Datenschutz in itslearning

Transkript

1 Datenschutz in itslearning Leitfaden für Bildungseinrichtungen, Stand 9/2011 ZUSAMMENFASSUNG itslearning GmbH Adalbertstr Berlin Tel.: Fax: itslearning GmbH 2013

2 Datenschutz in itslearning 2 Inhalt 1 Einleitung Grundlagen des Datenschutzes Gesetzliche Grundlagen Was sind personenbezogene Daten? Grundprinzipien der Datenverarbeitung Zulässigkeit der Datenverarbeitung Transparenz bei der Datenverarbeitung Zweckbindung der Datenverarbeitung Datensparsamkeit Lernplattformnutzung an Ihrer Schule Freiwillige Nutzung Einwilligungserklärung bei freiwilliger Nutzung Verpflichtende Nutzung Datenschutzerklärung bei verpflichtender Nutzung Empfehlung zur freiwilligen bzw. verpflichtenden Nutzung Altersgrenzen zur Zustimmungspflicht Verantwortliche Stelle und Auftragsdatenverarbeitung Datensicherheit in itslearning itslearning als Software as a Services (Saas) Hosting - technische Maßnahmen zur Datensicherung Technische und organisatorische Maßnahmen zur Datensicherung Personenbezogene Daten für den Betrieb der Lernplattform Erforderliche Daten Persönliche Profile Gespeicherte Daten während des Betriebs Kontakt und Ansprechpartner Über itslearning Anlage 1: Mustererklärung zur Einwilligung in die Verarbeitung personenbezogener Daten Einwilligung Anlage 2: Mustererklärung zur Information zur Verarbeitung personenbezogener Daten Bestätigung der Kenntnisnahme... 18

3 Datenschutz in itslearning 3 1 Einleitung Eine webgestützte, interaktive Lernplattform (LMS) ist ein zeitgemäßes Lernmittel, das Lehrer entlastet sowie den Informationsfluss und die Lernprozesse an Schulen unterstützt und verbessern kann. Die Vorteile des Lernplattformeinsatzes sind u.a.: Wertvolle Unterrichtszeit kann intensiver genutzt werden, Kommunikation mit den Schülern und den Eltern wird vereinfacht, Schüler arbeiten sehr selbständig, Austausch und Zusammenarbeit zwischen Lehrern und Schulen werden vereinfacht, Digitale Ressourcen sind leichter und kostengünstiger verfügbar, Kopierbudgets können um bis zu 60% reduziert werden, Administration und Hosting sind professionell abgesichert und belasten nicht die Stundendeputate der Lehrer hierzu lassen sich im Vergleich zu selbst gehosteten Lösungen enorme Kosten einsparen. itslearning fokussiert auf die Unterstützung pädagogischer Prozesse. Lehrer können sich mit itslearning auf ihren Unterricht konzentrieren, diesen vorbereiten und begleiten, Schülern Informationen bereitstellen, individuelles Lernen fördern oder sich untereinander vernetzen. Schüler können selbstständig in Projekten arbeiten, strukturierte Angebote begleitend zum Unterricht wahrnehmen oder in eportfolios und Blogs die eigenen Arbeiten für andere dokumentieren. Es stehen umfangreiche Werkzeuge zur Einbindung externer Ressourcen sowie zur Erstellung von Online-Tests zur Verfügung. Das digitale Klassenbuch bietet einen einfachen Überblick über Anwesenheitszeiten und den Leistungsstand der Schüler. Alle diese Informationen können über das itslearning-elternportal auch den Eltern zugänglich gemacht werden. itslearning bietet auch eine Integration an ein bestehendes Schulverwaltungssystem bzw. an die Nutzerverwaltung der vorhandenen IT-Ausstattung an. Dies hat den Vorteil, dass die Nutzerdaten automatisiert in itslearning angelegt und aktualisiert werden. Die Lernplattform ist webbasiert und wird als Software as a Service (SaaS) angeboten - das bedeutet für Sie, dass Sie keine lokalen Installationen und Server betreuen müssen. Der Leistungsumfang der Lernplattform itslearning ist online dokumentiert: Um die Lernplattform sinnvoll für den Unterricht zu nutzen, müssen personenbezogene Daten erhoben werden. Damit sind viele Fragen und Sorgen hinsichtlich des Datenschutzes und der - sicherheit verbunden. itslearning hat sich verpflichtet, die europäische Datenschutzrichtlinie 95/46/EC einzuhalten, welche die Grundlage für das Bundesdatenschutzgesetz und die jeweiligen Landesdatenschutzgesetze ist. Doch auch Sie als Bildungseinrichtung sind verpflichtet, auf den Schutz der Daten zu achten. Aus diesem Grunde hat itslearning auf der Basis der datenschutzrechtlichen Vorschriften diesen Datenschutzleitfaden entwickelt.

