Datenschutzerklärung

Stand: Oktober 2023

Anmerkung: Im Folgenden ist nur vom Online-Übungssystem die Rede. Dasselbe System ist im Prüfungskontext auch unter dem Namen Online-Prüfungssystem erreichbar, wofür dieselben Ausführungen gelten. (Beide Namen sind Aliasse für dasselbe System, die nur in unterschiedlichen Kontexten verwendet werden.)

I. Name und Anschrift des Verantwortlichen

Die Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung und der jeweils einschlägigen nationalen Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen („Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“) ist die

FernUniversität in Hagen
Universitätsstraße 47
58097 Hagen

Körperschaft des Öffentlichen Rechts
vertreten durch
die Rektorin
Tel.: 02331 987 - 2400
E-Mail: rektorin@fernuni-hagen.de

II. Kontaktdaten der/des Datenschutzbeauftragten

Erreichbarkeit des behördlich bestellten Datenschutzbeauftragten:

Postanschrift:
Datenschutzbeauftragter der FernUniversität in Hagen
58084 Hagen

Hausanschrift:
Universitätsstraße 27
58097 Hagen

Tel.: 02331 987 - 2511
E-Mail: Datenschutzbeauftragter@FernUni-Hagen.de

III. Allgemeines zur Datenverarbeitung

Datenverarbeitungsvorgänge umfassen das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermitteln und Löschen von personenbezogenen oder personenbeziehbaren Daten.
Personenbezogene oder personenbeziehbare Daten (nachfolgend kurz: personenbezogene Daten) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer Identität sind.

Die FernUniversität in Hagen als Körperschaft des Öffentlichen Rechts verarbeitet personenbezogene Daten auf Grundlage der EU-Datenschutz-Grundverordnung (DSGVO) sowie der einschlägigen nationalen Datenschutzgesetze und -bestimmungen der Bundesrepublik Deutschland und des Landes Nordrhein-Westfalen, die ergänzend oder nachrangig zu den Vorschriften der Europäischen Union Anwendung finden. Dies ist nach seinem Inkrafttreten insbesondere das Datenschutzgesetz des Landes Nordrhein-Westfalen in seiner an die DSGVO angepassten Fassung.

Der Zweck, Umfang und die Dauer unserer Datenverarbeitungsvorgänge richtet sich in den meisten Fällen nach dem gesetzlichen Auftrag der Hochschule gemäß § 3 Hochschulgesetz NRW und der damit in Verbindung stehenden Rechtsnormen.
Dieser Auftrag umfasst insbesondere die Pflege und Entwicklung der Wissenschaften durch Forschung, Lehre, Studium, wissenschaftlicher Nachwuchsförderung und Wissenstransfer unter Berücksichtigung der sozialen und demokratischen Verantwortung. Besonderes Einsatzgebiet der FernUniversität in Hagen ist die Förderung und Entwicklung des Fernstudiums.
Des Weiteren unterliegt die Hochschule bei der Erfüllung ihres Auftrags diversen gesetzlichen Verpflichtungen (z.B. des Finanzrechts), die eine Verarbeitung von personenbezogenen Daten erforderlich machen.
In Erfüllung ihrer Aufgaben ist die FernUniversität außerdem verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Auch diese Maßnahmen können die Verarbeitung von personenbezogenen Daten bedingen.
(Rechtmäßigkeitsgrundlage in der DSGVO: Art. 6 Abs. 1 lit. e)

Weitere Informationen zu den Datenverarbeitungsvorgängen finden Sie in den zentralen Ordnungen und Regularien der Hochschule (z.B. der Zulassungs- und Einschreibungsordnung) sowie in den Nutzungshinweisen zu den einzelnen Anwendungen.

Darüber hinaus kann eine Datenverarbeitung erfolgen, sofern Sie hierzu Ihre explizite, jederzeit widerrufbare Einwilligung gegeben haben.
(Rechtmäßigkeitsgrundlage in der DSGVO: Art. 6 Abs. 1 lit. a)

Werden personenbezogene Daten zu Ihrer Person verarbeitet, sind Sie Betroffene/r i.S.d. DSGVO. Rechte, die Ihnen als Betroffene/r gegenüber der FernUniversität zustehen, finden Sie im letzten Abschnitt dieser Erklärung.

