Nähere Informationen darüber, welche Daten im Zusammenhang mit der Digitalen Vernetzungsinfrastruktur Bildung „Mein Bildungsraum“ (im Weiteren „Vernetzungsinfrastruktur“, oder „Mein Bildungsraum“) zu welchem Zweck und auf welcher Grundlage erhoben werden, wie Sie die verantwortliche Stelle und die/den Datenschutzbeauftragte/n kontaktieren können und welche Rechte Sie in Bezug auf die Verarbeitung der personenbezogenen Daten haben, können Sie dieser Datenschutzerklärung entnehmen.
Mit dem Aufbau von „Mein Bildungsraum“ wird erstmals ein einfacher, individueller Zugang zu den vielfältigen existierenden und stark verteilten digital zugänglichen Bildungsangeboten, Lehr-/Lernszenarien und eher administrativ ausgerichteten Diensten des persönlichen Bildungsweges geschaffen. Die hierfür notwendige Infrastruktur soll Einstiegsbarrieren minimieren und zur Stärkung des Datenschutzes und der Kontensicherheit beitragen. Dies erfolgt u.a. mit einem durch Single Sign-On (SSO) und Single Logout (SLO) vereinfachten Zugang und einer nutzerzentrierten und nutzergesteuerten Dokumentenablage und -verwaltung. „Mein Bildungsraum“ ermöglicht den digitalen Zugriff auf eine Vielzahl verschiedener Bildungsangebote für unterschiedliche Altersgruppen und Lebenslagen. Angebote können gesucht und eine Verknüpfung mit den jeweiligen Anbietern hergestellt werden.
„Mein Bildungsraum“ besteht aus fünf Komponenten (Ablage; Digitale Identitäten; Digitale Nachweise; Datenraum; Schaufenster), die die verschiedenen Funktionalitäten von „Mein Bildungsraum“ bereitstellen. Darunter ist die Ablage diejenige, mit der Sie als Nutzende selbst Ihren persönlichen Bereich verwalten, eigene Daten und Dokumente ablegen und aus der Ablage heraus für andere freigeben können. Die zugehörige Applikation (App) finden Sie in den gängigen App-Stores nebst separater Datenschutzinformation.
Zu Testzwecken wird die Digitale Vernetzungsinfrastruktur zunächst einer beschränkten Anzahl von natürlichen Personen zur Verfügung gestellt, um Demo-Use-Cases und Szenarien zu testen, etwaige Fehler aufzudecken und dem BMBF zu melden („Closed-Betaversion“). Die Zurverfügungstellung der Closed-Betaversion erfolgt für einen begrenzten Zeitraum, dessen Ende noch nicht final feststeht ("Closed-Beta-Phase“). Während dieser Phase besteht der übergeordnete Zweck der nachfolgend dargestellten Datenverarbeitungen darin, die technische Infrastruktur von „Mein Bildungsraum“ zu testen und weiterzuentwickeln.
In dieser Version besteht die Besonderheit, dass nur ein begrenzter Kreis an ausgewählten Nutzenden die Möglichkeit hat, sich innerhalb von „Mein Bildungsraum“ zu identifizieren und somit einen erweiterten Kreis an Funktionalitäten der Vernetzungsinfrastruktur zu testen. Diese Nutzergruppe wird ausgewählt, registriert und kontrolliert zugelassen. Die nachfolgenden Datenschutzinformationen gelten vor allem für diesen Personenkreis.
Für übrige Nutzerinnen und Nutzer (ohne Registrierung als Testnutzende) stehen nur die über diese Website allgemein zugänglichen Informationen und Grundfunktionen bereit, ohne Log-In- und Verknüpfungsmöglichkeiten. Die nachfolgenden Datenschutzinformationen gelten für diese Personen lediglich in Bezug auf die Abschnitte I., II.1, II.4 sowie III.1, IV, V.
I. Verantwortliche/r und Datenschutzbeauftragte/r
Verantwortlich für die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 7 DS-GVO ist das
Bundesministerium für Bildung und Forschung
D-53170 Bonn
Telefon: Telefon:+49 (0)228 9957-0
Fax: +49 (0)228 99578-3601
E-Mail: bmbf(at)bmbf.bund.de
DE-Mail: poststelle(at)bmbf-bund.de-mail.de
Bei konkreten Fragen zum Schutz Ihrer Daten wenden Sie sich bitte an die behördliche Datenschutzbeauftragte des BMBF:
Bundesministerium für Bildung und Forschung
„Datenschutzbeauftragte/r“
D-53170 Bonn
Telefon: +49 (0)228/9957-3369
Fax: +49 Fax:(0)228/9957-8-3369
E-Mail: datenschutz(at)bmbf.bund.de
Die nachfolgende Erklärung gibt Ihnen einen Überblick darüber, wie das BMBF den Schutz Ihrer Daten gewährleistet und welche Art von Daten auf welcher Grundlage zu welchem Zweck erhoben werden.
II. Verarbeitung personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt – insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung – identifiziert werden kann.
