Datenschutzerklärung¶
Über Schullogin¶
Schullogin ist ein Single-Sign-on-Dienst für Schulen im Freistaat Sachsen. Über Schullogin können insbesondere Schülerinnen, Schüler und Lehrkräfte auf eine Reihe von Diensten zugreifen und diese im Einklang mit den Nutzungsbedingungen für schulische Zwecke nutzen.
Wenn Sie Schullogin oder einen der angebundenen Dienste nutzen, werden personenbezogene Daten im datenschutzrechtlichen Sinne (im Weiteren immer nur als "Daten" bezeichnet) verarbeitet. Aus diesem Grund sind die Verantwortlichen für den Betrieb der Plattform nach den Vorschriften der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes (BDSG) und des Sächsischen Datenschutzdurchführungsgesetzes (SächsDSDG) verpflichtet, über die Datenverarbeitungen in dieser Datenschutzerklärung hinreichend zu informieren.
Rechte und Beschwerdemöglichkeiten¶
Alle Betroffenen haben gegenüber den jeweiligen Verantwortlichen folgende Rechte hinsichtlich der sie betreffenden Daten:
Recht auf Auskunft,
Recht auf Berichtigung oder Löschung,
Recht auf Einschränkung der Verarbeitung,
Recht auf Widerruf Ihrer Einwilligung,
Recht auf Widerspruch gegen die Verarbeitung,
Recht auf Datenübertragbarkeit.
Diese Rechte können jederzeit geltend gemacht werden, indem sich die bzw. der Betroffene an die Verantwortlichen oder deren Datenschutzbeauftragte wendet.
Es findet keine automatisierte Entscheidungsfindung in Bezug auf personenbezogene Daten statt (vgl. Art. 14 Abs. 2 lit. g) DS-GVO).
Datenschutzbeauftragter¶
Zuständige Aufsichtsbehörde¶
Sollten Betroffene mit der Datenverarbeitung nicht einverstanden sein, besteht jederzeit die Möglichkeit, bei der zuständigen Aufsichtsbehörde, der Sächsischen Datenschutz- und Transparenzbeauftragten, Beschwerde einzulegen.
A) Geltungsbereich¶
Diese Datenschutzerklärung gilt für Schullogin und die nachfolgenden angebundenen Dienste:
Nachrichten
Dateiablage
Videokonferenz
Etherpad
Assistent KAI
Vermittlungsdienst für das digitale Identitätsmanagement in Schulen (VIDIS)
Diese Datenschutzerklärung gilt auch für die Datenübermittlung von Schullogin an die angebundenen Dienste Moodle und OPAL Schule. Für die Datenverarbeitung innerhalb der beiden Dienste gelten eigene Datenschutzerklärungen. Für Dienste, die via VIDIS an Schullogin angebunden sind, gelten ebenfalls eigene Datenschutzerklärungen.
B) Verantwortliche für die Datenverarbeitung¶
Verantwortlich für den technischen Betrieb der Plattform Schullogin und der Dienste, welche dem Geltungsbereich dieser Datenschutzerklärung unterfallen, ist das Sächsische Staatsministerium für Kultus.
Verantwortlich für die Datenverarbeitung ist die Schule oder sonstige Stelle der jeweils nutzenden Person. Das Sächsische Staatsministerium für Kultus bedient sich zur Durchführung des technischen Betriebs der Technischen Universität Dresden (Schullogin, Greenlight), der IBH IT-Service GmbH (Big-Blue-Button) und der T-Systems International GmbH (Dateiablage) als datenschutzrechtliche Auftragsverarbeiter. Hinsichtlich der weiteren an Schullogin angebundenen Dienste sind Schule oder sonstige Stelle der jeweils nutzenden Person verantwortlich.
