Der Schutz Ihrer persönlichen Daten ist dem Bundesministerium für Bildung und Forschung (BMBF) ein besonderes Anliegen.
Nähere Informationen darüber, welche Daten im Zusammenhang mit “Mein Bildungsraum” (ehemals “Nationale Bildungsplattform”, im Folgenden NBP) zu welchem Zweck und auf welcher Grundlage erhoben werden, wie Sie die verantwortliche Stelle und die/den Datenschutzbeauftragte/n kontaktieren können und welche Rechte Sie in Bezug auf die Verarbeitung der personenbezogenen Daten haben, können Sie dieser Datenschutzerklärung entnehmen.
Mit dem Aufbau der NBP wird erstmals ein einfacher, individueller Zugang zu den vielfältigen existierenden und stark verteilten digital zugänglichen Bildungsangeboten, Lehr-/Lernszenarien und eher administrativ ausgerichteten Diensten des persönlichen Bildungsweges geschaffen. Die hierfür notwendige Infrastruktur soll Einstiegsbarrieren minimieren und zur Stärkung des Datenschutzes und der Kontensicherheit beitragen. Dies erfolgt u.a. mit einem durch Single Sign-On (SSO) und Single Logout (SLO) vereinfachten Zugang und einer nutzerzentrierten und nutzergesteuerten Dokumentenablage und -verwaltung. Die NBP ermöglicht den digitalen Zugriff auf eine Vielzahl verschiedener Bildungsangebote für unterschiedliche Altersgruppen und Lebenslagen. Angebote können gesucht und eine Verknüpfung mit den jeweiligen Anbietern hergestellt werden.
Die NBP besteht aus fünf Komponenten (Ablage (Wallet); Digitale Identitäten; Digitale Nachweise; Datenraum; Schaufenster), die die verschiedenen Funktionalitäten der NBP bereitstellen. Darunter ist die Ablage (Wallet) diejenige, mit der Sie als Nutzende selbst Ihren persönlichen Bereich verwalten, eigene Daten und Dokumente ablegen und aus der “Wallet” heraus für andere freigeben können. Die zugehörige Applikation (App) finden Sie in den gängigen App-Stores nebst separater Datenschutzinformation.
Zu Beginn (bis voraussichtlich Februar 2024) wird die Vernetzungsinfrastruktur in einer „Closed-Beta“-Testphase veröffentlicht. Während dieser Phase besteht der übergeordnete Zweck der nachfolgend dargestellten Datenverarbeitungen darin, die technische Infrastruktur der NBP zu testen und weiterzuentwickeln.
In dieser Version besteht die Besonderheit, dass nur ein begrenzter Kreis an ausgewählten Nutzenden die Möglichkeit hat, sich innerhalb der NBP zu identifizieren und somit einen erweiterten Kreis an Funktionalitäten der Vernetzungsinfrastruktur zu testen. Diese Nutzergruppe wird ausgewählt, registriert und kontrolliert zugelassen. Die nachfolgenden Datenschutzinformationen gelten vor allem für diesen Personenkreis.
Für übrige Nutzerinnen und Nutzer (ohne Registrierung als Testnutzende) stehen nur die über diese Website allgemein zugänglichen Informationen und Grundfunktionen bereit, ohne Log-In- und Verknüpfungsmöglichkeiten. Die nachfolgenden Datenschutzinformationen gelten für diese Personen lediglich in Bezug auf die Abschnitte I., II.1a, c, d. sowie III.1, IV, V.
I. Verantwortliche/r und Datenschutzbeauftragte/r
Verantwortlich für die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 7 DS-GVO ist das
Bundesministerium für Bildung und Forschung
D-53170 Bonn
Telefon: +49 (0)228 9957-0
Fax: +49 (0)228 99578-3601
E-Mail: bmbf(at)bmbf.bund.de
DE-Mail: poststelle(at)bmbf-bund.de-mail.de
Bei konkreten Fragen zum Schutz Ihrer Daten wenden Sie sich bitte an die behördliche Datenschutzbeauftragte des BMBF:
Bundesministerium für Bildung und Forschung
“Datenschutzbeauftragte/r”
D-53170 Bonn
Telefon: +49 (0)228/9957-3369
Fax: +49 (0)228/9957-8-3369
E-Mail: datenschutz(at)bmbf.bund.de
Die nachfolgende Erklärung gibt Ihnen einen Überblick darüber, wie das BMBF den Schutz Ihrer Daten gewährleistet und welche Art von Daten auf welcher Grundlage zu welchem Zweck erhoben werden.