4 Datenschutz in itslearning 4 2 Grundlagen des Datenschutzes Als Lehrer müssen Sie sich in Ihrem konventionellen Unterricht sehr genau über den Leistungsstand Ihrer Schüler informieren und dazu u.a. personenbezogene Daten erfassen. Gleiches gilt beim Einsatz einer Lernplattform. Sie kann nur dann erfolgreich funktionieren, wenn hier bestimmte personenbezogene Daten der Teilnehmer erhoben werden, die beispielsweise Rückmeldungen zum Lernerfolg geben. Die bedarfsgerechte Verwendung von Lernplattformen erfordert also die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten der Teilnehmer. Grundsätzlich gilt, dass jede Schule eigenständig und in eigener Verantwortung prüfen und gewährleisten muss, dass der Einsatz von Lernplattformen rechtmäßig ist. Wir haben uns aufgrund der unterschiedlichen Rechtsgrundlagen in dem Leitfadentext darauf beschränkt, allgemeine Anhaltspunkte für die Entscheidungsfindung an Schulen zu geben. 2.1 Gesetzliche Grundlagen Die EU-Richtlinie 95/46/EC zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr setzt europaweit einheitliche Maßstäbe zum Datenschutz. Die EU-Mitgliedstaaten haben die Richtlinie jeweils in landesspezifische Gesetze umgewandelt. In Deutschland findet neben dem grundrechtlich garantierten Recht auf informationelle Selbstbestimmung insbesondere das Bundesdatenschutzgesetz (BDSG) Anwendung. Das BDSG regelt die datenschutzrechtlichen Grundlagen für Bundesbehörden und private Unternehmen. Für andere Behörden gelten dagegen die Landesdatenschutzgesetze (LDSG) des Bundeslands, in dem sie ihren Sitz haben. Eine Schule mit Sitz in Hessen muss daher das Hessische Landesdatenschutzgesetz beachten. Für Anbieter von Tele- und Mediendiensten wie beispielsweise einer webbasierten Lernplattform - sind zudem die Regelungen des Telemediengesetzes (TMG) maßgeblich. Im Schulbereich finden sich zusätzlich noch datenschutzrechtliche Spezialnormen in den jeweiligen Schulgesetzen der Länder bzw. den dazugehörigen Datenschutzverordnungen. Dort wird u.a. beschrieben, welche personenbezogenen Daten von wem für welche Zwecke erhoben, verarbeitet und genutzt werden dürfen Was sind personenbezogene Daten? Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Abs. 1 BDSG). Daten sind somit personenbezogen, wenn sie sich entweder eindeutig auf eine identifizierbare Person beziehen oder aber geeignet sind, einen Bezug zu dieser herzustellen. Personenbezogene Daten können beispielsweise der Name, die Adresse, das Geschlecht, das Alter, die Schülernummer, die Noten, Leistungsdaten oder eine IP-Adresse sein. 2.2 Grundprinzipien der Datenverarbeitung Eine verantwortungsvolle Datenverarbeitung erfordert das Einhalten einiger grundlegender Prinzipien, die kurz nachfolgend beschreiben wird.

5 Datenschutz in itslearning Zulässigkeit der Datenverarbeitung Das deutsche Datenschutzrecht erlaubt die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten, wenn eine gesetzliche Grundlage vorliegt oder eine wirksame Einwilligung der von der Datenverarbeitung etc. betroffenen Person ( Betroffener ) vorliegt Transparenz bei der Datenverarbeitung Sofern es den Betroffenen noch nicht bekannt ist, sind sie über den Umfang der Datenverarbeitung zu informieren. Die Informationspflichten treffen denjenigen, der für die Datenverarbeitung verantwortlich ist. Die Schule muss daher soweit es nicht bekannt ist - die Betroffenen informieren, welche Daten für welchen Zweck beispielsweise im Rahmen der Lernplattform von ihr erhoben werden und an wen diese gegebenenfalls weitergeben werden. Sofern die Teilnehmer ihre Einwilligung in bestimmte Datenverarbeitungen erteilen sollen, sind auch hier gewisse Informationspflichten zu beachten ( informierte Einwilligung ). Die Schule muss hier beispielsweise mitteilen, für welchen Zweck die Daten verarbeitet werden sollen, welche Folgen die Verweigerung der Einwilligung hat und wie sie widerrufen werden kann Zweckbindung der Datenverarbeitung Das deutsche Datenschutzrecht sieht eine strenge Zweckbindung vor: Daten dürfen nur für die Zwecke, für die sie erhoben wurden, verarbeitet werden. Daten, die im Rahmen einer Lernplattform für Unterrichtszwecke erhoben wurden, dürfen daher auch nur für Unterrichtszwecke genutzt werden Datensparsamkeit Um die Risiken für die Betroffenen zu reduzieren dürfen nur die Daten, die tatsächlich für die Verfolgung des jeweiligen Zwecks erforderlich sind, erhoben, verarbeitet und genutzt werden ( so viel wie nötig, so wenig wie möglich ). 2.3 Lernplattformnutzung an Ihrer Schule Schüler sind gesetzlich dazu verpflichtet, sich auf den Unterricht vorzubereiten, sich aktiv daran zu beteiligen, die erforderlichen Arbeiten anzufertigen und die Hausaufgaben zu erledigen. Dabei kann auch die Verwendung diverser Lernmittel für sie verpflichtend sein. Ob die Nutzung einer Lernplattform als besonderes Lernmedium für Schüler verpflichtend oder vielmehr freiwillig ist, entscheidet abhängig von den jeweiligen Bestimmungen der Landesschulgesetze in der Regel das zuständige Ministerium, die oberste Schulbehörde oder die Schul- bzw. Fachkonferenz. Je nachdem, ob Lernplattformen als verpflichtend oder freiwillig eingestuft werden, ergeben sich unterschiedliche Anforderungen, die von der Schule zu erfüllen sind. 2.4 Freiwillige Nutzung Erfolgt die Nutzung der Lernplattform auf freiwilliger Basis, d.h. die Nutzung der Lernplattform als Teil Ihres Unterrichts ist nicht verpflichtend, muss eine Einwilligungserklärung des Schülers bzw. der Erziehungsberechtigten in die Verarbeitung ihrer Daten eingeholt werden. Die Betroffenen müssen in diesem Fall vor der Erstanmeldung über Art, Umfang und Zweck der Erhebung, Verarbeitung und