Hinweis:
Die FernUniversität ist als Hochschule dezentral in Fachbereichen bzw. Fakultäten organisiert und verfügt neben der Hochschulverwaltung über wissenschaftliche Einrichtungen und Betriebseinheiten. Die dezentrale Organisation spiegelt sich auch im Aufbau der IT-Systemlandschaft und den Websites wieder. Um Ihnen dennoch einen möglichst einheitlichen Überblick über die Datenverarbeitungsvorgänge zu ermöglichen, bildet diese Datenschutzerklärung den übergeordneten, verbindlichen Rahmen. Dort, wo Websites oder IT-Anwendungen eine zulässige weitere oder ergänzende Datenverarbeitung vorsehen, werden Sie auf der Seite selbst informiert.

IV. Datenverarbeitungsvorgänge bei Nutzung des Online-Übungssystems

1. Bereitstellung der Webapplikation und Erstellung von Logfiles

Logfile

Das Online-Übungssystem führt serverseitig ein Logfile, in dem insbesondere jeder HTTP-Zugriff (jede Verbindung eines Webbrowsers zum Online-Übungssystem) vermerkt wird. Das Log erfasst zu jedem Zugriff insb. den Zeitpunkt, IP-Adresse, URL-Pfad, bei authentifizierungspflichtigen Services auch den eingegebenen Loginnamen sowie die Information, ob der Login akzeptiert oder abgelehnt wurde (und wenn ja, i.d.R. Hinweise auf den Grund der Ablehnung). Hinzu kommen weitere technische Informationen wie z.B., ob der Zugriff TLS-geschützt war (https://) und wie der HTTP-Response-Code lautet. Auch interne Vermerke zur Service-Abarbeitung (insb. zu bei der Abarbeitung aufgetretenen Fehlern) können gespeichert werden.

Diese Informationen dienen insbesondere zu folgenden Zwecken:

  • Fehleranalyse und Problembehebung,
  • Sicherstellung der Sicherheit unserer informationstechnischen Systeme,
  • Benutzersupport (Second-Level-Support durch einen Übungssystem-Administrator),
  • Klärung verschiedener Sachverhalte (z.B. Bestätigung eines unverschuldeten Fristversäumnisses aufgrund technischer Probleme auf Systemseite),
  • Quelle für Statistiken.

Das Logfile wird jeweils über ein Semester aufgezeichnet und im Laufe des nachfolgenden Semesters wieder gelöscht. Lediglich die Systemadministratoren haben Zugriff darauf.

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO.

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

TLS/SSL-transportgesicherte Verbindungen

Um Ihre Datenübermittlung bestmöglich zu schützen, nutzt auch das Online-Übungssystem eine TLS-Transportverschlüsselung (früher als SSL bezeichnet). Das bedeutet, dass zwischen Browser und Online-Übungssystem eine „abhörsichere Verbindung“ aufgebaut wird, also die übertragenen Daten nicht einfach von Dritten mitgelesen werden können. Sie erkennen derart transportverschlüsselte Verbindungen an dem Protokoll-Präfix „https://“ im URL in der Adresszeile und typischerweise an einem Schloss-Symbol in der Adressleiste Ihres Browsers. Unverschlüsselte Verbindungen sind durch „http://“ gekennzeichnet.

Das Online-Übungssystem erlaubt prinzipiell das Abrufen einzelner (loginfreier) Seiten über eine unverschlüsselte HTTP-Verbindung, nahezu alle Links fordern ihre Ziele jedoch immer transportverschlüsselt (per „https://“-Präfix) an. Damit Ihr Anmeldename und Kennwort stets geschützt werden, wird das Online-Übungssystem insbesondere nicht über eine unverschlüsselte Verbindung um einen Login bitten, sondern den Browser zunächst zum Wechsel auf HTTPS auffordern, bevor – über den dann gesicherten Kanal – eine Loginaufforderung gesendet wird.

