Moodle datenschutzkonform einrichten: Unterschied zwischen den Versionen

Aktuelle Version vom 23. Juli 2018, 14:07 Uhr

Überblick

Moodle-Sites enthalten eine Menge an personenbezogenen Daten und sensiblen persönlichen Informationen. Diese Daten und Informationen sind in der Regel durch verschiedene Regularien und Gesetze geschützt. Werkzeuge zum Schutz personenbezogener Daten sind daher kritische Funktionalitäten von Moodle.

Software-Werkzeuge können jedoch ohne sachgerechte Konfiguration keine Datenschutzkonformität gewährleisten. Dieser Artikel beschreibt den Prozess, wie Sie Ihre Moodle-Site datenschutzkonform einrichten können.

Vorbereitung

Richtlinien

Prüfen Sie Ihre Moodle-Site, um die Bereiche zu identifizieren, die Richtlinien für die Datenverarbeitung benötigen:

Cookie Richtlinie
Allgemeine Datenschutzrichtlinie
Aufgabenabgaben und deren Bewertungen
Kommunikation zwischen Nutzer/innen und der Organisation
Kollaboration, z.B. Forumsdiskussionen
Allgemeine Administration
Integration von Drittanbietern wie Adobe Connect

Es kann weitere Richtlinien für andere Bereiche Ihrer Moodle-Site geben.

Entwerfen Sie die nötigen Richtlinien und lassen Sie diese von Ihrer Rechtsabteilung prüfen und absegnen.

Legen Sie für jede Richtlinie fest, wer sie akzeptieren muss: alle Nutzer/innen, angemeldete Nutzer/innen oder Gäste.

Kategorien

Dokumentieren Sie die verschiedenen Kategorien von Daten auf Ihrer Moodle-Site. Diese Kategorien werden verwendet, um den Datenexport und die Datenberichte zu erstellen.

Beispiele für Kategorien können sein:

Formale Daten (Identifikationsdaten, Bilder, Ehestand, etc.)
Daten zum persönlichen Leben (Lebensstil, familiäre Situation, etc.)
Daten zur ökonomischen und finanziellen Situation (Einkommen, finanzielle Situation, Steuerklasse, etc.)
Verbindungsdaten (IP-Adresse, Logdaten, etc.)
Daten zum Bildungsverlauf (eingereichte Abgaben, Prüfungsmitschriften, etc.)
Daten zum Ausbildungserfolg (Prüfungsergebnisse, Leistungskontrollen, Zertifikate, etc.)
Standortdaten (Reisen, GPS-Daten, GSM, etc.)

Zwecke

Dokumentieren Sie die verschiedenen Zwecke der Datenerfassung und Datenverarbeitung. Der Zweck beschreibt den Grund für das Speichern und Verarbeiten sowie die Aufbewahrungsfrist für die Daten. Verschiedene Arten von Daten können verschiedene Aufbewahrungsfristen haben. Z.B. kann es sein, dass Aufgabenabgaben, die im Rahmen einer Prüfung eingereicht wurden, 10 Jahre aufbewahrt werden müssen, falls die geprüfte Person Beschwerde gegen die Prüfung einlegt. Dagegen kann die Aufbewahrungsfrist für Forumsbeiträge, die im Verlauf eines Kurses erzeugt wurden, nur jeweils 1 Jahr nach Ablauf des Kurses betragen.

Es können Standardeinstellungen für Zweck und Aufbewahrungsfrist für die Daten der gesamten Moodle-Site eingestellt werden, ebenso für die Daten, die in Kursbereichen, Kursen, Aktivitäten und Blöcken oder im Kontext eines Nutzers gespeichert werden.

Datenschutzbeauftragter

Organisationen, die in erheblichem Umfang Daten regelmäßig und systematisch überwachen oder sensible personenbezogene Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Person muss sicherstellen, dass die Organisation die Datenschutzgesetze einhält und ist verpflichtet, Datenpanne an die zuständige Aufsichtsbehörde zu melden.