Der genaue Ablauf des Besuchs der Website (1.), der Anmeldung und Identifizierung der Testnutzenden während der „Closed-Beta“-Phase (2.) und der Nutzung einzelner Funktionalitäten von „Mein Bildungsraum“ (3.) ergeben sich aus den nachfolgenden Informationen:
Informationen:
1.Besuch der Infowebsite www.meinbildungsraum.de
a) Log-Dateien (sog. Log Files)
Der eigentlichen Vernetzungsinfrastruktur „Mein Bildungsraum“ ist eine allgemeine und öffentlich zugängliche Webseite (www.meinbildungsraum.de) vorgeschaltet, auf der sich Besucher*innen – ohne Identifizierung/Authentifizierung – informieren können. Auf dieser Landing-Page (Teil der Komponente „Schaufenster“) stehen allgemeine Informationen und Infografiken und Hilfestellungen (wie z.B. FAQ, Service-Bereich, Impressum und Informationen zum Navigationskonzept der Webseite) bereit. Darüber ist bspw. eine Log-in-unabhängige Suchfunktion bzgl. der verfügbaren Bildungsangebote verfügbar.
Für die Bereitstellung der Webseite verarbeiten wir die nachfolgenden Informationen aufgrund von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 Abs. 1 EGovG im Rahmen der Öffentlichkeitsarbeit:
- Zeitstempel;
- Verwendetes Internet-Übertragungs-Protokoll (IP-Adresse des Absenders und IP-Adresse des Empfängers bzw. der verwendeten Komponente);
- HTTP Informationen (Methodentyp, Statuscode, Header, Body);
- den Namen der angewendeten Sicherheitsrichtlinie, die Abgleichsregel und die Information, ob die Regel erzwungen wurde.
Für die Bereitstellung von Informationen auf dieser Webseite ist die Datenverarbeitung erforderlich.
Die oben genannten Informationen werden in Log-Dateien über den Zeitpunkt des Besuches hinaus auf einem externen Server bei unserem Dienstleister Capgemini Deutschland GmbH gespeichert. Auf Grundlage von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 5 Abs. 1 BSIG ist das BMBF zur Erhebung und Speicherung der Daten zum Schutz vor Angriffen auf die Internetinfrastruktur des BMBF und seiner Kommunikationstechnik auch über den Zeitpunkt des Besuches der Nutzer hinaus verpflichtet. Die Daten werden analysiert und im Falle von Angriffen auf die Kommunikationstechnik zur Einleitung einer Rechts- und Strafverfolgung benötigt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BMBF nicht.
b) Session Cookies
Für die Nutzung der Funktionen der Webseite kommen Session-Cookies zum Einsatz, d.h. wir speichern für die Dauer der Sitzung (bis Sie den Browser schließen) Cookies in Ihrem Endgerät, um die von Ihnen gewählten Funktionalitäten von „Mein Bildungsraum“ bereitstellen zu können. Diese Session Cookies werden erst ab dem Zeitpunkt Ihres Logins in die "Persönliche Arbeitsumgebung" des Schaufensters gesetzt. Der Zugriff auf Ihr Endgerät zur Speicherung der Cookies erfolgt aufgrund von § 25 Abs. 2 Nr. 2 TTDSG. Er ist technisch notwendig, um Ihnen die Anwendungen bereitstellen zu können.
c) Client-side Cookies
Für die Nutzung der Funktionen der Webseite kommen Client-side Cookies zum Einsatz, d.h. wir speichern für die Dauer der Sitzung (bis Sie den Browser schließen) Client-side Cookies in Ihrem Endgerät. Dies hat den Zweck die von Ihnen gewählten Funktionalitäten von „Mein Bildungsraum“ anpassen zu können durch die von Ihnen ausgewählten Einstellungen im Verlauf der aktuellen Sitzung (z.B. eine Vorauswahl von Sprache und eine Breadcrumb-Navigation). Der Zugriff auf Ihr Endgerät zur Speicherung der Cookies erfolgt aufgrund von § 25 Abs. 2 Nr. 2 TTDSG. Er ist technisch notwendig, um Ihnen die von Ihnen angepassten Anwendungen bereitstellen zu können.
d) Webanalyse
Das BMBF wertet im Rahmen der Öffentlichkeitsarbeit und zur bedarfsorientierten Bereitstellung von Informationen das Nutzungsverhalten zu statistischen Zwecken aus. Dies erfolgt mit Hilfe des Webanalysedienstes Matomo. Die Software läuft auf den Webservern eines Dienstleisters im Auftrag des BMBF. Eine Weitergabe von Daten an Dritte erfolgt nicht.
Grundsätzlich ist die Webanalyse deaktiviert. Wenn Sie via Opt-In per Klick der Analyse zustimmen, verarbeiten wir Ihre personenbezogenen Daten aufgrund Ihrer freiwilligen und informierten Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Unser Zugriff auf die entsprechende Einstellung erfolgt mit Hilfe eines Cookies aufgrund von § 25 Abs. 1 TTDSG. Wir speichern Ihre Entscheidung auf diese Weise 30 Tage in Ihrem Endgerät.
