I. Verantwortlicher für die Datenverarbeitung

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

II. Datenverarbeitende Stelle

  • Prorektor für Lehre der RWTH Aachen
  • Prof. Dr. Aloys Krieg
  • Templergraben 55
  • 52062 Aachen
  • Telefon: +49 241 80 94525
  • E-Mail: krieg@rektorat.rwth-aachen.de

III. Datenschutzbeauftragter

Erreichbarkeit des behördlich bestellten Datenschutzbeauftragten:

IV. Bereitstellung der Website und Erstellung von Logfiles

A. Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf der Lernplattform RWTHmoodle werden automatisiert folgende Daten und Informationen vom aufrufenden Endgerät erfasst:

  • Informationen über den Browsertyp und die verwendete Version
  • Betriebssystem des verwendeten Endgeräts
  • Internet-Service-Provider der nutzenden Person
  • IP-Adresse des verwendeten Endgeräts
  • Name, URL und übertragene Datenmenge der abgerufenen Datei
  • HTTP-Statuscode (angeforderte Datei übertragen, nicht gefunden etc.)
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das verwendete System auf die Internetseite gelangt
  • Websites, die vom verwendeten System über die Website aufgerufen werden

B. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO.

C. Zweck der Datenverarbeitung

Die Daten dienen zur Optimierung der Website und zur Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt. Die Daten werden zudem zur Klärung möglicher Fehlfunktionen bei Einsprüchen gegen Bewertungen und vergleichbaren Supportfällen herangezogen.

D. Dauer der Speicherung

Die Daten werden zur Klärung von Einsprüchen und anderen Supportfällen 6 Monate lang aufbewahrt. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

E. Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite und die Klärung von Supportfällen zwingend erforderlich. Es besteht folglich seitens der Nutzerinnen und Nutzer keine Widerspruchsmöglichkeit.

V. Lehr- und Lernplattform RWTHmoodle

A. Beschreibung und Umfang der Datenverarbeitung

Die Lehr- und Lernplattform RWTHmoodle (https://moodle.rwth-aachen.de) ist ein webbasiertes Lernmanagementsystem und Bestandteil der Blended-Learning-Infrastruktur der RWTH Aachen. Sie basiert auf der Open Source Software moodle.

RWTHmoodle wird als Serviceleistung angeboten mit dem Ziel, das (Selbst-)Lernen der Nutzerinnen und Nutzer zu fördern, die Erbringung von Modulbausteinen wie Übungen oder Prüfungsvorleistungen sowie die Abgabe von Prüfungsleistungen wie Hausarbeiten oder Online-Fernprüfungen (Take Home Exams) inklusive Einsichtnahmen zu ermöglichen. Durch die zeit- und ortsunabhängige Verfügbarkeit der Plattform und der darin gespeicherten Inhalte fördert sie die Vereinbarkeit von Studium, Beruf und Erziehung.

Die Lernräume der Plattform werden für studiengangsbezogene Lehr- und Lernangebote, Weiterbildungen zur Förderung des Wissenstransfers sowie für studienorientierende und studienvorbereitende Angebote genutzt.

Im RWTHmoodle werden die nachfolgend spezifizierten Kategorien personenbezogener Daten von Nutzerinnen und Nutzern verarbeitet.

1. Bestandsdaten

Alle Personen, die über eine RWTH-Benutzerkennung verfügen (Mitglieder und Angehörige der RWTH sowie registrierte Gäste), verfügen über ein Benutzerkonto auf der Plattform RWTHmoodle und sind damit autorisiert, auf die Plattform zuzugreifen. Für die Abwicklung von studienorientierenden und studienvorbereitenden Angeboten für Externe (Hospitationswoche, Schüleruni Mathematik, Vorkurse, Infotag Physik etc.) werden lokale Benutzerkonten ohne Anbindung zum zentralen Identity Management der RWTH angelegt, für die eigene Löschfristen gelten.

Im Benutzerprofil des RWHmoodle sind der Vor- und Nachname der Person gespeichert, ihre E-Mailadresse sowie falls vorhanden ihre Matrikelnummer. Zusätzlich dazu erhält jede Person mit einem Benutzerkonto für RWTHmoodle eine Moodle User-ID, die innerhalb des Systems verwendet wird.

Zum Zweck der Authentifizierung von Personen mit RWTH-Benutzerkennung über Shibboleth wird zudem aus dem zentralen Identity Management der RWTH eine sogenannte lmsid an RWTHmoodle übergeben und gespeichert. Lokale Benutzerkonten verfügen über keine lmsid, da hier kein Login per Shibboleth erfolgt.