Dokumentieren Sie den Namen, die E-Mail-Adresse und weitere Kontaktinformationen des Datenschutzbeauftragten.

Spezifische Felder und Einstellungen

Altersfeststellung

Unter "Mündigkeit" im Zusammenhang mit Datenschutz versteht man das Alter, ab dem eine Person selbst einer Datenschutzerklärung oder Richtlinie zustimmen darf. Dieses Alter variiert zwischen 13 und 16 Jahren, auch innerhalb der EU-Länder. In den USA beträgt das Mündigkeitsalter 13 Jahre. Die entsprechenden Einstellungen werden auf der Seite Datenschutzeinstellungen aktiviert und konfiguriert.

Kontakt für Datenschutzanfragen

Wenn Sie diese Datenschutzeinstellung konfigurieren, dann erscheint auf der Nutzerprofilseite (Link Profil im Nutzermenü rechts oben) im Bereich Datenschutz und Richtlinien ein Link Datenanfragen. Dieser Link führt zu einer Seite, auf der Nutzer/innen eine Datenanfrage stellen können.

Sie können eine neue Rolle Datenschutzbeauftragte/r anlegen, die solche Datenanfragen bearbeiten kann. Es ist auch möglich, eine bereits vorhandene Rolle zuzuordnen, so dass diese Rolle die nötigen Rechte eines Datenschutzbeauftragten erhält. Damit diese Zuordnung möglich ist, muss es mindestens eine Rolle geben, die das Recht hat, Datenanfragen zu verwalten.

Wenn es keine solche Rolle gibt, dann kann nur die Moodle-Administration Datenanfragen bearbeiten und die Datenregistrierung konfigurieren.

Richtlinieneinstellungen vornehmen

Um die neuen Funktionalitäten zur Verwaltung und Versionierung von Richtlinien nutzen zu können, müssen Sie die entsprechende Einstellung aktivieren. Das geschieht auf der Seite Richtlinieneinstellungen.

Datenregistrierung einrichten

Sie müssen Datenkategorien und Zwecke konfigurieren, damit Datenanfragen (Export und Löschung) und Aufbewahrungsfristen sinnvoll funktionieren. Die entsprechenden Einstellungen nehmen Sie auf der Seite Datenregistrierung vor.

Plugins auf Datenschutzkonformität prüfen

Alle Plugins, die zum Standardpaket von Moodle gehören, sind datenschutzkonform mit der DSGVO. Sie müssen sicherstellen, dass alle Zusatz-Plugins, die Sie darüber hinaus auf Ihrer Moodle-Site installiert haben, ebenfalls datenschutzkonform sind. Das können Sie auf der Seite Datenschutzübersicht für Plugins prüfen. Wenn Sie ein kritisches Plugin finden, kontaktieren Sie den Verantwortlichen für das Plugin.

Richtlinien anlegen

Legen Sie ein Richtlinien-Dokument an, siehe Richtlinien verwalten. Wenn Nutzer/innen sich zum ersten Mal in Moodle anmelden, nachdem eine Richtlinie neu angelegt oder geändert wurde, dann wird ihnen die Richtlinie angezeigt und sie müssen diese bestätigen.

Siehe auch

DSGVO
Student Privacy Diskussionsbeitrag auf moodle.org
Security and Privacy Diskussionforum auf moodle.org

