Datenschutzerklärung LOGINEO NRW

gem. Art. 13, 14 DSGVO

1. Verantwortung für die Datenverarbeitung

Verantwortlich für die Datenverarbeitung in LOGINEO NRW ist Die Kontaktdaten der oder des Verantwortlichen finden sich im Impressum der jeweiligen Startseite von LOGINEO NRW. Die Kontaktdaten der zuständigen behördlichen Datenschutzbeauftragten finden sich unter:
https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Schule-undDaten/Datenschutzbeauftragte/Schulen/

Zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Postfach 20 04 44
40102 Düsseldorf
Tel.: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de

2. Zwecke der Datenverarbeitung

LOGINEO NRW ist ein modulares System, welches verschiedene Verarbeitungstätigkeiten ermöglicht. Je nach Verarbeitungstätigkeit bzw. Modul werden unterschiedliche Verarbeitungszwecke verfolgt.
Verarbeitungstätigkeit Modul(e) Verarbeitungszweck
Bereitstellung des webbasierten Frontends des Systems Startseite / webbasiertes Frontend Sicherstellen eines störungsfreien Betriebs des webbasierten Frontends
Einspielen von Stammdaten in die Benutzerverwaltung Benutzerverwaltung Erfüllung des Bildungs- und Erziehungsauftrages der Schule
Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung Dateiablage, Groupware (E-Mail, Kalender, Adressbuch) Dateiablage, Groupware (E-Mail, Kalender, Adressbuch)
Aktivierung und Nutzung des Benutzerkontos Dateiablage Groupware (E-Mail, Kalender, Adressbuch) Ablegen von Dokumenten aus pädagogischem sowie schulverwalterischem Kontext elektronische Kommunikation
Beteiligung am Netzwerk LOGINEO Netzwerk LOGINEO NRW Nutzung von und Beteiligung am Support-Netzwerk durch Einstellen von eigenen Forumsbeiträgen oder Kommentaren zur Unterstützung der Nutzerinnen und Nutzer von LOGINEO NRW Eröffnen eines Fehlertickets

Bei der Nutzung und Bereitstellung von LOGINEO NRW werden zur Gewährleistung des ordnungsgemäßen Betriebs und der Verfügbarkeit der Systeme sowie zur Protokollierung sicherheitsrelevanter Ereignisse im Rechenzentrum Betriebsdaten (Log-Files) erhoben und verarbeitet sowie im verwendeten Browser Cookies gesetzt, die das Nutzererlebnis verbessern sollen.

