If you answered yes to this question then must ensure it is listed in your site's privacy policy</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann muss diese Vorgehensweise in der Datenschutzerklärung ausgewiesen sein.</li>
<li>If you answered no to this question then you define one and list it in your site's privacy policy
<li>Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine entsprechende Vorgehensweise festlegen und in die Datenschutzerklärung aufnehmen.
<ul>
<ul>
<li>For a Moodle site that does not make use of the GDPR plugins, a suitable mechanism would be an email address, reserved for this purpose that is monitored by an administrator for your Moodle site. Once a request is received, reasonable steps should be taken to ensure the authenticity of the request and the identity of the user making the request</li>
<li>Für eine Moodle-Site, die die DSGVO-Plugins nicht verwendet, sollten Sie eine E-Mail-Adresse angeben und eine Person benennen, die sich um Datenanfragen an diese E-Mail-Adresse kümmert.</li>
<li>Corrections to personal data can be processed by changing the data in Moodle directly using an administrator account</li>
<li>Änderungen von personenbezogenen Daten kann die Moodle-Administration direkt in Moodle vornehmen.</li>
<li>Erasures of personal data can be processed by either deleting the user account, or by editing the user account to remove all identifying information and making it inactive</li>
<li>Das Löschen personenbezogener Daten kann durch das Löschen des Nutzerkontos oder das Entfernen aller identifizierenden Daten aus einem Nutzerkonto und Sperren desselbigen erfolgen.</li>
<li>Records of personal data can be obtained from the “Site Administration -&gt; Reports -&gt; Logs” by downloading all the logs for a single user as a CSV file. There will likely be additional personal data about a user that is stored outside of Moodle, such as web server access logs.</li>
<li>Zusammenfassungen aller über eine Person gespeicherten personenbezogenen Daten können auf der Seite ''Website-Administration > Berichte > Logdaten'' für eine ausgewählte Person als CSV-Daten exportiert werden. Darüber hinaus wird es sicher personenbezogene Daten geben, die außrehalb von Moodle gespeichert sind, z.B. in den Logdaten des Webservers. </li>
</ul>
</ul>
</li>
</li>
</ul>
</ul>
</li>
</li>
<li>Does your organisation have more than 250 employees?
<li>Hat Ihre Organisation mehr als 250 Mitarbeiter/innen?
<ul>
<ul>
<li>If you answered yes to this question then you must maintain detailed records on all processing of personal data. Refer to the regulation for details of the records that must be maintained</li>
<li>Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie alle Prozesse zur Verarbeitung personenbezogener Daten dokumentieren. Lesen Sie in der DSGVO nach, wie detailliert die Dokumentation erfolgen muss.</li>
</ul>
</ul>
</li>
</li>
</ol>
</ol>


== Site policy ==
== Nutzungs- und Datenschutzerklärung ==
 
Eine Nutzungs- und Datenschutzerklärung dient dazu, Zustimmung der Nutzer/innen zur Verarbeitung ihrer Daten zu erhalten und damit den Anforderungen der DSGVO zu genügen. Dieses Dokument sollte sorgfältig erstellt und geprüft werden, um sicherzustellen, dass es alle Informationen (siehe unten) enthält und in verständlicher Sprache formuliert.
A site policy can be used to collect consent for the purposes of GDPR compliance. The site policy document should be reviewed carefully to make sure it covers all the information listed below, in succinct, simple language.
 
In Moodle 3.4.2 onwards, to enable a site policy, enter the URL of the page in 'Site policy URL' (sitepolicy) in 'Policy settings' in the Site administration. (In versions of Moodle prior to 3.4.2, the setting 'Site policy URL' (sitepolicy) can be found in 'Site policies' in the Site administration.)
 
The site policy page should contain all of the information listed below. The site policy will be displayed in an iframe as part of the login process, so it does not require headers and footers.
 
