.. ==================================================
.. FOR YOUR INFORMATION
.. --------------------------------------------------
.. -*- coding: utf-8 -*- with BOM.
.. include:: ../Includes.rst.txt
.. _DSE:
====================
Datenschutzerklärung
====================
Ãœber Schullogin
---------------
Schullogin ist ein Single-Sign-on-Dienst für Schulen im Freistaat
Sachsen. Über Schullogin können insbesondere Schülerinnen, Schüler und
Lehrkräfte auf eine Reihe von Diensten zugreifen und diese im Einklang
mit den Nutzungsbedingungen für schulische Zwecke nutzen.
Wenn Sie Schullogin oder einen der angebundenen Dienste nutzen, werden
personenbezogene Daten im datenschutzrechtlichen Sinne (im Weiteren
immer nur als "Daten" bezeichnet) verarbeitet. Aus diesem Grund sind die
Verantwortlichen für den Betrieb der Plattform nach den Vorschriften der
Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes
(BDSG) und des Sächsischen Datenschutzdurchführungsgesetzes (SächsDSDG)
verpflichtet, über die Datenverarbeitungen in dieser
Datenschutzerklärung hinreichend zu informieren.
Rechte und Beschwerdemöglichkeiten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Alle Betroffenen haben gegenüber den jeweiligen Verantwortlichen
folgende Rechte hinsichtlich der sie betreffenden Daten:
- Recht auf Auskunft,
- Recht auf Berichtigung oder Löschung,
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Widerruf Ihrer Einwilligung,
- Recht auf Widerspruch gegen die Verarbeitung,
- Recht auf Datenübertragbarkeit.
Diese Rechte können jederzeit geltend gemacht werden, indem sich die
bzw. der Betroffene an die Verantwortlichen oder deren
Datenschutzbeauftragte wendet.
Es findet keine automatisierte Entscheidungsfindung in Bezug auf
personenbezogene Daten statt (vgl. Art. 14 Abs. 2 lit. g) DS-GVO).
Datenschutzbeauftragter
~~~~~~~~~~~~~~~~~~~~~~~
| Datenschutzbeauftragter des Landesamtes für Schule und Bildung
| Dresdner Straße 78c
| 01445 Radebeul
| E-Mail: dsgvo@lasub.smk.sachsen.de
Zuständige Aufsichtsbehörde
~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sollten Betroffene mit der Datenverarbeitung nicht einverstanden sein,
besteht jederzeit die Möglichkeit, bei der zuständigen Aufsichtsbehörde,
der Sächsischen Datenschutz- und Transparenzbeauftragten, Beschwerde
einzulegen.
| Sächsische Datenschutz- und Transparenzbeauftragte
| Frau Dr. Juliane Hundert
| Devrientstraße 5
| 01067 Dresden
| Telefon: +49 (0) 351 85471 101
| Telefax: +49 (0) 351 85471 109
| Internet: `www.datenschutz.sachsen.de <https://www.saechsdsb.de/>`__
| E-Mail: post@sdtb.sachsen.de
A) Geltungsbereich
------------------
Diese Datenschutzerklärung gilt für Schullogin und die nachfolgenden
angebundenen Dienste:
- Nachrichten
- Dateiablage
- Videokonferenz
- Etherpad
- Assistent KAI
- Vermittlungsdienst für das digitale Identitätsmanagement in Schulen
(VIDIS)
Diese Datenschutzerklärung gilt auch für die Datenübermittlung von
Schullogin an die angebundenen Dienste Moodle und OPAL Schule. Für die
Datenverarbeitung innerhalb der beiden Dienste gelten eigene
Datenschutzerklärungen. Für Dienste, die via VIDIS an Schullogin
angebunden sind, gelten ebenfalls eigene Datenschutzerklärungen.
B) Verantwortliche für die Datenverarbeitung
--------------------------------------------
Verantwortlich für den technischen Betrieb der Plattform Schullogin und
der Dienste, welche dem Geltungsbereich dieser Datenschutzerklärung
unterfallen, ist das Sächsische Staatsministerium für Kultus.
Verantwortlich für die Datenverarbeitung ist die Schule oder sonstige
Stelle der jeweils nutzenden Person. Das Sächsische Staatsministerium
für Kultus bedient sich zur Durchführung des technischen Betriebs der
Technischen Universität Dresden (Schullogin, Greenlight), der IBH
IT-Service GmbH (Big-Blue-Button) und der T-Systems International GmbH
(Dateiablage) als datenschutzrechtliche Auftragsverarbeiter.