6 Datenschutz in itslearning 6 Nutzung der personenbezogenen Daten informiert werden und sich mit diesem Umgang mit Ihren Daten einverstanden erklären ( informierte Einwilligung ). Die Schule sollte vor der Registrierung der Schüler auf der Lernplattform schriftliche, informierte Einwilligungen einholen Einwilligungserklärung bei freiwilliger Nutzung Zu Ihrer weiteren Verwendung finden Sie das Muster einer informierten Einwilligungserklärung als Anlage 1. Dieses Muster kann auf Anfrage in Ihre itslearning-seite eingebunden werden. Voraussetzung für die Erstnutzung der Lernplattform ist die Erteilung der Einwilligungserklärung durch die Betroffenen. Das Muster sollte von Ihnen ausgedruckt und von den Eltern bzw. den Schülern, welche die Lernplattform nutzen, unterzeichnet werden. Die Mustererklärung ist juristisch geprüft. Dennoch kann itslearning für deren Richtigkeit keine rechtsverbindliche Verantwortung übernehmen. 2.5 Verpflichtende Nutzung Ist die Nutzung der Lernplattform verpflichtender Bestandteil des Unterrichts, so ist in der Regel keine ausdrückliche informierte Einwilligung zu erteilen. Hier ist davon auszugehen, dass die Erhebung etc. der personenbezogenen Daten für den Unterricht erforderlich ist. Die Nutzung einer Lernplattform und der darüber zugänglichen Werkzeuge und Medien wird damit wesentlicher Bestandteil des Bildungsauftrages der Schule. Allerdings sind auch diesem Fall einige Informationspflichten gegenüber den Betroffenen zu erfüllen. Dazu ist es erforderlich, diesen eine Datenschutzerklärung zu übergeben und sich die Kenntnisnahme bestätigen zu lassen Datenschutzerklärung bei verpflichtender Nutzung Das Muster einer Datenschutzerklärung ist als Anlage 2 diesem Leitfaden beigefügt. Auf Anfrage kann diese in Ihre itslearning-seite eingebunden werden. Voraussetzung für die Erstnutzung ist die Kenntnisnahme der Datenschutzerklärung durch die Betroffenen. Sie können diese ausdrucken und sich zum Nachweis von den Betroffenen die Kenntnisnahme bestätigen lassen. Die Mustererklärung ist juristisch geprüft. Dennoch kann itslearning für deren Richtigkeit keine rechtsverbindliche Verantwortung übernehmen. 2.6 Empfehlung zur freiwilligen bzw. verpflichtenden Nutzung Sollten Sie hinsichtlich der Verwendung von Lernplattformen erst wenige Erfahrungen gesammelt haben, empfehlen wir zunächst für etwa ein Schuljahr die freiwillige Nutzung zu wählen. So können Sie für Akzeptanz werben, Vertrauen aufbauen und die Lehrer, Schüler und Eltern können sich auf das neue Medium einstellen. Während dieser Zeit sammeln Sie Erfahrungen, dokumentieren und kommunizieren diese innerhalb der Schule und gegenüber den Eltern und gegebenenfalls auch gegenüber dem Schulträger oder dem Ministerium. Binden Sie hier auch die Kollegen/innen ein, denen der Zugang zur Lernplattform schwerfällt. Da die Vorteile einer Lernplattform für Ihre Schule nur dann wirklich zum Tragen kommen, wenn alle mit ihr arbeiten, sollten Sie nach der Einführungsphase oder bei bereits vorliegenden Erfahrungen die Plattformnutzung verpflichtend machen. Hierzu gibt es in den Schulgesetzen der Bundesländer unterschiedliche Regelungen. In jedem Fall ist hierfür ein Beschluss der Schulkonferenz erforderlich.