2. Shibboleth-Daten

Zur Kontrolle des Zugriffs auf das RWTHmoodle ist eine Authentifizierung notwendig. Diese erfolgt bei Anmeldung am System über den Single-Sign-On Authentifizierungsdienst Shibboleth. Beim Login können sich die Nutzerinnen und Nutzer anzeigen lassen, welche Daten aus dem Identity Management der RWTH beim Zugriff auf den Dienst RWTHmoodle weitergegeben werden. Diese Daten werden nur zur Vergabe der Zugriffsberechtigung benutzt.

3. Lernraumdaten

Im RWTHmoodle ist gespeichert, für welche Lernräume und mit welcher Rolle eine Nutzerin oder ein Nutzer autorisiert ist. Zugriff auf einen Lernraum erhalten die Nutzerinnen und Nutzer entweder automatisch durch Zuteilung in einem Anmeldeverfahren im Campus-Management-System der RWTH Aachen oder durch Eintragung als Vortragende oder Mitwirkende einer Veranstaltung ebenda oder durch manuelle Buchung in einen RWTHmoodle-Lernraum durch eine entsprechend autorisierte Rolle. Diese Daten zu Autorisierungen und Rollen sind notwendig für die Funktionsfähigkeit des Systems.

4. Nutzungsdaten

Nutzungsdaten entstehen durch die Aktivität der Nutzerinnen und Nutzer im System. Welche Aktionen sie durchführen können, ist abhängig von ihrer Rolle. Bei jeder Aktion innerhalb des RWTHmoodle protokolliert das System automatisch die folgenden Daten:

  • Vorname, Nachname und Moodle User-ID der agierenden Person
  • Ggfs. Vorname, Nachname und Moodle User-ID der betroffenen Person
  • IP-Adresse des aufrufenden Rechners
  • Datum und Uhrzeit des Aufrufs
  • Quelle des Aufrufs
  • Aktion (inkl. Beschreibung)
  • Betroffener Lernraum

Darüber hinaus speichert RWTHmoodle im Profil der Nutzerin oder des Nutzers diese Daten:

  • Zeitpunkt des ersten Zugriffs auf die Website
  • Zeitpunkt des letzten Zugriffs auf die Website
  • Zeitpunkt des letzten Zugriffs auf einen Lernraum
  • zuletzt benutzte IP-Adresse (wird jede Nacht gelöscht)

In Lernräumen, die zur Erfassung der Anwesenheit in anwesenheitspflichtigen Veranstaltungen das Plugin „Anwesenheit“ benutzen, wird im Falle der Selbsterfassung durch die Studierenden die IP-Adresse des Endgeräts gespeichert, von dem aus die Anwesenheit erfasst wird. Damit wird Betrugsversuchen in Form mehrfacher Erfassung der Anwesenheit auch für nicht anwesende Personen vorgebeugt. Diese IP-Adresse wird jede Nacht gelöscht.

5. Inhaltsdaten

Inhaltsdaten entstehen ebenfalls durch die Nutzerinnen und Nutzer selbst und in Abhängigkeit von ihrer Rolle. Die Nutzerinnen und Nutzer können Inhalte zum Beispiel in Abstimmungen, Feedbackumfragen, Hyperlinks, Kalendern, Gruppenverwaltung, Aufgaben, Tests, interaktiven Inhalten, Foren, Glossaren oder Wikis sowie lernraumübergreifend in den Mitteilungen (Messaging) erstellen. Auch hochgeladene Dateien zählen zu Inhaltsdaten.

Zu dieser Datenkategorie zählen auch Bewertungen, die für bewertete Lernaktivitäten vergeben werden. Die Bewertungen können entweder wie bei elektronischen Selbsttests automatisch durch das System erfolgen oder wie bei Aufgaben manuell durch die Rollen Manager/in und Betreuer/in. Bei automatischer Vergabe von Bewertungen treffen Manager/innen die diesen zugrundeliegenden Voreinstellungen und haben die Möglichkeit zur manuellen Überprüfung und Nachkorrektur.

B. Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten im RWTHmoodle erfolgt im Einklang mit Art. 5 DSVGO zweckgebunden und unter der Maßgabe der Datenminimierung. Bestands-, Lernraum‑, Nutzungs- und Inhaltsdaten werden zum Zwecke der Vorbereitung, Organisation und Durchführung von Lehrveranstaltungen, der Vermittlung der Lehrinhalte und der Lernerfolgskontrolle verarbeitet. Die Nutzungsdaten werden darüber hinaus zum Zweck der Administration und Pflege des Systems, dem technischen Controlling, der Fehlersuche bei technischen Problemen oder der Klärung von Sicherheitsvorfällen verwendet.