Hinsichtlich der weiteren an Schullogin angebundenen Dienste sind Schule
oder sonstige Stelle der jeweils nutzenden Person verantwortlich.
C) Datenverarbeitung zur Nutzung der Plattform Schullogin
---------------------------------------------------------
§ I. Erstellung eines Accounts
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Für die Nutzung von Schullogin muss ein individueller Schullogin-Account
erstellt werden. Die Entscheidung hierüber trifft die jeweilige Schule
in Erfüllung des gesetzlichen Erziehungs- und Bildungsauftrags gemäß
Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des Sächsischen
Schulgesetzes (SächsSchulG).
Folgende Daten (im Weiteren Stammdaten) werden dabei verarbeitet:
- Nachname
- Vorname
- Einrichtung
- Klasse
- Klassenstufe
- Rolle
Die Stammdaten bezieht Schullogin aus der Sächsischen
Schulverwaltungssoftware SaxSVS, welche ebenfalls vom Sächsischen
Staatsministerium für Kultus betrieben wird. Wird ein Schullogin-Account
erstellt, werden die folgenden weiteren Daten erzeugt und dem Account
zugeordnet:
- eindeutiger Anmeldename
- E-Mail-Adresse
Der Anmeldename kann jederzeit in den Profileinstellungen eingesehen
werden.
Wird Mitarbeiterinnen und Mitarbeitern des Geschäftsbereichs des
Sächsischen Staatsministeriums für Kultus eine Nutzung gewährt, erfolgt
dies datenschutzrechtlich im Rahmen ihres Beschäftigungs- oder
Dienstverhältnisses. Wird weiteren Personen, z. B.
Kooperationspartnerinnen und -partnern, eine Nutzung gewährt, erfolgt
dies datenschutzrechtlich auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO).
§ II. Änderung des Accounts
~~~~~~~~~~~~~~~~~~~~~~~~~
Stammdaten von Lehrkräften, Schülerinnen und Schülern können nur in
SaxSVS geändert werden. Anmeldename und E-Mail-Adresse sind
unveränderlich. Die Nutzenden haben die Möglichkeit, das für sie
zunächst vergebene Passwort jederzeit eigenständig zu ändern und sich
einen sog. Login-Alias zu geben. Dieser Login-Alias kann anstelle des
initial vergebenen Anmeldenamens zur Anmeldung an Schullogin verwendet
werden.
§ III. Datenverarbeitung zur technischen Sicherheit
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Um die technische Sicherheit von Schullogin zu gewährleisten, werden in
einer Protokolldatei (sog. "Logfile") Informationen darüber erfasst,
wann sich Nutzende von welcher Internet-IP-Adresse aus in Schullogin
einloggen und ob es hierbei Fehlversuche gab. Zum Schutz vor
missbräuchlicher Nutzung durch Spam-Versand wird der Ausgang von E-Mails
protokolliert und das Sendeverhalten automatisiert ausgewertet. Diese
Datenverarbeitung setzt die nach Art. 32 Abs. 1 lit. b) DS-GVO in
Verbindung mit § 13 Abs. 2 des Sächsischen
Informationssicherheitsgesetzes (SächsISichG) bestimmte Pflicht um, für
die Sicherheit der Datenverarbeitung Sorge zu tragen.
§ IV. Datenverarbeitung zur Nachverfolgung von Änderungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Weiterhin werden alle Änderungen an den Daten eines Accounts ebenfalls
in Logfiles protokolliert. Hierbei wird auch protokolliert, durch wen
eine Änderung vorgenommen wurde.
Diese Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1
lit. b) DS-GVO bestimmte Pflicht um, personenbezogene Daten vor
unberechtigter Veränderung zu schützen.
§ V. Löschung des Accounts und der gespeicherten Daten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sämtliche Accountdaten werden 45 Tage nach dem Ende des Schulhalbjahres
gelöscht, in dem eine Person aus der Schule ausscheidet. Stichtage für
das Ende eines Schulhalbjahres sind der 14. Februar und der 31. Juli
eines Jahres.
Log-Dateien werden jeweils nach Ablauf von 90 Tagen seit der Erfassung
gelöscht.