7 Datenschutz in itslearning 7 Die Nutzung einer Lernplattform ist in der Regel über einen Medienentwicklungsplan (bzw. ein Mediennutzungskonzept) eingebunden in die Medienarbeit an Ihrer Schule. Die langfristige Einführung von Lernplattformen ist ein längerer Prozess, bei der Sie das zuständige Ministerium und ggf. auch Ihr Schulträger sicherlich unterstützt. 2.7 Altersgrenzen zur Zustimmungspflicht Das Datenschutzrecht enthält keine verbindlichen Altersgrenzen, so dass fraglich ist, wer rechtsverbindlich die Einwilligungserklärung für eine freiwillige Nutzung der Lernplattform abgeben kann bzw. die Datenschutzerklärung akzeptieren darf. in Betracht kommen insoweit die Schülerin bzw. der Schüler, der Erziehungsberechtigten oder gegebenenfalls alle. Hier muss im Einzelfall entschieden werden, ob der Betroffene einsichtsfähig und damit in der Lage ist, die Konsequenzen der Verwendung seiner Daten zu überschauen und sich verbindlich dazu äußern kann. Nur unter bestimmten Umständen kann eine solche Einwilligung durch den Elternwillen überdeckt werden. Es ist schwierig, individuell zu entscheiden, ob der Schüler tatsächlich die Situation überblickt oder nicht. Daher sollte zur Minimierung von Risiken zunächst grundsätzlich der Elternwille beachtet werden. Entsprechend gehen auch die Schulgesetze davon aus, dass die Eltern für ihr Kind mit der Schule kommunizieren und entscheiden (vgl. S.30ff. des Praxishandbuchs des Unabhängigen Zentrums für Landesdatenschutz in Schleswig-Holstein). Angesichts der Schwierigkeit der Bestimmung der individuellen Einsichtsfähigkeit der Schüler empfehlen wir, bei Schülern bis zu einem Alter von 18 Jahren vorsichtshalber die Einwilligung der Erziehungsberechtigten einzuholen bzw. deren Erklärung zur Kenntnisnahme der Datenschutzerklärung. Zusätzlich sollten ab einem Alter von 12 Jahren auch Erklärungen der Schülerin bzw. des Schülers eingeholt werden. Selbstverständlich stellen wir Ihnen unsere Erfahrungen zur Verfügung und beraten Sie gern. 2.8 Verantwortliche Stelle und Auftragsdatenverarbeitung Eigentümer der Daten ist die Schule. Die Schule beziehungsweise die Schulleitung ist die in datenschutzrechtlicher Hinsicht verantwortliche Stelle für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten ihrer Schüler im Zusammenhang mit der Nutzung der Lernplattform. Die Betroffenen wenden sich bei Fragen, Auskünften etc. direkt an die Schule beziehungsweise Schulleitung. Die itslearning AS als Betreiber der Lernplattform beziehungsweise die itslearning GmbH als Servicepartner in Deutschland stellt Ihrer Schule die Lernplattform lediglich zur Nutzung zur Verfügung und gilt dabei, indem sie die personenbezogenen Daten Ihrer Schüler beispielsweise speichert, als Auftragsdatenverarbeiterin im Sinne der jeweils einschlägigen Landesdatenschutzgesetze. Sie handelt bei der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten der Schüler ausschließlich entsprechend der Weisungen, die ihr die Schule erteilt. Der Auftrag ist gemäß den gesetzlichen Regelungen unter Festlegung des Gegenstandes und des Umfanges der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse separat im Rahmen eines Auftragsdatenverarbeitungsvertrages schriftlich zu erteilen.

8 Datenschutz in itslearning 8 3 Datensicherheit in itslearning Als Auftragsdatenverarbeiter hat itslearning eigenständige Verantwortlichkeiten in Bezug auf die existierenden Datenschutzgesetze. So muss itslearning geeignete technische und organisatorische Maßnahmen gegen die nicht autorisierte und rechtswiedrige Verarbeitung von Personendaten, gegen zufälligen Verlust oder Vernichtung oder gegen die Beschädigung der Personendaten ergreifen. 3.1 itslearning als Software as a Services (Saas) itslearning wird als Software as a Service (SaaS) angeboten. SaaS unterscheidet sich von klassischen Softwarelizenzen dadurch, dass alle anfallenden Kosten für Software, Infrastruktur und Betrieb durch eine jährliche Gebühr abgegolten sind und alle Dienste über das Internet zur Verfügung stehen. Eine lokale Installation und damit verbundene Kosten für Technik, Wartung und Administration fallen nicht an. Die SaaS-Variante, die itslearning anbietet, wird Enterprise SaaS genannt. Enterprise SaaS unterscheidet sich vom konsumentenbasierten SaaS darin, dass der Eigentum der Daten beim Kunden bleibt, Datensicherheit garantiert wird und Servicelevel Agreements /SLA) über Verfügbarkeit und Support abgeschlossen werden. Itslearning bietet daher deutlich mehr Sicherheit im Vergleich zu oft kostenlosen konsumentenbasierten SaaS-Lösungen (auch Web 2.0-Anwendungen genannt). Sollten schulinterne oder landesweite Nutzungsordnungen das Speichern personenbezogener Daten außerhalb der Schule unterbinden, empfehlen wir eine entsprechende Aktualisierung der Nutzungsordnung. Das Datenschutzrecht verlangt nicht, dass Daten lokal zu speichern sind. In der Regel erfolgt eine lokale Datenhaltung aufgrund institutioneller Erfordernisse. Da itslearning alle datenschutzrechtlichen Sicherheitsvorkehrungen als Anbieter erfüllt und Sie als Kunde jederzeit Eigentümer Ihrer Daten bleiben, besteht für eine lokale Datenhaltung keine Notwendigkeit. Beachten Sie, dass bei lokaler Datenhaltung auch der Zugang auf die Lernplattform über das Internet in der Regel technisch ausgeschlossen ist bzw. erhebliche technische Anpassungen erforderlich sind. 3.2 Hosting - technische Maßnahmen zur Datensicherung itslearning wird zentral an der Universität Oslo auf eigener Hardware gehostet und ist derzeit über NIX mit einer Kapazität von 2 GB (die bedarfsweise heraufgesetzt wird) direkt mit dem norwegischen Forschungs- und Bildungsnetzwerk UNINETT verbunden. Der Datenverkehr von UNINETT wird über NORDUnet ausgetauscht, das über eine Verbindung mit 10 GB/s und einem Fallback von 5 GB/s mit dem Forschungsnetzwerk von UNINETT verbunden ist. NORDUnet ist über Dark Fibre mit dem paneuropäischen Forschungs- und Bildungsnetzwerk GÉANT2 verbunden, was mehrere 10 GB- Verbindungen ermöglicht. JANET verfügt über eine Dark Fibre-Verbindung mit 10 GB zum paneuropäischen Forschungs- und Bildungsnetzwerk GÉANT2. Die Sicherheitsvorkehrungen im Hostingcenter entsprechen höchsten internationalen Standards. Somit sind Daten physisch vor Missbrauch gesichert. Die technischen Sicherungsmaßnahmen sind fest in die Serverumgebung der Lernplattform integriert. itslearning garantiert rund um die Uhr eine Laufzeit zu 99,7% und verpflichtet sich dazu, dass Reaktionszeiten weniger als 2 Sekunden für 99% aller Anfragen betragen. itslearning schützt die