Weiterhin nutzt das Online-Übungssystem das HSTS-Verfahren (HTTP Strict Transport Security), d.h. Ihr Browser wird nach dem ersten erfolgreichen HTTPS-Zugriff informiert, dass er zukünftig grundsätzlich keine unverschlüsselten Verbindungen mehr verwenden soll, selbst wenn eine Seite nur per „http://“-Präfix angefordert wird. Jeder aktuelle Browser wird dann automatisch immer „http://online-uebungssystem.fernuni-hagen.de“ als „https://online-uebungssystem.fernuni-hagen.de“ interpretieren.

2. Verwendung von Cookies und LocalStorage

Cookies

Das Online-Übungssystem kommt in der Regel ohne Cookies aus. Einige wenige Cookies können gespeichert werden, werden jedoch ausschließlich vom Online-Übungssystem verwendet und nicht weitergegeben, enthalten keine personenbezogenen Daten und dienen nur der Umsetzung der Kernfunktionalität des Online-Übungssystems. Cookies werden insbesondere nicht zum Tracking der Nutzer verwendet und nicht mit anderen Webseiten geteilt.

Bei Cookies handelt es sich um Textdateien, die beim Aufruf einer Website im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Mit Hilfe von Cookies kann sich der Browser also vorübergehend „Daten merken“, während Sie zwischen einzelnen Seiten des Online-Übungssystems wechseln (z.B. einem Link folgen). Diese Daten stehen sowohl JavaScripten im Browser als auch dem serverseitigen System (Online-Übungssystem) zur Verfügung.

Folgende Cookies können vom Online-Übungssystem gesetzt werden:

  • Session-ID: Eine so genannte Session ist ein auf dem Server vorübergehend gespeicherter Zustand einer konkreten Browsersitzung eines Endnutzers, kann also die Information enthalten, ob und unter welchem Anmeldenamen der sich der Browsernutzer beim System eingeloggt hat. (Eine Session endet automatisch nach einer gewissen Zeit der Inaktivität, derzeit nach 30 Minuten.)
    Das Online-Übungssystem arbeitet normalerweise ohne Sessions. (Anmeldename und Kennwort werden dann nach dem HTTP-AUTH-Verfahren bei jeder Seitenanforderung erneut vom Browser mitgesendet und müssen daher nicht vom System in einer Session gespeichert werden.)
    In gewissen Fällen wie insb. Verwendung eines Single-Sign-On-Verfahrens (worunter auch Zugriff auf in externe Lernplattformen wie Moodle eingebettete Übungssystem-Aufgaben fällt) oder bei Aktivierung eines Frame-Layouts (z.B. auch bei Aufruf der „Kursmappe“) wird jedoch aus technischen Gründen eine Session geöffnet. Die Session-ID wird dann – wenn möglich – in einem Cookie namens waSessionID gespeichert. Dabei handelt es sich um ein Sitzungs-Cookie, das die Browsersitzung nicht überlebt, also spätestens beim Beenden des Webbrowsers wieder gelöscht wird.
    Dabei wird dasselbe Cookie verwendet, egal ob Sie einen URL des Online-Übungssystems oder des Online-Prüfungssystems ansprechen: Das Cookie kann Subdomain-übergreifend verwendet werden, damit Sie auch beim Wechsel über die „virtuelle Systemgrenze“ Ihre Session und somit z.B. einen SSO-Login nicht verlieren.
    Sind Cookies im Browser deaktiviert (ganz oder nur fürs Online-Übungssystem), sollten Sessions dennoch funktionieren: In dem Fall wird auf sog. URL-Rewriting zurückgegriffen.
  • Die Startseite des Betreuerzugangs wurde im Frühjahr 2023 umstrukturiert, aber die vorherige Version ebenso wie die noch ältere Version aus dem WebAssign-Projekt stehen Betreuern weiterhin als alternative Ansichten zur Verfügung. Wählt ein:e Betreuer:in aus, dass er:sie lieber eine der älteren Versionen weiterverwenden möchte, wird diese Einstellung in einem Cookie namens BetreuerStartSeiteVersion gespeichert. Das Cookie hält ca. eine Monat, genauer: 30 Tage, d.h. wenn der/die Nutzer:in sich nicht innerhalb von 30 Tagen (vom selben Browser aus) erneut im Betreuerzugang einloggt, wird es gelöscht.