Eine unverzügliche Löschung von Accountdaten gemäß Art. 17 DS-GVO (Recht
auf Löschung) ist nur möglich für Nutzende, bei denen die Verarbeitung
personenbezogener Daten auf Basis einer Einwilligung erfolgt (vgl.
Art. 17 DSGVO Abs. 3). Dies schließt Schülerinnen, Schüler und
Lehrkräfte aus, deren Daten zur Erfüllung des gesetzlichen Bildungs- und
Erziehungsauftrags verarbeitet werden.
Nach einer Löschung können Daten noch bis zu 12 Monate in den Backups
der IT-Systeme von Schullogin enthalten sein. Die Durchführung von
Backups setzt die nach Art. 32 Abs. 1 lit. c) DS-GVO bestimmte Pflicht
um, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu
ihnen bei einem physischen oder technischen Zwischenfall rasch
wiederherzustellen.
D) Datenverarbeitung in den angebundenen Diensten
-------------------------------------------------
Alle Dienste im Geltungsbereich dieser Datenschutzerklärung werden
grundsätzlich auf getrennten Systemen betrieben. Beim Aufruf eines
Dienstes aus Schullogin heraus, werden Daten von Schullogin an diesen
Dienst übermittelt. Welche Daten jeweils beim Aufruf eines Dienstes von
Schullogin übermittelt werden, wird beim Aufruf des Dienstes angezeigt.
Darüber hinaus werden in der Regel auch im aufgerufenen Dienst Daten
verarbeitet.
§ I. Datenverarbeitung in Nachrichten (Maildienst)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "Nachrichten" ist ein E-Mail-Postfach. Die für das Postfach
notwendige E-Mail-Adresse wird durch Schullogin direkt bei der
Erstellung des Accounts mit angelegt. Die Rechtmäßigkeit dieser
Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit
§ 1 SächsSchulG.
Über diesen Dienst können die Nutzenden mit allen anderen Nutzenden von
Schullogin kommunizieren, indem sie deren E-Mail-Adressen als
Empfängerinnen und Empfänger der E-Mail angeben.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen
Änderungen an den verfügbaren Einstellungen. Diese Datenverarbeitung
setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO bestimmte
Pflicht um, personenbezogene Daten vor unberechtigter Veränderung zu
schützen.
Standardmäßig werden automatisch die Kontaktdaten aller von einem
Nutzenden angegebenen E-Mail-Empfängerinnen und -Empfänger dem eigenen
Adressbuch hinzugefügt. Zusätzlich können jederzeit eigene Kontakte dem
Adressbuch hinzugefügt werden.
Alle empfangenen und versendeten Nachrichten werden so lange
gespeichert, bis die Nutzenden diese eigenständig löschen oder der
betreffende Schullogin-Account gelöscht wird.
§ II. Datenverarbeitung in Dateiablage (Nextcloud)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "Dateiablage" ist ein Cloud-Speicher-Dienst, umgesetzt mit
der Software Nextcloud. Über den Dienst ist es möglich, Dateien online
zu speichern und zu verwalten. Die Rechtmäßigkeit dieser
Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit
§ 1 des SächsSchulG.
Neben der Möglichkeit, Daten hochzuladen, können diese Daten abhängig
von der eigenen Rolle als *student* oder *teacher* auch mit anderen
geteilt werden. Accounts mit der Rolle *student* haben nur die
Möglichkeit, Daten oder Ordner mit Nutzenden an der eigenen Schule oder
sonstigen Stelle zu teilen.
Accounts mit der Rolle *teacher* haben die Möglichkeit, einen Ordner
freizugeben (Bereitstellungsordner). Die dort enthaltenen Daten können
von den Nutzenden, an die der Ordner freigegeben wurde, eingesehen
werden und in den eigenen Speicher kopiert werden.
Accounts mit der Rolle *teacher* haben weiterhin die Möglichkeit, einen
Ordner so freizugeben, dass andere Nutzende dort eigene Daten ablegen
können (Abgabeordner). Die im Ordner abgegebenen Daten können nur von
den Nutzenden, die die Daten einstellen, und von Personen, die den
Ordner freigegeben haben, eingesehen werden. Andere Nutzende, für die
der Ordner auch freigegeben wurde, können immer nur ihre eigenen Daten
sehen.