9 Datenschutz in itslearning 9 Daten seiner Kunden und gewährleistet, dass die Dienstleistung in Übereinstimmung mit Vorschriften wie dem Datenschutzgesetz erbracht wird. itslearning garantiert auch die Sicherheit der Kundendaten. 3.3 Technische und organisatorische Maßnahmen zur Datensicherung Bei itslearning werden die technischen und organisatorischen Maßnahmen in einem internen Kontrollsystem dokumentiert, welches innerhalb der Organisation durchgeführt wird. Das umfasst u.a. die Gefahrenanalyse (Risikoabschätzung), die Vorgehensweise bei Rechtsverletzungen sowie Datenschutz- und Sicherheitsrichtlinien. Die personenbezogenen Daten der Kunden sind entsprechend den Regelungen in den Produktprinzipien streng voneinander getrennt; ein Zugriff auf kundenfremde Daten ist technisch ausgeschlossen. Der Zugang, auch der Fernzugriff auf die Daten, ist beschränkt auf befugte Mitarbeiter von itslearning, die über die nötige Ausbildung und Kompetenz verfügen. Starke Verschlüsselung, VPN und IP-Zugriffsteuerungslisten beugen dem unautorisierten Zugriff auf Personendaten zusätzlich vor. Alle Kundendaten werden sowohl vor Ort als auch extern gesichert. Sicherungskopien von bis zu sieben Versionen einer Datei werden drei Jahre lang gespeichert, nachdem sie von der Lernplattform gelöscht wurden. Des Weiteren wird den Kunden empfohlen, verstärkt SSL (verschlüsseltes HTTP) für alle Nutzerprofile in itslearning zu nutzen. Jede Nacht werden durch itslearning Backups der Rechner erstellt. Bis zu 3 Versionen jeder Datei können gespeichert werden. itslearning ist grundsätzlich ferner technisch in der Lage Dateien zu ersetzen, die bis zu 3 Jahre alt sind. Durch die norwegische Datenaufsichtsbehörde wurde eine Begutachtung der Geschäftsbereiche von itslearning gemäß der EU-Richtlinie 95/94/EC durchgeführt. Als Ergebnis dieser Überprüfung hatte die Aufsichtsbehörde keine Einwände zur Art und Weise, wie itslearning seinen Verpflichtungen als Datenverarbeiter nachkommt.

10 Datenschutz in itslearning 10 4 Personenbezogene Daten für den Betrieb der Lernplattform 4.1 Erforderliche Daten Folgende personenbezogene Daten sind für eine Arbeit in itslearning zwingend erforderlich und müssen verpflichtend in die Lernplattform eingegeben werden: Name und Vorname des Nutzers Login-Daten (Benutzername und Passwort) Zuordnung zu Klassen oder Gruppen (in itslearning Hierarchie genannt) Folgende Daten erleichtern die Arbeit und sollten (sofern verfügbar) mit erfasst werden: adresse (zum Weiterleiten interner Nachrichten und für die Passwort-Vergessen-Funktion) Schülernummer bzw. eindeutige Identifikationsnummer Die Verfügbarkeit der Schülernummer ist Voraussetzung für eine automatische Synchronisierung der Daten mit der Schulverwaltungssoftware und erleichtert den Umgang mit der Lernplattform. itslearning bietet auf Industriestandards (z.b. IMS-Enterprise) aufsetzende Lösungen für eine automatisierte Integration mit vorhandenen Verwaltungssystemen an. Itslearning stellt hierzu eine Importschnittstelle entweder für den Import von CSV-Dateien oder Webservices zur Anbindung an Schulverwaltungssysteme bereit. Diese Daten werden in der Regel nicht von den Nutzern selbst, sondern von besonders geschulten verantwortlichen Lehrern (Administratoren) eingetragen. Die Sichtbarkeit der Daten kann in den Einstellungen für jede Schule angepasst werden. Wir empfehlen als Einstellung, die Sichtbarkeit auf Nutzer einer Schule zu beschränken, so dass Lehrer die Schüler ihrer Klassen oder Schüler die Mitschüler eines Kurses sehen aber keinen Zugriff auf alle Nutzer der Lernplattform haben. Die -Adresse kann von jedem Nutzer geändert und auch gelöscht werden. Die Schülernummer wird innerhalb der Lernplattform nicht angezeigt, sie wird nur intern für die Synchronisation verwendet. Passwörter werden grundsätzlich verschlüsselt gespeichert und sind für niemanden einsehbar. 4.2 Persönliche Profile Jeder Nutzer kann freiwillig folgende Angaben eingeben bzw. ändern: adresse Persönliche Website/Homepage Kurzname für Chat Profilbild Telefonnummer und Adressangaben Geburtsdatum Beschreibung Eigenes Blog und eportfolio mit der Möglichkeit einer Veröffentlichung Diese Daten unterliegen der ausschließlichen Kontrolle der Nutzer. Wir empfehlen, die Schüler für die Eingabe und Pflege ihrer Profildaten zu sensibilisieren.