Die Daten können, basierend auf Art. 6, Abs. 1, lit. e DSGVO, sowie Art. 89 DSGVO in Verbindung mit § 17 DSG NRW auch für wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die RWTH Aachen sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß §17, Abs. 2 DSG NRW vor. Die Daten werden gemäß §17, Abs. 3 DSG NRW anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Die Daten werden gelöscht, sobald der Forschung- oder Statistikzweck dies erlaubt.

C. Rechtsgrundlage für die Datenverarbeitung

Mit der zentralen Bereitstellung der webbasierten Lehr- und Lernplattform RWTHmoodle ermöglicht die RWTH die Entwicklung flexibler Online-Lehrangebote für die Hochschullehre, die Weiterbildung der Hochschulangehörigen sowie studienorientierende und studienvorbereitende Maßnahmen für Studieninteressierte bzw. Studienanfängerinnen und -anfänger. Die RWTH verarbeitet damit die personenbezogenen Daten in RWTHmoodle auf Basis Art. 6, Abs. 1, lit. e DSGVO und §3, Abs. 1 DSG NRW in Wahrnehmung ihrer Aufgaben gemäß §3, Abs. 1, 3 und 5; § 58, Abs. 1, S.2 und § 58a HG NRW sowie §2, Abs. 1 Grundordnung RWTH Aachen und §§ 6,7 E-Learning-Ordnung RWTH Aachen.

D. Dateneinsicht

Im RWTHmoodle existieren sieben Rollen mit aufsteigendem Rechteumfang:

  1. Student/in
  2. Weitere Teilnehmer/in
  3. Betreuer/in
  4. Betreuer/in mit Bearbeitungsrecht (ab WiSe 2020/21 nicht mehr vergeben)
  5. Manager/in
  6. Support-Admin (System-Rolle)
  7. Administrator/in (System-Rolle)

Diese haben in unterschiedlichem Maße Einsicht in personenbezogene Daten auf dem RWTHmoodle. Die Dateneinsicht darf nur zum angegebenen Zweck erfolgen, insoweit es zur Aufgabenerfüllung notwendig ist. Es gilt zudem der Grundsatz der Datenminimierung.

1. Student/in und Weitere Teilnehmer/in

Die Rollen Student/in und Weitere Teilnehmer/in sind rechtemäßig identisch. Sie erhalten lediglich auf unterschiedlichen Wegen Zugang zum Lernraum. Die Rolle Student/in erhalten Personen, die sich im Campus-Management-System der RWTH Aachen für eine Lehrveranstaltung angemeldet und im Rahmen des Anmeldeverfahrens einen Fixplatz erhalten haben. Sie werden automatisch im zugehörigen Lernraum im RWTHmoodle eingeschrieben. Personen mit der Rolle Weitere Teilnehmer/in werden durch die Rolle Manager/in direkt im Lernraum im RWTHmoodle manuell autorisiert.

Personen in diesen Rollen sehen abhängig vom Lehrszenario diese Daten:

  • Vorname, Nachname, E-Mailadresse: Um die Kontaktaufnahme zu lernraumverantwortlichen Lehrenden sowie Tutorinnen und Tutoren mit Betreuungsaufgaben zu ermöglichen, sind Vorname, Nachname und E-Mailadresse von Personen mit den Rollen Manager/in und Betreuer/in für Personen mit den Rollen Student/in und Weitere Teilnehmer/in immer sichtbar.

    Personen mit der Rolle Student/in oder Weitere Teilnehmer/in sehen Vorname, Nachname und E-Mailadresse anderer Personen mit diesen Rollen nur dann, wenn sie im Lernraum gemeinsam in einer Arbeitsgruppe bis maximal 10 Personen zusammenarbeiten. Dies dient der Erleichterung der Kontaktaufnahme im Rahmen der Gruppenarbeit. Die aus RWTHonline übertragenen LV-Gruppen sind hiervon ausgenommen, da sie primär organisatorischen Zwecken dienen. Die Sichtbarkeit der Daten kann zusätzlich durch Manager/innen aufgehoben werden, wenn die Gruppen beispielsweise nicht explizit der Zusammenarbeit dienen.