@@ Zeile 1: / Zeile 1: @@
-{{Zum Überarbeiten}}
 {{Datenschutz}}
 ==Überblick==
-Moodle sites can contain a variety of sensitive personal data and personally identifying information (PII). This information is often protected by regulatory frameworks in different jurisdictions. As such, privacy protection and policy control tools are a critical feature of Moodle.
+Moodle-Sites enthalten eine Menge an personenbezogenen Daten und sensiblen persönlichen Informationen. Diese Daten und Informationen sind in der Regel durch verschiedene Regularien und Gesetze geschützt. Werkzeuge zum Schutz personenbezogener Daten sind daher kritische Funktionalitäten von Moodle.
-However, software tools cannot provide compliance with the laws without configuration to match institutional policies. This page overviews the process of preparing a site to be compliant with data privacy regulations.
+Software-Werkzeuge können jedoch ohne sachgerechte Konfiguration keine Datenschutzkonformität gewährleisten. Dieser Artikel beschreibt den Prozess, wie Sie Ihre Moodle-Site datenschutzkonform einrichten können.
 ==Vorbereitung==
 ===Richtlinien===
-Audit the site to identify which areas require policies for different types of data processing, including:
+Prüfen Sie Ihre Moodle-Site, um die Bereiche zu identifizieren, die Richtlinien für die Datenverarbeitung benötigen:
-* [https://en.wikipedia.org/wiki/HTTP_cookie Cookie] policy
+* [https://en.wikipedia.org/wiki/HTTP_cookie Cookie] Richtlinie
-* General privacy policy
+* Allgemeine Datenschutzrichtlinie
-* Assessment submissions and results
+* Aufgabenabgaben und deren Bewertungen
-* Communication between participants and the institution
+* Kommunikation zwischen Nutzer/innen und der Organisation
-* Collaboration, e.g. forum discussions
+* Kollaboration, z.B. Forumsdiskussionen
-* Instruction
+* Allgemeine Administration
-* General administration
+* Integration von Drittanbietern wie Adobe Connect
-* 3rd party integrations like Adobe Connect / Bigbluebutton
-You may also have policies related to other aspects of your site, e.g. an Academic Honesty policy.
+Es kann weitere Richtlinien für andere Bereiche Ihrer Moodle-Site geben.
-Draft the required policies and have them reviewed and signed off by your legal team
+Entwerfen Sie die nötigen Richtlinien und lassen Sie diese von Ihrer Rechtsabteilung prüfen und absegnen.
-For each one, decide if all users, logged in users or guests should be accepting them.
+Legen Sie für jede Richtlinie fest, wer sie akzeptieren muss: alle Nutzer/innen, angemeldete Nutzer/innen oder Gäste.
 ===Kategorien===
+Dokumentieren Sie die verschiedenen '''Kategorien von Daten''' auf Ihrer Moodle-Site. Diese Kategorien werden verwendet, um den Datenexport und die Datenberichte zu erstellen.
-Document the different '''categories of data''' that you have on the site. These categories will be used to organize data exports and reports. Examples might include:
+Beispiele für Kategorien können sein:
-* Administrative: Civil status, identity, identification data, images …
+* Formale Daten (Identifikationsdaten, Bilder, Ehestand, etc.)
-* Personal life (lifestyle, family situation, etc.)
+* Daten zum persönlichen Leben (Lebensstil, familiäre Situation, etc.)
-* Economic and financial information (income, financial situation, tax situation, etc.)
+* Daten zur ökonomischen und finanziellen Situation (Einkommen, finanzielle Situation, Steuerklasse, etc.)
-* Connection data (IP address, logs, etc.)
+* Verbindungsdaten (IP-Adresse, Logdaten, etc.)
-* Educational Data (Assessed Coursework, exam scripts etc)
+* Daten zum Bildungsverlauf (eingereichte Abgaben, Prüfungsmitschriften, etc.)
-* Records of Education Attainment (Results of exams, assessments, qualifications awarded etc)
+* Daten zum Ausbildungserfolg (Prüfungsergebnisse, Leistungskontrollen, Zertifikate, etc.)
-* Location data (travel, GPS data, GSM, etc.)
+* Standortdaten (Reisen, GPS-Daten, GSM, etc.)
 ===Zwecke===