A recommended practice is to create a file resource on the front page of the Moodle site and copy the URL for this resource to use as the site policy. This means the site policy is always available for your users to access, and can be updated easily from within Moodle. Note that this technique is incompatible with the “Force users to log in (forcelogin)” setting, (also in 'Site policies' in the Site administration) as the file resource will no longer be visible until the user has logged into the site.


The site policy must include all of the following information in simple language:
Ab Moodle 3.4.2 wird die URL zur Nutzungs- und Datenschutzerklärung auf der Seite ''Website-Administration > Nutzer/innen > Datenschutz und Richtlinien > Richtlinieneinstellungen'' eingetragen (in früheren Moodle-Versionen war diese Einstellung unter ''Website-Administration > Sicherheit > Website-Rechte'' zu finden).


# What information is collected.
Die Nutzungs- und Datenschutzerklärung wird während des Anmelde-Prozesses in einem Frame angezeigt, so dass das Dokument keinen Header und keinen Footer benötigt.
# The purpose of all processing to be performed on the users data. Marketing must be listed separately with a separate revocable “consent”.
# The identity of the data controller and contact information
# List of rights
# The period the data is stored
# The mechanism for withdrawing consent
# The mechanism for requesting corrections, or erasures of personal data
# The mechanism for requesting a record of all personal data
# List of third parties that data will be shared with (This includes integrations such as LTI, portfolios, plagiarism, repositories, authentication etc.) including:
## The contact details of the data protection officer for each
## The privacy policy for each.
# Whether the personal data will be used for any automated decision making process, including the significance and details of the process (e.g. analytics).


==Siehe auch==
Die Nutzungs- und Datenschutzerklärung sollte die folgenden Informationen in verständlicher Sprache enthalten:


* [[DSGVO für Administrator/innen (Moodle 3.4.2+)]]
# Welche Informationen werden gesammelt.
# Zweck der Verarbeitung der Daten; Die Zustimmung zur Verarbeitung für Marketingzwecke muss separat erfolgen und widerrufbar sein.
# Name und Kontaktdaten des Datenschutzbeauftragten
# Liste der Rechte, die Nutzer/innen haben
# Die Nutzungs- und Datenschutzerklärung der Speicherung der Daten
# Verfahrensweise, wie eine Zustimmung widerrufen werden kann
# Verfahrensweise, wie das Ändern oder Löschen personenbezogener Daten angefordert werden kann
# Verfahrensweise, wie gespeicherte Daten abgefragt werden können
# Liste der Dritten, die Zugriff auf die Daten haben (inklusive LTI, Portfolios, Plagiatfinder, Repositories, Authentifizierungssysteme) einschließlich:
## Kontaktdaten des jeweiligen Datenschutzbeauftragten
## Datenschutzerklärung jedes Drittanbieters
# Ob die personenbezogenen Daten für irgendwelche automatisierten Entscheidungsprozesse verwendet werden und wenn ja, wie die Verfahrensweise ist (z.B. Analytics)


[[en:GDPR for administrators]]
[[en:GDPR for administrators]]

Aktuelle Version vom 6. Januar 2021, 19:52 Uhr


Haftungsausschluss: Die Empfehlungen in diesem Artikel haben reinen Informationscharakter und sind nicht rechtsverbindlich. Moodle Pty Ltd übernimmt keine Garantie für die Richtigkeit, Vollständigkeit und Verlässlichkeit. Bitte sichern Sie sich in der IT- und Rechtsabteilung Ihrer Organisation ab.