Diese Aufstellung beschränkt sich ausdrücklich auf das Online-Übungssystem selbst. Von Inhaltsanbietern (z.B. Lehrgebieten) im Online-Übungssystem bereitgestellte Aufgaben können prinzipiell eigene JavaScripte einbinden und könnten somit auch selbst Cookies setzen, siehe Verantwortungsbereich der Aufgabenanbieter.

Transparenz:
Ein Browser sollte Ihnen als Nutzer die Möglichkeit geben, sich sämtliche gespeicherten Cookies anzeigen zu lassen, mit Angabe, von welchem System sie stammen und mit der Möglichkeit, Sie von Hand zu löschen. Oft sind alle Details aber nur noch in den Entwickler-Tools der Browser einsehbar (bei Firefox z.B. im „Web-Speicher-Inspektor“ unter „Web-Entwickler“, während in den Firefox-Einstellungen unter „Datenschutz“, „Cookies und Websitedaten“, „Daten verwalten…“ nur aufgeführt wird, wieviele Cookies von einer Site gespeichert wurden).

Widerspruchsmöglichkeit:
Sie können Ihrem Browser das Speichern von Cookies verbieten. Viele Browser unterstützen auch das Verbieten von Cookies nur für bestimmte Webseiten. Das Online-Übungssystem ist auch ohne Cookies einsetzbar, lediglich Features wie im Betreuermenü die alte Ansicht einzuschalten, stehen dann nicht vollständig (über Seitenwechsel hinaus) zur Verfügung. Auch ist das dann als Notlösung verwendete URL-Rewriting bei Sessions möglicherweise weniger zuverlässig als die Verwendung eines Session-Cookies.

LocalStorage / SessionStorage

LocalStorage und SessionStorage sind neuere Alternativen zu Cookies, bei denen ebenfalls Daten lokal auf Ihrem Computer zwischengespeichert werden können. Jedoch können die Daten, die eine Website wie das Online-Übungssystem dorthin schreibt, auch nur von derselben Website wieder gelesen werden, sie können also nicht zum Tracking über Website-Grenzen genutzt werden.

SessionStorage-Einträge „leben“ nur so lange wie das jeweilige Browserfenster bzw -Tab. Haben Sie mehrere Fenster/Tabs parallel geöffnet, speichert jedes davon seine eigenen Daten und löscht diese beim Schließen auch sofort wieder. Es handelt sich also nur um ein kurzzeitiges Gedächtnis über Daten beim Navigieren zwischen verschiedenen Seiten des Systems und nicht um eine persistente Datenspeicherung auf Ihrem Computer.

Der LocalStorage dagegen ist fensterübergreifend und bleibt auch beim Beenden des Browsers oder Schließen des Fensters/Tabs erhalten, so dass die gespeicherten Daten in der nächsten Sitzung weiterhin vorhanden sind.

Das Online-Übungssystem speichert insbesondere folgende Daten im SessionStorage:

  • Bei bestimmten Bildschirm- bzw. Fenstergrößen (z.B. Tablet „typischer Größe“ im Hochformat) ist das Menü auf der linken Seite ausblendbar, um optional die volle Fensterbreite dem Inhalt zur Verfügung zu stellen. Wird das Menü dann ausgeblendet, so wird dies im SessionStorage vermerkt, damit das Menü auch bei Interaktionen und Seitenwechseln ausgeblendet bleibt, bis der Nutzer es wieder einblendet.
  • Zum Zwecke der Anzeige eines Abgabeschluss-Countdowns in Aufgabenseiten werden beim Aufruf von Aufgaben Informationen im SessionStorage vermerkt wie: Ist der Countdown-Timer (nur am Abgabetag selbst verfügbar) ein- oder ausgeblendet, wurde der Disclaimer dazu bestätigt, und wie ist die Zeitdifferenz zwischen dem Server (maßgebliche Abgabezeit) und dem Client-System?

