Impressum
& Datenschutzerklärung
für die Lehr- und Lernanwendung KoALa
Stand: 17. April 2023
Inhalt
1 Allgemeine Informationen und Impressum
2 Datenerfassung in der Lehr- und Lernanwendung KoALa
2.1 Operative
Daten (im technischen Betrieb der Webplattform)
2.2 Im KoALa-System
gespeicherte Daten
2.2.1 Daten zur Authentifizierung und Autorisierung
2.2.2 Stammdaten der Nutzer
2.2.3 Daten, welche durch die
Nutzung des Systems anfallen
3 Sonstiges
3.1 Nutzung von Local-Storage-Techniken
3.2 Ihre grundsätzlichen Rechte in Bezug auf durch uns als
Verantwortliche erhobene Daten
1 Allgemeine Informationen
und Impressum
KoALa wird als Lehr- und
Lernanwendung der Hochschule für Musik Freiburg betrieben.
Kontaktdaten:
Hochschule für Musik Freiburg
Mendelssohn-Bartholdy-Platz 1
D-79102 Freiburg i. Brsg.
Telefon: (0761) 3 19 15 - 0
Telefax: (0761) 3 19 15 - 42
Technischer Kontakt: e-learning-support@mh-freiburg.de
Internet: https://www.mh-freiburg.de
Lernanwendung: https://koala-app.de
Die Hochschule für Musik Freiburg ist eine Körperschaft des Öffentlichen
Rechts. Sie wird durch ihren Rektor gesetzlich vertreten.
Haftungshinweis
Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die
Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind
ausschließlich deren Betreiber verantwortlich.
Verantwortlich im datenschutzrechtlichen Sinne
Hochschule für Musik Freiburg
– Der Datenschutzbeauftragte –
Mendelssohn-Bartholdy-Platz 1
79102 Freiburg
Telefon: (0761) 3 19 15 - 0
eMail: datenschutz@mh-freiburg.de
Der Schutz Ihrer Daten ist uns
wichtig, weshalb wir Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen
verarbeiten. Ihnen stehen die Rechte auf Auskunft, Berichtigung, Löschung,
Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Der exakte
Umfang dieser Rechte ist unter Abschnitt 3.2
auf dieser Seite beschrieben.
2 Datenerfassung in der
Lernanwendung KoALa
2.1 Operative Daten, die durch den technischen Betrieb als
Webplattform anfallen
Die Lernanwendung KoALa wird unter Verwendung der webbasierten Software KoALa (https://github.com/KoALa-MHF/koala-app) betrieben. Im Betrieb des
Webservers (nginx) fallen hierbei Logdateien an, in
welchen die folgenden personenbezogenen Daten abgespeichert werden:
· Datum
des Zugriffs
· IP-Adresse
der Nutzer
· Die
gesamte an den Server gesendete Anfrage (URL und Querystring)
und die übertragene Datenmenge
· Datum
und Uhrzeit des Aufrufs
· Browsersoftware
und Version (soweit sie von der Browsersoftware des Nutzers übermittelt wurde).
Daneben erzeugt die Software
KoALa Logdateien, welche die im Folgenden
aufgeführten personenbezogenen Daten erfassen:
2.2 Im KoALa-System gespeicherte Daten
2.2.1 Daten zur
Authentifizierung und Autorisierung
Um KoALa zu nutzen, muss sich ein Anwender am Dienst
authentifizieren. Durch die Authentifizierung werden Zuordnungen von Inhalten
der Lernanwendung zu Teilnehmer*innen gewährleistet. Die Authentifizierung
geschieht entweder durch ein Benutzerkonto, in dem Stammdaten verwaltet werden
oder über eine temporär erstellte Kennung zwischen der KoALa-Software
und dem Browser des Nutzers (Device-ID). In den beiden Fällen fallen
unterschiedliche personenbezogene Daten an.
Benutzerkonto
Nutzer*innen haben die
Möglichkeit ein Benutzerkonto zu erstellen. Entweder, indem sie sich über einen
Authentifizierungsdienst anmelden (siehe Shibboleth)
oder indem sie sich direkt im KoALa-System ein
Benutzerkonto angelegen. Ein Benutzerkonto enthält die folgenden Felder:
•
Vorname
•
Nachname
•
Benutzername*
•
User-ID (automatisch generiert)
•
Institution
•
Passwort*
•
eMail-Adresse*
Die mit Stern versehenen
Felder sind Pflichtfelder, die für die Nutzung der KoALa-Lernanwendung
nötig sind. Alle Felder bis auf die User-ID unterliegen der Kontrolle der
Nutzer*innen und können von ihnen verändert und gelöscht werden.