Sie können hier Ihre Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen und die weitere Verarbeitung Ihrer Daten unterbinden, indem Sie über Ihre Browsereinstellungen den zugehörigen Cookie löschen.
Indem Sie hier klicken, können Sie Ihre Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen und die weitere Verarbeitung Ihrer Daten unterbinden.
Werden Einzelseiten unserer Website aufgerufen, verarbeiten wir folgende Daten:
- Teil der IP-Adresse;
- Zeit und Datum des Aufrufs;
- Zeit in der Zeitzone des lokalen Benutzers;
- Informationen zum verwendeten Betriebssystem, Browser, Hauptsprache des Browsers und Bildschirmauflösung;
- Die aufgerufene URL und der Titel der Seite;
- die Webseite, von der auf die aufgerufene Einzelseite gelangt wurde (Referrer-Site);
- die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen wurden
- Dateien, die angeklickt und heruntergeladen wurden;
- Links zu einer externen Domain, die angeklickt wurden;
- Seitengenerierungszeit (die Zeit, die benötigt wird, bis Webseiten vom Webserver generiert und dann vom Benutzer heruntergeladen werden: Seitengeschwindigkeit);
- ungefährer Standort des Internetdienstleisters („Geolocation“; jedoch nur das jeweilige Land).
Die Software ist so eingestellt, dass sie die IP-Adressen nicht vollständig speichert, sondern unmittelbar nach der Erhebung um zwei Bytes maskiert (Bsp.: 192.168.xxx.xxx). Das Nutzendenverhalten auf der Website lässt sich nur der gekürzten und damit anonymisierten IP-Adresse zuordnen. Auf diese Weise ist eine Zuordnung zum aufrufenden Rechner nicht mehr möglich.
e) Datenverarbeitung bei Kontaktanfragen
Bei Rückfragen können sich Nutzende postalisch, oder bspw. per E-Mail (support(at)meinbildungsraum.de) an das BMBF wenden.
Wir verarbeiten Ihre damit verbundenen personenbezogenen Daten (insbesondere die E-Mailadresse sowie den Inhalt Ihrer Anfrage) für die Beantwortung Ihrer Anfrage und löschen sie, sobald sie zu diesem Zweck nicht mehr benötigt werden. Dabei unterstützt uns ein Dienstleister. Soweit Ihre personenbezogenen Daten bei diesem zur Bearbeitung Ihres Anliegens erhoben und verarbeitet werden, speichert dieser Ihre Daten nur zur Bearbeitung Ihres Anliegens und entsprechend den gesetzlichen und vertraglichen Vorgaben. Soweit Ihr Anliegen nicht durch die Mitarbeiter der Dienstleister bearbeitet werden können, erfolgt eine Weiterleitung an das BMBF. Die Mitarbeiter/innen des BMBF verarbeiten die übermittelten Daten nur in Zusammenhang mit der Bearbeitung Ihres Anliegens. Die Speicherung der übermittelten Daten richtet sich in diesen Fällen nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG und ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.
f) Newsletter
Sie können sich auf der Website für einen Newsletter anmelden, um regelmäßig Neuigkeiten zu erfahren. Dazu geben Sie Ihre E-Mail-Adresse in das vorgesehene Formular ein. Zusätzlich wird im Zuge der Anmeldung Ihre IP-Adresse verarbeitet. Nach der Bestätigung innerhalb einer ersten E-Mail (Double-Opt-In), ist Ihre E-Mail-Adresse verifiziert und wir stellen unsere Newsletter fortan bis zum Eingang Ihres Widerrufs zu. Erfolgt diese Bestätigung nicht, löschen wir Ihre E-Mail-Adresse innerhalb von 30 Tagen.
Für die Organisation des Versands der Newsletter verwenden wir den Service der rapidmail GmbH, Wentzingerstraße, 21, 79106 Freiburg. Ihre E-Mail-Adresse wird auf den Servern von rapidmail in Deutschland gespeichert. Je nachdem mit welcher Schriftart der jeweilige Newsletter gestaltet wird, findet eine Verbindung zum Server von Rapidmail statt, um die Schriftart zu laden (sog. Webfonts).
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten anlässlich des Newsletter-Bezugs ist Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs.1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. In jedem Newsletter ist ein Link enthalten, über den Sie sich vom Newsletterbezug jederzeit abmelden können. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Ihre personenbezogenen Daten, die im Zusammenhang mit dem Newsletter-Versand verarbeitet werden, speichern wir bis zu einem etwaigen Widerruf Ihrer Einwilligung.
g) Interessenbekundung zu Closed-Beta-Testung per Online-Formular
Personen, die an einer Teilnahme als Testerinnen und Tester während der Closed-Beta-Phase interessiert sind, können sich bei uns melden. Hierzu steht ein „Interessen-Bekundungs-Formular“ auf unserer Website bereit.
