Datenschutzerklärung für die Prüfungsplattform Moodle der FernUniversität in Hagen


Stand 06.11.2024

1. Name und Anschrift des Verantwortlichen

Die Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und der jeweils einschlägigen nationalen Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen („Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“) ist die

FernUniversität in Hagen
Universitätsstraße 47
58097 Hagen

Körperschaft des Öffentlichen Rechts
vertreten durch
die Rektorin Prof. Dr. Ada Pellert
Tel.: 02331 987 - 2400
E-Mail: rektorin@fernuni-hagen.de

2. Kontaktdaten der/des Datenschutzbeauftragten

FernUniversität in Hagen
Datenschutzbeauftragter
Universitätsstraße 47
58097 Hagen
Tel.: 02331 987 – 2511
E-Mail: datenschutzbeauftragter@fernuni-hagen.de

3. Allgemeines zur Datenverarbeitung

Datenverarbeitungsvorgänge umfassen das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermitteln und Löschen von personenbezogenen oder personenbeziehbaren Daten.

Personenbezogene oder personenbeziehbare Daten (nachfolgend kurz: personenbezogene Daten) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer Identität sind.

Die FernUniversität in Hagen als Körperschaft des Öffentlichen Rechts verarbeitet personenbezogene Daten auf Grundlage DSGVO sowie der einschlägigen nationalen Datenschutzgesetze und -bestimmungen der Bundesrepublik Deutschland und des Landes Nordrhein-Westfalen, die ergänzend oder nachrangig zu den Vorschriften der Europäischen Union Anwendung finden. Dies ist nach seinem Inkrafttreten insbesondere das Datenschutzgesetz des Landes Nordrhein-Westfalen in seiner an die DSGVO angepassten Fassung.

Der Zweck, Umfang und die Dauer unserer Datenverarbeitungsvorgänge richten sich in den meisten Fällen nach dem gesetzlichen Auftrag der Hochschule gemäß § 3 Hochschulgesetz NRW und der damit in Verbindung stehenden Rechtsnormen.
(Rechtsgrundlage Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 3 (Aufgaben) und weiteren Vorschriften für Hochschulen im HG NRW.)

Dieser Auftrag umfasst insbesondere die Pflege und Entwicklung der Wissenschaften durch Forschung, Lehre, Studium, wissenschaftlicher Nachwuchsförderung und Wissenstransfer unter Berücksichtigung der sozialen und demokratischen Verantwortung. Besonderes Einsatzgebiet der FernUniversität in Hagen ist die Förderung und Entwicklung des Fernstudiums.

Des Weiteren unterliegt die Hochschule bei der Erfüllung ihres Auftrags diversen gesetzlichen Verpflichtungen (z.B. des Finanzrechts), die eine Verarbeitung von personenbezogenen Daten erforderlich machen.

In Erfüllung ihrer Aufgaben ist die FernUniversität außerdem verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Auch diese Maßnahmen können die Verarbeitung von personenbezogenen Daten bedingen.

Weitere Informationen zu den Datenverarbeitungsvorgängen finden Sie in den zentralen Ordnungen und Regularien der Hochschule (z.B. der Zulassungs- und Einschreibungsordnung) sowie in den Nutzungshinweisen zu den einzelnen Anwendungen.
Darüber hinaus kann eine Datenverarbeitung erfolgen, sofern Sie hierzu Ihre explizite, jederzeit widerrufbare Einwilligung erteilt haben.

(Rechtsgrundlage Art. 6 Abs. 1 lit. a) DSGVO

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene*r i.S.d. DSGVO. Rechte, die Ihnen als Betroffene*r gegenüber der FernUniversität zustehen, finden Sie unter Punkt 9, dem letzten Abschnitt dieser Erklärung.

Die Daten können, basierend auf Art. 6, Abs. 1, lit. e DSGVO, sowie Art. 89 DSGVO in Verbindung mit § 17 DSG NRW auch für wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die FernUniversität in Hagen sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß §17 Abs. 2 DSG NRW vor. Die Daten werden gemäß §17, Abs. 3 DSG NRW anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Die Daten werden gelöscht, sobald der Forschung- oder Statistikzweck dies erlaubt. Eine Nutzung sowie die Kenntnisnahme der in der Lehr-/Lernumgebung enthaltenen Daten durch Dritte ist nur in pseudonymisierter Form im Rahmen von Kooperationsprojekten mit der FernUniversität möglich. Im Übrigen gelten die Voraussetzungen des § 17 DSG NRW.