Checkliste

  1. Wird Ihre Moodle-Site in einem Mitgliedsstaat der Europäischen Union gehostet oder sind einzelnen Nutzer/innen Angehörige der Europäischen Union?
    • Wenn Sie diese Frage mit "Nein" beantworten, dann sind Sie von der DSGVO nicht betroffen. Dennoch können Sie von diesen Datenschutzregelungen profitieren, da sie universell anwendbar sind. Sie können also die Anforderungen der DSGVO im Interesse Ihrer Nutzer/innen auf freiwilliger Basis erfüllen.
  2. Verlangen Sie von Ihren Nutzer/innen, dass sie einer Nutzungs- und Datenschutzerklärung zustimmen (innerhalb oder außerhalb der Moodle-Site, z.B. in Papierform), bevor sie Moodle nutzen können?
    • Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine entsprechende Erklärung einrichten. Die Nutzer/innen müssen über ihre Rechte und über die Datenverarbeitungsprozesse informiert sein, damit sie diese Rechte wahrnehmen können.
    • Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie Ihre Nutzungs- und Datenschutzerklärung überprüfen und sicherstellen, dass sie alle Anforderungen der neuen DSGVO erfüllt, siehe unten. Wenn Sie Ihre Nutzungs- und Datenschutzerklärung ändern, müssen alle Nutzer/innen erneut zustimmen, bevor sie Moodle weiter nutzen können.
  3. Wird Ihre Moodle-Site von Minderjährigen (d.h. unter 16-Jährigen in den meisten Ländern, in einigen Ländern unter 13-Jährige) genutzt?
    • Wenn Sie diese Frage mit "Ja" beantworten, müssen Sie sicherstellen, dass die Zustimmung von einem berechtigten Vormund erteilt wird. Bedenken Sie, dass das Sammeln und Verarbeiten von Daten von Minderjährigen mit besonderer Sorgfalt erfolgen muss. Sie sollten diese Daten besonders schützen und so kurz wie möglich speichern.
  4. Stellt das Sammeln und Verarbeiten von personenbezogenen Daten in Ihrer Moodle-Site ein erhöhtes Risiko für die Rechte und Freiheiten Ihrer Nutzer/innen dar?
    • Erhöhtes Risiko liegt z.B. in folgenden Situationen vor:
      • systematische und extensive Auswertung von personenbezogenen Daten durch automatisierte Prozesse, inklusive Profiling, die zu Entscheidungen führen, die die Rechte der Nutzer/innen betreffen
      • umfangreiche Verarbeitung von speziellen Datenkategorien, z.B.:
        • Rasse und ethnische Herkunft
        • Politische Meinung
        • Religiöse und philosophische Bekenntnisse
        • Mitgliedschaft in einer Gewerkschaft oder Partei
        • Genetische Daten
        • Biometrische Daten
        • Gesundheitsdaten
        • Sexuelle Orientierung
        • Daten zum Sexualleben
        • Vorstrafen
        Diese Liste ist nicht vollständig und wenn Sie unsicher sind, sollten Sie im Zweifelsfall professionellen Rat einholen.
    • Wenn Sie diese Frage mit "Ja" beantworten, dann sollten Sie eine Risikoabschätzung durchführen. Wenden Sie sich an Ihre Rechtsabteilung und holen Sie sich professionellen Rat.
  5. Verwenden Sie die gesammelten Daten für Marketingzwecke?
    • Wenn Sie diese Frage mit "Ja" beantworten, dann benötigen Sie eine separate Zustimmung von jedem/r einzelnen Nutzer/in, dass Sie die Daten für diesen Zweck verwenden dürfen. Die Zustimmung zur Datenverarbeitung für Marketingzwecke muss separat widerrufbar sein.
  6. Verwenden Sie die gesammelten Daten für Forschungszwecke?
    • Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie dafür die Zustimmung von jedem/r einzelnen Nutzer/in einholen oder die Daten für die Forschung vollständig anonymisieren.
      https://github.com/moodlehq/moodle-local_anonymise ist ein Beispiel für ein Werkzeug, das alle Daten einer Moodle-Site anonymisiert.
  7. Teilen Sie die gesammelten Daten mit Dritten? Das schließt Seiten und Dienste ein, die in Moodle integriert sind, z.B. Google Analytics, LTI, Repositories (Google Docs, OneDrive, etc.), Authentifizierungssysteme usw. Es schließt auch den Provider ein, falls Sie Ihr Moodle hosten lassen.
    • Wenn Sie diese Frage mit "Ja" beantworten, dann sind Sie für alle Daten verantwortlich, die mit Dritten geteilt werden. Sie müssen von jedem/r einzelnen Nutzer/in und für jeden Drittanbieter und dessen Seite bzw. Dienst die Zustimmung einholen. Sie sollten auch dafür sorgen, dass die Drittanbieter die Daten angemessen schützen. Dazu gehört:
      • Prüfen Sie die Richtlinien und Datenschutzerklärungen der Drittanbieter und stellen Sie sicher, dass diese mit Ihren Richtlinien konform sind.