11 Datenschutz in itslearning Gespeicherte Daten während des Betriebs Über die bei der Anmeldung zwingend anzugebenden und teils vom Nutzer zusätzlich freiwillig eingegebenen Informationen hinaus werden durch die Nutzung der Lernplattform automatisch weitere personenbezogene Daten verarbeitet. Es werden Informationen gespeichert, die darüber Aufschluss geben, welchen Unterricht/Kurs/Projekt der Nutzer zu welcher Zeit ggf. mit welchen Ergebnissen besucht hat. Außerdem wird - je nach Ausgestaltung des einzelnen Lehrangebots - protokolliert, ob der Nutzer gestellte Aufgaben erledigt bzw. ob und welche Beiträge er in den angebotenen Kursen geleistet hat. Zusätzlich können Daten zur Anwesenheit in Kursen gespeichert werden. Mit dem Werkzeug Beurteilungen können Ergebnisse von bewerteten Aufgaben und Tests gespeichert werden. Diese protokollierten Daten sind bezogen auf den Kontext eines Kurses oder einer Aktivität. Sie sind der Leitung der jeweiligen Lehrveranstaltung/Lehrgangs und dem Nutzer zugänglich sowie eingeschränkt dem Administrator der Lernplattform, nicht jedoch (von Daten im Zusammenhang mit Gemeinschaftsaufgaben, Workshops und Foren abgesehen) anderen Nutzern. Daten zum Leistungsstand und Bewertungen sind grundsätzlich nur für den Nutzer selbst und für den betreuenden Lehrer einsehbar. Sie werden darüber hinaus nicht an Dritte (andere Personen als das zuständige Schulpersonal und ggf. die Datenschutzaufsichtsbehörden) übermittelt. Die Nutzung entspricht daher der Nutzung von Daten in einer herkömmlichen vis-à-vis-lehrveranstaltung. Diese Daten können in einer Statusübersicht von jedem Nutzer selbst eingesehen werden. Da sie immer auf konkrete Aufgabenstellungen bezogen sind, sind diese Daten keine Nutzerprofile, sondern als Status- bzw. Ergebnisübersicht oder Berichte Teil der Leistungsdokumentation. Darüber hinaus werden sogenannte cookies nach dem Login auf dem Rechner lokal gespeichert. Sie dienen der Optimierung des Zugriffs, indem beispielsweise die Login-Seite der Schule oder Standardeinstellungen der Seite gespeichert werden. Login-Daten und persönliche Profildaten werden nicht in cookies gespeichert. Cookies werden nicht verwendet, um Nutzeraktivitäten zu protokollieren oder zu überwachen. Alle gespeicherten cookies können jederzeit vom Nutzer durch einen auf der Login-Seite angebrachten Link vollständig gelöscht werden.

12 Datenschutz in itslearning 12 5 Kontakt und Ansprechpartner Für weitere Fragen und persönliche Beratung können Sie sich gern an uns wenden, wir helfen gerne weiter. Fragen zum datensicheren Betrieb von itslearning beantwortet Jens Neumann, Service- und Supportmanager jens.neumann@itslearning.com Tel.: Organisatorische und vertragliche Fragen zum Datenschutz beantwortet Christian Grune, Geschäftsführer christian.grune@itslearning.com Tel.: Über itslearning Optimiert für Lehrer und ihren Unterricht ist itslearning die einfache und sichere, webbasierte Lernplattform. Sie wird von Millionen Lehrern, Schülern, Studenten, Administratoren und Eltern weltweit genutzt. Eingesetzt in allen Bildungseinrichtungen, von der Grundschule bis zur Universität, hilft sie Lehrern, Bildungsprozesse inspirierender und wertvoller für heutige Schüler zu gestalten. Wir bei itslearning wissen, worauf es in Schulen und Hochschulen ankommt. Mehr als 20% unserer Mitarbeiter sind selbst Pädagogen. Im Austausch mit unseren Nutzern lernen wir vor Ort ständig dazu, um unsere Plattform zu verbessern. itslearning bietet Komplettlösungen, von Einführungsschulungen bis hin zur vollständigen Implementierung. Das Unternehmen wurde 1999 gegründet. Hauptsitz der Firma ist Bergen, Norwegen. Weitere Büros gibt es in Berlin, London, Birmingham, Paris, Mulhouse, Malmö, Enschede und Boston. Itslearning Geschäftsstelle itslearning GmbH Adalbertstr Berlin Tel.: Fax:

13 Datenschutz in itslearning 13 Anlage 1: Mustererklärung zur Einwilligung in die Verarbeitung personenbezogener Daten [Schulname] (nachfolgend: Schule ), [Ort] für: itslearning GmbH Adalbertstr Berlin Tel.: Fax: [Vorname] [Nachname] itslearning GmbH 2013 [Alter/Schuljahr/Klasse] Wir nutzen an unserer Schule die Lernplattform itslearning zur Unterstützung des Unterrichts und zur Kommunikation innerhalb der Schule. Weitere Informationen finden Sie:... Die Nutzung der Lernplattform ist freiwillig, wird jedoch empfohlen. Für die Einrichtung eines persönlichen Zugangs zu der itslearning-lernplattform ist die elektronische Speicherung folgender personenbezogenen Daten zwingend erforderlich, um Deine/Ihre Teilnahme bzw. die Teilnahme Ihrer Tochter/Ihres Sohnes (nachfolgend: Nutzer ) auf dieser Plattform zu ermöglichen: Name und Vorname Login-Daten (Benutzername und Passwort) Schuljahr/Zuordnung zu Gruppen Im Falle einer Synchronisation mit einer an der Schule vorhandenen Schulverwaltungssoftware werden folgende Daten zusätzlich gespeichert: Schülernummer bzw. eindeutige Identifikationsnummer Darüber hinaus kann jeder Nutzer auf freiwilliger Basis in seinem persönlichen Profil weitere persönliche Daten eingeben. Insbesondere die Angabe der adresse wird empfohlen, um beispielsweise ein vergessenes Passwort selbst neu setzen zu können.