C) Datenverarbeitung zur Nutzung der Plattform Schullogin¶
§ I. Erstellung eines Accounts¶
Für die Nutzung von Schullogin muss ein individueller Schullogin-Account erstellt werden. Die Entscheidung hierüber trifft die jeweilige Schule in Erfüllung des gesetzlichen Erziehungs- und Bildungsauftrags gemäß Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des Sächsischen Schulgesetzes (SächsSchulG).
Folgende Daten (im Weiteren Stammdaten) werden dabei verarbeitet:
Nachname
Vorname
Einrichtung
Klasse
Klassenstufe
Rolle
Die Stammdaten bezieht Schullogin aus der Sächsischen Schulverwaltungssoftware SaxSVS, welche ebenfalls vom Sächsischen Staatsministerium für Kultus betrieben wird. Wird ein Schullogin-Account erstellt, werden die folgenden weiteren Daten erzeugt und dem Account zugeordnet:
eindeutiger Anmeldename
E-Mail-Adresse
Der Anmeldename kann jederzeit in den Profileinstellungen eingesehen werden.
Wird Mitarbeiterinnen und Mitarbeitern des Geschäftsbereichs des Sächsischen Staatsministeriums für Kultus eine Nutzung gewährt, erfolgt dies datenschutzrechtlich im Rahmen ihres Beschäftigungs- oder Dienstverhältnisses. Wird weiteren Personen, z. B. Kooperationspartnerinnen und -partnern, eine Nutzung gewährt, erfolgt dies datenschutzrechtlich auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO).
§ II. Änderung des Accounts¶
Stammdaten von Lehrkräften, Schülerinnen und Schülern können nur in SaxSVS geändert werden. Anmeldename und E-Mail-Adresse sind unveränderlich. Die Nutzenden haben die Möglichkeit, das für sie zunächst vergebene Passwort jederzeit eigenständig zu ändern und sich einen sog. Login-Alias zu geben. Dieser Login-Alias kann anstelle des initial vergebenen Anmeldenamens zur Anmeldung an Schullogin verwendet werden.
§ III. Datenverarbeitung zur technischen Sicherheit¶
Um die technische Sicherheit von Schullogin zu gewährleisten, werden in einer Protokolldatei (sog. "Logfile") Informationen darüber erfasst, wann sich Nutzende von welcher Internet-IP-Adresse aus in Schullogin einloggen und ob es hierbei Fehlversuche gab. Zum Schutz vor missbräuchlicher Nutzung durch Spam-Versand wird der Ausgang von E-Mails protokolliert und das Sendeverhalten automatisiert ausgewertet. Diese Datenverarbeitung setzt die nach Art. 32 Abs. 1 lit. b) DS-GVO in Verbindung mit § 13 Abs. 2 des Sächsischen Informationssicherheitsgesetzes (SächsISichG) bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.
§ IV. Datenverarbeitung zur Nachverfolgung von Änderungen¶
Weiterhin werden alle Änderungen an den Daten eines Accounts ebenfalls in Logfiles protokolliert. Hierbei wird auch protokolliert, durch wen eine Änderung vorgenommen wurde.
Diese Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO bestimmte Pflicht um, personenbezogene Daten vor unberechtigter Veränderung zu schützen.
§ V. Löschung des Accounts und der gespeicherten Daten¶
Sämtliche Accountdaten werden 45 Tage nach dem Ende des Schulhalbjahres gelöscht, in dem eine Person aus der Schule ausscheidet. Stichtage für das Ende eines Schulhalbjahres sind der 14. Februar und der 31. Juli eines Jahres.
Log-Dateien werden jeweils nach Ablauf von 90 Tagen seit der Erfassung gelöscht.
Eine unverzügliche Löschung von Accountdaten gemäß Art. 17 DS-GVO (Recht auf Löschung) ist nur möglich für Nutzende, bei denen die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung erfolgt (vgl. Art. 17 DSGVO Abs. 3). Dies schließt Schülerinnen, Schüler und Lehrkräfte aus, deren Daten zur Erfüllung des gesetzlichen Bildungs- und Erziehungsauftrags verarbeitet werden.