      • Informieren Sie Ihre Nutzer/innen, wenn sich die Richtlinien und Datenschutzerklärungen der Drittanbieter ändern.
      • Legen Sie Prozesse für die Bearbeitung von Anfragen zum Ändern oder Löschen personenbezogener Daten beim Drittanbieter fest, so dass sie diese Vorgänge nachverfolgen können, wenn an Sie als Moodle-Betreiber/in Anfragen zum Ändern oder Löschen gestellt werden.
      • Weisen Sie die Datenschutzverantwortlichen und Datenschutzerklärungen aller Drittanbieter als Teil Ihrer eigenen Datenschutzrichtlinie aus.
    • Google Analytics hat z.B. noch keine aktualisierten Anleitungen bereitgestellt, wie die Anforderungen der DSGVO erfüllt werden können. Gleichwohl bleibt es in Ihrer Verantwortung, die Daten Ihrer Nutzer/innen zu schützen. Es ist nicht rechtens, Cloud-Dienste zu nutzen, ohne sich Gedanken über die Folgen für den Datenschutz bei jedem einzelnen Dritt-Dienstleister zu machen.
  8. Nutzen Sie Best-Practise-Richtlinien und Prozesse, um den Datenschutz sicherzustellen?
    • Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie Ihre Richtlinien und Prozesse überprüfen, um sicherzustellen, dass die persönlichen daten Ihrer Nutzer/innen keinem Risiko ausgesetzt sind.
      • "Best Practices" schließt organisatorische und technische Maßnahmen ein, um ein dem Risiko angemessenes Sicherheitslevel zu gewährleisten, z.B.:
        • Pseudonymisierung und Verschlüsselung persönlicher Daten
        • fortlaufende Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der datenverarbeitenden Systeme und Dienste
        • die Möglichkeit der Wiederherstellung und des Zugriffs auf die Daten im Fall einer technischen Störung
        • ein Prozess des regelmäßigen Testens und der Bewertung der Effektivität der organisatorischen und technischen Sicherheitsmaßnahmen
      • Beispiele:
        • Verwendung von Verschlüsselung (https)
        • Durchführung von relevanten Sicherheitsupdates auf allen Systemen und der Software
        • Löschen der persönlichen Daten, sobald der Grund für deren Sammlung und Speicherung entfällt
  9. Haben Sie Prozesse und Richtlinien festgelegt, wie Datenpannen angezeigt werden?
    • Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine Vorgehensweise definieren.
    • Wenn Sie für diesen Fall Prozesse und Richtlinien definert haben, dann müssen sie diese überprüfen.
    • Die Prozesse und Richtlinien müssen enthalten, dass im Fall einer Datenpanne die Aufsichtsbehörde innerhalb von 72 Stunden informiert wird und alle betroffenen Nutzer/innen benachrichtigt werden.
  10. Haben Sie einen Datenschutzbeauftragten benannt und in Ihrer Datenschutzrichtlinie ausgewiesen?
    • Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine Personen benennen und entsprechend ausweisen. Der Datenschutzbeauftragte muss IT-Prozesse managen, Datensicherheit und Datenschutz gewährleisten und mit Cyber-Attacken umgehen können.
  11. Gibt es eine Vorgehensweise, wie Nutzer/innen Datenanfragen stellen können?
    • Wenn Sie diese Frage mit "Ja" beantworten, dann muss diese Vorgehensweise in der Datenschutzerklärung ausgewiesen sein.
    • Wenn Sie diese Frage mit "Nein" beantworten, dann müssen Sie eine entsprechende Vorgehensweise festlegen und in die Datenschutzerklärung aufnehmen.
      • Für eine Moodle-Site, die die DSGVO-Plugins nicht verwendet, sollten Sie eine E-Mail-Adresse angeben und eine Person benennen, die sich um Datenanfragen an diese E-Mail-Adresse kümmert.
      • Änderungen von personenbezogenen Daten kann die Moodle-Administration direkt in Moodle vornehmen.
      • Das Löschen personenbezogener Daten kann durch das Löschen des Nutzerkontos oder das Entfernen aller identifizierenden Daten aus einem Nutzerkonto und Sperren desselbigen erfolgen.
      • Zusammenfassungen aller über eine Person gespeicherten personenbezogenen Daten können auf der Seite Website-Administration > Berichte > Logdaten für eine ausgewählte Person als CSV-Daten exportiert werden. Darüber hinaus wird es sicher personenbezogene Daten geben, die außrehalb von Moodle gespeichert sind, z.B. in den Logdaten des Webservers.
  12. Hat Ihre Organisation mehr als 250 Mitarbeiter/innen?
    • Wenn Sie diese Frage mit "Ja" beantworten, dann müssen Sie alle Prozesse zur Verarbeitung personenbezogener Daten dokumentieren. Lesen Sie in der DSGVO nach, wie detailliert die Dokumentation erfolgen muss.

