Moodle datenschutzkonform einrichten

Version vom 23. Juli 2018, 14:07 Uhr von Gisela Hillenbrand (Diskussion | Beiträge) (Kontakt für Datenschutzanfragen)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche
Wir arbeiten aktuell daran, die neuen Funktionalitäten von Moodle 3.7. zu dokumentieren.


Überblick

Moodle-Sites enthalten eine Menge an personenbezogenen Daten und sensiblen persönlichen Informationen. Diese Daten und Informationen sind in der Regel durch verschiedene Regularien und Gesetze geschützt. Werkzeuge zum Schutz personenbezogener Daten sind daher kritische Funktionalitäten von Moodle.

Software-Werkzeuge können jedoch ohne sachgerechte Konfiguration keine Datenschutzkonformität gewährleisten. Dieser Artikel beschreibt den Prozess, wie Sie Ihre Moodle-Site datenschutzkonform einrichten können.

Vorbereitung

Richtlinien

Prüfen Sie Ihre Moodle-Site, um die Bereiche zu identifizieren, die Richtlinien für die Datenverarbeitung benötigen:

  • Cookie Richtlinie
  • Allgemeine Datenschutzrichtlinie
  • Aufgabenabgaben und deren Bewertungen
  • Kommunikation zwischen Nutzer/innen und der Organisation
  • Kollaboration, z.B. Forumsdiskussionen
  • Allgemeine Administration
  • Integration von Drittanbietern wie Adobe Connect

Es kann weitere Richtlinien für andere Bereiche Ihrer Moodle-Site geben.

Entwerfen Sie die nötigen Richtlinien und lassen Sie diese von Ihrer Rechtsabteilung prüfen und absegnen.

Legen Sie für jede Richtlinie fest, wer sie akzeptieren muss: alle Nutzer/innen, angemeldete Nutzer/innen oder Gäste.

Kategorien

Dokumentieren Sie die verschiedenen Kategorien von Daten auf Ihrer Moodle-Site. Diese Kategorien werden verwendet, um den Datenexport und die Datenberichte zu erstellen.

Beispiele für Kategorien können sein:

  • Formale Daten (Identifikationsdaten, Bilder, Ehestand, etc.)
  • Daten zum persönlichen Leben (Lebensstil, familiäre Situation, etc.)
  • Daten zur ökonomischen und finanziellen Situation (Einkommen, finanzielle Situation, Steuerklasse, etc.)
  • Verbindungsdaten (IP-Adresse, Logdaten, etc.)
  • Daten zum Bildungsverlauf (eingereichte Abgaben, Prüfungsmitschriften, etc.)
  • Daten zum Ausbildungserfolg (Prüfungsergebnisse, Leistungskontrollen, Zertifikate, etc.)
  • Standortdaten (Reisen, GPS-Daten, GSM, etc.)

Zwecke

Dokumentieren Sie die verschiedenen Zwecke der Datenerfassung und Datenverarbeitung. Der Zweck beschreibt den Grund für das Speichern und Verarbeiten sowie die Aufbewahrungsfrist für die Daten. Verschiedene Arten von Daten können verschiedene Aufbewahrungsfristen haben. Z.B. kann es sein, dass Aufgabenabgaben, die im Rahmen einer Prüfung eingereicht wurden, 10 Jahre aufbewahrt werden müssen, falls die geprüfte Person Beschwerde gegen die Prüfung einlegt. Dagegen kann die Aufbewahrungsfrist für Forumsbeiträge, die im Verlauf eines Kurses erzeugt wurden, nur jeweils 1 Jahr nach Ablauf des Kurses betragen.

Es können Standardeinstellungen für Zweck und Aufbewahrungsfrist für die Daten der gesamten Moodle-Site eingestellt werden, ebenso für die Daten, die in Kursbereichen, Kursen, Aktivitäten und Blöcken oder im Kontext eines Nutzers gespeichert werden.

Datenschutzbeauftragter

Organisationen, die in erheblichem Umfang Daten regelmäßig und systematisch überwachen oder sensible personenbezogene Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Person muss sicherstellen, dass die Organisation die Datenschutzgesetze einhält und ist verpflichtet, Datenpanne an die zuständige Aufsichtsbehörde zu melden.

Dokumentieren Sie den Namen, die E-Mail-Adresse und weitere Kontaktinformationen des Datenschutzbeauftragten.

Spezifische Felder und Einstellungen

Altersfeststellung

Unter "Mündigkeit" im Zusammenhang mit Datenschutz versteht man das Alter, ab dem eine Person selbst einer Datenschutzerklärung oder Richtlinie zustimmen darf. Dieses Alter variiert zwischen 13 und 16 Jahren, auch innerhalb der EU-Länder. In den USA beträgt das Mündigkeitsalter 13 Jahre. Die entsprechenden Einstellungen werden auf der Seite Datenschutzeinstellungen aktiviert und konfiguriert.

Kontakt für Datenschutzanfragen

Wenn Sie diese Datenschutzeinstellung konfigurieren, dann erscheint auf der Nutzerprofilseite (Link Profil im Nutzermenü rechts oben) im Bereich Datenschutz und Richtlinien ein Link Datenanfragen. Dieser Link führt zu einer Seite, auf der Nutzer/innen eine Datenanfrage stellen können.

Sie können eine neue Rolle Datenschutzbeauftragte/r anlegen, die solche Datenanfragen bearbeiten kann. Es ist auch möglich, eine bereits vorhandene Rolle zuzuordnen, so dass diese Rolle die nötigen Rechte eines Datenschutzbeauftragten erhält. Damit diese Zuordnung möglich ist, muss es mindestens eine Rolle geben, die das Recht hat, Datenanfragen zu verwalten.

Wenn es keine solche Rolle gibt, dann kann nur die Moodle-Administration Datenanfragen bearbeiten und die Datenregistrierung konfigurieren.

Richtlinieneinstellungen vornehmen

Um die neuen Funktionalitäten zur Verwaltung und Versionierung von Richtlinien nutzen zu können, müssen Sie die entsprechende Einstellung aktivieren. Das geschieht auf der Seite Richtlinieneinstellungen.

Datenregistrierung einrichten

Sie müssen Datenkategorien und Zwecke konfigurieren, damit Datenanfragen (Export und Löschung) und Aufbewahrungsfristen sinnvoll funktionieren. Die entsprechenden Einstellungen nehmen Sie auf der Seite Datenregistrierung vor.

Plugins auf Datenschutzkonformität prüfen

Alle Plugins, die zum Standardpaket von Moodle gehören, sind datenschutzkonform mit der DSGVO. Sie müssen sicherstellen, dass alle Zusatz-Plugins, die Sie darüber hinaus auf Ihrer Moodle-Site installiert haben, ebenfalls datenschutzkonform sind. Das können Sie auf der Seite Datenschutzübersicht für Plugins prüfen. Wenn Sie ein kritisches Plugin finden, kontaktieren Sie den Verantwortlichen für das Plugin.

Richtlinien anlegen

Legen Sie ein Richtlinien-Dokument an, siehe Richtlinien verwalten. Wenn Nutzer/innen sich zum ersten Mal in Moodle anmelden, nachdem eine Richtlinie neu angelegt oder geändert wurde, dann wird ihnen die Richtlinie angezeigt und sie müssen diese bestätigen.

Siehe auch