Seite 1 von 4

RBZ Technik Kiel

Geschwister-Scholl-Straße 9

24143 Kiel

Hinweise zur Datenverarbeitung im Rahmen der Nutzung des

Lernmanagementsystems (LMS) „Moodle“

und

Informationen zum Datenschutz gemäß Artikel 13 der Verordnung

(EU) 2016/679 (EU-DSGVO)

Verantwortliche Stelle – behördlicher Datenschutzbeauftragter

Verantwortlich für die Verarbeitung der Daten im Rahmen der Nutzung der Schul-

Instanz des LMS ist folgende Stelle:

RBZ Technik Kiel

Geschwister-Scholl-Straße 9

24143 Kiel

Den Datenschutzbeauftragen für die öffentlichen Schulen erreichen Sie unter:

DatenschutzbeauftragterSchule@bimi.landsh.de, Telefon: 0431/ 988-2452

Zweck und Rechtsgrundlage der Verarbeitung

Die Daten werden zum Zweck (Art. 30 Abs. 1 S. 2 lit b DSGVO) der Bereitstellung

und Nutzung eines Lernmanagementsystems (LMS) zum Zugriff auf

Unterrichtsmedien, Bereitstellung von Selbstlernaufgaben, Unterrichtsunterstützung

usw. verarbeitet.

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch die

Schule sind §§ 30, 4, SchulG sowie § 4 der Landesverordnung über die Verarbeitung

personenbezogener Daten an öffentlichen Schulen (SchulDSVO) i. v. m. Art. 6 Abs.

1 Buchst. e DSGVO. Gemäß § 4 SchulDSVO können Schulen die Daten der

betroffenen Personen für die Verwaltungs- und im Rahmen ihrer pädagogisch-

didaktischen Tätigkeit verarbeiten. Die Verarbeitung im Rahmen der

Auftragsverarbeitung ist nach Maßgabe des § 12 SchulDSVO zulässig.

Die Verarbeitung von Daten über den integrierten Videokonferenzdienst erfolgt auf

Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Eine Nichteinwilligung darf nicht

zu einer Benachteiligung der betroffenen Person führen.

Schutz vor unbefugtem Zugriff

Jedes Benutzerkonto des LMS ist gemäß den Vorgaben der Nutzungsordnung durch

ein Passwort gegen Missbrauch – wie beispielsweise die Einsichtnahme und

Nutzung durch unbefugte Dritte – geschützt. Eine Weitergabe des Passworts ist

unzulässig.

Konten mit Administrationsrechten werden zusätzlich durch einen zweiten Faktor

geschützt. Administrationsrechte dürfen keinesfalls dazu verwendet werden, sich

ohne Erfordernis Zugang zu persönlichen Konten bzw. persönlichen Daten zu

Seite 1 von 4

Seite 2 von 4

verschaffen (siehe „Protokollierung“ – gesetzlich geregeltes Vorgehen im Fall von

Verstößen).

Datenverarbeitung (personen- und nutzungsbezogene Daten)

Für die pädagogisch-didaktische Nutzung des LMS dürfen zu Verwaltungszwecken

ausschließlich Name, E-Mail-Adresse und die Zugehörigkeit zu einer bestimmten

Klasse oder Lerngruppe sind die personenbezogenen Daten der Schülerin bzw. des

Schülers verarbeitet werden (siehe § 11 Abs. 4 SchulDSVO).

Im Rahmen der pädagogisch-didaktischen Nutzung erfolgt zusätzlich die

Verarbeitung von nutzungsbezogenen Daten wie bspw. hochgeladene Dokumente in

Kursen, Textbeiträge in Chats, Nachrichten und Kalendern, Teilnahme an

Videokonferenzen sowie Aktivitäten im System (siehe „Protokollierung“).