Das Online-Übungssystem speichert insbesondere folgende Daten im LocalStorage:

  • Wenn Sie Aufgaben im Online-Übungssystem bearbeiten, werden alle Eingaben, die Sie in einen Aufgabenformular tätigen, ab sofort als lokales Backup im LocalStorage zwischengespeichert, so lange, bis Sie den Einsenden-Knopf benutzen und die Eingaben so ans Online-Übungssystem übertragen. Sollten Sie das Einsenden vergessen und die Seite verlassen (z.B. einem Link folgen), aber auch beim versehentlichen Beenden des Browsers oder gar einem Browser- oder Rechner-Absturz sind Ihre uneingesendeten Eingaben damit i.d.R. nicht verloren: Beim erneuten Besuch derselben Aufgabenseite wird Ihnen dann vorgeschlagen, die zwischengespeicherten Eingaben wiederherzustellen (oder sie zu verwerfen/löschen).
    Die Daten werden, wie gesagt, sofort bei Einsendung gelöscht. Auch beim erneuten Besuch der Aufgabenseite haben Sie alternativ zur Wiederherstellung die Möglichkeit, die Eingaben zu löschen, und wenn Sie die Logout-Seite besuchen, während noch Eingaben im LocalStorage liegen, werden Sie ebenfalls gewarnt und Ihnen angeboten, diese zu löschen. Einträge, die älter als 24 Stunden sind, werden beim nächsten Besuch einer Aufgabenseite oder Aufgabenübersicht automatisch ohne Rückfrage wieder gelöscht.
  • Falls Sie in Ihrem Browser oder Betriebssystem einen Dunkelmodus (Dark Mode) aktiviert haben und der Browser dies unterstützt, versucht das Online-Übungssystem, diesem Wunsch nachzukommen und seine Inhalte ebenfalls dunkel darzustellen. Da das möglicherweise nicht mit allen Aufgabeninhalten harmoniert, können Sie den Dunkelmodus im Zweifelsfall aber lokal über eine Einstellung am Seitenfuß fürs Online-Übungssystem deaktivieren/unterdrücken. Eine aktivierte Unterdrückung wird im LocalStorage für mindestens die Dauer eines Monats (31 Tage) gespeichert. Wenn die Unterdrückung aktiv ist und Sie das Übungssystem innerhalb dieser 31 Tage erneut benutzen, verlängert sich die Laufzeit wieder auf 31 Tage. Wenn Sie das Übungssystem nach mehr als 31 Tagen wieder benutzen (oder die Dark-Mode-Unterdrückung wieder abschalten), wird der Eintrag wieder gelöscht.
  • Wenn Sie (insb. als Betreuer oder Korrektor) eine Seite aufrufen, in der eine Tabelle durchsuchbar oder auf mehreren Seiten durchblätterbar ist, können ebenfalls Zwischenzustände (insbesondere die gerade geöffente „Tabellenseite“) gespeichert werden, so dass Sie beim erneuten Aufruf der Liste wieder denselben Ausschnitt sehen wie beim Verlassen.
  • Im Online-Übungssystem kann MathJax zum Formelsatz eingesetzt werden. Ein Benutzer kann dann durch Rechtsklick auf eine Formel ein Menü mit verschiedenen Darstellungsoptionen öffnen. Einstellungen, die der Benutzer dort vornimmt, werden (damit sie erhalten bleiben und nicht nach jedem weiteren Laden einer Seite mit Formeln erneut vorgenommen werden müssen) im Local Storage zum Online-Übungssystem gespeichert. Durch den Menüpunkt »Reset To Default« im Kontextmenü von MathJax (also nach Rechtsklick auf eine beliebige Formel) wird dieser Eintrag mit den persönlichen Einstellungen wieder gelöscht.

Alle Session- und LocalStorage-Einträge sind technisch notwendig zur Umsetzung von Funktionalitäten im Sinne der Anwender:innen wie z.B. Speichern von individuellen Einstellungen zu DarkMode-Unterdrückung oder Formeldarstellung oder die Absicherung vor Datenverlust bei z.B. einem PC- oder Browserabsturz oder versehentlichem Verlassen einer Aufgabenseite ohne Einsendung der Eingaben. Sie dienen keinen weiteren Zwecken und werden nicht zur Nachverfolgung von Nutzer:innen oder ihrer Aktivitäten genutzt.

Transparenz:
Analog zu Cookies können Sie sich im Browser (z.B. in den Entwickler-Tools) die im LocalStorage oder SessionStorage von einer Website gespeicherten Daten jederzeit anzeigen lassen.