Hinweis:
Die FernUniversität ist als Hochschule dezentral in Fachbereichen bzw. Fakultäten organisiert und verfügt neben der Hochschulverwaltung über wissenschaftliche Einrichtungen und Betriebseinheiten. Die dezentrale Organisation spiegelt sich auch im Aufbau der IT-Systemlandschaft und den Websites wieder. Um Ihnen dennoch einen möglichst einheitlichen Überblick über die Datenverarbeitungsvorgänge zu ermöglichen, bildet diese Datenschutzerklärung den übergeordneten, verbindlichen Rahmen. Dort, wo Websites oder IT-Anwendungen eine zulässige weitere oder ergänzende Datenverarbeitung vorsehen, werden Sie auf der Seite selbst informiert.

4. Datenverarbeitungsvorgänge in Moodle

Moodle (Modular Object-Oriented Dynamic Learning Environment) ist ein Open Source Softwarepaket zur Unterstützung der Lehre. Damit ist ein webbasierter Zugriff auf modul- oder kursbezogene Lernumgebungen möglich. Eine Installation/Bereitstellung einer Version von Moodle auf einem Server wird im Folgenden Moodle-Instanz genannt.
Diese Datenschutzhinweise beziehen sich auf die Moodle-Instanz, die unter https://moodle-pruefungen.fernuni-hagen.de/ zu erreichen ist.
Die Systemumgebung beinhaltet jeweils eigens für die Moodle-Instanz eingerichtete Datenbanken mit den Kurs- und Nutzerdaten und ebenfalls eigens eingerichteten Web-Servern, auf denen neben dem Programmcode von Moodle auch die von Nutzenden hochgeladenen Dateien abgelegt werden. Zugriff auf diese IT-Basis haben ausschließlich die Systemadministrator*innen im ZDI. Für die Nutzenden der Moodle-Instanzen ohne Administrationsrechte sind die Daten nur webbasiert über die Funktionen in Moodle zugänglich.

Bei jedem Aufruf der Prüfungsplattform Moodle werden automatisiert folgende Daten und Informationen vom aufrufenden Endgerät erfasst:

  • Informationen über den Browsertyp und die verwendete Version
  • Betriebssystem des verwendeten Endgeräts
  • Internet-Service-Provider der nutzenden Person
  • IP-Adresse des verwendeten Endgeräts
  • Name, URL und übertragene Datenmenge der abgerufenen Datei
  • HTTP-Statuscode (angeforderte Datei übertragen, nicht gefunden etc.)
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das verwendete System auf die Internetseite gelangt
  • Websites, die vom verwendeten System über die Website aufgerufen werden
4.1 Nutzendenprofile in Moodle

Der Zugang zur Moodle-Instanz https://moodle-pruefungen.fernuni-hagen.de/ wird ausschließlich Mitgliedern und Angehörigen der FernUniversität mit einer gültigen Eintragung in das zentrale Nutzendenverzeichnis (LDAP) eröffnet.
Ungültige Nutzendenprofile werden in regelmäßigen Abständen (mindestens 1x pro Semester) automatisch gelöscht. Auf Nachfrage ist in diesen Fällen auch eine sofortige Löschung möglich.
Nutzendenprofile Studierender werden gemäß der Aufbewahrungsordnung 3 Jahre lang nach dem Semester der Prüfung aufbewahrt, damit zusammenhängende Prüfungsleistungen archiviert bleiben.

4.2 Personenbezogene Daten im Moodle-Nutzendenprofil

Im Rahmen jedes Login-Vorgangs werden folgende Informationen aus dem LDAP-Account automatisch in das korrespondierende Moodle-Nutzendenprofil übertragen bzw. aktualisiert: Nachname, Vorname und E-Mail-Adresse. In Moodle ist eine Änderung dieser Daten in diesem Fall nicht möglich. Alle weiteren Angaben, die (nur von bestimmten Rollen) im Profil gemacht werden, wie etwa Kontaktinformationen, sind freiwilliger Natur und werden bei Angabe ebenfalls gespeichert.
Die Erfassung dieser Daten ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.
In den Moodle-Nutzendenprofilen werden keine Passwörter gespeichert. Bei FernUniversitäts-Accounts liegen diese Informationen im angebundenen System zur LDAP-Authentifizierung.