II. Verarbeitung personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt – insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung – identifiziert werden kann.
Der genaue Ablauf des Besuchs der Website (1.), der Anmeldung und Identifizierung der Testnutzenden während der „Closed-Beta“-Phase (2.) und der Nutzung einzelner Funktionalitäten der NBP (3.) ergeben sich aus den nachfolgenden Informationen:
1. Besuch der Infowebsite www.meinbildungsraum.de
a) Log-Dateien (sog. Log Files)
Der eigentlichen Vernetzungsinfrastruktur NBP ist eine allgemeine und öffentlich zugängliche Webseite (www.meinbildungsraum.de) vorgeschaltet, auf der sich Besucher:innen – ohne Identifizierung/Authentifizierung – informieren können. Auf dieser Landing-Page (Teil der Komponente „Schaufenster“) stehen allgemeine Informationen und Infografiken und Hilfestellungen (wie zum Beispiel FAQ, Service-Bereich, Impressum und Informationen zum Navigationskonzept der Webseite) bereit. Darüber ist bspw. eine Log-in-unabhängige Suchfunktion bzgl. der verfügbaren Bildungsangebote verfügbar.
Für die Bereitstellung der Webseite verarbeiten wir die nachfolgenden Informationen aufgrund von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 Abs. 1 EGovG im Rahmen der Öffentlichkeitsarbeit:
- Zeitstempel;
- Verwendetes Internet-Übertragungs-Protokoll (IP-Adresse des Absenders und IP-Adresse des Empfängers bzw. der verwendeten Komponente);
- HTTP Informationen (Methodentyp, Statuscode, Header, Body);
- den Namen der angewendeten Sicherheitsrichtlinie, die Abgleichsregel und die Information, ob die Regel erzwungen wurde.
Für die Bereitstellung von Informationen auf dieser Webseite ist die Datenverarbeitung erforderlich.
Die oben genannten Informationen werden in Log-Dateien über den Zeitpunkt des Besuches hinaus auf einem externen Server bei unserem Dienstleister Capgemini Deutschland GmbH gespeichert. Auf Grundlage von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 5 Abs. 1 BSIG ist das BMBF zur Erhebung und Speicherung der Daten zum Schutz vor Angriffen auf die Internetinfrastruktur des BMBF und seiner Kommunikationstechnik auch über den Zeitpunkt des Besuches der Nutzer hinaus verpflichtet. Die Daten werden analysiert und im Falle von Angriffen auf die Kommunikationstechnik zur Einleitung einer Rechts- und Strafverfolgung benötigt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BMBF nicht.
b) Session Cookies
Für die Nutzung der Funktionen der Webseite kommen Session-Cookies zum Einsatz, d.h. wir speichern für die Dauer der Sitzung (bis Sie den Browser schließen) Cookies in Ihrem Endgerät, um die von Ihnen gewählten Funktionalitäten der NBP bereitstellen zu können. Diese Session Cookies werden erst ab dem Zeitpunkt Ihres Logins gesetzt. Der Zugriff auf Ihr Endgerät zur Speicherung der Cookies erfolgt aufgrund von § 25 Abs. 2 Nr. 2 TTDSG. Er ist technisch notwendig, um Ihnen die Anwendungen bereitstellen zu können.