14 Datenschutz in itslearning 14 Über die bei der Anmeldung zwingend anzugebenden und teils vom Nutzer zusätzlich freiwillig eingegebenen Informationen hinaus werden bei der Nutzung der Lernplattform weitere personenbezogene Daten verarbeitet. Es werden Informationen gespeichert, die darüber Aufschluss geben, welchen Unterricht/Kurs/Workshop der Nutzer zu welcher Zeit ggf. mit welchen Ergebnissen besucht hat. Außerdem wird - je nach Ausgestaltung des einzelnen Lehrangebots - protokolliert, ob der Nutzer gestellte Aufgaben erledigt bzw. ob und welche Beiträge er in den angebotenen Kursen geleistet hat. Zusätzlich können Daten zur Anwesenheit von Kursen sowie Ergebnisse etwa von bewerteten Aufgaben und Tests gespeichert werden. Diese protokollierten Daten sind bezogen auf den Kontext eines Kurses oder einer Aktivität. Sie sind der Leitung der jeweiligen Lehrveranstaltung/Lehrgangs und dem Nutzer zugänglich sowie eingeschränkt dem Administrator der Plattform, nicht jedoch (von Daten im Zusammenhang mit Gemeinschaftsaufgaben, Workshops und Foren abgesehen) anderen Nutzern. Daten zum Leistungsstand und Bewertungen sind grundsätzlich nur für den Nutzer selbst und für den betreuenden Lehrer einsehbar. Sie werden darüber hinaus nicht an Dritte (andere Personen als das zuständige Schulpersonal und ggf. die Datenschutzaufsichtsbehörden) übermittelt. Die Nutzung entspricht daher der Nutzung von Daten in einer herkömmlichen vis-à-vis-lehrveranstaltung. Diese Daten können in einer Statusübersicht von jedem Nutzer selbst eingesehen werden. Da sie immer auf konkrete Aufgabenstellungen bezogen sind, sind diese Daten keine Nutzerprofile, sondern als Status- bzw. Ergebnisübersicht oder Berichte Teil des webgestützten Unterrichts. Darüber hinaus werden sogenannte cookies nach dem Login auf dem Rechner lokal gespeichert. Sie dienen der Optimierung des Zugriffs, indem beispielsweise die Login-Seite der Schule oder Standardeinstellungen der Seite gespeichert werden. Login-Daten und persönliche Profildaten werden nicht in cookies gespeichert. Cookies werden nicht verwendet, um Nutzeraktivitäten zu protokollieren oder zu überwachen. Alle gespeicherten cookies können jederzeit vom Nutzer durch einen auf der Login-Seite angebrachten Link vollständig gelöscht werden. Die itslearning AS bzw. die itslearning GmbH als Anbieter der Lernplattform wird bei der Verarbeitung der oben genannten personenbezogenen Daten im Auftrag der Schule als sogenannter Auftragsdatenverarbeiterin im Sinne des jeweils anwendbaren Landesdatenschutzgesetzes tätig. Sie verarbeitet die Daten ausschließlich im Rahmen der Weisungen der Schule. Die Schule ist Eigentümerin der Daten, bleibt für die Einhaltung der einschlägigen Datenschutzvorschriften verantwortlich und ist Ansprechpartner für die Nutzer.

15 Datenschutz in itslearning 15 Einwilligung Erfolgt die Nutzung der Lernplattform auf freiwilliger Basis, d.h. die Nutzung der Lernplattform ist nicht zwingender Bestandteil des Unterrichts, ist es in datenschutzrechtlicher Hinsicht erforderlich, dass der Nutzer in die Erhebung, Verarbeitung und Nutzung seiner Daten einwilligt. Sollte der Nutzer noch nicht 18 Jahre alt sein, wird zudem die Einwilligung der Erziehungsberechtigten benötigt. Vor der Registrierung und Nutzung der Lernplattform ist es erforderlich, dass Du/Sie in Kenntnis dieser Erläuterungen Deine/Ihre Einwilligung in die oben beschriebenen Datenerhebung, - verarbeitung und Nutzung erteilst/erteilen. Diese Einwilligung kann jederzeit widerrufen werden. Ausreichend ist eine kurze Erklärung an die Administration der Lernplattform. Diese ist unter folgender Adresse bzw. [Ansprechpartner der Schule] erreichbar. Aus der Verweigerung der Einwilligung oder dem Widerruf entstehen Ihnen keinerlei Nachteile. Ich bin über 18 Jahre alt und willige in die oben beschriebenen Datenverarbeitungsprozesse ein. Ich bin über 12 und unter 18 Jahre alt und willige in die oben beschriebenen Datenverarbeitungsprozesse ein. [Ort, Datum] [Unterschrift ] Unser(e)/Mein(e) Sohn/Tochter ist unter 18 Jahre alt und wir/ich willige(n) in die oben beschriebenen Datenverarbeitungsprozesse ein. [Ort, Datum] [Unterschrift des Erziehungsberechtigten zu 1] [Ort, Datum] [Unterschrift des Erziehungsberechtigten zu 2 ]