+Dokumentieren Sie die verschiedenen Zwecke der Datenerfassung und Datenverarbeitung. Der Zweck beschreibt den Grund für das Speichern und Verarbeiten sowie die Aufbewahrungsfrist für die Daten. Verschiedene Arten von Daten können verschiedene Aufbewahrungsfristen haben. Z.B. kann es sein, dass Aufgabenabgaben, die im Rahmen einer Prüfung eingereicht wurden, 10 Jahre aufbewahrt werden müssen, falls die geprüfte Person Beschwerde gegen die Prüfung einlegt. Dagegen kann die Aufbewahrungsfrist für Forumsbeiträge, die im Verlauf eines Kurses erzeugt wurden, nur jeweils 1 Jahr nach Ablauf des Kurses betragen.
-Document the different '''purposes''' behind data collection and processing. The purpose provides the legal reason for storing and processing the information and the retention period for each type of data. Different types of data may need to be stored for different lengths of time. For example, student submissions to an assessment may need to be retained indefinitely to be able to provide evidence of student accomplishments, whereas general coursework such as forum posts might only be retained until graduation + 12 months.
+Es können Standardeinstellungen für Zweck und Aufbewahrungsfrist für die Daten der gesamten Moodle-Site eingestellt werden, ebenso für die Daten, die in Kursbereichen, Kursen, Aktivitäten und Blöcken oder im Kontext eines Nutzers gespeichert werden.
-A default purpose and retention period may be set for data stored by the site, as well as data stored or processed by course categories, courses, activity modules and blocks.
+===Datenschutzbeauftragter===
+Organisationen, die in erheblichem Umfang Daten regelmäßig und systematisch überwachen oder sensible personenbezogene Daten verarbeiten, sind verpflichtet, einen [[Datenschutzbeauftragter-Rolle|Datenschutzbeauftragten]] zu bestellen. Diese Person muss sicherstellen, dass die Organisation die Datenschutzgesetze einhält und ist verpflichtet, Datenpanne an die zuständige Aufsichtsbehörde zu melden.
-===Datenschutz-Beauftragter===
+Dokumentieren Sie den Namen, die E-Mail-Adresse und weitere Kontaktinformationen des Datenschutzbeauftragten.
-Organizations that are involved in regular and systematic monitoring of data on a large scale, or process sensitive personal data, are obliged to employ a [[Privacy officer role|Data Protection Officer]]. The DPO is required to keep straight internal records, to ensure the organization complies with privacy laws, and to report any data breach to the data protection authorities.
-Record the name, email and contact details of your Data Protection Officer.
 ==Spezifische Felder und Einstellungen==
+===Altersfeststellung===
+Unter "Mündigkeit" im Zusammenhang mit Datenschutz versteht man das Alter, ab dem eine Person selbst einer Datenschutzerklärung oder Richtlinie zustimmen darf. Dieses Alter variiert zwischen 13 und 16 Jahren, auch innerhalb der EU-Länder. In den USA beträgt das Mündigkeitsalter 13 Jahre. Die entsprechenden Einstellungen werden auf der Seite [[Datenschutzeinstellungen]] aktiviert und konfiguriert.
-Once the relevant data has been gathered, configure the Moodle site to implement the privacy policies.
+===Kontakt für Datenschutzanfragen===
+Wenn Sie diese [[Datenschutzeinstellungen|Datenschutzeinstellung]] konfigurieren, dann erscheint auf der Nutzerprofilseite (Link ''Profil'' im Nutzermenü rechts oben) im Bereich ''Datenschutz und Richtlinien'' ein Link ''Datenanfragen''. Dieser Link führt zu einer Seite, auf der Nutzer/innen eine [[Datenanfrage stellen]] können.
-===Configure digital age of consent===
-The digital age of consent is the age at which a data subject can legally accept data privacy agreements and policies. The digital age of consent varies in different countries throughout the EU, typically ranging from 13 to 16 years of age. The digital age of consent in the USA is 13. This feature is enabled and configured on the [[admin/setting/privacysettings|Privacy Settings]] page.
-===Enable Data Privacy Officer===