Nach einer Löschung können Daten noch bis zu 12 Monate in den Backups der IT-Systeme von Schullogin enthalten sein. Die Durchführung von Backups setzt die nach Art. 32 Abs. 1 lit. c) DS-GVO bestimmte Pflicht um, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
D) Datenverarbeitung in den angebundenen Diensten¶
Alle Dienste im Geltungsbereich dieser Datenschutzerklärung werden grundsätzlich auf getrennten Systemen betrieben. Beim Aufruf eines Dienstes aus Schullogin heraus, werden Daten von Schullogin an diesen Dienst übermittelt. Welche Daten jeweils beim Aufruf eines Dienstes von Schullogin übermittelt werden, wird beim Aufruf des Dienstes angezeigt. Darüber hinaus werden in der Regel auch im aufgerufenen Dienst Daten verarbeitet.
§ I. Datenverarbeitung in Nachrichten (Maildienst)¶
Der Dienst "Nachrichten" ist ein E-Mail-Postfach. Die für das Postfach notwendige E-Mail-Adresse wird durch Schullogin direkt bei der Erstellung des Accounts mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 SächsSchulG.
Über diesen Dienst können die Nutzenden mit allen anderen Nutzenden von Schullogin kommunizieren, indem sie deren E-Mail-Adressen als Empfängerinnen und Empfänger der E-Mail angeben.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO bestimmte Pflicht um, personenbezogene Daten vor unberechtigter Veränderung zu schützen.
Standardmäßig werden automatisch die Kontaktdaten aller von einem Nutzenden angegebenen E-Mail-Empfängerinnen und -Empfänger dem eigenen Adressbuch hinzugefügt. Zusätzlich können jederzeit eigene Kontakte dem Adressbuch hinzugefügt werden.
Alle empfangenen und versendeten Nachrichten werden so lange gespeichert, bis die Nutzenden diese eigenständig löschen oder der betreffende Schullogin-Account gelöscht wird.
§ II. Datenverarbeitung in Dateiablage (Nextcloud)¶
Der Dienst "Dateiablage" ist ein Cloud-Speicher-Dienst, umgesetzt mit der Software Nextcloud. Über den Dienst ist es möglich, Dateien online zu speichern und zu verwalten. Die Rechtmäßigkeit dieser Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
Neben der Möglichkeit, Daten hochzuladen, können diese Daten abhängig von der eigenen Rolle als student oder teacher auch mit anderen geteilt werden. Accounts mit der Rolle student haben nur die Möglichkeit, Daten oder Ordner mit Nutzenden an der eigenen Schule oder sonstigen Stelle zu teilen.
Accounts mit der Rolle teacher haben die Möglichkeit, einen Ordner freizugeben (Bereitstellungsordner). Die dort enthaltenen Daten können von den Nutzenden, an die der Ordner freigegeben wurde, eingesehen werden und in den eigenen Speicher kopiert werden.
Accounts mit der Rolle teacher haben weiterhin die Möglichkeit, einen Ordner so freizugeben, dass andere Nutzende dort eigene Daten ablegen können (Abgabeordner). Die im Ordner abgegebenen Daten können nur von den Nutzenden, die die Daten einstellen, und von Personen, die den Ordner freigegeben haben, eingesehen werden. Andere Nutzende, für die der Ordner auch freigegeben wurde, können immer nur ihre eigenen Daten sehen.
Accounts mit der Rolle teacher können zuletzt auch Ordner so freigeben, dass alle für den Ordner freigegebenen Nutzenden alle eingestellten Daten einsehen und bearbeiten können und neue Daten einstellen können, die dann wieder von allen anderen freigegebenen Nutzenden eingesehen und bearbeitet werden können. Accounts mit der Rolle teacher können hierbei jederzeit die Freigabe entziehen und den weiteren Zugriff für einzelne Nutzende oder alle Nutzende sperren.