c) Client-side Cookies
Für die Nutzung der Funktionen der Webseite kommen Client-side Cookies zum Einsatz, d.h. wir speichern für die Dauer der Sitzung (bis Sie den Browser schließen) Client-side Cookies in Ihrem Endgerät. Dies hat den Zweck die von Ihnen gewählten Funktionalitäten der NBP anpassen zu können durch die von Ihnen ausgewählten Einstellungen im Verlauf der aktuellen Sitzung (z.B. eine Vorauswahl von Sprache und eine Breadcrumb-Navigation). Der Zugriff auf Ihr Endgerät zur Speicherung der Cookies erfolgt aufgrund von § 25 Abs. 2 Nr. 2 TTDSG. Er ist technisch notwendig, um Ihnen die von Ihnen angepassten Anwendungen bereitstellen zu können.
d) Datenverarbeitung bei Kontaktanfragen
Bei Rückfragen können sich Nutzende postalisch, oder bspw. per E-Mail (support(at)meinbildungsraum.de) an das BMBF wenden.
Wir verarbeiten Ihre damit verbundenen personenbezogenen Daten (insbesondere die E-Mailadresse sowie den Inhalt Ihrer Anfrage) für die Beantwortung Ihrer Anfrage und löschen sie, sobald sie zu diesem Zweck nicht mehr benötigt werden. Dabei unterstützt uns ein Dienstleister. Soweit Ihre personenbezogenen Daten bei diesem zur Bearbeitung Ihres Anliegens erhoben und verarbeitet werden, speichert dieser Ihre Daten nur zur Bearbeitung Ihres Anliegens und entsprechend den gesetzlichen und vertraglichen Vorgaben. Soweit Ihr Anliegen nicht durch die Mitarbeiter der Dienstleister bearbeitet werden können, erfolgt eine Weiterleitung an das BMBF. Die Mitarbeiter/innen des BMBF verarbeiten die übermittelten Daten nur in Zusammenhang mit der Bearbeitung Ihres Anliegens. Die Speicherung der übermittelten Daten richtet sich in diesen Fällen nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG und ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.
e) Webanalyse
Das BMBF wertet im Rahmen der Öffentlichkeitsarbeit und zur bedarfsorientierten Bereitstellung von Informationen das Nutzungsverhalten zu statistischen Zwecken aus. Dies erfolgt mit Hilfe des Webanalysedienstes Matomo. Die Software läuft auf den Webservern eines Dienstleisters im Auftrag des BMBF. Eine Weitergabe von Daten an Dritte erfolgt nicht.
Grundsätzlich ist die Webanalyse deaktiviert. Wenn Sie via Opt-In per Klick der Analyse zustimmen, verarbeiten wir Ihre personenbezogenen Daten aufgrund Ihrer freiwilligen und informierten Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Unser Zugriff auf die entsprechende Einstellung erfolgt mit Hilfe eines Cookies aufgrund von § 25 Abs. 1 TTDSG. Wir speichern Ihre Entscheidung auf diese Weise 30 Tage in Ihrem Endgerät.
Indem Sie hier klicken, können Sie Ihre Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen und die weitere Verarbeitung Ihrer Daten unterbinden.
Werden Einzelseiten unserer Website aufgerufen, verarbeiten wir folgende Daten:
- die IP-Adresse;
- Zeit und Datum des Aufrufs;
- Zeit in der Zeitzone des lokalen Benutzers;
- Informationen zum verwendeten Betriebssystem, Browser, Hauptsprache des Browsers und Bildschirmauflösung;
- die aufgerufene URL und der Titel der Seite;
- die Webseite, von der auf die aufgerufene Einzelseite gelangt wurde (Referrer-Site);
- die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen wurden
- Dateien, die angeklickt und heruntergeladen wurden;
- Links zu einer externen Domain, die angeklickt wurden;
- Seitengenerierungszeit (die Zeit, die benötigt wird, bis Webseiten vom Webserver generiert und dann vom Benutzer heruntergeladen werden: Seitengeschwindigkeit);
- Standort des Benutzers: Land, Region, Stadt, ungefährer Breiten- und Längengrad (Geolocation).