    Aktivieren Manager/innen in den Einstellungen einer Gruppe die Gruppenmitteilungen, sehen die Nutzerinnen und Nutzer die Namen der anderen Gruppenmitglieder und können diesen Mitteilungen schicken. Auch dies dient der vereinfachten Kontaktaufnahme in Gruppen, die der Gruppenarbeit dienen.

    Außerhalb der genannten Szenarien sind die Daten nur dann sichtbar, wenn die Betroffenen dies in ihren Profileinstellungen explizit erlaubt haben.

  • Inhaltsdaten: Beiträge aller Rollen in angebotenen Lern-Aktivitäten inklusive hochgeladener Dateien. Die Sichtbarkeit der Daten hängt zum Teil von den Einstellungen der Lern-Aktivität ab, die die Manager/innen gewählt haben. Die Einstellungen für die Sichtbarkeit von Daten für andere Lernraumteilnehmerinnen und -teilnehmer sind standardmäßig so gewählt, dass möglichst keine Daten sichtbar sind. Personen mit den Rollen Student/in oder Weiterer Teilnehmer/in sehen immer nur die eigenen Bewertungen.

2. Betreuer/in und Betreuer/in mit Bearbeitungsrechten

Die Rolle Betreuer/in mit Bearbeitungsrechten kann zusätzlich zu den Rechten der Rolle Betreuer/in lediglich Dateien in Verzeichnissen hochladen. Die Rollen werden jeweils durch Manager/innen vergeben. Diese sind für die Übertragung der Aufgaben an die Betreuer/innen und der damit verbundenen Einsicht in personenbezogene Daten insbesondere Studierender verantwortlich. Die Rolle Betreuer/in mit Bearbeitungsrechten wird seit dem Wintersemester 2020/21 nicht mehr neu vergeben.

Personen in diesen Rollen sehen abhängig vom Lehrszenario diese Daten:

  • Vorname, Nachname, E-Mailadresse: Immer bei allen Rollen im Lernraum, um die Erfüllung der Betreuungsaufgaben zu gewährleisten. Aus dem gleichen Grund sind Vorname, Nachname und E-Mailadresse von Betreuer/innen umgekehrt für alle Personen im Lernraum sichtbar.

  • Inhaltsdaten: Beiträge aller Rollen in angebotenen Lernraum-Aktivitäten inklusive hochgeladener Dateien. Die Sichtbarkeit der Daten hängt zum Teil von den durch die Manager/innen gewählten Einstellungen ab. Da beide Rollen insbesondere zur Korrektur und manuellen Bewertung von Aufgabenlösungen eingesetzt werden, sehen Betreuer/innen je nach Einstellung durch die Rolle Manager/in auch die Bewertungsdaten der Studierenden.

3. Manager/in

Die Rolle Manager/in erhalten alle in der zum Kurs gehörigen Lehrveranstaltung im Campus-Management-System als Vortragende oder Mitwirkende aufgelisteten Personen. Sie werden bei Lernraumerstellung automatisch autorisiert. Darüber hinaus können Manager/innen weitere Personen als Manager/innen autorisieren. Diese sind für die Übertragung der Aufgaben an die autorisierten Personen und der damit verbundenen Einsicht in personenbezogene Daten insbesondere Studierender verantwortlich.

Personen in dieser Rolle sehen abhängig vom Lehrszenario diese Daten:

  • Vorname, Nachname, E-Mailadresse: Immer bei allen Personen im Lernraum, um die Erfüllung der Betreuungsaufgaben zu gewährleisten. Aus dem gleichen Grund sind Vorname, Nachname und E-Mailadresse von Manager/innen umgekehrt für alle Personen im Lernraum sichtbar.

  • Matrikelnummer: Die Matrikelnummern von Student/innen und Weitere/n Teilnehmer/innen sind für Manager/innen innerhalb eines Lernraums selbst nicht sichtbar. Sie können jedoch in einigen Bereichen und Aktivitäten des RWTHmoodle wie Teilnehmerliste, Bewertungen oder Abstimmung Daten als Datei exportieren. Diese Exporte beinhalten zur eindeutigen Identifikation der Student/innen und Weitere/n Teilnehmer/innen Vorname, Nachname und Matrikelnummer. Existiert keine Matrikelnummer, wird stattdessen die E-Mailadresse exportiert. Die Daten dürfen ausschließlich für Zwecke der jeweiligen Lehrveranstaltung exportiert und weiterverarbeitet werden. Es ist durch die Person, die die Daten exportiert, sicherzustellen, dass kein Dritter Kenntnis der personenbezogenen Daten erhält und die Daten vollständig gelöscht werden, sobald der Zweck erfüllt ist.