Empfänger der Daten

Intern Zugriffsberechtigte:

Schülerinnen und Schüler (SuS) auf eigene Daten

SuS auf Kommunikationsdaten mit anderen SuS/ Lehrkräften

Lehrkräfte (LK) auf eigene Daten

LK auf Daten der unterrichteten SuS

Schulleitung/ Administration auf alle Benutzerdaten

SuS auf Namen der SuS der eigenen Lerngruppe

LK auf Namen der unterrichteten SuS, LK der eigenen Schule und LK aus

Arbeitsgruppen

Videokonferenz-Gäste (Eltern, Mitarbeitende der Schule) auf die

entsprechend temporär entstehenden Kommunikationsdaten

Extern Zugriffsberechtigte:

oncampus GmbH und dessen Unterauftragsverarbeiter (insbesondere

Moodle) im Rahmen der Auftragsverarbeitung zur technischen Bereitstellung

und zum Betrieb der Lernplattform

Kommunikationsdaten

Das LMS wird allein für den Austausch von Informationen im schulischen

Zusammenhang bereitgestellt. Die Schule ist damit kein Anbieter von

Telekommunikation im Sinne von § 3 Nr. 1 Telekommunikationsgesetz. Ein

Rechtsanspruch der Nutzenden auf den Schutz der Kommunikationsdaten im Netz

besteht gegenüber der Schule somit grundsätzlich nicht. Die Schule ist berechtigt, im

Falle von konkreten Verdachtsmomenten von missbräuchlicher oder strafrechtlich

relevanter Nutzung des Systems – und ausschließlich in diesem Falle – die Inhalte

von Nachrichten zur Kenntnis zu nehmen. Die betroffenen Nutzenden werden

hierüber unverzüglich informiert.

Protokollierung

Im Rahmen der Nutzung des LMS werden Logins bzw. Zugriffe durch Nutzende (mit

Datum und Uhrzeit der letzten Anmeldung) automatisiert protokolliert.

Diese Protokolle dienen der Sicherstellung des ordnungsgemäßen Betriebs und

Nutzung des Systems. Zur Gefahrenabwehr werden diese Zugriffsprotokolle

gespeichert und nach maximal sechs Monaten automatisiert gelöscht.

Im Fall des Verdachts der unzulässigen Nutzung des LMS, insbesondere im Fall des

Verdachts auf Straftaten oder Ordnungswidrigkeiten hat die Schulleitung an erster

Seite 2 von 4

Seite 3 von 4

Stelle zu prüfen, ob die Strafverfolgungsbehörden einzuschalten sind. Die

Schulleitung entscheidet im jeweiligen Einzelfall zudem – ggf. in Absprache mit den

Strafverfolgungsbehörden -, ob und welche Maßnahmen zur Aufklärung des

Vorgangs ergriffen werden (wie bspw. Auswertung der System-Protokolldaten,

Auswertung der im Zusammenhang mit der Internetnutzung entstandenen

Protokolldaten).

Sollten die Protokolldaten im Verdachtsfall und zum Nachweis unzulässiger

Aktivitäten (bspw. Mobbing) an der Schule ausgewertet werden, ist die Schulleitung

für eine ordnungsgemäße Einsicht und Auswertung mindestens nach dem Vier-

Augen-Prinzip verantwortlich.

Speicherdauer und Löschfristen

Nutzende haben die Möglichkeit, jederzeit selbst Dokumente aus der persönlichen

Dateiablage zu löschen. Eigene Dokumente, die zur Nutzung im LMS erhalten

bleiben sollen, sind aufgrund der zentralen Speicherung über die Dateiablage der

Schule verfügbar.

Ein Benutzerkonto – inklusive aller zugehöriger Daten und Dateien – wird am Ende

der Schul- oder Dienstzeit bzw. bei Wegzug aus dem Bundesland Schleswig-

Holstein, spätestens aber nach einem Jahr Inaktivität des Benutzerkontos gelöscht.

Die Nutzenden haben vor der Löschung selbst dafür Sorge zu tragen, eigenständig

eingestellte Daten und Dateien aus der persönlichen Dateiablage durch Download

für eine mögliche weitere Nutzung zu sichern (Backup).