Hier sind Ihre Vor- und Nachnamen, Ihre Organisation sowie Ihre E-Mail-Adresse erforderliche Angaben. Unter denjenigen, die Ihr Interesse hinterlegt haben, findet eine stufenweise Einladung unterschiedlicher Gruppen während der Testphase statt. Bei Bedarf wird insbesondere Ihre E-Mail-Adresse verwendet, um mit Ihnen in Kontakt zu treten. Bei der Organisation unterstützen uns die Dienstleister Capgemini, VDI/VDE Innovation + Technik GmbH sowie die Wisercat Software OÜ.
Wenn Sie Ihre o.g. Daten eingeben und Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten per Klick erklären, folgt die Rechtsgrundlage für die Datenverarbeitung aus Art. 6 Abs. 1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie eine E-Mail schreiben an datenschutz(at)meinbildungsraum.de.
2. Anmeldung und Identifizierung der Testnutzenden während der „Closed-Beta“-Phase
Abgesehen vom „Interessen-Bekundungs-Formular“ (s.o.) können Ihr Name und Ihre Kontaktinformationen für eine Ansprache können aber auch über Dritte zu uns gelangen. Diese Dritten gehen davon aus, dass die von ihnen vorgeschlagenen Personen – bspw. Kolleginnen und Kollegen oder Mitarbeiterinnen und Mitarbeiter – an der Teilnahme interessiert sind. Zur Organisation einer stufenweisen Einladung unterschiedlicher Gruppen während der Testphase nutzen wir auch eine Liste, auf der interessierte Nutzerinnen und Nutzer erfasst sind. Die Verarbeitung von Vor- und Nachname, Titel, E-Mail-Adresse und Organisation erfolgt aufgrund von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG. Im Rahmen der Aufgabenerfüllung des BMBF ist die Verarbeitung erforderlich; auf diese Weise kann das BMBF potenziell interessierte Testerinnen und Tester effektiv ansprechen, um das geplante Angebot der Vernetzungsinfrastruktur hinreichend zu testen. Auch insoweit unterstützen bei der Organisation die Dienstleister Capgemini, VDI/VDE Innovation + Technik GmbH sowie die Wisercat Software OÜ.
Um sämtliche derzeit zur Testung bereitstehende Funktionalitäten von „Mein Bildungsraum“ nutzen zu können, müssen Sie sich ausgewählte Testnutzende identifizieren bzw. authentifizieren. Die Zugangsdaten (Benutzername & Passwort) erhalten Sie – ebenso wie zu einem späteren Zeitpunkt eine Einladung zum anonymen Nutzenden-Feedback per Fragebogen (siehe Abschnitt 3.d) oder zur Teilnahme an einem Webinar (siehe Abschnitt 3.e) – per-E-Mail; das BMBF legt für Sie einen entsprechenden Account an. Für diese Zusendung der Zugangsdaten verarbeitet das BMBF ebenfalls Ihre E-Mail-Adresse, Vor- und Nachnamen, sowie Informationen zur Organisation, der Sie angehören. Rechtsgrundlage für diese Verarbeitung Ihrer personenbezogenen Daten ist – nachdem Sie aktiv Ihr Interesse bekundet haben, als Testerin bzw. Tester zu fungieren – wiederum Ihre freiwillige und informierte Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
a) Anmeldung und Identifizierung
Im Zusammenhang mit der Identifizierung werden im „Mein Bildungsraum“-spezifischen technischen Account folgende Informationen gespeichert: Eine technische ID der Nutzenden, eine technische ID der verknüpften Ablage („Mein Bildungsraum“-App) (soweit vorhanden) sowie eine technische Bezeichnung des genutzten Identifikationsmittels.
Diese Verarbeitung dient dazu, Ihnen Zugang zu den verschiedenen Funktionalitäten von „Mein Bildungsraum“ sowie deren Testung zu ermöglichen. Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist wiederum Ihre freiwillige und informierte Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
b) Verknüpfung mit der “Mein Bildungsraum“-App
Innerhalb der “Mein Bildungsraum“-App haben Sie die Möglichkeit, ihre Identität oder verschiedene Identitäten (DozentIn/LehrerIn/DirektorIn/SchülerIn/etc.) anzulegen, um via App Zugriff auf den jeweiligen persönlichen Bereich innerhalb von „Mein Bildungsraum“ zu erhalten. Innerhalb der App können Sie der Datenübertragung aus der jeweils genutzten digitalen Identität zustimmen und diese testen. Indem Sie Daten in der Ablage und damit auch im „Backbone“ speichern, erklären Sie, dass sie mit einer Speicherung der Daten einverstanden sind.
Rechtsgrundlage der Verarbeitung personenbezogener Daten durch das BMBF ist die freiwillige und informierte Einwilligung der Nutzenden, Art. 6 Abs. 1 lit. a DS-GVO. Die Nutzenden können ihre Einwilligung jederzeit widerrufen. Hierdurch wird die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt.