3. Webanalyse und Social Media

Das Online-Übungssystem greift nicht auf Analysedienste zur Verfolgung Ihres Surfverhaltens zurück und bindet auch keine externe Werbung ein. Es werden auch keine Social-Media-Plugins eingebunden.

4. Primäre Datenverarbeitung

Damit das Online-Übungssystem seine Aufgabe als Plattform zur Bearbeitung von z.B. Einsendeaufgaben, Einreichung von Hausarbeiten etc. sowie der Abwicklung der Korrektur und Bewertung der Einreichungen und die Bereitstellung dieser Ergebnisse an die Teilnehmer erfüllen kann, werden die entsprechenden Daten (Einsendungen, Korrekturen, Bewertungen) in einer Datenbank erfasst. Alle Daten werden lokal im Rechenzentrum des ZDI vorgehalten, es erfolgt keine Speicherung bei externen Dienstleistern. Die Zugriffsrechte sind so eingeschränkt, dass nur der jeweils notwendige Personenkreis die Daten einsehen kann. Eine Korrekturkraft sieht z.B. nur diejenigen Einsendungen, die sie zu korrigieren hat, ein Kursbetreuer sieht die Daten aller Teilnehmer nur „seiner“ Kurse. Die dedizierten Datenbankserver werden u.a. durch eine Firewall vor Zugriffen von unberechtigten Clients abgeschirmt.

Folgende Daten werden über die Teilnehmer erfasst:

  • Name und E-Mail-Adresse: Diese Daten werden für die Personalisierung der Korrekturen sowie für automatische E-Mail-Benachrichtigungen (z.B. bei Vorliegen einer neuen Korrektur) benötigt und während des Semesters der Kursdurchführung regelmäßig mit den zentralen Stammdaten abgeglichen.
  • Anmeldename bzw. Matrikelnr. sowie Passwort-Hash: Für jeden autorisierten Benutzer wird neben dem Loginnamen (bzw. bei Studenten-Accounts der Matrikelnummer) eine Information zum Kennwort erfasst. Benutzer-gewählte Kennwörter werden nicht im Klartext gespeichert: Loggt sich ein Benutzer (erstmals oder nach einer Kennwortänderung) mit seinem zentralen FernUni-Account und -Kennwort ein (wobei eine Authentifizierung über den zentralen FernUni-LDAP-Dienst erfolgt), wird ein Hash des Kennworts erzeugt und lokal gesichert, um eine effiziente Authentifizierung in Folgerequests zu ermöglichen. Für rein lokale Accounts gilt: Vom Übungssystem oder einem Betreuer vergebene Initialkennwörter liegen im System im Klartext vor, verwendet dann der Benutzer aber die Funktion zur Kennwortänderung und gibt somit ein eigenes, selbst gewähltes Kennwort ein, wird auch von diesem lediglich ein Hash gespeichert.
    Die Kennwörter sind aus den Hashes nicht rekonstruierbar, d.h. kein Mitarbeiter der FernUniversität kann die benutzergewählten Kennwörter aus der Übungssystem-Datenbank ermitteln. (Hier kommt mindestens PBKDF2-HMAC-SHA1 zum Einsatz, mit individuellem Salt und 100.000 Iterationen zum Ausbremsen von Brute-Force-Attacken – Änderungen bei Iterationszahl und Algorithmen vorbehalten.)
  • Fehlgeschlagene Zugriffsversuche: Wird ein Loginversuch z.B. aufgrund einer fehlerhaften Kennworteingabe oder fehlender Autorisierung (z.B. Kurs im jeweiligen Semester nicht belegt) abgelehnt, so wird ein entsprechender Vermerk mit Ablehnungsgrund gespeichert. Diese Vermerke dienen dem ZDI-Helpdesk, insb. dem First-Level-Support, als Hilfestellung bei der Beantwortung von Supportanfragen und werden nach etwa zwei Semestern wieder gelöscht.
  • Letzter erfolgreicher Login: Es wird der Zeitpunkt (mit Datum und Uhrzeit) der letzten erfolgreichen Authentifizierung eines Studenten am Online-Übungssystem (unabhängig vom Kurs) gespeichert. Diese Information dient ebenfalls dem ZDI-Helpdesk, insb. dem First-Level-Support.
  • Kursteilnahme: Nach einem erfolgreichen Erstzugriff eines Teilnehmers auf eine Kursumgebung wird eine Kursteilnahme erfasst. Dies erfolgt aus technischen Gründen, insbesondere zur Steigerung der System-Performance, damit eine Prüfung der Autorisierung bei Folgerequests effizienter möglich ist (und nicht bei jedem Einzelzugriff erneut Voraussetzungen wie eine Kursbelegung oder Prüfungsanmeldung geprüft werden müssen). Weiterhin wird eine manuelle Autorisierung seitens der Kursbetreuung ermöglicht.
  • Einsendungen, also alle Eingaben in Aufgabenformulare: Sendet ein Teilnehmer wiederholt Daten zur selben Aufgabe ein, wird jeweils die vorherige Einsendung überschrieben, d.h. es wird immer nur die letzte Einsendung aufgehoben, keine früheren Versionen. Darüber hinaus wird die Anzahl der Einsendungen eines Teilnehmers pro Aufgabe erfasst. Diese ist für die Kursbetreuer (und Korrektoren) nicht individuell einsehbar (d.h. diejenigen Personen, die eine Einsendung bewerten, haben keine Information über die Anzahl von Einsendeversuchen des Teilnehmers), sondern fließt lediglich in eine Statistik über die durchschnittliche Einsendungs-/Versuchszahl pro Aufgabe mit ein. (Insbesondere für Aufgaben mit Sofortfeedback und Überarbeitungsmöglichkeit wird eine solche Statistik angeboten.)
  • Neben den Einsendungen zu den einzelnen Aufgaben wird auch die endgültige Abgabe eines Aufgabenhefts samt Datum erfasst.
    (Bei manchen Kursen wird eine vorzeitige Abgabe der Einsendungen eines Teilnehmers zu einem Aufgabenheft, d.h. eine endgültige Abgabe der Lösungen schon vor Einsendeschluss, durch einen »Heft-Schließen«-Button ermöglicht, so dass die Korrektoren dann schon vor Einsendeschluss mit der Korrektur der ersten – endgültig abgegebenen – Einsendungen beginnen können. Ein Kursbetreuer kann insb. einsehen, ob ein Student sein Heft bereits geschlossen / endgültig eingereicht hat, und falls ja, an welchem Tag.)
  • Korrekturen samt Bewertung: Die Einsendungen werden in der Regel – sei es automatisch oder durch einen menschlichen Korrektor – bewertet und kommentiert.
  • Das Online-Übungssystem kann von Lehrgebieten zur Abwicklung von Anmeldungen zu Studientagen genutzt werden. In diesem Fall werden die entsprechenden Anmeldungen der Teilnehmer in der Übungssystem-Datenbank gespeichert. Sie sind nur für die jeweilige Kursbetreuung einsehbar, niemand sonst hat Zugriff darauf. Es werden nur die Anmeldungen selbst (also Zuordnung von Matrikelnummern zu den Anmeldeoptionen/Terminen) im Online-Übungssystem erfasst, keine weiteren Daten wie z.B. Anwesenheit oder Anmeldezeitpunkt. Zieht ein Student seine Anmeldung fristgerecht zurück, wird diese unmittelbar vollständig gelöscht.
  • Falls ein Teilnehmer eine Aufgabe nicht direkt lokal im Online-Übungssystem öffnet, sondern eine Übungssystem-Aufgabe bearbeitet, die in einer anderen Lernplattform (i.d.R. Moodle) eingebunden wurde, wird im Übungssystem eine Verknüpfung zu entsprechenden Ressourcen dieser Lernplattform gespeichert, die es insb. ermöglicht, die in der Aufgabe erreichten Ergebnisse in eine Leistungsübersicht der Lernplattform (z.B. Moodle-»Gradebook«) zu übertragen.