Accounts mit der Rolle *teacher* können zuletzt auch Ordner so
freigeben, dass alle für den Ordner freigegebenen Nutzenden alle
eingestellten Daten einsehen und bearbeiten können und neue Daten
einstellen können, die dann wieder von allen anderen freigegebenen
Nutzenden eingesehen und bearbeitet werden können. Accounts mit der
Rolle *teacher* können hierbei jederzeit die Freigabe entziehen und den
weiteren Zugriff für einzelne Nutzende oder alle Nutzende sperren.
Wie lange die eingestellten Daten gespeichert werden, entscheiden immer
diejenigen Personen, die die jeweiligen Ordner besitzen, in denen die
Daten liegen.
Alle Daten werden spätestens dann gelöscht, wenn der betreffende
Schullogin-Account gelöscht wird.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen
Änderungen an den verfügbaren Einstellungen. Diese Datenverarbeitung
setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DS-GVO
bestimmte Pflicht um, personenbezogene Daten vor unberechtigter
Veränderung zu schützen.
§ III. Datenverarbeitung in Videokonferenz (BigBlueButton / Greenlight)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "Videokonferenz" ist ein Videokonferenzdienst umgesetzt mit
der Software "BigBlueButton". Ãœber den Dienst ist es Accounts mit der
Rolle *teacher* möglich, Videokonferenzen zu starten und zu verwalten.
Die Verwaltung der Räume erfolgt über die Software Greenlight. Die
Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO
in Verbindung mit § 1 SächsSchulG.
Für die Dauer einer Konferenz können Daten als Präsentation, im Chat
oder in den geteilten Notizen verarbeitet werden, Accounts mit der Rolle
*teacher* können durch Moderationsrecht festlegen, welche Daten für
welche Teilnehmenden einsehbar sind.
Accounts mit der Rolle *student* haben nur die Möglichkeit, an
Videokonferenzen teilzunehmen, die zuvor von einer Lehrkraft erstellt
wurden.
Konferenzdaten werden für die Dauer der Konferenz verarbeitet. Dies
sind:
- technische Daten zur Konferenzdurchführung (Konferenz-ID,
Konferenz-Besitzende, Datum der Konferenzerstellung und der letzten
Nutzung einer Konferenz, technische Eigenschaften des Konferenzraumes,
ggf. weitere Nutzungsdaten durch Eingaben des Nutzenden),
- Aktionen der Teilnehmenden während der Konferenz
Mit Beendigung der Konferenz werden alle Konferenzdaten gelöscht. Bild-
und Tondaten werden im Moment der Ãœbertragung verarbeitet (Streaming).
Die audiovisuelle Aufzeichnung von Konferenzen innerhalb des Systems ist
nicht möglich. Eine dauerhafte Speicherung findet nicht statt.
Alle weiteren Daten werden spätestens dann gelöscht, wenn der
betreffende Schullogin-Account gelöscht wird.
Neben Schullogin können Schulen über einen API-Schlüssel die
Raumverwaltung in selbstständig betriebene Dienste (z. B. LernSax,
Moodle, Dateiablage) integrieren.
Der Dienst verarbeitet Logfiles über die von den Nutzenden vorgenommenen
Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für
die Dauer von 4 Wochen bei einem Auftragsverarbeiter des
Verantwortlichen gespeichert und hiernach gelöscht. Diese
Datenverarbeitung setzt die nach Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b)
DS-GVO bestimmte Pflicht um, personenbezogene Daten vor unberechtigter
Veränderung zu schützen.
§ IV. Datenverarbeitung in Moodle
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "Moodle" ist ein Learning-Management-System, der bspw. die
Teilnahme an Online-Kursen ermöglicht.
Die Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6
Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
§ V. Datenverarbeitung in Etherpad
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "Etherpad" ermöglicht es, gemeinsam mit anderen an
Textdokumenten (sog. Pads) zu arbeiten. Die Rechtmäßigkeit dieser
Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit
§ 1 des SächsSchulG.
Bei Aufruf des Dienstes legt die Software "Etherpad" eine Cookie-Datei
im Speicher des Browsers an. Diese Datei enthält keine personenbezogenen
Daten, wird nach 60 Tagen automatisch gelöscht und kann vom Nutzenden
jederzeit vorzeitig über die Browsereinstellungen gelöscht werden. Alle
Eingaben, die Nutzende während der Lebensdauer dieser Datei bei Etherpad
mit dem betreffenden Browser tätigen, können einander zugeordnet werden.