  • Inhaltsdaten: Beiträge aller Rollen in angebotenen Lern-Aktivitäten inklusive hochgeladener Dateien sowie Bewertungen.

  • Lmsid: Im Bereich Bewertungen können Manager/innen die erreichten Bewertungen der Rollen Student/in und Weitere/r Teilnehmer/in als CSV-Datei exportieren. Diese enthält u.a. auch die lmsid, die zur Weiterverarbeitung in anderen Systemen zum Beispiel des Sprachenzentrums benötigt wird.

4. Support-Admin

Die Rolle Support-Admin besitzen ausschließlich Beschäftigte des IT-ServiceDesk, der an Entwicklung und Betrieb des RWTHmoodle beteiligten Fachabteilungen im IT Center sowie der Abteilung Lernplattform-Management des Centers für Lehr- und Lernservices (CLS). Im Rahmen der Wahrnehmung ihrer Dienstaufgaben im Support des RWTHmoodle besitzt diese Personengruppe Einsicht in personenbezogene Daten, um die technische Betreuung der Anwendung und die fachlich-didaktische Beratung und Unterstützung der Nutzerinnen und Nutzer des RWTHmoodle sicherzustellen. Support-Admins haben die gleichen Rechte wie Manager/innen, sehen darüber hinaus aber zusätzlich alle Kursdaten von Nutzerinnen und Nutzern, um die Autorisierungen überprüfen zu können. Die Personen, denen diese Rolle zugewiesen wird, sind auf Geheimhaltung verpflichtet.

5. Administrator/in

Die Rolle Administrator erhalten ausschließlich Beschäftigte des IT Centers der RWTH Aachen, die mit der Systemadministration des RWTHmoodle betraut werden. Personen mit der Rolle Administrator/in sehen prinzipiell alle personenbezogenen Daten inklusive der Nutzungsdaten und Webserver-Protokolldaten. Die Einsicht erfolgt ausschließlich im Rahmen der Dienstaufgaben und im Bedarfsfall. Die Personen, denen diese Rolle zugewiesen wird, sind auf Geheimhaltung verpflichtet.

6. Rechtematrix

Die nachfolgende Rechtematrix listet auf, welche Daten für welche Rollen sichtbar sind. Für die Tabelle wird davon ausgegangen, dass Sie die Rolle Student/in oder Weitere Teilnehmer/in besitzen:

Meine Daten…

…sind sichtbar für:

Studierende

Lehrende, Tutoren, Beschäftigte

Für mich selbst im Profil bzw. im eingeschriebenen Kurs 

Kommilitonen in meinem Kurs (Rollen Student & Weitere Teilnehmer)

Tutoren (Rolle Betreuer)

Lehrende und deren Assistenten (Rolle Manager)

Support-Admin

Administratoren

Meine Bestandsdaten

Mein Vor- und Nachname[1]

Meine E-Mailadresse

Meine Matrikelnummer

Meine lmsid

Meine Lernraumdaten

Liste meiner aktuellen und vergangenen Lernräume

Meine Nutzungsdaten

Aktivitätsprotokoll, IP-Adresse

Meine Inhaltsdaten

Meine Beiträge zu Lernaktivitäten

Meine hochgeladenen Dateien

Meine Bewertungen

Meine Webserver-Protokolldaten

Zugriffsprotokoll

Kategorien für Sichtbarkeit

Immer sichtbar

In Arbeitsgruppen bis max. 10 Personen sichtbar, außerhalb davon standardmäßig nicht sichtbar, im Profil individuell änderbar

Nur sichtbar, wenn dies durch Manager/innen eingestellt ist

Nie sichtbar

E. Dauer der Speicherung

Art. 5, Abs. 1, lit. e DSVGO schreibt vor, dass für die verarbeiteten personenbezogenen Daten eine an die Erfüllung des jeweiligen Zwecks gebundene Speicherfrist anzugeben ist, nach deren Ablauf die Daten zu löschen sind.

1. Bestandsdaten

Bestandsdaten bleiben im RWTHmoodle erhalten, bis sie im Identity Management der RWTH Aachen gelöscht werden. Die Speicherung der Bestandsdaten von Studierenden richtet sich nach §12, Abs. 1 E-Learning-Ordnung der RWTH Aachen. Demnach sind Bestandsdaten bis zur Exmatrikulation zu speichern. Bestandsdaten der Zweithörenden und Gasthörenden nach §§ 11 und 12 der Einschreibungsordnung sind solange zu speichern, wie sie an Lehrveranstaltungen der RWTH Aachen teilnehmen dürfen.