5. Lehr-/Lernbetrieb in Moodle

Die Durchführung eines Kurses in Moodle ist mit einer Vielzahl von Aktionen und Aktivitäten seitens der zugriffsberechtigten Personen verbunden. Im folgenden Abschnitt werden die Daten beschrieben, die in der Datenbank aufgezeichnet werden.
Die Erfassung dieser Daten ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.

5.1 Personenbezogene Daten im Lehr-/Lernbetrieb mit Moodle

Alle Beiträge, Aufgabenlösungen oder Aktionen, die im Verlauf der Plattformnutzung in Foren oder anderen Aktivitäten eingestellt oder ausgeführt werden, werden in der Moodle-Datenbank in der Form gespeichert, dass nachvollziehbar ist, wer diese Beiträge, Aufgabenlösungen oder Aktionen verfasst bzw. ausgeführt hat. Unter Aktionen sind alle Aktivitäten zu verstehen, die zu einem Ergebnis führen, wie zum Beispiel das Schreiben eines Forenbeitrags, die Stimmabgabe im Rahmen einer Abstimmung oder das Beantworten von Fragen im Rahmen eines Online-Tests. Zusätzlich dazu definiert Moodle sogenannte Ereignisse, um das Nutzerverhalten nachvollziehbar zu machen. Diese Ereignisse bilden sowohl lesendes Verhalten als auch die oben genannten Aktionen eines Nutzenden ab. Die Ereignis-Logs der letzten 180 Tage werden in der Datenbank festgehalten und sind über die Moodle-Oberfläche für Administratoren einsehbar. Dabei werden diese zusammen mit folgenden Nutzenden-Daten gespeichert:

  • Der IP-Adresse des Rechners, von dem die Nutzenden die Ereignisse ausgelöst haben
  • Der Name des Nutzenden
  • Der Zeitpunkt, an dem die Aktion ausgeführt wurde

Zweck der Datenaufzeichnung:

  • Klärung von Unregelmäßigkeiten in digitalen Prüfungen
  • Unterstützung von Kommunikation und Kooperation der Moodle-Nutzenden
  • Überprüfung des Lernfortschritts
  • Rückmeldungen
  • Fehleranalyse

Eine ausführliche Erläuterung der sichtbaren Daten aufgeteilt nach den Rollen in Moodle ist in den Nutzungshinweisen zu finden.

5.2 Webserver-Logfiles

Jede Moodle-Instanz wird über einen Webserver bereitgestellt. Die Moodle-Webserver führen neben den oben genannten Ereignis-Logs, die Moodle datenbankseitig speichert, ihrerseits jeweils Logfiles zu webbasierten Zugriffen auf die Moodle-Instanz und zu anwendungsseitigen Fehlern, die während dieser Zugriffe gemeldet werden.
Im Zugriffs-Logfile wird jeder HTTP-Zugriff (insbesondere jede Verbindung Ihres Webbrowsers zu Moodle) vermerkt. Zu jedem Zugriff werden folgende personenbezogenen Daten gespeichert:

  • Die IP-Adresse, von wo aus der Zugriff erfolgte
  • Der Zeitpunkt des Zugriffs
  • Die Art des Zugriffs (Bspw. GET oder POST)
  • Die URL des Zugriffs
  • Der HTTP-Response-Code, der zurückgeschickt wurde
  • Der Referrer-Link, vom dem ggf. auf die Moodle-Instanz verlinkt wurde
  • Der User Agent, der für den Zugriff benutzt wurde
  • Die Größe der zurückgeschickten Antwort

Das Fehler-Logfile zeichnet neben fehlerbezogenen Informationen folgende personenbezogenen Daten auf:

  • Der Zeitpunkt des Fehlers
  • Die dazugehörige IP-Adresse

Diese Informationen dienen insbesondere zu folgenden Zwecken:

  • Fehleranalyse und Problembehebung,
  • Sicherstellung der Sicherheit unserer informationstechnischen Systeme,
  • Benutzendensupport (First-Level-Support (Helpdesk) in Prüfungen, Second-Level-Support durch Moodle-Administration),
  • Klärung verschiedener Sachverhalte (z.B. Bestätigung eines unverschuldeten Fristversäumnisses aufgrund technischer Probleme auf Systemseite, Prüfung der Erfüllung studentischer Mitwirkungspflichten bei technischen Problemen während der Prüfungen),
  • Unterstützung der Entwicklung bei der Planung des technischen Systems
  • Quelle für Statistiken.
Das Logfile wird jeweils über ein Semester aufgezeichnet und im Laufe des nachfolgenden Semesters wieder gelöscht. Lediglich die Systemadministrierenden haben Zugriff darauf.

    Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO  i.V.m. IT-Sicherheit nach Art. 32 DSGVO.



    Der Zugriff auf die Logfiles ist für je nach Benutzergruppe anlassbezogen wie folgt geregelt: 
    • Der Klausursupport (Helpdesk) erhält den Zugang zum Log des aktuellen Tages, um bei technischen Problemen während der Prüfungsphase gezielt und schnell unterstützen zu können.
    • Aufsichten und Prüfende erhalten Zugriff auf das Log des aktuellen Tages, um Studierende gezielt bei Problemen unterstützen zu können.
    • Die Prüfungsämter erhalten Zugriff auf das Log für die gesamte Speicherdauer, um bei Widersprüchen in Prüfungen den Sachverhalt genauer prüfen zu können.
    • Die Systemadministrator*innen haben Zugriff auf das vollständige Log, um jederzeit technischen Support bieten zu können, aber auch um Sachverhalte im Nachgang von Prüfungen klären zu können.


    Die Erfassung und Speicherung der Daten in Logfiles ist für den Betrieb von Moodle zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit

    5.3 Verwendung von Cookies

    Cookies sind Textdateien, die beim Aufruf einer Website im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Mit Hilfe von Cookies kann sich der Browser vorübergehend „Daten merken“, während die Nutzenden zwischen einzelnen Seiten der Moodle-Instanz wechseln (z.B. einem Link folgen). Diese Daten stehen sowohl JavaScripten im Browser als auch dem serverseitigen System (Moodle-Instanz) zur Verfügung.
    Die im FernUni-Moodle verwendeten Cookies sind Session-Cookies. Session-Cookies werden spätestens beim Beenden des Webbrowsers wieder automatisch gelöscht, insofern dies im Webbrowser so eingestellt wurde.
    Folgende Cookies werden verwendet:

    • "MoodleSession“: Dieses Cookie bewirkt, dass Nutzende beim Zugriff auf weitere Moodle-Seiten eingeloggt bleiben. Es enthält lediglich eine verschlüsselte Session-ID, die auf eine serverseitig temporär gespeicherte Session verweist. Eine so genannte Session ist ein auf dem Server vorübergehend gespeicherter Zustand einer konkreten Browsersitzung eines Endnutzers, kann also die Information enthalten, ob und unter welchem Anmeldenamen sich der Browsernutzer beim System eingeloggt hat. Eine Session endet automatisch nach 180 Minuten, insofern in dieser Zeit kein weiterer Aufruf einer URL dieser Moodle-Instanz getätigt wurde. Jeder Aufruf setzt den Ablaufzeitpunkt zurück.
    •  „MDL_SSP_SessID“ + „MDL_SSP_AuthToken”: Diese Cookies werden in dem Fall gesetzt, wenn Nutzende sich per SSO in Moodle einloggen. „MDL_SSP_SessID“ speichert hierbei eine Session-ID für die Moodle-SSO-Session und „MDL_SSP_AuthToken“ eine für diese Session generierte Zeichenfolge, die für die Aufrechterhaltung der Authentifizierung durch den SSO-Provider verwendet wird.

    Nutzende haben die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Browsereinstellungen kann die Übertragung von Cookies eingeschränkt oder deaktiviert werden.
    Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden technisch notwendige Cookies für Moodle deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden. Die Rechtsgrundlage für technisch notwendige Cookies ist § 25 Abs. 2 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz).