3. Nutzung einzelner Funktionalitäten von „Mein Bildungsraum“
Als registrierte Testnutzende können Sie die derzeit zur Verfügung stehenden Funktionalitäten von „Mein Bildungsraum“ nutzen und sind eingeladen, diese zu testen.
Hierbei gilt allgemein: Gemäß den Nutzungsbedingungen für die “Mein Bildungsraum” sowie denjenigen für die “Mein Bildungsraum”-App Sie als Testnutzende aufgefordert, möglichst keine Informationen einzugeben, die sich tatsächlich auf Sie als Person beziehen oder beziehbar sind. Indem Sie jedoch Felder (wie bspw. Stammdaten/Kontaktdaten/Informationen zur Profession) mit Sie tatsächlich betreffenden Angaben ausfüllen oder Nachweise hinzufügen, erklären Sie sich einverstanden mit der damit verbundenen Verarbeitung Ihrer personenbezogenen Daten. Rechtsgrundlage der Verarbeitung ist auch insoweit Art. 6 Abs. 1 lit. a DS-GVO. Sie können die von Ihnen jeweils eingegebenen Daten und Informationen jederzeit bearbeiten und so die Aktualität Ihrer personenbezogenen Daten, auch im Backbone, steuern. Für einen Widerruf Ihrer Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte z.B. per E-Mail an: datenschutz(at)meinbildungsraum.de. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die Löschung personenbezogener Daten aus dem Backbone erfolgt dann durch die zuständigen Administratoren.
Die nachfolgenden Anwendungen stehen zur Verfügung:
a) „Digitales Schulzeugnis“
In diesem Szenario geht es um die Testung der Komponente „Digitale Nachweise“, die insbesondere die digitale Signatur von Dokumenten ermöglichen soll, am Beispiel eines digitalen Schulzeugnisses. Sie können eine fiktive digitale Version eines Sie betreffenden Schulzeugnisses einschließlich digitaler Signatur erhalten. Während der „Closed-Beta“-Phase bestehen jedoch noch keine Schnittstellen zu tatsächlich existierenden Schulverwaltungssystemen (SVS). Vielmehr handelt es sich um sog. „Mock-Ups“, also system-interne Simulationen solcher Systeme.
Sie können den Abruf eines fiktiven Sie betreffenden Zeugnisses aus einem fiktiven SVS simulieren und dieses in digitaler und signierter Form in Ihre persönliche Ablage
laden. Hierbei werden Ihre jeweils eingegebenen fiktiven Informationen verarbeitet, insbesondere der Name der jeweiligen Bildungseinrichtung, die Bezeichnung des Bildungsabschnittes, über den ein Zeugnis angefordert wird (z.B. Klassenstufe) sowie Vor- und Nachname, Geburtsdatum und Anschrift.
Das fiktive SVS übermittelt den Hashwert des Zeugnisses an die Komponente „Digitale Nachweise“ der Vernetzungsinfrastruktur „Mein Bildungsraum“ nebst Inhalt des Zeugnisses als strukturierten Datensatz. Die Komponente „Digitale Nachweise“ generiert eine digitale Signatur für das Zeugnis und sendet den signierten Hashwert zurück an das fiktive SVS. Dort wird das digitale Zeugnis als kompilierte Datei aus signiertem PDF und strukturiertem Datensatz erstellt und an Ihre Ablage übertragen. Damit steht das Zeugnis zur weiteren Verwendung in der Ablage zur Verfügung. Entsprechend wird das digital signierte Dokument einschließlich der o.g. fiktiven personenbezogenen Daten (verschlüsselt) im Backbone der Vernetzungsinfrastruktur „Mein Bildungsraum“ gespeichert.
b) „Auftragsverarbeitungsvereinbarungen mit Schulservicepartnern“
Auch in diesem Szenario geht es um die Testung insbesondere der Komponente „Digitale Nachweise“. Die Vernetzungsinfrastruktur stellt ein Instrument zur Verfügung, das zwei Parteien (z.B. einer Schule und einem externen Anbieter eines Zusatzangebots im Bereich Bildung) die digitale Erstellung und Unterzeichnung von Verträgen (wie z.B. einer datenschutzrechtlichen Auftragsverarbeitungsvereinbarung - kurz AVV) ermöglicht.
Ein Vertragsdokument kann über eine Weboberfläche in die Vernetzungsinfrastruktur „Mein Bildungsraum“ – dort die Komponente „Digitale Nachweise“ – hochgeladen werden. Sodann ist festzulegen, in welcher Reihenfolge die (digitale) Unterzeichnung der Parteien erfolgen soll. Beide Parteien – bzw. dort die berechtigten Personen, die von jeder Partei festgelegt werden – müssen sodann jeweils die Freigabe zur digitalen Signatur erteilen. Hierfür legt die Komponente „Digitale Nachweise“ einen entsprechenden Auftrag an und übermittelt die Anfrage zur Unterschrift an die Ablage der jeweils berechtigten Person. Bestätigt diese die Unterschrift, wird diese Information an die Komponente „Digitale Nachweise“ übertragen. Dort wird das Dokument mit einer digitalen Signatur versehen. Sodann wird die beidseitig digital signierte Version der AVV den Parteien durch die Vernetzungsinfrastruktur zur Verfügung gestellt. Dies kann per E-Mail, über die Ablage oder per Download via Weboberfläche erfolgen.