Wie lange die eingestellten Daten gespeichert werden, entscheiden immer diejenigen Personen, die die jeweiligen Ordner besitzen, in denen die Daten liegen.
Alle Daten werden spätestens dann gelöscht, wenn der betreffende Schullogin-Account gelöscht wird.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO bestimmte Pflicht um, personenbezogene Daten vor unberechtigter Veränderung zu schützen.
§ III. Datenverarbeitung in Videokonferenz (BigBlueButton / Greenlight)¶
Der Dienst "Videokonferenz" ist ein Videokonferenzdienst umgesetzt mit der Software "BigBlueButton". Über den Dienst ist es Accounts mit der Rolle teacher möglich, Videokonferenzen zu starten und zu verwalten. Die Verwaltung der Räume erfolgt über die Software Greenlight. Die Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 SächsSchulG.
Für die Dauer einer Konferenz können Daten als Präsentation, im Chat oder in den geteilten Notizen verarbeitet werden, Accounts mit der Rolle teacher können durch Moderationsrecht festlegen, welche Daten für welche Teilnehmenden einsehbar sind.
Accounts mit der Rolle student haben nur die Möglichkeit, an Videokonferenzen teilzunehmen, die zuvor von einer Lehrkraft erstellt wurden.
Konferenzdaten werden für die Dauer der Konferenz verarbeitet. Dies sind:
technische Daten zur Konferenzdurchführung (Konferenz-ID, Konferenz-Besitzende, Datum der Konferenzerstellung und der letzten Nutzung einer Konferenz, technische Eigenschaften des Konferenzraumes, ggf. weitere Nutzungsdaten durch Eingaben des Nutzenden),
Aktionen der Teilnehmenden während der Konferenz
Mit Beendigung der Konferenz werden alle Konferenzdaten gelöscht. Bild- und Tondaten werden im Moment der Übertragung verarbeitet (Streaming). Die audiovisuelle Aufzeichnung von Konferenzen innerhalb des Systems ist nicht möglich. Eine dauerhafte Speicherung findet nicht statt.
Alle weiteren Daten werden spätestens dann gelöscht, wenn der betreffende Schullogin-Account gelöscht wird.
Neben Schullogin können Schulen über einen API-Schlüssel die Raumverwaltung in selbstständig betriebene Dienste (z. B. LernSax, Moodle, Dateiablage) integrieren.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 4 Wochen bei einem Auftragsverarbeiter des Verantwortlichen gespeichert und hiernach gelöscht. Diese Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO bestimmte Pflicht um, personenbezogene Daten vor unberechtigter Veränderung zu schützen.
§ IV. Datenverarbeitung in Moodle¶
Der Dienst "Moodle" ist ein Learning-Management-System, der bspw. die Teilnahme an Online-Kursen ermöglicht. Die Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
§ V. Datenverarbeitung in Etherpad¶
Der Dienst "Etherpad" ermöglicht es, gemeinsam mit anderen an Textdokumenten (sog. Pads) zu arbeiten. Die Rechtmäßigkeit dieser Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
Bei Aufruf des Dienstes legt die Software "Etherpad" eine Cookie-Datei im Speicher des Browsers an. Diese Datei enthält keine personenbezogenen Daten, wird nach 60 Tagen automatisch gelöscht und kann vom Nutzenden jederzeit vorzeitig über die Browsereinstellungen gelöscht werden. Alle Eingaben, die Nutzende während der Lebensdauer dieser Datei bei Etherpad mit dem betreffenden Browser tätigen, können einander zugeordnet werden. Dazu gehört auch der frei wählbare anzuzeigende Name, den Nutzende sich im Dienst geben können. Über diesen sollen Nutzende für andere Nutzende eines gemeinsamen Dokuments erkennbar sein.
Um auf ein Pad zuzugreifen oder ein eigenes zu erstellen, ist es nicht notwendig, sich ein Passwort oder Ähnliches zu überlegen. Das bedeutet aber, dass grundsätzlich alle Nutzenden von Schullogin auf alle Pads zugreifen können, indem der Name eines Pads eingegeben oder erraten wird.