    6. Webanalyse, Social Media und Moodle Plugins

    6.1 Zoom (X)


    Das Zoom-Plugin ermöglicht die Integration von Zoom-Meetings in Moodle und stellt somit kein neues System dar, sondern eine Verknüpfung von zwei, bereits lokal an der FernUniversität gehosteten Systemen (s. Rechtliches zu Zoom). Durch die Kombination der Systeme werden keine neuen Funktionalitäten erzeugt, es wird lediglich der Workflow zum Erzeugen und Bereitstellen von Meetinglinks vereinfacht. Das Zoom-Plugin wird auf moodle-pruefungen für eine Live-Videoaufsicht in Klausuren oder für mündliche Prüfungen genutzt. Aus Lehrenden-Perspektive können mit Hilfe des Plugins relevante Einstellungen des jeweiligen Zoom-Meetings direkt in Moodle gemacht werden. Zur Zuordnung des Zoom-Meetings zum zugehörigen Zoom-Account als Veranstalter*in sendet Moodle beim Erstellen und Bearbeiten von Zoom-Aktivitäten die in Moodle hinterlegte E-Mail-Adresse an den Zoom-Server der Fernuniversität. 

    Der Teilnahmelink wird automatisch in Moodle für die Kursbeleger*innen bereitgestellt. Für Teilnehmende an Zoom-Meetings, die den automatisch in Moodle bereitgestellten „Dem Meeting beitreten“-Button verwenden, wird der in Moodle hinterlegte Name an den Zoom-Server der FernUniversität gesendet.

    Bei einer Video-Aufsicht via Zoom wird technisch ausgeschlossen, dass Studierende die Kamerabilder (auch im Rahmen der Identitätskontrolle) der anderen Studierenden sehen können (durch Aufmerksamkeitsmodus, einzelnes nacheinander Betreten eines Meetings, Breakout Räume).

    Prüflinge stimmen im Rahmen einer mit Zoom beaufsichtigten Prüfung den o. g. Zoom-Datenschutzhinweisen zu.

    6.2 Pruefster EURO


    Für die Live-Videoaufsicht in Prüfungen wird der extern gehostete Dienst Pruefster EURO (https://www.pruefster.com) eingesetzt. Moodle-Pruefungen übermittelt die User ID, den Vor- und Nachnamen an Pruefster EURO, um den Aufsichten die Identität der Studierenden transparent zu machen und die Prüfungsaufsicht zu ermöglichen. Pruefster EURO speichert weitere Daten. Über die genauen Bedingungen werden Nutzende in Moodle-Klausurkursen informiert, die Pruefster EURO einsetzen. Die allgemeinen Datenschutzhinweise zu Pruefster EURO finden Sie unter https://wiki.fernuni-hagen.de/helpdesk/index.php?title=Pruefster:_Rechtliches.

    6.3 Dynexite


    Die FernUniversität nutzt für einige Prüfungen (der Fakultät Psychologie) das Prüfungssystem Dynexite der RWTH Aachen. Das System wird auf Servern der FernUniversität gehostet. Beim Aufruf der Prüfung über Moodle wird die Matrikelnummer bzw. der LDAP-Login der Person an Dynexite übergeben, um sich für eine Klausur zu authentifizieren.

    6.4 Online-Übungssystem / Online-Prüfungssystem


    Das Online-Übungssystem / Online-Prüfungssystem ist ein an der FernUniversität gehostetes System zur Durchführung von Online-Klausuren, Einsendearbeiten, Hausarbeiten und Abschlussarbeiten. Bei der Nutzung des OÜS als externes Tool (via LTI) wird die Matrikelnummer an das OÜS durch Moodle übergeben. Details zum Datenschutz im OÜS finden Sie unter https://online-uebungssystem.fernuni-hagen.de/hilfe/datenschutz.html.

    6.5 Medial
    Das Videomanagement-System Medial wird an der Fernuniversität in Hagen für die Verwaltung und Distribution von Videos verwendet. Bei der Bearbeitung von Kursen kann die Kursbetreuung Videos so bereitstellen, dass sie von der lokal gehosteten Medial-Instanz der Fernuniversität verwaltet werden. Mitarbeitende können zu diesem Zweck ihren Moodle-Account mit dem Medial-Account verknüpfen und erhalten dadurch innerhalb von Moodle dauerhaft Zugriff auf Ihre Medial-Ressourcen.

    Teilnehmende an Moodle-Kursen erhalten durch die Kurseinschreibung Zugriff auf die zugehörigen Videos. Beim ersten Zugriff sendet Moodle den hinterlegten Namen sowie die zugehörige E-Mail-Adresse an den Medial-Server der Fernuniversität und erstellt auf diesem Server einen lokalen LTI-Account. Bei jeder weiteren Nutzung von Medial in Moodle erfolgt die Zuordnung zu diesem Account anhand der Moodle-User-ID automatisch.