Darüber hinaus gelten die in der Landesverordnung über die Verarbeitung

personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung –

SchulDSVO) in den §§ 10,15 festgelegten Löschfristen. Alle anderen

personenbezogenen Daten werden unverzüglich gelöscht, sofern sie für die Zwecke,

für die sie erhoben oder auf sonstige Weise verarbeitet werden, nicht mehr

erforderlich sind (§ 10 Abs. 1 Satz 6). Das Löschkonzept der Schule legt die

Verantwortlichkeiten und die Löschfristen im System fest.

Hinsichtlich der im Auftrag verarbeiteten Daten gilt die im

Auftragsverarbeitungsvertrag festgelegte Löschung: Die Daten beim Auftragnehmer

werden nach Artikel 28 Abs. 3 Buchstabe e spätestens mit Beendigung der

Auftragsverarbeitung gelöscht. Sicherungsdateien können noch bis zu 6 Monate über

das Vertragsende hinaus Daten enthalten.

Die Speicherung bzw. Löschung folgender personenbezogene Daten basiert zudem

auf folgenden Regelungen:

Log-Dateien (sogenannte Protokolle; vom Server protokolliert, z.B. IP-

Adresse, Betriebssystem und Browser des Rechners, Art der Zugriffe) sind

erforderlich für die Sicherstellung der Betriebsbereitschaft und Sicherheit, wie

bspw. auch für das frühzeitige Erkennen von möglichen Angriffen auf das

System. Darüber hinaus werden Teile dieser Daten verwendet, um

Darstellung und Funktionen des LMS korrekt an die Endgeräte der Nutzenden

auszuliefern.

Alternativ: Darüber hinaus werden Teile dieser Daten verwendet, um

Darstellung und Funktionen des LMS korrekt an die Endgeräte der Nutzenden

auszuliefern.

Seite 3 von 4

Seite 4 von 4

Die Verarbeitung nutzungsbezogener Daten (Pädagogische Prozessdaten;

schülerbezogene Ergebnisse von Tests, bearbeitete Aufgaben usw.) sind für

die Erfüllung des Zwecks der unterrichtlichen Nutzung des Lernmanagements

erforderlich. Die Daten dieser Kategorie werden seitens der Schule in der

Regel am Ende eines jeden Schuljahres gelöscht. In begründeten

Ausnahmefällen ist das Ausweiten der Löschfrist zur

schuljahresübergreifenden Verwendung von Dateien möglich. Darüber

entscheidet letztendlich die Schulleitung und weist die zuständige Schul-

Administration entsprechend an. Ausnahmefälle sind dementsprechend

frühzeitig bei der Schulleitung zu melden.

Die Verarbeitung (insbesondere Speicherung) von Klassenbuch- oder

Notizbuchaufzeichnungen (§ 13 SchulDSVO) ist unzulässig.

Betroffenenrechte

Zu der Verarbeitung der Daten besteht bei Vorliegen der erforderlichen

Voraussetzungen jeweils das Recht auf Auskunft, Berichtigung, Löschung,

Einschränkung der Verarbeitung und ggf. auf Datenübertragbarkeit gemäß den

Artikeln 15 bis 18 und 20 der Verordnung (EU) 2016/679 (EU-DSGVO). Außerdem

hat eine betroffene Person nach Artikel 22 das Recht, aus Gründen, die sich aus

ihrer besonderen Situation ergeben, gegen die Verarbeitung sie betreffender

personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 lit e erfolgt,

Widerspruch einzulegen.

Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden

personenbezogenen Daten rechtswidrig ist, besteht das Recht auf Beschwerde bei

der Landesbeauftragten für Datenschutz Schleswig-Holstein, Holstenstraße 98,

24103 Kiel, E-Mail: mail@datenschutzzentrum.de, Tel.: 0431 988 1200.

Seite 4 von 4