Generell entscheiden Mitglieder und Angehörige der RWTH Aachen nach ihrem Ausscheiden aus der Hochschule selbst, ob ihr Account im Identity Management der Hochschule aktiv bleiben oder gelöscht werden soll. Wird der Account im Identity Management gelöscht, wird er in RWTHmoodle deprovisioniert.

Lokale Benutzerkonten, die für studienorientierende und studienvorbereitende Kursangebote der Hochschule erstellt werden, werden nach 6 Monaten gelöscht.

2. Shibboleth-Daten

Die für die Authentifizierung benötigten Daten werden mit dem Ausloggen, dem Ende der Moodle-Session nach längerer Inaktivität oder mit dem Beenden der Browsersession gelöscht.

3. Lernraumdaten

Die Autorisierungen für Lernräume im RWTHmoodle werden nach dem Ablauf von drei Jahren nach Erstellung des Lernraums gelöscht.

Im Falle von Lernräumen, die zur Durchführung von Weiterbildungsangeboten über das Kurs-Verwaltungssystem Antrago in RWTHmoodle angelegt werden, werden die Autorisierungen vor der Durchführung des nächsten Termins gelöscht. Steht innerhalb eines Jahres kein Wiederholungstermin an, wird der gesamte Lernraum gelöscht.

4. Nutzungsdaten

RWTHmoodle-Logdaten werden 6 Monate aufbewahrt, um im Bedarfsfall bis zur Prüfungsphase am Semesterende Meldungen zu technischen Fehlfunktionen wie nicht gespeicherten Inhaltsdaten in E-Test-Versuchen oder Aufgabenabgaben klären zu können.

Über diesen Zeitraum hinaus werden lediglich im Kontext von Inhaltsdaten Datum und Uhrzeit der Erstellung der Daten sowie Vorname und Nachname der erstellenden Person länger gespeichert und in der Weboberfläche des Systems angezeigt. Die Speicherdauer dieser Nutzungsdaten richtet sich nach §12, Abs. 2 E-Learning-Ordnung der RWTH Aachen. Sie werden so lange gespeichert, wie dies für die Durchführung einer Lehrveranstaltung auf dem RWTHmoodle oder für die Erbringung eines Modulbausteins (Übung oder Prüfungsvorleistung) erforderlich ist. Sie werden im Rahmen des Lernraum-LifeCycles spätestens nach dem Ablauf von drei Jahren nach Erstellung des Lernraums im RWTHmoodle gelöscht.

Die bei Nutzung des Plugins „Anwesenheit“ im Modus „Selbsterfassung der Anwesenheit durch Studierende“ zwecks Betrugsschutz erfassten IP-Adressen werden jede Nacht aus der Datenbank gelöscht. Ebenso die automatisch von RWTHmoodle gespeicherte letzte IP-Adresse.

Die Daten zu erstem und letztem Zugriff auf die Webseite werden analog zu den Bestandsdaten dann gelöscht, wenn der Account im Identity Management der RWTH Aachen gelöscht wird.

Die Daten zum letzten Zugriff auf einen bestimmten Lernraum werden zusammen mit diesem im Rahmen des Lernraum-LifeCycles spätestens nach dem Ablauf von drei Jahren gelöscht.

5. Inhaltsdaten

Die Speicherdauer der Inhaltsdaten richtet sich nach §12, Abs. 3 E-Learning-Ordnung der RWTH Aachen. Sie werden im Rahmen des Lernraum-LifeCycles spätestens nach dem Ablauf von drei Jahren nach Erstellung des Lernraums im RWTHmoodle gelöscht.

Über das Messaging-System versendete Mitteilungen werden standardmäßig nach 1 Jahr gelöscht.

F. Datenweitergabe

Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet.

Drittanwendungen, die über die mit OAuth2 abgesicherte API des RWTHmoodle angeschlossen werden, können maximal die Daten erhalten, die auch über die Weboberfläche zur Verfügung stehen. Vor der Inbetriebnahme sind diese Anwendungen gesondert dem Datenschutzbeauftragten der RWTH Aachen vorzulegen.

G. Datenübermittlung in Drittstaaten

Eine Übermittlung der oben spezifizierten personenbezogenen Daten aus dem RWTHmoodle in Drittstaaten ist nicht vorgesehen.

H. Technische und organisatorische Maßnahmen zur Wahrung von Integrität und Vertraulichkeit

Gemäß Art. 32 DSVGO werden verschiedene technische und organisatorische Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten im RWTHmoodle zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzerkontrolle (Benutzername und Passwort). Der Zugriff auf den Server ist sowohl durch Benutzerkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern.