    6.6 Youtube
    Bei der Nutzung von eingebetteten YouTube-Videos in Kursmaterialien auf Moodle der FernUniversität sollten Nutzerinnen beachten, dass dadurch personenbezogene Daten wie IP-Adressen oder Surfverhalten an YouTube, ein Unternehmen von Google mit Sitz in 901 Cherry Ave., San Bruno, CA 94066, USA, übertragen werden können. Diese Übertragung erfolgt insbesondere, wenn Nutzerinnen während der Nutzung in ihrem persönlichen YouTube-Account eingeloggt sind, was YouTube ermöglicht, das Surfverhalten dem persönlichen Profil zuzuordnen. Um dies zu verhindern, sollten Nutzer*innen sich aus ihrem YouTube-Account ausloggen. Es wird empfohlen, die Datenschutzerklärungen von YouTube zu lesen und zu verstehen, bevor eingebettete Inhalte genutzt werden, da deren Datenverarbeitungspraktiken sich von denen der FernUniversität unterscheiden können.

    7. Verantwortungsbereiche der Inhalteanbieter

    Moodle ist eine Publikationsplattform für Kursinhalte, die von den zuständigen Inhaltsanbietern (z.B. Lehrgebieten und Institute) oder beauftragten Arbeitsbereichen vorbereitet und angeboten werden. Die Gestaltung der Kursinhalte ist sehr frei und kann unter anderem auch Inhalte enthalten, die über den hier beschriebenen Datenschutzrahmen der Moodle-Instanz hinausgehen. In den Moodle-Lernumgebungen können Inhalte enthalten sein, die auf dem Browser der Nutzenden oder als eigenständige Programme auf den Rechnern der Nutzenden installiert oder ausgeführt werden können.
    Die Nutzenden können Inhalte zum Beispiel in Abstimmungen, Feedbackumfragen, Hyperlinks, Kalendern, Gruppenverwaltung, Aufgaben, Tests, interaktiven Inhalten, Foren, Glossaren oder Wikis sowie lernraumübergreifend in den Mitteilungen (Messaging) erstellen. Auch hochgeladene Dateien zählen zu Inhaltsdaten.
    Zu dieser Datenkategorie zählen auch Bewertungen, die für bewertete Lernaktivitäten vergeben werden. Die Bewertungen können entweder wie bei elektronischen Selbsttests automatisch durch das System erfolgen oder wie bei Aufgaben manuell durch die Rollen Manager*in und Betreuer*in. Bei automatischer Vergabe von Bewertungen treffen Manager*innen die diesen zugrundeliegenden Voreinstellungen und haben die Möglichkeit zur manuellen Überprüfung und Nachkorrektur.

    Die Anbietenden der Inhalte sind in diesem Fall für den Datenschutz verantwortlich.

    8. Rechte der betroffenen Person

    Bei der Ausübung der Betroffenenrechte sollte die Anfrage zunächst an die Anbieter der jeweiligen Inhalte gerichtet werden, z.B. ein Lehrgebiet oder eine andere Organisationseinheit, da dort die entsprechende Kenntnis über die Datenverarbeitung vorhanden ist. Allgemeine Anfragen zum Datenschutz und zur Wahrung der Betroffenenrechte können jedoch auch direkt an den Datenschutzbeauftragten gerichtet werden.

    8.1 Auskunftsrecht – Art 15 DSGVO
    Nutzer*innen können von der FernUniversität eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden.
    Liegt eine solche Verarbeitung vor, kann über folgende Informationen Auskunft verlangt werden:
    1. die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
    2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
    3. die Empfänger*in bzw. die Kategorien von Empfänger*innen, gegenüber denen die betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
    4. die geplante Dauer der Speicherung der sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
    8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

    Nutzer*innen steht das Recht zu, Auskunft darüber zu verlangen, ob die sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

    8.2 Recht auf Berichtigung – Art 16 DSGVO

    Nutzer*innen haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber der FernUniversität, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Die FernUniversität wird nach entsprechender Überprüfung die Berichtigung unverzüglich vornehmen.