Weiterhin kann auch ein Link zu einem Pad erzeugt und an andere Nutzende von Schullogin weitergegeben werden.
Wird in einem Pad gearbeitet, so werden alle Eingaben vollständig aufgezeichnet, um jederzeit eine frühere oder spätere Version des Dokuments aufrufen zu können. Hierbei wird auch immer angezeigt, wer Änderungen vorgenommen hat. Zu jedem Pad gibt es einen Chat. Die Beiträge in diesem Chat werden ebenfalls aufgezeichnet und über die Cookie-Datei mit dem eingegebenen Namen verknüpft.
Jedes Pad wird, wenn es 30 Tage lang nicht aufgerufen worden ist, automatisch gelöscht. Eine manuelle Löschung kann nicht vorgenommen werden.
Wird das Pad gelöscht, werden auch alle Informationen zu den Änderungen gelöscht.
Zum Schuljahreswechsel am 01.08. findet eine jährliche Löschung der gesamten Etherpad-Datenbank statt. Hiermit werden alle Pads, Chats, sämtliche Eingaben von Nutzenden sowie Zuordnungen zu Cookie-Dateien gelöscht.
§ VI. Datenverarbeitung in OPAL Schule¶
Der Dienst "OPAL Schule" ist ein Learning-Management-System, der bspw. die Teilnahme an Online-Kursen ermöglicht. Die Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
§ VII. Datenverarbeitung in KAI¶
Der Assistent KAI ist ein digitaler Dienst zur Unterstützung von Lehrkräften bei der Unterrichtsvorbereitung, -durchführung und -nachbereitung mithilfe eines Zugangs zu generativer Künstlicher Intelligenz. Der Zugang wird ermöglicht über eine Schnittstelle (API, engl. für application programming interface) zu verschiedenen Large Language Models (LLM) sowie bildgenerierenden KI-Modellen. Für Lehrkräfte wird ein textbasierter Chatbot bereitgestellt, welcher Gespräche menschenähnlich simulieren und Bilder generieren kann. Eine Nutzung erfolgt im pädagogischen Ermessen der Lehrkraft.
Eine DS-GVO-konforme Nutzung wird ermöglicht, indem sämtliche Nutzer des Dienstes gegenüber dem Anbieter des jeweiligen KI-Modells als ein einziger Nutzer auftreten. Damit sind die Daten nicht mehr personenbezogen. Hierdurch und dadurch, dass die Eingabe personenbezogener Daten nicht gestattet ist, verarbeitet der Anbieter des jeweiligen KI-Modells keine personenbezogenen Daten.
Der für die Nutzung des Dienstes notwendige Account in der Software wird beim ersten Aufruf des Dienstes über Schullogin angelegt. Die Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
Konkrete Zwecke der Datenverarbeitung sind die Erbringung des Dienstes und die hiermit verbundene Ressourcenplanung. Stammdaten, Nutzungsdaten und statistische Daten werden für die Nutzung des Dienstes zu pädagogischen Zwecken und zur Gewährung des monatlichen Nutzungskontingents verarbeitet.
Die Ein- und Ausgaben in den Chats sowie Logfiles werden jeweils bis 4 Wochen nach Ende eines Schuljahres gespeichert und danach vollständig gelöscht.
Auf Anfrage ist das Löschen aller Daten eines Nutzers mit einer Frist von 14 Tagen möglich, damit verliert der Nutzer jedoch die Möglichkeit, die Statistiken sowie Ein- und Ausgaben der Zeit vor dem Löschzeitpunkt anzuzeigen.
Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der betreffende Schullogin-Account gelöscht wird.