Die Software ist so eingestellt, dass sie die IP-Adressen nicht vollständig speichert, sondern unmittelbar nach der Erhebung um zwei Bytes maskiert (Bsp.: 192.168.xxx.xxx). Das Nutzendenverhalten auf der Website lässt sich nur der gekürzten und damit anonymisierten IP-Adresse zuordnen. Auf diese Weise ist eine Zuordnung zum aufrufenden Rechner nicht mehr möglich.
f) Newsletter
Sie können sich auf der Website für einen Newsletter anmelden, um regelmäßig Neuigkeiten zu erfahren. Dazu geben Sie Ihre E-Mail-Adresse in das vorgesehene Formular ein. Nach der Bestätigung innerhalb einer Test-E-Mail (Double-Opt-In), ist Ihre E-Mail-Adresse verifiziert und wir stellen unsere Newsletter fortan bis zum Eingang Ihres Widerrufs zu. Erfolgt diese Bestätigung nicht, löschen wir Ihre E-Mail-Adresse innerhalb von 30 Tagen.
Für die Organisation des Versands der Newsletter verwenden wir den Service der rapidmail GmbH, Wentzingerstraße, 21, 79106 Freiburg. Ihre E-Mail-Adresse wird auf den Servern von rapidmail in Deutschland gespeichert. Je nachdem mit welcher Schriftart der jeweilige Newsletter gestaltet wird, findet eine Verbindung zum Server von Rapidmail statt, um die Schriftart zu laden (sog. Webfonts).
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten anlässlich des Newsletter-Bezugs ist Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs.1 lit. a DS-GVO . Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. In jedem Newsletter ist ein Link enthalten, über den Sie sich vom Newsletterbezug jederzeit abmelden können. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
2. Anmeldung und Identifizierung der Testnutzenden während der „Closed-Beta“-Phase
Interessierte Testerinnen und Tester können sich bei uns melden und ihr Interesse an der Testung bekunden. Dazu gibt es ein „Interessen-Bekundungs-Formular“ auf unserer Website. Wenn Sie Ihre Stammdaten eingeben und Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten per Klick erklären, folgt die Rechtsgrundlage für die Datenverarbeitung aus Art. 6 Abs. 1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie eine E-Mail schreiben an datenschutz(at)meinbildungsraum.de.
Namen und Kontaktinformationen für eine Ansprache können aber auch über Dritte zu uns gelangen. Diese Dritten gehen davon aus, dass die von ihnen vorgeschlagenen Personen – bspw. Kolleginnen und Kollegen oder Mitarbeiterinnen und Mitarbeiter – an der Teilnahme interessiert sind. Zur Organisation einer stufenweisen Einladung unterschiedlicher Gruppen während der Testphase nutzen wir auch eine Liste, auf der interessierte Nutzerinnen und Nutzer erfasst sind. Die Verarbeitung von Vor- und Nachname, E-Mail-Adresse und Organisation erfolgt aufgrund von Art. 6 Abs. 1 lit. e DS-GVO i.V.m. § 3 BDSG. Im Rahmen der Aufgabenerfüllung des BMBF ist die Verarbeitung erforderlich; auf diese Weise kann das BMBF potenziell interessierte Testerinnen und Tester effektiv ansprechen, um das geplante Angebot der Vernetzungsinfrastruktur hinreichend zu testen.
Um sämtliche derzeit zur Testung bereitstehende Funktionalitäten der NBP nutzen zu können, müssen Sie sich ausgewählte Testnutzende identifizieren bzw. authentifizieren. Die Zugangsdaten (Benutzername & Passwort) erhalten Sie per-E-Mail; das BMBF legt für Sie einen entsprechenden Account an. Für diese Zusendung der Zugangsdaten verarbeitet das BMBF ebenfalls Ihre E-Mail-Adresse, Vornamen, Nachnamen sowie Informationen zur Organisation, der Sie angehören . Rechtsgrundlage für diese Verarbeitung Ihrer personenbezogenen Daten ist – nachdem Sie aktiv Ihr Interesse bekundet haben, als Testerin bzw. Tester zu fungieren – wiederum Ihre freiwillige und informierte Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
a) Anmeldung und Identifizierung
Im Zusammenhang mit der Identifizierung werden im NBP-spezifischen technischen Account folgende Informationen gespeichert: Eine technische ID der Nutzenden, eine technische ID der verknüpften Wallet (soweit vorhanden) sowie eine technische Bezeichnung des genutzten Identifikationsmittels.