+Sie können eine neue Rolle [[Datenschutzbeauftragter-Rolle|Datenschutzbeauftragte/r]] anlegen, die solche [[Datenanfragen]] bearbeiten kann. Es ist auch möglich, eine bereits vorhandene Rolle zuzuordnen, so dass diese Rolle die nötigen Rechte eines Datenschutzbeauftragten erhält. Damit diese Zuordnung möglich ist, muss es mindestens eine Rolle geben, die das Recht hat, [[Capabilities/tool/dataprivacy:managedatarequests|Datenanfragen zu verwalten]].
-[[File:enable-map-DPO-role.png|thumb|Enable Data Privacy Officer and map role]]
-Configuring this feature will provide a link on each user's profile page and on the site's privacy policy page. The link leads to a form in which the user can make a data request to the Privacy Officer. This feature is enabled on the [[admin/setting/privacysettings|Privacy Settings]] page.
-A [[Privacy_officer_role|custom role]] can be created to allow the Data Privacy Officer to respond to requests without granting full administrative capabilities. It is also possible to map an existing role to enable data privacy officer capabilities. This role mapping is configured on the [[admin/setting/privacysettings|Privacy Settings]] page. At least one role with the capability [[Capabilities/tool/dataprivacy:managedatarequests|tool/dataprivacy:managedatarequests]] must exist for the role mapping subform to display. (If there is nobody on the site with the role of Data Protection Officer i.e. nobody with the capability to manage data requests, then a site admin can respond to data requests and manage the data registry.)
+Wenn es keine solche Rolle gibt, dann kann nur die Moodle-Administration Datenanfragen bearbeiten und die Datenregistrierung konfigurieren.
-===Enable site policy handler===
+===Richtlinieneinstellungen vornehmen===
+Um die neuen Funktionalitäten zur Verwaltung und Versionierung von Richtlinien nutzen zu können, müssen Sie die entsprechende Einstellung aktivieren. Das geschieht auf der Seite [[Richtlinieneinstellungen]].
-To enable the new features for managing and versioning of policies, the site policy handler needs to be set to “Policies (tool_policy)”. This feature is enabled and configured on the [[admin/setting/policysettings|Policy Settings]] page.
 ===Datenregistrierung einrichten===
+Sie müssen Datenkategorien und Zwecke konfigurieren, damit Datenanfragen (Export und Löschung) und Aufbewahrungsfristen sinnvoll funktionieren. Die entsprechenden Einstellungen nehmen Sie auf der Seite [[Datenregistrierung]] vor.
-Data categories and purposes must be configured in the data registry to enable data requests (exports and deletions) as well as retention periods. These are configured on the [[admin/tool/dataprivacy/dataregistry|Data registry]] page.
 ===Plugins auf Datenschutzkonformität prüfen===
+Alle Plugins, die zum Standardpaket von Moodle gehören, sind datenschutzkonform mit der DSGVO. Sie müssen sicherstellen, dass alle Zusatz-Plugins, die Sie darüber hinaus auf Ihrer Moodle-Site installiert haben, ebenfalls datenschutzkonform sind. Das können Sie auf der Seite [[Datenschutzübersicht für Plugins]] prüfen. Wenn Sie ein kritisches Plugin finden, kontaktieren Sie den Verantwortlichen für das Plugin.
-All core plugins in Moodle 3.5 and up are compliant with GDPR laws. Ensure that all third-party plugins on your site are compliant by checking the [[admin/tool/dataprivacy/pluginregistry|Plugin registry]] page. Contact the maintainer of any third-party plugins that are not yet compliant.
 ===Richtlinien anlegen===
+Legen Sie ein Richtlinien-Dokument an, siehe [[Richtlinien verwalten]]. Wenn Nutzer/innen sich zum ersten Mal in Moodle anmelden, nachdem eine Richtlinie neu angelegt oder geändert wurde, dann wird ihnen die Richtlinie angezeigt und sie müssen diese bestätigen.
-Create one '''policy''' document for each major policy your users must agree to. These are created and managed on the [[admin/tool/policy/managedocs|Manage policies]] page. When a user logs in for the first time after a policy is configured or changed, the user will be shown each policy in full and then an agreement page with a summary of each policy.
 ==Siehe auch==

Documentation