Nutzungs- und Datenschutzerklärung

Eine Nutzungs- und Datenschutzerklärung dient dazu, Zustimmung der Nutzer/innen zur Verarbeitung ihrer Daten zu erhalten und damit den Anforderungen der DSGVO zu genügen. Dieses Dokument sollte sorgfältig erstellt und geprüft werden, um sicherzustellen, dass es alle Informationen (siehe unten) enthält und in verständlicher Sprache formuliert.

Ab Moodle 3.4.2 wird die URL zur Nutzungs- und Datenschutzerklärung auf der Seite Website-Administration > Nutzer/innen > Datenschutz und Richtlinien > Richtlinieneinstellungen eingetragen (in früheren Moodle-Versionen war diese Einstellung unter Website-Administration > Sicherheit > Website-Rechte zu finden).

Die Nutzungs- und Datenschutzerklärung wird während des Anmelde-Prozesses in einem Frame angezeigt, so dass das Dokument keinen Header und keinen Footer benötigt.

Die Nutzungs- und Datenschutzerklärung sollte die folgenden Informationen in verständlicher Sprache enthalten:

  1. Welche Informationen werden gesammelt.
  2. Zweck der Verarbeitung der Daten; Die Zustimmung zur Verarbeitung für Marketingzwecke muss separat erfolgen und widerrufbar sein.
  3. Name und Kontaktdaten des Datenschutzbeauftragten
  4. Liste der Rechte, die Nutzer/innen haben
  5. Die Nutzungs- und Datenschutzerklärung der Speicherung der Daten
  6. Verfahrensweise, wie eine Zustimmung widerrufen werden kann
  7. Verfahrensweise, wie das Ändern oder Löschen personenbezogener Daten angefordert werden kann
  8. Verfahrensweise, wie gespeicherte Daten abgefragt werden können
  9. Liste der Dritten, die Zugriff auf die Daten haben (inklusive LTI, Portfolios, Plagiatfinder, Repositories, Authentifizierungssysteme) einschließlich:
    1. Kontaktdaten des jeweiligen Datenschutzbeauftragten
    2. Datenschutzerklärung jedes Drittanbieters
  10. Ob die personenbezogenen Daten für irgendwelche automatisierten Entscheidungsprozesse verwendet werden und wenn ja, wie die Verfahrensweise ist (z.B. Analytics)
Abgerufen von „https://docs.moodle.org/311/de/index.php?title=DSGVO_für_Administrator/innen&oldid=22033
Powered by MediaWiki