Die gesamten Maßnahmen sind in einem gesonderten Dokument im Detail beschrieben. Sie sind entsprechend Art. 32 DSVGO getroffen.

VI. Verwendung von Cookies

A. Beschreibung, Umfang und Zweck der Datenverarbeitung

Das RWTHmoodle verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzerinnen und Nutzer gespeichert werden. Rufen Nutzerinnen und Nutzer eine Website auf, so kann ein Cookie auf ihrem Betriebssystem gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

Folgende Cookies werden verwendet und dabei folgende Daten darin gespeichert und übermittelt:

  • MoodleSession identifiziert die eingeloggten Nutzerinnen und Nutzer über eine anonyme ID und speichert ihre Anmeldung für die aktuelle Sitzung im RWTHmoodle. Es muss erlaubt werden, damit der Login und die Zugriffsberechtigungen innerhalb des RWTHmoodle während der Sitzung erhalten bleiben. Das Cookie wird automatisch gelöscht, sobald sich die Nutzerinnen und Nutzer vom System abmelden oder den Webbrowser schließen.
  • MoodleID speichert den Benutzernamen im Webbrowser. Bei der nächsten Anmeldung am System wird dieser automatisch in die Anmeldemaske eingetragen, um den Anmeldeprozess für die Nutzerinnen und Nutzer zu beschleunigen. Die Nutzerinnen und Nutzer können das Cookie bei der Anmeldung optional aktivieren.
  • JSESSIONID wird im Kontext des RWTH-Streamingservers für die Lehre auf Basis des Systems Opencast verwendet. Es speichert den Opencast-Login. Das ist nötig, um im RWTHmoodle-Lernraum Videos ansehen zu können, die über den Streamingserver ausgeliefert werden. Die Videos sind nicht-öffentlich und nur im Kontext des Lernraums abspielbar, über den sie nach Opencast geladen wurden. Das Cookie wird auch dazu genutzt, um über einen Counter im Videoplayer anonym anzuzeigen, wie oft ein Video insgesamt von allen Teilnehmer/innen im Lernraum abgespielt wurde. Dabei wird pro Session und Nutzer/in nur ein Abspielvorgang registriert.

B. Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO.

C. Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner der Nutzerinnen und Nutzer gespeichert und von diesem an die Seite übermittelt. Daher haben die Nutzerinnen und Nutzer die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in ihrem Internetbrowser können sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für das RWTHmoodle deaktiviert, können möglicherweise nicht mehr alle Funktionen des Systems vollumfänglich genutzt werden.

VII. YouTube

Das RWTHmoodle erlaubt Managern/innen, Videos von der von Google betriebenen Seite YouTube in einen Texteditor einzubetten und bereitzustellen. Betreiber der Seiten ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA.

Wird im RWTHmoodle eine Seite mit eingebettetem YouTube-Video aufgerufen, wird an der Stelle, an der sich das Video befindet, ein Platzhalter mit einem Hinweistext angezeigt, der die Quelle des Videos angibt und die Datenschutzerklärung von YouTube verlinkt. Erst mit Klick auf den Platzhalter wird eine Verbindung zu den Servern von YouTube hergestellt, um das Videovorschaubild zu laden. Dabei wird dem YouTube-Server mitgeteilt, welche Seite besucht wurde. Nach einem weiteren Klick auf Play wird das Video abgespielt.

Ist man im persönlichen YouTube-Account eingeloggt, ermöglicht man YouTube, das eigene Surfverhalten direkt dem persönlichen Profil zuzuordnen. Dies lässt sich verhindern, indem man sich aus dem eigenen YouTube-Account ausloggt.

Weitere Informationen zum Umgang mit den Daten der Nutzerinnen und Nutzer bietet die Datenschutzerklärung von YouTube unter: https://policies.google.com/privacy?hl=de&gl=de.

VIII. MUMIE

Das RWTHmoodle erlaubt Manager/innen, ihrem Lernraum Aktivitäten vom Typ „MUMIE“ hinzuzufügen. Nutzerinnen und Nutzer, die diese Aktivität aufrufen, werden zum System „MUMIE“ geleitet. Betreiber dieses Systems ist die integral-learning GmbH, Clausewitzstr. 2, 10629 Berlin.