Ein Benutzerkonto kann
jederzeit vom Benutzer gelöscht werden. Alle erfassten Daten werden dabei
gelöscht. Die mit der User-ID verknüpften Objekte werden durch die Löschung
anonymisiert (siehe 2.2.2).
Shibboleth
Nutzer haben die Möglichkeit
sich über Shibboleth zu authentifizieren und darüber
ein Benutzerkonto für KoALa zu erstellen. Shibbloleth dient der Bereitstellung eines Single-Sign-On zur Anmeldung und Nutzung von KoALa.
Bei jeder Anmeldung über Shibboleth werden die
übermittelten Nutzerdaten im Benutzerkonto abgeglichen. Es werden dabei
folgende Attribute verarbeitet:
•
Vorname
•
Nachname
•
User-ID
•
Institution
•
eMail-Adresse
Authentifizierung ohne
Benutzerkonto
Nutzer*innen können auch
ohne ein Benutzerkonto an Sessions teilnehmen. In diesem Fall wird zur
Zuordnung von Inhalten einer Session zu bestimmten Nutzer*innen eine temporäre
Authentifizierung über die Device-ID hergestellt. Die Device-ID ist nur temporär
gültig und wird in der Regel innerhalb von 24 Stunden ungültig. Eine dauerhafte
Verknüpfung von in KoALa gespeicherten Daten mit
temporär authentifizierten Nutzer*innen ist nicht möglich.
2.2.2 Daten welche durch die Nutzung des Systems
anfallen
Durch die Nutzung der KoALa-Lernanwendung fallen
weitere Daten an, die in der Datenbank abgespeichert werden. Durch die
Erstellung von und die Teilnahme an Sessions entsteht eine Zuordnung von
User-ID und der Objekt-ID der jeweiligen Objekte (Sessions, Annotationen und
Marker) in der Lernanwendung. Diese Zuordnung wird in einer Datenbank
gespeichert.
Anonymisierung von Daten
Jeder angemeldete Nutzer
sieht eine Liste der Sessions, an denen er als Ersteller oder Teilnehmer
beteiligt war. Alle Teilnehmer haben die Möglichkeit ihre Teilnahme an einer
Session zu beenden, oder eine erstellte Session zu löschen. Damit werden die Verknüpfungen
zwischen User-ID und Objekt-IDs entfernt und die Daten, die in der Session
angefallen sind, werden somit anonymisiert. Ein harte Löschung aus dem System
ist nur mit noch nicht anonymisierten Daten und auf schriftliche Anfrage hin
möglich, da bereits anonymisierten Daten nicht auf die ursprünglichen
Nutzer*innen zurückverfolgt werden können.
Sessiondaten
Ein angemeldeter Nutzer hat die Möglichkeit eine Session
anzulegen und diese für andere Nutzer freizugeben. Diese Daten unterliegen
seiner Kontrolle und können jederzeit eigenständig verändert oder gelöscht
werden.
Annotationen
Der Nutzer kann als Teilnehmer einer Session Audiodateien
annotieren. Diese Daten unterliegen seiner Kontrolle und können jederzeit
selbstständig gelöscht werden (siehe Anonymisierung von Daten).
Im Rahmen der Teilnahme an Prüfungen unter Verwendung von KoALa
werden Annotationen im System gespeichert und können nur vom Dozierenden bzw.
einem Systemadministrator gelöscht werden (soweit dies den rechtlichen Vorgaben
für Prüfungen entspricht).
3 Sonstiges
3.1 Nutzung von Local-Storage-Techniken
Die Lehr- und Lernanwendung KoALa verwendet Local
Storage-Techniken zum Austausch von Daten während einer Session. Die
eingesetzten Techniken sind für das Angebot unbedingt erforderlich (vgl. § 25
TTDSG).
3.2 Ihre grundsätzlichen Rechte in Bezug auf durch uns als
Verantwortliche erhobene Daten
Recht auf Auskunft
1) Jede betroffene Person hat das Recht, von
dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende
personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein
Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener
Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von
Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind
oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder
bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für
die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht
möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf
Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder
auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines
Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts
bei einer Aufsichtsbehörde;
g) wenn
die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden,
alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten
Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4
DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die
involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer
derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten
an ein Drittland oder an eine internationale Organisation übermittelt, so hat
die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46
DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt
eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind,
zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt,
kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der
Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag
elektronisch, so sind die Informationen in einem gängigen elektronischen Format
zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer
Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht
beeinträchtigen.
Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem
Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger
personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der
Verarbeitung hat die betroffene Person das Recht, die Vervollständigung
unvollständiger personenbezogener Daten — auch mittels einer ergänzenden
Erklärung — zu verlangen.