Sind Sie eine der berechtigten Personen, so werden hierbei innerhalb von „Mein Bildungsraum“ folgende von Ihnen eingegebenen Daten verarbeitet:
- Stammdaten;
- Kontaktdaten;
- Identitätsdaten.
Hinzu kommt die Verarbeitung ggf. in dem jeweils zu signierendem Dokument selbst enthaltener personenbezogener Daten (z.B. Namen der weisungsbefugten Personen bzw. Weisungsempfänger im Falle einer AVV).
Die zu signierenden Daten sowie die personenbezogenen Daten der berechtigten Personen werden nur für die Dauer des Prozesses gespeichert. Wenn der Prozess abgeschlossen ist, werden die Daten gelöscht und nur noch deren Hashwerte in der Datenbank der Komponente „Digitale Nachweise“ gespeichert.
c) Übergang Vor-/Nachmittagsangebote im Kontext Schule
In diesem Szenario können Sie Ihre Ablage im Austausch mit einem externen Service Partner (SP) zu nutzen. Sie können aus ihrer Ablage heraus Informationen über Ihren Lernstand und/oder ihre Lernbedürfnisse an den SP übermitteln bzw. die Übermittlung über den Backbone veranlassen. Spiegelbildlich kann der SP nach entsprechender Freigabe Lernergebnisse (z.B. das Erreichen eines bestimmten Niveaus in einem Sprachkurs) an Ihre Ablage übermitteln.
Die jeweils aufseiten der Vernetzungsinfrastruktur „Mein Bildungsraum“ verarbeiteten fiktiven personenbezogenen Daten (regelmäßig Stamm- und Kontaktdaten und akademische Daten) hängen von Art und Umfang Ihrer Nutzung ab.
d) Teilnahme am Nutzenden-Feedback für „Mein Bildungsraum“
Als Testnutzende erhalten Sie die Möglichkeit, Ihr Feedback zu Ihrem Nutzungserlebnis abzugeben. Dies hilft dabei, die Vernetzungsinfrastruktur bedarfsgerecht weiterzuentwickeln. Hierzu wird Ihnen per E-Mail ein Link zu einem Online-Fragebogen zur Verfügung gestellt.
Für die Bereitstellung der Website mit dem Online-Fragebogen verwenden wir auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG einen Session-Cookie, der sich beim Schließen Ihres Browsers bzw. spätestens nach zwei Stunden automatisch löscht. Er ist technisch notwendig, um Ihnen den Fragebogen bereitstellen zu können. Bei Aufrufen dieser Website verarbeiten wir zudem Logdateien, d.h. Ihre IP-Adresse, Zeitstempel, Browserkennungen, URLs und Ihre Session-ID. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG. Ohne die Verarbeitung dieser Daten können wir Ihnen die Website nicht zur Verfügung stellen und damit auch Ihr Nutzenden-Feedback nicht erfassen und auswerten. Spätestens nach 30 Tagen löschen wir diese Logdateien.
Für die weitere Entwicklung der Vernetzungsinfrastruktur werten wir Ihre Antworten anonym aus, d.h., Sie identifizierende Daten (bspw. Ihre IP-Adresse) nutzen wir im Rahmen der Auswertung nicht. Bitte tragen Sie deshalb in die Freitextfelder keine Informationen ein, die Sie unmittelbar identifizieren.
Für die Organisation des Nutzenden-Feedbacks setzen wir den Service der VDI/VDE Innovation + Technik GmbH ein. Der Dienstleister verarbeitet Ihre personenbezogenen Daten in unserem Auftrag und strikt weisungsgebunden. Verantwortlich bleibt das BMBF. Hier finden Sie weitere Informationen zu Kontaktmöglichkeiten und zu Ihren Betroffenenrechten.
e) Teilnahme an Live-Webinaren für Testnutzende
Als Testnutzende erhalten Sie die Möglichkeit, an Live-Webinaren teilzunehmen, in denen die Funktionsweisen der Vernetzungsinfrastruktur erläutert werden und Gelegenheit zum Erfahrungsaustausch bei der Testung besteht. Auch dies hilft dabei, die Vernetzungsinfrastruktur bedarfsgerecht weiterzuentwickeln. Hierzu wird Ihnen per E-Mail ein Link zu einem Teilnehmerregistrierungsformular des Dienstes „webex“ zur Verfügung gestellt, über den Sie sich selbstständig für das von Ihnen ausgewählte Webinar anmelden können. Im Teilnehmerregistrierungsformular sind Vor- und Nachname sowie eine E-Mail-Adresse erforderliche Angaben.