Diese Verarbeitung dient dazu, Ihnen Zugang zu den verschiedenen Funktionalitäten der NBP sowie deren Testung zu ermöglichen. Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist wiederum Ihre freiwillige und informierte Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
b) Verknüpfung mit der Wallet-App
Innerhalb der Wallet-App haben Sie die Möglichkeit, ihre Identität oder verschiedene Identitäten (Dozent:in, Lehrer:in, Direktor:in, Schüler:in, etc.) anzulegen, um via App Zugriff auf den jeweiligen persönlichen Bereich innerhalb der NBP zu erhalten. Innerhalb der App können Sie der Datenübertragung aus der jeweils genutzten digitalen Identität zustimmen und diese testen. Indem Sie Daten in der Wallet und damit auch im „Backbone“ speichern, erklären Sie, dass sie mit einer Speicherung der Daten einverstanden sind.
Rechtsgrundlage der Verarbeitung personenbezogener Daten durch das BMBF ist die freiwillige und informierte Einwilligung der Nutzenden, Art. 6 Abs. 1 lit. a DS-GVO. Die Nutzenden können ihre Einwilligung jederzeit widerrufen. Hierdurch wird die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt.
3. Nutzung einzelner Funktionalitäten der NBP
Als registrierte Testnutzende können Sie die derzeit zur Verfügung stehenden Funktionalitäten der NBP nutzen und sind eingeladen, diese zu testen.
Hierbei gilt allgemein: Gemäß den Nutzungsbedingungen für “Mein Bildungsraum” sowie denjenigen für die Wallet-App Sie als Testnutzende aufgefordert, möglichst keine Informationen einzugeben, die sich tatsächlich auf Sie als Person beziehen oder beziehbar sind. Indem Sie jedoch Felder (wie bspw. Stammdaten, Kontaktdaten oder Informationen zur Profession) mit Sie tatsächlich betreffenden Angaben ausfüllen oder Nachweise hinzufügen, erklären Sie sich einverstanden mit der damit verbundenen Verarbeitung Ihrer personenbezogenen Daten. Rechtsgrundlage der Verarbeitung ist auch insoweit Art. 6 Abs. 1 lit. a DS-GVO. Sie können die von Ihnen jeweils eingegebenen Daten und Informationen jederzeit bearbeiten und so die Aktualität Ihrer personenbezogenen Daten, auch im Backbone, steuern. Für einen Widerruf Ihrer Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte z.B. per E-Mail an: datenschutz(at)meinbildungsraum.de. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die Löschung personenbezogener Daten aus dem Backbone erfolgt dann durch die zuständigen Administratoren.
Die nachfolgenden Anwendungen stehen zur Verfügung:
a) “Digitales Schulzeugnis”
In diesem Szenario geht es um die Testung der Komponente “Digitale Nachweise”, die insbesondere die digitale Signatur von Dokumenten ermöglichen soll, am Beispiel eines digitalen Schulzeugnisses. Sie können eine fiktive digitale Version eines Sie betreffenden Schulzeugnisses einschließlich digitaler Signatur erhalten. Während der “Closed-Beta”-Phase bestehen jedoch noch keine Schnittstellen zu tatsächlich existierenden Schulverwaltungssystemen (SVS). Vielmehr handelt es sich um sog. “Mock-Ups”, also system-interne Simulationen solcher Systeme.
Sie können den Abruf eines fiktiven Sie betreffenden Zeugnisses aus einem fiktiven SVS simulieren und dieses in digitaler und signierter Form in Ihre persönliche Ablage/Wallet laden. Hierbei werden Ihre jeweils eingegebenen fiktiven Informationen verarbeitet, insbesondere der Name der jeweiligen Bildungseinrichtung, die Bezeichnung des Bildungsabschnittes, über den ein Zeugnis angefordert wird (z. B. Klassenstufe) sowie Vor- und Nachname, Geburtsdatum und Anschrift.