Recht auf Löschung
(1) Die betroffene Person hat das
Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende
personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche
ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer
der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für
die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden,
nicht mehr notwendig.
b) Die betroffene Person widerruft ihre
Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe
a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO stützte, und es fehlt an
einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß
Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen
keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die
betroffene Person legt gemäß Artikel 21 Absatz 2 DSGVO Widerspruch gegen die
Verarbeitung ein.
d) Die personenbezogenen Daten wurden
unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen
Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht
oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche
unterliegt.
f) Die personenbezogenen Daten wurden in
Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8
Absatz 1 DSGVO erhoben.
(2) Hat der Verantwortliche die
personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren
Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren
Technologie und der Implementierungskosten angemessene Maßnahmen, auch
technischer Art, um für die Datenverarbeitung Verantwortliche, die die
personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine
betroffene Person von ihnen die Löschung aller Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser
personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten
nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie
Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen
Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der
Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) aus Gründen des öffentlichen
Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2
Buchstaben h und i DSGVO sowie Artikel 9 Absatz 3 DSGVO;
d) für im öffentlichen Interesse
liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder
für statistische Zwecke gemäß Artikel 89 Absatz 1 DSGVO, soweit das in Absatz 1
genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung
unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen.
Eine Löschung bzw. Sperrung der Daten findet
automatisch durch uns statt, sofern der Zweck der Speicherung entfallen ist
oder eine durch den europäischen oder nationalen Gesetzgeber festgelegte
Speicherfrist abläuft, es sei denn, dass eine Notwendigkeit der weiteren
Speicherung aus gesetzlichen oder vertraglichen Gründen besteht.
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das
Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu
verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen
Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die
es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten
zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und
die betroffene Person die Löschung der personenbezogenen Daten ablehnt und
stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die
personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt,
die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch
gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt hat, solange
noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber
denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß
Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer
Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz
der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen
eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats
verarbeitet werden.
(3) Eine betroffene Person, die
eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem
Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
Widerspruchsrecht gegen die Verarbeitung
(1) Die betroffene Person hat das
Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit
gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund
von Artikel 6 Absatz 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch
einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei
denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen,
die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen,
oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen.
(2) Werden personenbezogene Daten
verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das
Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender
personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt
auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung
steht.
(3) Widerspricht die betroffene
Person der Verarbeitung für Zwecke der Direktwerbung, so werden die
personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss
spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das
in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat
in einer verständlichen und von anderen Informationen getrennten Form zu
erfolgen.
(5) Im Zusammenhang mit der
Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person
ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels
automatisierter Verfahren ausüben, bei denen technische Spezifikationen
verwendet werden.
(6) Die betroffene Person hat das
Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die
sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu
wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen
Zwecken gemäß Artikel 89 Absatz 1 DSGVO erfolgt, Widerspruch einzulegen, es sei
denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse
liegenden Aufgabe erforderlich.
Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das
Recht, die sie betreffenden personenbezogenen Daten, die sie einem
Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem
anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die
personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a) die Verarbeitung auf einer
Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2
Buchstabe a DSGVO oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b
DSGVO beruht und
b) die Verarbeitung mithilfe
automatisierter Verfahren erfolgt.
(2) Bei der Ausübung ihres Rechts
auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu
erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen
einem anderen Verantwortlichen übermittelt werden, soweit dies technisch
machbar ist.
(3) Die Ausübung des Rechts nach
Absatz 1 des vorliegenden Artikels lässt Artikel 17 DSGVO unberührt. Dieses
Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe
erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 2 darf
die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Recht, die Einwilligung jederzeit zu
widerrufen
Im Falle einer Datenverarbeitung, deren
Rechtsgrundlage eine gemäß Artikel 6 Absatz 1 Buchstabe a) DSGVO erteilte
Einwilligung der betroffenen Person ist, hat die betroffene Person das
Recht, ihre Einwilligung jederzeit zu widerrufen.
Automatisierte Entscheidungen im
Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das
Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung —
einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die
ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise
erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die
Entscheidung
a) für den Abschluss oder die Erfüllung
eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen
erforderlich ist,
b) aufgrund von Rechtsvorschriften der
Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig
ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte
und Freiheiten sowie der berechtigten Interessen der betroffenen Person
enthalten oder
c) mit ausdrücklicher Einwilligung der
betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben
a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um
die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen
Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer
Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und
auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2
dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9
Absatz 1 DSGVO beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g
DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie
der berechtigten Interessen der betroffenen Person getroffen wurden.
Bestehen eines Beschwerderechts
(1) Jede betroffene Person hat
unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen
Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere
in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts
des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass
die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese
Verordnung verstößt.