Wenn Sie an einem vom BMBF unter Verwendung des Dienstes „webex“ als Videokonferenz angebotenen Webinar teilnehmen, können – je nach Art der einerseits von Ihnen und andererseits für die jeweilige Videokonferenz gewählten Einstellungen – zu diesem Zweck folgende Daten durch das BMBF verarbeitet werden (zu den Einzelheiten vgl. hier zusätzlich die Angaben des Anbieters „Cisco“):
- Accountinformationen („User Information“): Name, E-Mail-Adresse, Passwort, Browser, Benutzerinformationen (sofern synchronisiert), Eindeutige Nutzerkennung (UUID), optional: Telefonnummer, Postadresse, Profilbild
- Gastgeber- und Nutzungsinformation („Host and Usage Information“): IP-Adresse, Benutzeragentenkennung, Hardwaretyp, Betriebssystemtyp und -version, Client-version, IP-Adressen entlang des Netzwerkpfads, Serviceversion, ergriffene Maßnahmen, geographische Region, Informationen Meeting (z. B. Datum und Uhrzeit, Häufigkeit, durchschnittliche und tatsächliche Dauer, Menge, Qualität, Netzwerkaktivität und Netzwerkkonnektivität), Anzahl der Meetings, Anzahl der Sitzungen mit und ohne Bildschirmfreigabe, Teilnehmerzahl, Bildschirmauflösung, Beitrittsmethode, Informationen zu Leistung, Fehlerbehebung und Diagnose, Informationen zum Gastgeber des Meetings (Gastname, E-Mail-Adresse, URL der Besprechungsseite , Start-/Endzeit des Meetings), Meeting Titel, Anrufinformation (E-Mail-Adresse, IP-Adresse, Username, Telefonnummer, Raumgerät); über das Teilnehmerregistrierungsformular übermittelte Informationen.
- Benutzergenerierte Informationen („User-Generated Information“): Besprechungsaufzeichnungen (falls vom Kunden aktiviert), Transkriptionen von Besprechungsaufzeichnungen (optional, nur anwendbar, wenn vom Kunden aktiviert), Hochgeladene Dateien (nur für WebEx-Webinare und -Schulungen), Whiteboard-Inhalt (optional, nur anwendbar, wenn vom Kunden aktiviert).
Rechtsgrundlage ist insoweit Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie z.B. eine E-Mail schreiben an: datenschutz(at)meinbildungsraum.de. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Für die Organisation der Webinare setzen wir einen Service der VDI/VDE Innovation + Technik GmbH ein. Die VDI/VDE Innovation + Technik GmbH verarbeitet Ihre personenbezogenen Daten in unserem Auftrag und strikt weisungsgebunden. Verantwortlich bleibt das BMBF. Hier finden Sie weitere Informationen zu Kontaktmöglichkeiten und zu Ihren Betroffenenrechten.
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Der Anbieter Cisco erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen der anwendbaren Auftragsverarbeitungsvereinbarung mit Cisco vorgesehen ist. Webex- Lösungen werden durch das Unternehmen Cisco mit Hauptsitz in den USA erbracht. Bei erstmaliger Bereitstellung der webex- Lösung erfolgt für Kunden mit Hauptstandort Deutschland das Hosting der Benutzerdaten in Europa (Frankfurt am Main, Amsterdam und ggf. London (abhängig vom Service bzw. dem Migrationsstatus)). Das Unternehmen Cisco ist unter dem „EU-U.S. Data Privacy Framework“ zertifiziert.
4. Teilnahme an Umfragen per Online-Fragebogen zu „Mein Bildungsraum“
Als Teil einer interessierten Fachöffentlichkeit (z.B. bei Veranstaltungen, Messen etc.) erhalten Sie die Möglichkeit, Ihre Einschätzung zu „Mein Bildungsraum“ abzugeben. Hierzu können Sie einen kurzen Online-Fragebogen ausfüllen, der per QR-Code zugänglich gemacht wird. Das ermittelte Meinungsbild hilft dabei, die Vernetzungsinfrastruktur bedarfsgerecht weiterzuentwickeln.
Für die Bereitstellung der Website mit dem Online-Fragebogen verwenden wir auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG einen Cookie, der eine Mehrfach-Teilnahme verhindert. Er ist technisch notwendig, um Ihnen den Fragebogen bereitstellen und die Umfrage durchführen zu können. Bei Aufrufen der Website verarbeiten wir Ihre IP-Adresse. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG. Ohne die Verarbeitung dieser Daten können wir Ihnen die Website nicht zur Verfügung stellen und damit auch Ihr Feedback nicht erfassen und auswerten. Im Übrigen findet im Zusammenhang mit den Online-Fragebögen keine Verarbeitung personenbezogener Daten statt; ihre Auswertung erfolgt anonym.
Für die Organisation der Umfragen setzen wir einen Service der VDI/VDE Innovation + Technik GmbH ein. Der Dienstleister verarbeitet Ihre personenbezogenen Daten in unserem Auftrag und strikt weisungsgebunden. Verantwortlich bleibt das BMBF.