Ruft man eine solche Aktivität auf, wird die eigene Moodle User-ID in verschlüsselter und damit pseudonymisierter Form an die MUMIE-Server übertragen. In MUMIE wird damit ein Account für die aufrufende Person erstellt. Dies dient dem Zweck, Bewertungen zu mathematischen Übungsaufgaben, die man in MUMIE erhalten hat, an das RWTHmoodle zurückgeben und der aufrufenden Person zuordnen zu können.

Weitere Informationen zum Umgang mit Nutzerdaten auf dem MUMIE-System finden Sie in der Datenschutzerklärung von MUMIE unter: https://hm4mint.nrw/hm1/public/terms-of-use

IX. Anonyme Zugriffsstatistiken

Im Rahmen von Learning Analytics werden anonymisierte Statistiken zum Zugriff auf Lernräume gespeichert. Bei jedem Aufruf in RWTHmoodle werden dabei folgende Daten ohne einen Bezug zu Nutzenden geloggt:

  • Typ der Aktion (z.B. ob ein Quiz durchgeführt wurde oder ein PDF runtergeladen wurde)
  • Uhrzeit (sekundengenau)
  • ID des Lernraums, in dem die Aktion durchgeführt wurde
  • Betroffener Kontext (z.B. die ID des Quiz, das gestartet wurde)
  • Genutztes Betriebssystem (z.B. Windows oder Linux) kodiert als Zahl (detaillierte Betriebssystemversionen werden nicht gespeichert)
  • Genutzter Browser (z.B. Firefox oder Edge) kodiert als Zahl (detaillierte Browserversionen werden nicht gespeichert)

Sämtliche Daten werden anonym gespeichert und lassen keinen Rückschluss auf einzelne Nutzerinnen oder Nutzer zu. Die Statistiken können in den teilnehmenden Lernräumen über einen Link in der Navigation von allen Teilnehmerinnen und Teilnehmern der Veranstaltung abgerufen werden. Aggregierte Daten werden daher in den Statistiken erst dann angezeigt, wenn mindestens 10 Datensätze vorhanden sind. Andernfalls wird nur „<10“ angegeben.

Das IT Center stellt die erhobenen anonymen Logdaten am Semesterende dem Center für Lehr- und Lernservices (CLS) zu Forschungszwecken bereit. Dabei werden die Daten um die ID des Lernraums bereinigt.

X. Anonyme Zugriffsstatistiken für Streaming-Videos

Gemeinsam mit den allgemeinen Zugriffsstatistiken für einen Lernraum werden darüber hinaus anonymisierte Statistiken zum Zugriff auf Videos auf dem RWTH-Streamingserver angezeigt. Diese werden mit dem Webanalysetool Matomo anonym erhoben. Im Tool werden geloggt:

  • IP-Adresse der Benutzerin/des Benutzers (in anonymisierter Form)
  • Datum und Uhrzeit des Aufrufs
  • Titel der aufgerufenen Seite (Page title)
  • URL der aufgerufenen Seite (Page URL)
  • URL der zuvor aufgerufenen Seite (Referrer URL)
  • Bildschirmauflösung der Benutzerin/des Benutzers
  • Uhrzeit in der Zeitzone der Benutzerin/des Benutzers
  • Dateien, die angeklickt und heruntergeladen wurden (Download)
  • Links zu einer externen Domäne, die angeklickt wurden (Outlink)
  • Seitengenerierungszeit (Page speed)
  • Herkunft der Benutzerin/des Benutzers: Land, Region, Stadt, ungefährer Längen- und Breitengrad (Geolocation)
  • Browsersprache (Accept-Language header)
  • User Agent des Browsers (User-Agent header)

XI. Rechte der betroffenen Person

Sie haben unter den in Art. 15 ff. DSGVO definierten Voraussetzungen das Recht, von der RWTH Aachen über die Sie betreffenden personenbezogenen Daten Auskunft zu erhalten, die Berichtigung unrichtiger Daten, die Löschung von Daten oder die Einschränkung der Datenverarbeitung zu verlangen, Widerspruch gegen die Datenverarbeitung einzulegen sowie die Datenübertragbarkeit einzufordern.

Auch haben Sie gemäß Art. 77 DSGVO das Recht der Beschwerde bei einer Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Wenn die Verarbeitung auf einer Einwilligung Ihrerseits beruht (vgl. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO), haben Sie ferner das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.


[1] Hat eine Person in einem Kurs die Rolle Manager/in oder Betreuer/in inne, dann sind unabhängig von den Profileinstellungen Vorname, Nachname und E-Mailadresse für alle anderen Personen im Lernraum immer sichtbar.

geändert am 30. September 2021 um 8 Uhr