Dazu gehört auch der frei wählbare anzuzeigende Name, den Nutzende sich
im Dienst geben können. Über diesen sollen Nutzende für andere Nutzende
eines gemeinsamen Dokuments erkennbar sein.
Um auf ein Pad zuzugreifen oder ein eigenes zu erstellen, ist es nicht
notwendig, sich ein Passwort oder Ähnliches zu überlegen. Das bedeutet
aber, dass grundsätzlich alle Nutzenden von Schullogin auf alle Pads
zugreifen können, indem der Name eines Pads eingegeben oder erraten
wird.
Weiterhin kann auch ein Link zu einem Pad erzeugt und an andere
Nutzende von Schullogin weitergegeben werden.
Wird in einem Pad gearbeitet, so werden alle Eingaben vollständig
aufgezeichnet, um jederzeit eine frühere oder spätere Version des
Dokuments aufrufen zu können. Hierbei wird auch immer angezeigt, wer
Änderungen vorgenommen hat. Zu jedem Pad gibt es einen Chat. Die
Beiträge in diesem Chat werden ebenfalls aufgezeichnet und über die
Cookie-Datei mit dem eingegebenen Namen verknüpft.
Jedes Pad wird, wenn es 30 Tage lang nicht aufgerufen worden ist,
automatisch gelöscht. Eine manuelle Löschung kann nicht vorgenommen
werden.
Wird das Pad gelöscht, werden auch alle Informationen zu den Änderungen
gelöscht.
Zum Schuljahreswechsel am 01.08. findet eine jährliche Löschung der
gesamten Etherpad-Datenbank statt. Hiermit werden alle Pads, Chats,
sämtliche Eingaben von Nutzenden sowie Zuordnungen zu Cookie-Dateien
gelöscht.
§ VI. Datenverarbeitung in OPAL Schule
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Dienst "OPAL Schule" ist ein Learning-Management-System, der bspw.
die Teilnahme an Online-Kursen ermöglicht. Die Rechtmäßigkeit der Datenverarbeitung folgt aus
Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 des SächsSchulG.
§ VII. Datenverarbeitung in KAI
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Assistent KAI ist ein digitaler Dienst zur Unterstützung von
Lehrkräften bei der Unterrichtsvorbereitung, -durchführung und
-nachbereitung mithilfe eines Zugangs zu generativer Künstlicher
Intelligenz. Der Zugang wird ermöglicht über eine Schnittstelle (API,
engl. für *application programming interface*) zu verschiedenen Large
Language Models (LLM) sowie bildgenerierenden KI-Modellen. Für
Lehrkräfte wird ein textbasierter Chatbot bereitgestellt, welcher
Gespräche menschenähnlich simulieren und Bilder generieren kann. Eine
Nutzung erfolgt im pädagogischen Ermessen der Lehrkraft.
Eine DS-GVO-konforme Nutzung wird ermöglicht, indem sämtliche Nutzer des
Dienstes gegenüber dem Anbieter des jeweiligen KI-Modells als ein
einziger Nutzer auftreten. Damit sind die Daten nicht mehr
personenbezogen. Hierdurch und dadurch, dass die Eingabe
personenbezogener Daten nicht gestattet ist, verarbeitet der Anbieter
des jeweiligen KI-Modells keine personenbezogenen Daten.
Der für die Nutzung des Dienstes notwendige Account in der Software wird
beim ersten Aufruf des Dienstes über Schullogin angelegt. Die
Rechtmäßigkeit der Datenverarbeitung folgt aus Art. 6 Abs. 1 lit. e) DS-GVO
in Verbindung mit § 1 des SächsSchulG.
Konkrete Zwecke der Datenverarbeitung sind die Erbringung des Dienstes
und die hiermit verbundene Ressourcenplanung. Stammdaten, Nutzungsdaten
und statistische Daten werden für die Nutzung des Dienstes zu
pädagogischen Zwecken und zur Gewährung des monatlichen
Nutzungskontingents verarbeitet.
Die Ein- und Ausgaben in den Chats sowie Logfiles werden jeweils bis 4
Wochen nach Ende eines Schuljahres gespeichert und danach vollständig
gelöscht.