    8.3 Recht auf Löschung – Art 17 DSGVO
    Unter den folgenden Voraussetzungen können Nutzer*innen die Löschung der sie betreffenden personenbezogenen Daten verlangen:
    1. Die sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
    2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
    3. Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
    4. Die sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
    5. Die Löschung der sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
    6. Die sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
    Ausnahmen:
    Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
    1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
    2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Artikel 17 Abs. 3 lit. b und e DSGVO);
    3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
    4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt 1) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

    5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Ausnahme gemäß Artikel 17 Abs. 3).
    8.4 Recht auf Einschränkung der Verarbeitung– Art 18 DSGVO
    Unter den folgenden Voraussetzungen können Nutzer*innen die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:
    1. wenn die Richtigkeit der sie betreffenden personenbezogenen Daten von den Nutzer*innen für eine Dauer bestreiten wird, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
    2. wenn die Verarbeitung unrechtmäßig ist und die Nutzer*innen die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
    3. wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die Nutzer*innen diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
    4. wenn die Nutzerinnen Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den Gründen der Nutzerinnen überwiegen.
    Wurde die Verarbeitung der sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
    Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
    Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken – Art 89 DSGVO:

    Das o.g. Recht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.

    8.5 Recht auf Unterrichtung – Art 19 DSGVO
    Haben Nutzer*innen das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfänger*innen, denen die sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

    Nutzer*innen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger*innen unterrichtet zu werden.

    8.6 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art 7 Abs. 3 DSGVO
    Nutzer*innen haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten sie bitte formlos an die Daten führende Stelle, der gegenüber sie in die Datenverarbeitung eingewilligt haben.

    Für die Anbieter von Inhalten übernimmt die Moodle Administration standardmäßig die Funktion als Kontaktstelle und ist über den Helpdesk erreichbar. Bei weiteren datenschutzrechtlichen Einwilligungen oder sonstigen Zustimmungen zur Nutzung bestimmter geschützter Bereiche oder Kurse wenden Sie sich an die Anbietenden der Inhalte, z.B. an das entsprechende Lehrgebiet.

    8.7 Widerspruchsrecht – Art 21 DSGVO
    Nutzer*innen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
    Hinweis: In der Moodle Plattform findet seitens der FernUniversität kein Profiling, kein Marketing und keine Direktwerbung statt.
    Der Verantwortliche verarbeitet die sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
    Werden die sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
    Widersprechen sie der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
    Nutzer*innen haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG, Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie oder umgangssprachlich Cookie-Richtlinie) – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
    Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:
    Nutzer*innen haben auch das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, bei der Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgt, dieser zu widersprechen.

    Ihr Widerspruchsrecht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.

    8.8 Datenweitergabe
    Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet.

    Die Lehrveranstaltungen der FernUniversität in Hagen werden im Rahmen der studentischen Lehrveranstaltungsevaluation mit Hilfe des Systems EvaSys evaluiert. Um den Zugriff auf die Daten zu vereinfachen, werden für jeden Nutzer und jede Nutzerin im Dashboard im Block „Befragungen“ die freigegebenen Umfragen bzw. Umfrageergebnisse angezeigt. Um die Anzeige der individuellen Daten zu gewährleisten, wird die E-Mailadresse der Nutzenden an das EvaSys-System übertragen.

    8.9 Datenübermittlung in Drittstaaten

    Eine Übermittlung der oben spezifizierten personenbezogenen Daten aus dem Moodle der FernUniversität in Drittstaaten ist nicht vorgesehen.

    8.10 Technische und organisatorische Maßnahmen zur Wahrung von Integrität und Vertraulichkeit

    Gemäß Art. 32 DSGVO werden verschiedene technische und organisatorische Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzerkontrolle (Benutzername und Passwort). Der Zugriff auf den Server ist sowohl durch Benutzerkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern.

    8.11 Recht auf Beschwerde bei einer Aufsichtsbehörde – Art 77 DSGVO
    Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
    Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

    Die Aufsichtsbehörde der FernUniversität in Hagen ist die/der Landesdatenschutzbeauftragte des Landes Nordrhein-Westfalen.


    Kontakt:
    Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
    Postfach 20 04 44
    40102 Düsseldorf
    Telefonzentrale: +49 (0)211 / 38424 – 0
    https://www.ldi.nrw.de/
    poststelle@ldi.nrw.de