Das fiktive SVS übermittelt den Hashwert des Zeugnisses an die Komponente “Digitale Nachweise” der NBP nebst Inhalt des Zeugnisses als strukturierten Datensatz. Die Komponente “Digitale Nachweise” generiert eine digitale Signatur für das Zeugnis und sendet den signierten Hashwert zurück an das fiktive SVS. Dort wird das digitale Zeugnis als kompilierte Datei aus signiertem PDF und strukturiertem Datensatz erstellt und an Ihre Wallet/Ablage übertragen. Damit steht das Zeugnis zur weiteren Verwendung in der Wallet/Ablage zur Verfügung. Entsprechend wird das digital signierte Dokument einschließlich der o.g. fiktiven personenbezogenen Daten (verschlüsselt) im Backbone der NBP gespeichert.
b) “Auftragsverarbeitungsvereinbarungen mit Schulservicepartnern”
Auch in diesem Szenario geht es um die Testung insbesondere der Komponente “Digitale Nachweise”. Die Vernetzungsinfrastruktur stellt ein Instrument zur Verfügung, das zwei Parteien (z. B. einer Schule und einem externen Anbieter eines Zusatzangebots im Bereich Bildung) die digitale Erstellung und Unterzeichnung von Verträgen (wie z.B. einer datenschutzrechtlichen Auftragsverarbeitungsvereinbarung - kurz AVV) ermöglicht.
Ein Vertragsdokument kann über eine Weboberfläche in die NBP – dort die Komponente “Digitale Nachweise” – hochgeladen werden. Sodann ist festzulegen, in welcher Reihenfolge die (digitale) Unterzeichnung der Parteien erfolgen soll. Beide Parteien – bzw. dort die berechtigten Personen, die von jeder Partei festgelegt werden – müssen sodann jeweils die Freigabe zur digitalen Signatur erteilen. Hierfür legt die Komponente “Digitale Nachweise” einen entsprechenden Auftrag an und übermittelt die Anfrage zur Unterschrift an die Ablage/Wallet der jeweils berechtigten Person. Bestätigt diese die Unterschrift, wird diese Information an die Komponente “Digitale Nachweise” übertragen. Dort wird das Dokument mit einer digitalen Signatur versehen. Sodann wird die beidseitig digital signierte Version der AVV den Parteien durch die Vernetzungsinfrastruktur zur Verfügung gestellt. Dies kann per E-Mail, über die Ablage oder per Download via Weboberfläche erfolgen.
Sind Sie eine der berechtigten Personen, so werden hierbei innerhalb der NBP folgende von Ihnen eingegebenen Daten verarbeitet:
- Stammdaten;
- Kontaktdaten;
- Identitätsdaten.
Hinzu kommt die Verarbeitung ggf. in dem jeweils zu signierendem Dokument selbst enthaltener personenbezogener Daten (z.B. Namen der weisungsbefugten Personen bzw. Weisungsempfänger im Falle einer AVV).
Die zu signierenden Daten sowie die personenbezogenen Daten der berechtigten Personen werden nur für die Dauer des Prozesses gespeichert. Wenn der Prozess abgeschlossen ist, werden die Daten gelöscht und nur noch deren Hashwerte in der Datenbank der Komponente “Digitale Nachweise” gespeichert.
c) Übergang Vor-/Nachmittagsangebote im Kontext Schule
In diesem Szenario können Sie Ihre Ablage/Wallet im Austausch mit einem externen Service Partner (SP) zu nutzen. Sie können aus ihrer Ablage/Wallet heraus Informationen über Ihren Lernstand und/oder ihre Lernbedürfnisse an den SP übermitteln bzw. die Übermittlung über den Backbone veranlassen. Spiegelbildlich kann der SP nach entsprechender Freigabe Lernergebnisse (z. B. das Erreichen eines bestimmten Niveaus in einem Sprachkurs) an Ihre Ablage/Wallet übermitteln.
Die jeweils aufseiten der NBP verarbeiteten fiktiven personenbezogenen Daten (regelmäßig Stamm- und Kontaktdaten und akademische Daten) hängen von Art und Umfang Ihrer Nutzung ab.