Auf Anfrage ist das Löschen aller Daten eines Nutzers mit einer Frist
von 14 Tagen möglich, damit verliert der Nutzer jedoch die Möglichkeit,
die Statistiken sowie Ein- und Ausgaben der Zeit vor dem Löschzeitpunkt
anzuzeigen.
Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der
betreffende Schullogin-Account gelöscht wird.
E) Datenverarbeitung im Zuge der Pilotierungsphase des DigitalPakt-Vorhabens VIDIS
----------------------------------------------------------------------------------
Der Vermittlungsdienst für das digitale Identitätsmanagement in Schulen
(VIDIS) ist Gegenstand eines länderübergreifenden Vorhabens (lüV) im
Zuge des DigitalsPakts Schule 2019 bis 2024. VIDIS soll es Schülerinnen,
Schülern und Lehrkräften ermöglichen, sich mit ihrem bereits bestehenden
Benutzerkonto ihres Landesportals (Identitätsanbieter) anzumelden, um so
auf digitale Bildungsangebote von Dritten (Diensteanbieter) zugreifen zu
können.
Probebetrieb und Entwicklung von VIDIS werden durch das FWU Institut für
Film und Bild in Wissenschaft und Unterricht gemeinnützige GmbH (FWU)
durchgeführt, beauftragt durch die Länder im Rahmen des o. g. lüV. Vor
Aufnahme eines potentiellen Regelbetriebs von VIDIS sieht das Vorhaben
eine Pilotierungsphase vor. Der Freistaat Sachsen beteiligt sich mit
seinem in Zusammenarbeit mit der TUÂ Dresden entwickelten und betriebenen
Dienst Schullogin als sächsischem Identitätsanbieter an der Pilotierung
von VIDIS.
Für Dienste von VIDIS, die über die URLs aai-test.vidis.schule sowie
aai.vidis.schule abrufbar sind, gilt Folgendes:
Es werden personenbezogene Daten verarbeitet, die FWU zur Erbringung des
Dienstes VIDIS zulässigerweise als Auftragsverarbeiter erhalten hat.
Relevante personenbezogene Daten sind ausschließlich: Identifikator,
Rolle (Unterscheidung Lehrkraft/Schüler/-in), Schulidentifikator,
Gerätedaten, IP-Adresse, Log-Daten.
Die Verarbeitung von personenbezogenen Daten im Rahmen von VIDIS erfolgt
zur Erfüllung des Bildungs- und Erziehungsauftrags. Die Rechtsgrundlage
für die Verarbeitung von Daten durch die Schule mittels VIDIS ergibt
sich, soweit im Folgenden nichts anderes angegeben ist, aus Art. 6
Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 SächsSchulG.
Die personenbezogenen Daten werden natürlichen oder juristischen
Personen, Behörden, Einrichtungen oder anderen Stellen offengelegt, wenn
dies für die Erfüllung von FWU oder deren Aufgaben oder Verpflichtungen
rechtlich zulässig und erforderlich ist. Empfänger personenbezogener
Daten können insbesondere sein:
- Mitarbeitende des FWU und folgende von FWU eingesetzte
Unterauftragsverarbeiter (Art. 28 DS-GVO):
- intension GmbH, Zeppelinstr. 10, 73760 Ostfildern
- Akenes SA trading ("Exoscale"), Boulevard de Grancy 19A, 1006
Lausanne, Switzerland
Die intension GmbH ist der Dienstleister, der die VIDIS Architektur im
Pilotbetrieb erstellt und betreibt und im Rahmen dessen die Möglichkeit
hat, in Daten Einsicht zu nehmen. Als technischer Dienstleister des FWU
nimmt die Akenes SA trading as Exoscale Daten und Erklärungen entgegen,
diese Daten werden auf Servern der Akenes SA trading as Exoscale
gespeichert. Es wird die Cloud-Infrastruktur von "Exoscale" in einem
Cluster in München mit Fail-Over in Frankfurt genutzt. Die Akenes SA
trading as "Exoscale" hat ihren Sitz in Lausanne, Schweiz. Für die
Schweiz existiert als Drittland ein Angemessenheitsbeschluss gem.
Art. 45 Abs. 1, Abs. 3 DS-GVO.
Entsprechende Vereinbarungen zur Verarbeitung personenbezogener Daten
mit der Akenes SA und der intension GmbH zum Schutz sämtlicher Daten
liegen vor.