E) Datenverarbeitung im Zuge der Pilotierungsphase des DigitalPakt-Vorhabens VIDIS¶
Der Vermittlungsdienst für das digitale Identitätsmanagement in Schulen (VIDIS) ist Gegenstand eines länderübergreifenden Vorhabens (lüV) im Zuge des DigitalsPakts Schule 2019 bis 2024. VIDIS soll es Schülerinnen, Schülern und Lehrkräften ermöglichen, sich mit ihrem bereits bestehenden Benutzerkonto ihres Landesportals (Identitätsanbieter) anzumelden, um so auf digitale Bildungsangebote von Dritten (Diensteanbieter) zugreifen zu können.
Probebetrieb und Entwicklung von VIDIS werden durch das FWU Institut für Film und Bild in Wissenschaft und Unterricht gemeinnützige GmbH (FWU) durchgeführt, beauftragt durch die Länder im Rahmen des o. g. lüV. Vor Aufnahme eines potentiellen Regelbetriebs von VIDIS sieht das Vorhaben eine Pilotierungsphase vor. Der Freistaat Sachsen beteiligt sich mit seinem in Zusammenarbeit mit der TU Dresden entwickelten und betriebenen Dienst Schullogin als sächsischem Identitätsanbieter an der Pilotierung von VIDIS.
Für Dienste von VIDIS, die über die URLs aai-test.vidis.schule sowie aai.vidis.schule abrufbar sind, gilt Folgendes:
Es werden personenbezogene Daten verarbeitet, die FWU zur Erbringung des Dienstes VIDIS zulässigerweise als Auftragsverarbeiter erhalten hat. Relevante personenbezogene Daten sind ausschließlich: Identifikator, Rolle (Unterscheidung Lehrkraft/Schüler/-in), Schulidentifikator, Gerätedaten, IP-Adresse, Log-Daten.
Die Verarbeitung von personenbezogenen Daten im Rahmen von VIDIS erfolgt zur Erfüllung des Bildungs- und Erziehungsauftrags. Die Rechtsgrundlage für die Verarbeitung von Daten durch die Schule mittels VIDIS ergibt sich, soweit im Folgenden nichts anderes angegeben ist, aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 SächsSchulG.
Die personenbezogenen Daten werden natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen offengelegt, wenn dies für die Erfüllung von FWU oder deren Aufgaben oder Verpflichtungen rechtlich zulässig und erforderlich ist. Empfänger personenbezogener Daten können insbesondere sein:
Mitarbeitende des FWU und folgende von FWU eingesetzte Unterauftragsverarbeiter (Art. 28 DS-GVO):
intension GmbH, Zeppelinstr. 10, 73760 Ostfildern
Akenes SA trading ("Exoscale"), Boulevard de Grancy 19A, 1006 Lausanne, Switzerland
Die intension GmbH ist der Dienstleister, der die VIDIS Architektur im Pilotbetrieb erstellt und betreibt und im Rahmen dessen die Möglichkeit hat, in Daten Einsicht zu nehmen. Als technischer Dienstleister des FWU nimmt die Akenes SA trading as Exoscale Daten und Erklärungen entgegen, diese Daten werden auf Servern der Akenes SA trading as Exoscale gespeichert. Es wird die Cloud-Infrastruktur von "Exoscale" in einem Cluster in München mit Fail-Over in Frankfurt genutzt. Die Akenes SA trading as "Exoscale" hat ihren Sitz in Lausanne, Schweiz. Für die Schweiz existiert als Drittland ein Angemessenheitsbeschluss gem. Art. 45 Abs. 1, Abs. 3 DS-GVO.
Entsprechende Vereinbarungen zur Verarbeitung personenbezogener Daten mit der Akenes SA und der intension GmbH zum Schutz sämtlicher Daten liegen vor.
An weitere Datenempfänger außerhalb des FWU gibt FWU Daten zu anderen als den in diesen Hinweisen genannten Zwecken nur weiter, sofern gesetzliche Bestimmungen dies erlauben oder gebieten oder FWU zur Erteilung einer Auskunft befugt ist. FWU verarbeitet und speichert personenbezogene Daten, solange es für die Erfüllung der vertraglichen und/oder gesetzlichen Pflichten und zur Aufgabenerfüllung erforderlich ist. Dieser Zeitraum ist beschränkt auf die Dauer, in der die Aufgaben ausgeführt werden.