16 Datenschutz in itslearning 16 Anlage 2: Mustererklärung zur Information zur Verarbeitung personenbezogener Daten [Schulname] (nachfolgend: Schule ), [Ort] für: [Vorname] [Nachname] [Alter/Schuljahr/Klasse] Unsere Schule hat sich für itslearning als verpflichtende Lernplattform zur Unterstützung des Unterrichts und für die Kommunikation entschieden. Weitere Informationen finden Sie... Die Nutzung der Lernplattform ist verpflichtend. Für die Einrichtung eines persönlichen Zugangs zu der itslearning Lernplattform ist die elektronische Speicherung folgender personenbezogenen Daten zwingend erforderlich, um Deine/Ihre Teilnahme bzw. die Teilnahme Ihrer Tochter/Ihres Sohnes (nachfolgend: Nutzer ) auf dieser Lernplattform zu ermöglichen: Name und Vorname Login-Daten (Benutzername und Passwort) Schuljahr/Zuordnung zu Gruppen Im Falle einer Synchronisation mit einer an der Schule vorhandenen Schulverwaltungssoftware werden folgende Daten zusätzlich gespeichert: Schülernummer bzw. eindeutige Identifikationsnummer Darüber hinaus kann jeder Nutzer auf freiwilliger Basis in seinem persönlichen Profil weitere persönliche Daten erfassen. Insbesondere die Angabe der adresse wird empfohlen, um beispielsweise ein vergessenes Passwort selbst neu setzen zu können. Über die bei der Anmeldung zwingend anzugebenden und teils vom Nutzer zusätzlich freiwillig eingegebenen Informationen hinaus werden bei der Nutzung der Lernplattform weitere personenbezogene Daten verarbeitet. Es werden Informationen gespeichert, die darüber Aufschluss geben, welchen Unterricht/Kurs/Workshop der Nutzer zu welcher Zeit ggf. mit welchen Ergebnissen besucht hat. Außerdem wird - je nach Ausgestaltung des einzelnen Lehrangebots - protokolliert, ob der Nutzer gestellte Aufgaben erledigt bzw. ob und welche Beiträge er in den angebotenen Kursen

17 Datenschutz in itslearning 17 geleistet hat. Zusätzlich können Daten zu (entschuldigten) Abwesenheiten von Kursen gespeichert werden. Im digitalen Klassenbuch (gradebook) können Ergebnisse von bewerteten Aufgaben und Tests gespeichert werden. Diese protokollierten Daten sind bezogen auf den Kontext eines Kurses oder einer Aktivität. Sie sind der Leitung der jeweiligen Lehrveranstaltung/Lehrgangs und dem Nutzer zugänglich sowie eingeschränkt dem Administrator der Lernplattform, nicht jedoch (von Daten im Zusammenhang mit Gemeinschaftsaufgaben, Workshops und Foren abgesehen) anderen Nutzern. Daten zum Leistungsstand und Bewertungen sind grundsätzlich nur für den Nutzer selbst und für den betreuenden Lehrer einsehbar. Sie werden darüber hinaus nicht an Dritte (andere Personen als das zuständige Schulpersonal und ggf. die Datenschutzaufsichtsbehörden) übermittelt. Die Nutzung entspricht daher der Nutzung von Daten in einer herkömmlichen vis-à-vis-lehrveranstaltung. Diese Daten können in einer Statusübersicht von jedem Nutzer selbst eingesehen werden. Da sie immer auf konkrete Aufgabenstellungen bezogen sind, sind diese Daten keine Nutzerprofile, sondern als Status- bzw. Ergebnisübersicht oder Berichte Teil des webgestützten Unterrichts. Darüber hinaus werden sogenannte cookies nach dem Login auf dem Rechner lokal gespeichert. Sie dienen der Optimierung des Zugriffs, indem beispielsweise die Login-Seite der Schule oder Standardeinstellungen der Seite gespeichert werden. Login-Daten und persönliche Profildaten werden nicht in cookies gespeichert. Cookies werden nicht verwendet, um Nutzeraktivitäten zu protokollieren oder zu überwachen. Alle gespeicherten cookies können jederzeit vom Nutzer durch einen auf der Login-Seite angebrachten Link vollständig gelöscht werden. Die itslearning AS bzw. die itslearning GmbH als Anbieter der Lernplattform wird bei der Verarbeitung der oben genannten personenbezogenen Daten im Auftrag der Schule als sogenannte Auftragsdatenverarbeiterin im Sinne des jeweils anwendbaren Landesdatenschutzgesetzes tätig. Sie verarbeitet die Daten ausschließlich im Rahmen der Weisungen der Schule. Die Schule ist Eigentümerin der Daten, bleibt für die Einhaltung der einschlägigen Datenschutzvorschriften verantwortlich und ist Ansprechpartner für die Nutzer.

18 Datenschutz in itslearning 18 Bestätigung der Kenntnisnahme Vor der Registrierung und Nutzung der Lernplattform ist es erforderlich, dass Du/Sie die Kenntnisnahme dieser Erläuterungen bestätigen. Ich bin über 18 Jahre alt und bestätige die Kenntnisnahme. Ich bin über 12 und unter 18 Jahre alt und bestätige die Kenntnisnahme. [Ort, Datum] [Unterschrift ] Unser(e)/Mein(e) Sohn/Tochter ist unter 18 Jahre alt und wir/ich bestätige die Kenntnisnahme. [Ort, Datum] [Unterschrift des Erziehungsberechtigten] [Ort, Datum] [Unterschrift des Erziehungsberechtigten zu 2 ]