III. Empfänger personenbezogener Daten
- Als Host-Provider verarbeitet die Capgemini Deutschland GmbH, Potsdamer Platz 5, 10785 Berlin Ihre Daten in unserem Auftrag strikt weisungsgebunden. Auch die Wisercat Software OÜ, Lelle 24, Tallinn, 11318 Harjumaa, Estonia, ist als Auftragsverarbeiter eingesetzt und unterstützt bei der Beantwortung von Supportanfragen sowie bei der Administration auf der produktiven Umgebung. Die weisungsgebundene Datenverarbeitung stellen wir jeweils mittels Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DS-GVO sicher. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten durch diese Dienstleister bleiben wir.
- Die Daten registrierter Nutzerinnen und Nutzer stellen wir Dritten (vgl. oben II. 3a-c) nur zur Verfügung, wenn und soweit Sie die Übermittlung als Testnutzende:r insbesondere über Ihre Wallet-App veranlasst haben, d.h., wenn Sie Ihre Einwilligung in die Übermittlung per Freigabe erklärt haben. Rechtsgrundlage ist insoweit Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie z.B. eine E-Mail schreiben an: datenschutz(at)meinbildungsraum.de. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Empfänger personenbezogener Daten können z.B. Bildungseinrichtungen sein, mit denen Sie Ihre Zeugnisse oder Zertifikate teilen wollen. Diese Stellen verarbeiten Ihre personenbezogenen Daten dann unter eigener datenschutzrechtlicher Verantwortlichkeit. Dazu erhalten Sie entsprechende Informationen von den Stellen, an die Sie Ihre Daten übermitteln.
IV. Löschung der Daten
Logdaten und -dateien löschen wir spätestens innerhalb von sieben Tagen, wenn ein IT-sicherheitsrelevanter Vorfall keine längere Speicherung erfordert. Session-Cookies löschen sich automatisch mit Beendigung der Sitzung. Zum Ende der „Closed-Beta“-Phase (voraussichtlich Ende Februar 2024) löschen wir sämtliche bis zu diesem Zeitpunkt gespeicherte Daten, die im Zusammenhang mit der Nutzung der Vernetzungsinfrastruktur verarbeitet, insbesondere gespeichert wurden.
Wenn Sie im Rahmen des Anmeldeprozesses zur “Closed-Beta”-Phase angeben, dass Sie kein Interesse an der Teilnahme haben oder nach zweimaliger Erinnerung keine Antwort von Ihnen eingeht, werden Ihre Daten spätestens sieben Tage nach Ihrer Bekundung des Desinteresses oder nach dem Versand der zweiten Erinnerung gelöscht.
V. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft, Art. 15 DS-GVO Das Recht auf Auskunft beinhaltet die Möglichkeit, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.
- Recht auf Berichtigung, Art. 16 DS-GVO Das Recht auf Berichtigung beinhaltete die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.
- Recht auf Löschung, Art. 17 DS-GVO Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings unter anderem nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde.
- Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Betroffenen ein.
- Recht auf Widerspruch gegen die Erhebung, Verarbeitung und/oder Nutzung, Art. 21 DS-GVO Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 Satz 1 e) und f) DS-GVO erfolgt, Widerspruch einzulegen. Diese personenbezogenen Daten werden dann nicht mehr für diese Zwecke verarbeitet, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die Ihre Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Recht auf Datenübertragbarkeit, Art. 20 DS-GVO Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Art. 20 Absatz 3 Satz 2 DS-GVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.
Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage Ihrer Einwilligung (Artikel 6 Abs. 1 lit a DS-GVO) erfolgt, können Sie diese jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund Ihrer getätigten Einwilligung bleibt bis zum Eingang Ihres Widerrufs unberührt.
Die vorgenannten Rechte können Sie unter datenschutz(at)meinbildungsraum.de geltend machen.
Ihnen steht zudem ein Beschwerderecht bei einer datenschutzrechtlichen Aufsichtsbehörde eigener Wahl zu. Hierzu gehört auch die für uns zuständige Aufsichtsbehörde: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Sie können sich mit Fragen und Beschwerden auch an die Datenschutzbeauftragte des BMBF (datenschutz(at)bmbf.bund.de) wenden.