FWU nutzt keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DS-GVO. Die personenbezogenen Daten werden auch nicht mit dem Ziel genutzt, bestimmte Aspekte zu bewerten (Profiling).
Der technische Dienstleister für die Dienste von VIDIS erhebt und speichert automatisch Informationen in Logfiles, die der Browser automatisch an FWU übermittelt. Dies sind:
Browsertyp und Browserversion
verwendetes Betriebssystem
Referrer URL
Hostname des zugreifenden Rechners
Uhrzeit der Serveranfrage
IP-Adresse, anonymisiert
Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen, werden diese Daten von FWU gespeichert. Nach spätestens sieben Tagen werden die Daten gelöscht, so dass es nicht mehr möglich ist, einen Bezug auf einzelne Nutzende herzustellen; ein Abgleich mit anderen Datenbeständen oder eine Weitergabe an Dritte, auch in Auszügen, findet nicht statt. Diese Datenverarbeitung setzt die nach Art. 32 Abs. 1 lit. b) DS-GVO in Verbindung mit § 13 Abs. 2 des Sächsischen Informationssicherheitsgesetzes (SächsISichG) bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.
Folgende technisch-notwendigen Cookies werden gespeichert und übermittelt:
Name |
Anbieter |
Zweck |
Ablauf |
|---|---|---|---|
AUTH_SESSION_ID_LEGACY |
Keycloak |
Dieses Cookie ist für die Login-Funktion auf der Website erforderlich |
Session |
AUTH_SESSION_ID |
Keycloak |
Dieses Cookie ist für die Login-Funktion auf der Website erforderlich |
Session |
KEYCLOAK_IDENTITY_LEGACY |
Keycloak |
Die ID der aktuellen Nutzenden |
Session |
KEYCLOAK_IDENTITY |
Keycloak |
Die ID der aktuellen Nutzenden |
Session |
KEYCLOAK_SESSION_LEGACY |
Keycloak |
Die ID der aktuellen Browsersitzung |
Session |
KEYCLOAK_SESSION |
Keycloak |
Die ID der aktuellen Browsersitzung |
Session |
XSRF-TOKEN |
Keycloak |
Gewährleistet die Sicherheit der Besucherinnen und Besucher beim Surfen, indem es Cross-Site Request Forgery verhindert |
Session |
KC_RESTART |
Keycloak |
Identifiziert eingeloggte Benutzende |
Session |
F) Datenverarbeitung durch Cookies¶
Schullogin sowie angebundene Dienste verwenden nach Login von Nutzenden sog. Session-Cookies. Über solche Cookies sichern die Verantwortlichen die aktuelle Sitzung (Session), d. h. die technische Verbindung zwischen Browser und Server, ab. Die verwendeten Cookies werden nur während der Dauer des Besuches auf dem Endgerät gespeichert. Sobald die Nutzenden den Browser schließen, werden die Session-Cookies automatisch wieder gelöscht.
G) Datenweitergabe über die Grenzen der EU hinaus und an andere Dritte¶
Die von den Verantwortlichen erhobenen Daten und die von den Nutzenden eingestellten Daten werden ausschließlich auf Servern in der Europäischen Union oder in solchen Staaten gespeichert, für die ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Über die in dieser Datenschutzerklärung beschriebenen Datenübermittlungen hinaus findet keine Datenweitergabe an andere Unternehmen oder Behörden statt. Ausgenommen hiervon können die Verantwortlichen in ganz besonderen Fällen nach den Vorschriften des Jugendschutzgesetzes, des Jugend-Medien-Staatsvertrages oder auf Grund des Strafrechts verpflichtet sein, bestimmte Daten an die zuständigen Stellen zu übermitteln.