III. Empfänger personenbezogener Daten
1. Als Host-Provider verarbeitet die Capgemini Deutschland GmbH, Potsdamer Platz 5, 10785 Berlin Ihre Daten in unserem Auftrag strikt weisungsgebunden. Auch die Wisercat Software OÜ, Lelle 24, Tallinn, 11318 Harjumaa, Estonia, ist als Auftragsverarbeiter eingesetzt und unterstützt bei der Beantwortung von Supportanfragen sowie bei der Administration auf der produktiven Umgebung. Bei der Abwicklung des Nutzenden-Feedbacks sowie bei Umfragen unterstützen die VDI/VDE Innovation + Technik GmbH, Steinplatz 1, 10623 Berlin und die Capgemini Deutschland GmbH. Bei der Abwicklung des Anmeldeprozesses für Testnutzende während der „Closed-Beta“-Phase unterstützen Capgemini, die Wisercat Software OÜ und die VDI/VDE Innovation + Technik GmbH.
Angaben zu den im Übrigen beteiligten Dienstleistern (z.B. beim Newsletter-Versand) können Sie den Ausführungen in den jeweiligen o.g. Abschnitten entnehmen.
Die weisungsgebundene Datenverarbeitung stellen wir jeweils mittels Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DS-GVO sicher. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten durch diese Dienstleister bleiben wir.
2. Die Daten registrierter Nutzerinnen und Nutzer stellen wir Dritten (vgl. oben II. 3a-c) nur zur Verfügung, wenn und soweit Sie die Übermittlung als Testnutzende*r insbesondere über Ihre “Mein Bildungsraum“-App veranlasst haben, d.h., wenn Sie Ihre Einwilligung in die Übermittlung per Freigabe erklärt haben. Rechtsgrundlage ist insoweit Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie z.B. eine E-Mail schreiben an: datenschutz(at)meinbildungsraum.de. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Empfänger personenbezogener Daten können z.B. Bildungseinrichtungen sein, mit denen Sie Ihre Zeugnisse oder Zertifikate teilen wollen. Diese Stellen verarbeiten Ihre personenbezogenen Daten dann unter eigener datenschutzrechtlicher Verantwortlichkeit. Dazu erhalten Sie entsprechende Informationen von den Stellen, an die Sie Ihre Daten übermitteln.
IV. Löschung der Daten
Logdaten und -dateien löschen wir spätestens innerhalb von 20 Tagen, wenn ein IT-sicherheitsrelevanter Vorfall keine längere Speicherung erfordert. Session-Cookies löschen sich automatisch mit Beendigung der Sitzung. Zum Ende der „Closed-Beta“-Phase (siehe oben) löschen wir sämtliche bis zu diesem Zeitpunkt gespeicherte Daten, die im Zusammenhang mit der Nutzung der Vernetzungsinfrastruktur verarbeitet, insbesondere gespeichert wurden, sofern sich aus den vorstehenden Abschnitten nichts anderes ergibt. Wenn Sie im Rahmen des Anmeldeprozesses zur 'Closed-Beta'-Phase angeben, dass Sie kein Interesse an der Teilnahme haben oder nach zweimaliger Erinnerung keine Antwort von Ihnen eingeht, werden Ihre Daten spätestens sieben Tage nach Ihrer Bekundung des Desinteresses oder nach dem Versand der zweiten Erinnerung gelöscht.
V. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft, Art. 15 DS-GVO
Das Recht auf Auskunft beinhaltet die Möglichkeit, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen. - Recht auf Berichtigung, Art. 16 DS-GVO
Das Recht auf Berichtigung beinhaltete die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen. - Recht auf Löschung, Art. 17 DS-GVO
Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings unter anderem nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde. - Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO
Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Betroffenen ein. - Recht auf Widerspruch gegen die Erhebung, Verarbeitung und/oder Nutzung, Art. 21 DS-GVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 Satz 1 e) und f) DS-GVO erfolgt, Widerspruch einzulegen. Diese personenbezogenen Daten werden dann nicht mehr für diese Zwecke verarbeitet, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die Ihre Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. - Recht auf Datenübertragbarkeit, Art. 20 DS-GVO
Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Art. 20 Absatz 3 Satz 2 DS-GVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.
Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage Ihrer Einwilligung (Artikel 6 Abs. 1 lit a DS-GVO) erfolgt, können Sie diese jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund Ihrer getätigten Einwilligung bleibt bis zum Eingang Ihres Widerrufs unberührt.
Die vorgenannten Rechte können Sie unter datenschutz(at)meinbildungsraum.de geltend machen.
Ihnen steht zudem ein Beschwerderecht bei einer datenschutzrechtlichen Aufsichtsbehörde eigener Wahl zu. Hierzu gehört auch die für uns zuständige Aufsichtsbehörde: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Sie können sich mit Fragen und Beschwerden auch an die Datenschutzbeauftragte des BMBF (datenschutz(at)bmbf.bund.de) wenden.