5. Verantwortungsbereich der Aufgabenanbieter

JavaScript

Das Online-Übungssystem ist eine Plattform, über die Inhaltsanbieter (z.B. Lehrgebiete) Aufgaben auf vielseitige Art anbieten können. Es bietet viel Freiraum bei der Aufgabengestaltung, insb. können beliebige JavaScripte in Aufgabenseiten eingebunden werden, um eine interaktive Aufgabenbearbeitung zu ermöglichen. Diese könnten z.B. selbst Cookies setzen (s.o.) oder Benutzereingaben zwecks Realisierung einer Interaktion zur Feedbackerzeugung an andere Dienste (z.B. Systeme wie Maple) übermitteln. An Stelle von Direktverbindungen vom Browser des Nutzers zum Zielsystem kann und sollte eine über einen Proxy-Dienst des Online-Übungssystems vermittelte Verbindung gewählt werden. Solche Übertragungen (sofern überhaupt nötig) sollten keine personenbezogenen Daten enthalten, sondern nur reine Eingaben ohne Personenbezug, und die Zielsysteme sollten vorzugsweise lokal an der FernUniversität betrieben werden. Insbesondere eine Übertragung personenbezogener Daten an externe Dienstanbieter ist nicht gestattet. Der Aufgabenanbieter ist in solchen Fällen selbst für den Datenschutz verantwortlich.

(Vor-)Korrekturmodule

Einsendungen können nicht nur von menschlichen Korrekturkräften korrigiert und bewertet werden, das Online-Übungssystem ermöglicht auch eine automatische Korrektur und Bewertung (nach Einsendeschluss) oder eine automatische Vorkorrektur, meist mit Sofortfeedback direkt bei Einsendung. Aufgabenautoren können dazu eigene Auswertungsalgorithmen zur (Vor-)Korrektur implementieren und als sog. (Vor-)Korrekturmodule über eine Webservice-Schnittstelle ans Online-Übungssystem anbinden.

Dazu erfolgt eine Übertragung der eingesendeten Daten an den jeweiligen Korrekturserver, der das (Vor-)Korrekturmodul ausführt. Ein (Vor-)Korrekturmodul bekommt nur die zu bewertenden Eingaben übermittelt, zusammen mit Matrikelnummer, Name und E-Mail-Adresse des Einsenders. Jeder Korrekturserver muss innerhalb des FernUni-Netzwerks betrieben werden, eine Übermittlung der Daten übers Internet an Fremdserver ist nicht gestattet und wird technisch – so weit möglich – unterbunden. Korrekturserver speichern normalerweise keine Daten, sondern „vergessen“ die übermittelten Eingaben sofort nach Übermittlung des Auswertungsergebnisses wieder. Sollte ein Korrekturmodul davon abweichen und doch Daten aufzeichnen, obliegt der Datenschutz und die entsprechende Offenlegung dem Betreiber (Aufgabenanbieter).

V. Rechte der betroffenen Person

1. Auskunftsrecht – Art 15 DSGVO

Sie können von der FernUniversität eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen:

  1. die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
  2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
  3. die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
  4. die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung – Art 16 DSGVO

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber der FernUniversität, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Die FernUniversität hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung– Art 18 DSGVO

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:

  1. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  2. die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
  4. wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:

Ihr o.g. Recht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.

4. Recht auf Löschung – Art 17 DSGVO

Unter den folgenden Voraussetzungen können Sie die Löschung der Sie betreffenden personenbezogenen Daten verlangen:

  1. Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  4. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Ausnahmen:

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist…

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung – Art 19 DSGVO

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art 7 Abs. 3 DSGVO

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten Sie bitte formlos an die Daten führende Stelle, der gegenüber Sie in die Datenverarbeitung eingewilligt haben, z.B. an ein Lehrgebiet für Daten im Rahmen eines Forschungsprojektes.

7. Widerspruchsrecht – Art 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:

Sie haben auch das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, bei der Verarbeitung Sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgt, dieser zu widersprechen.
Ihr Widerspruchsrecht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.

8. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art 77 DSGVO

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Die Aufsichtsbehörde der FernUniversität in Hagen ist die/der Landesdatenschutzbeauftragte des Landes Nordrhein-Westfalen.

Postanschrift:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
https://www.ldi.nrw.de/
https://www.ldi.nrw.de/metanavi_Kontakt/index.php

VI. Änderung der Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

© FernUniversität in Hagen, Zentrum für Digitalisierung und IT (ZDI)

FernUniverstität in Hagen — Online-Übungs-/Prüfungssystem — Datenschutzerklärung