An weitere Datenempfänger außerhalb des FWU gibt FWU Daten zu anderen
als den in diesen Hinweisen genannten Zwecken nur weiter, sofern
gesetzliche Bestimmungen dies erlauben oder gebieten oder FWU zur
Erteilung einer Auskunft befugt ist. FWU verarbeitet und speichert
personenbezogene Daten, solange es für die Erfüllung der vertraglichen
und/oder gesetzlichen Pflichten und zur Aufgabenerfüllung erforderlich
ist. Dieser Zeitraum ist beschränkt auf die Dauer, in der die Aufgaben
ausgeführt werden.
FWU nutzt keine vollautomatisierte Entscheidungsfindung gemäß Art. 22
DS-GVO. Die personenbezogenen Daten werden auch nicht mit dem Ziel
genutzt, bestimmte Aspekte zu bewerten (Profiling).
Der technische Dienstleister für die Dienste von VIDIS erhebt und
speichert automatisch Informationen in Logfiles, die der Browser
automatisch an FWU übermittelt. Dies sind:
- Browsertyp und Browserversion
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse, anonymisiert
Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von
Angriffsversuchen, werden diese Daten von FWU gespeichert. Nach
spätestens sieben Tagen werden die Daten gelöscht, so dass es nicht mehr
möglich ist, einen Bezug auf einzelne Nutzende herzustellen; ein
Abgleich mit anderen Datenbeständen oder eine Weitergabe an Dritte, auch
in Auszügen, findet nicht statt. Diese Datenverarbeitung setzt die nach
Art. 32 Abs. 1 lit. b) DS-GVO in Verbindung mit § 13 Abs. 2 des
Sächsischen Informationssicherheitsgesetzes (SächsISichG) bestimmte
Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.
Folgende technisch-notwendigen Cookies werden gespeichert und
übermittelt:
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| Name | Anbieter | Zweck | Ablauf |
+===========================+==========+=========================================================================================================================+=========+
| AUTH_SESSION_ID_LEGACY | Keycloak | Dieses Cookie ist für die Login-Funktion auf der Website erforderlich | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| AUTH_SESSION_ID | Keycloak | Dieses Cookie ist für die Login-Funktion auf der Website erforderlich | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| KEYCLOAK_IDENTITY_LEGACY | Keycloak | Die ID der aktuellen Nutzenden | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| KEYCLOAK_IDENTITY | Keycloak | Die ID der aktuellen Nutzenden | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| KEYCLOAK_SESSION_LEGACY | Keycloak | Die ID der aktuellen Browsersitzung | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| KEYCLOAK_SESSION | Keycloak | Die ID der aktuellen Browsersitzung | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| XSRF-TOKEN | Keycloak | Gewährleistet die Sicherheit der Besucherinnen und Besucher beim Surfen, indem es Cross-Site Request Forgery verhindert | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
| KC_RESTART | Keycloak | Identifiziert eingeloggte Benutzende | Session |
+---------------------------+----------+-------------------------------------------------------------------------------------------------------------------------+---------+
F) Datenverarbeitung durch Cookies
----------------------------------
Schullogin sowie angebundene Dienste verwenden nach Login von Nutzenden
sog. Session-Cookies. Ãœber solche Cookies sichern die Verantwortlichen
die aktuelle Sitzung (Session), d. h. die technische Verbindung zwischen
Browser und Server, ab. Die verwendeten Cookies werden nur während der
Dauer des Besuches auf dem Endgerät gespeichert. Sobald die Nutzenden
den Browser schließen, werden die Session-Cookies automatisch wieder
gelöscht.
G) Datenweitergabe über die Grenzen der EU hinaus und an andere Dritte
----------------------------------------------------------------------
Die von den Verantwortlichen erhobenen Daten und die von den Nutzenden
eingestellten Daten werden ausschließlich auf Servern in der
Europäischen Union oder in solchen Staaten gespeichert, für die ein
Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Über die in dieser Datenschutzerklärung beschriebenen
Datenübermittlungen hinaus findet keine Datenweitergabe an andere
Unternehmen oder Behörden statt. Ausgenommen hiervon können die
Verantwortlichen in ganz besonderen Fällen nach den Vorschriften des
Jugendschutzgesetzes, des Jugend-Medien-Staatsvertrages oder auf Grund
des Strafrechts verpflichtet sein, bestimmte Daten an die zuständigen
Stellen zu übermitteln.