3. Umfang und Rechtmäßigkeit der Datenverarbeitung

Je nach Verarbeitungszweck und Kategorie betroffener Personen liegen für die Datenverarbeitung in LOGINEO NRW unterschiedliche Rechtsgrundlagen vor.
Verarbeitungstätigkeit Kategorien betroffener Personen Verarbeitete Daten Rechtsgrundlage
Bereitstellung des webbasierten Frontends Besucherinnen und Besucher des webbasierten Frontends (öffentlich zugänglich) Server-Logfiles mit:
  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL (Adresse der Seite, von der aus verwiesen wurde)
  • IP-Adresse
  • Hostname des zugreifenden Rechners
  • Internet-Service-Provider
  • Zeitpunkt der Serveranfrage
  • übertragene Datenmenge
Cookies (Name, Zweck, Speicherdauer):
Startseite:
  • JSESSIONID, Session-ID der Webanwendung, bis Browser geschlossen wird
  • captcha, wird vom Captcha im Kontaktformular benötigt, bis Browser geschlossen wird
Navigationsleiste:
  • kmPos, y-Position Navigation (zur Speicherung/Wiederhers tellung Navigationsposition pro Anwendung, wird nach 24h gelöscht
  • shib_idp_session, IDPSession-Informationen (globale SSOAnmeldung), bis Browser geschlossen wird
  • _shib_session, SPSession (SessionInformation für Navigation), bis Browser geschlossen wird Art. 6 Abs. 1 lit. e), Abs. 3 lit. b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW Stand: 07.11.2019 | Seite 4 von 10
Edusharing:
  • JSESSIONID, Session-ID der Webanwendung, bis Browser geschlossen wird
Netzwerk/Support:
  • MoodleSession, SessionID der Webanwendung, bis Browser geschlossen wird
Art. 6 Abs. 1 lit. e), Abs. 3 lit. b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
Einspielen von Stammdaten in die Benutzerverwaltung Lehrerinnen und Lehrer, Schülerinnen und Schüler Stammdaten:
  • Familienname
  • Vorname(n)
  • Namenskürzel (Lehrkräfte)
  • eindeutige Identifikationsnummer (Lehrkräfte)
  • schulintern eindeutige Identifikationsnummer (Schülerinnen und Schüler)
  • dienstliche/schulische EMail-Adresse (inaktiv)
  • primäre Rolle eines Nutzers/einer Nutzerin (z. B. Schüler, Lehrer, …)
  • Zugehörigkeit zu einer Gruppe (z. B. Klasse, Kurs, Fachschaft, AG, …)
Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II
Funktionsträgerinnen und Funktionsträger, Externe, (z. B. kommunales Personal, Mitarbeiterinnen und Mitarbeiter im Ganztag, Schulsozialarbeiter, die behördlichen Datenschutzbeauftragt en, …) Stammdaten:
  • Familienname
  • Vorname(n)
  • schulintern eindeutige Identifikationsnummer
  • dienstliche/schulische EMail-Adresse (inaktiv)
  • primäre Rolle eines Nutzers/einer Nutzerin (z. B. Sekretariat, Extern, …)
  • Zugehörigkeit zu einer Gruppe (z. B. Klasse, Kurs, Fachschaft, AG, …) Art. 6 Abs. 1 lit. e), Abs. 3 b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW Stand: 07.11.2019 | Seite 5 von 10 Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung Schülerinnen und Schüler, Eltern
  • Individual- und Organisationsdaten, Leistungsdaten, schulform- und schulstufenspezifische Zusatzdaten gemäß Anlage 1 VO-DV I
  • Obligatorische Dokumentation gemäß Anlage 2 I. VO-DV I
  • weitere Informationssammlungen gemäß Anlage 2 II. VO-DV I
Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I
Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung Schülerinnen und Schüler, Eltern Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I
Lehrerinnen und Lehrer
  • Datenbestand der Schule gemäß Anlage 1 VO-DV II
  • Akten der Schulleitung gemäß Anlage 2 VO-DV II
Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV II
Funktionsträgerinnen und Funktionsträger, Externe (z. B. kommunales Personal, Mitarbeiterinnen und Mitarbeiter im Ganztag, Schulsozialarbeiter, die behördlichen Datenschutzbeauftragt en, …)
  • Informationen zur Erreichbarkeit
Art. 6 Abs. 1 lit. e), Abs. 3 b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
authentifizierte Nutzerinnen und Nutzer Nutzungsdaten:
  • freiwillig bereitgestellte Dokumente, Dateien und Daten
Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
Aktivierung und Nutzung des Benutzerkontos authentifizierte Nutzerinnen und Nutzer
  • Stammdaten der Nutzerinnen und Nutzer
Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II
Nutzungsdaten:
  • freiwillig in die Dateiablagen abgelegte Dokumente und Dateien z. B. aus pädagogischem Kontext
  • Kommunikations-inhalte
Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
Cookies (Name, Zweck, Speicherdauer):
  • _shib_session, SPSession (SessionInformation für jeweilige Anwendung) bis Browser geschlossen wird
Log-Files:
  • Systems-Logs (z. B. access.log, error.log) zur Gewährleistung des ordnungsgemäßen Betriebs und der Verfügbarkeit der Systeme
  • Fachanwendungs-Logs (z. B. server.log) zur Protokollierung sicherheitsrelevanter Ereignisse
  • Metadaten von Dokumenten und Dateien (z. B. "Eigentümer")
  • äußere Umstände elektronischer Kommunikation (Zeitpunkt, Sender, Empfänger, übertragene Datenmenge, …)
Art. 6 Abs. 1 lit. e), Abs. 3 lit. b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
Beteiligung am Netzwerk LOGINEO authentifizierte Nutzerinnen und Nutzer
  • Stammdaten der Nutzerinnen und Nutzer
Nutzungsdaten:
  • Fehlertickets (Erreichbarkeit, z. B. (Telefonnummer, …)
  • Kommunikations-inhalte
  • Forenbeiträge
Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
Cookies (Name, Zweck, Speicherdauer):
  • _shib_session, SPSession (SessionInformation für jeweilige Anwendung) bis Browser geschlossen wird
Log-Files:
  • Systems-Logs (z. B. access.log, error.log) zur Gewährleistung des ordnungsgemäßen Betriebs und der Verfügbarkeit der Systeme
  • Fachanwendungs-Logs (z. B. server.log) zur Protokollierung sicherheitsrelevanter Ereignisse
  • Metadaten an Dokumenten und Dateien (z. B. "Eigentümer")
  • äußere Umstände elektronischer Kommunikation (Zeitpunkt, Sender, Empfänger, übertragene Datenmenge, …)
Art. 6 Abs. 1 lit. e), Abs. 3 lit. b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
Die Verarbeitung auf den Servern des technischen Dienstleisters geschieht auf Weisung des Verantwortlichen gemäß Art. 28 DSGVO (Datenverarbeitung im Auftrag). Technischer Dienstleister und Auftragsverarbeiter ist:

Kommunales Rechenzentrum Niederrhein (KRZN)
Friedrich-Heinrich-Allee 130
47475 Kamp-Lintfort
Telefon: +49 2842 90 70-0
Telefax: +49 2842 92732-0
E-Mail: info@krzn.de
Internet: www.krzn.de

4. Empfängerkategorien und Datenweitergabe

Daten mit Personenbezug werden ausschließlich durch Dienstleisters im Rahmen des Supports verarbeitet. Dabei wird durch ein auf der Rechtmäßigkeit der Verarbeitungen beruhendes RechteRollen-Konzept sowie durch organisatorische Maßnahmen sichergestellt, dass Daten und Dokumente nur durch diejenigen Personen verarbeitet werden können, deren Aufgabenerfüllung die Verarbeitung erfordert. Eine Datenübermittlung erfolgt allein an berechtigte Dritte auf Basis gültiger Rechtsbestimmungen oder wenn die einzelne Nutzerin oder der einzelne Nutzer der Übermittlung ausdrücklich zugestimmt hat. Zum Zwecke der Strafverfolgung, zur Gefahrenabwehr durch Polizeibehörden oder zur Erfüllung gesetzlicher Auflagen des Staatsschutzes kann ggf. eine Verpflichtung zur Auskunftserteilung vorliegen, welcher der Verantwortliche im Einzelfall nachzukommen hat.

5. Speicherdauer

5.1 Benutzerkonten

Für die Aufbewahrungsfristen der Stammdaten in der Benutzerverwaltung gilt für Die Aufbewahrungsfristen beginnen, sofern nichts anderes bestimmt ist, mit Ablauf des Kalenderjahres, in dem die personenbezogenen Daten zur Aufgabenerfüllung nicht mehr erforderlich sind. Benutzerkonten von Funktionsträgerinnen, Funktionsträgern und Externen werden gelöscht, wenn das Erfordernis für die Verarbeitung der Stammdaten entfallen ist.

5.2 Inhalte der Dateiablagen sowie der Groupware (E-Mail, Kalender, Adressbuch)

Lehrkräfte, Schülerinnen und Schüler, Eltern

Für die Aufbewahrungsfristen von Daten und Dokumenten, die im Rahmen der Erfüllung des Bildungsauftrags der Schule gem. Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II verarbeitet werden (Verwaltungsdaten), gilt: Die Aufbewahrungsfristen beginnen, sofern nichts anderes bestimmt ist, mit Ablauf des Kalenderjahres, in dem die personenbezogenen Daten zur Aufgabenerfüllung nicht mehr erforderlich sind. Stand: 07.11.2019 | Seite 9 von 10

Für alle Nutzerinnen und Nutzer gilt:

In den Dateiablagen abgelegte Dokumente und Dateien, Inhalte des eigenen E-Mail-Postfachs sowie selbst angelegte Kalender und Adressbücher können von den Nutzerinnen und Nutzern jederzeit eigenständig gelöscht werden. Bei Widerruf der Einwilligung in die Verarbeitung der Nutzungsdaten sowie bei Widerruf der Zustimmung zu den Nutzungsbedingungen werden die Konten der Betroffenen in den Zustand zum Zeitpunkt des Anlegens des Benutzerkontos zurückgesetzt. Mit der Rücksetzung werden alle von der jeweiligen Nutzerin bzw. vom jeweiligen Nutzer in den „Eigene Dateien“ der Dateiablagen abgelegte Dokumente, das dienstliche bzw. schulische E-Mail-Postfach sowie alle in der Groupware von der Nutzerin bzw. dem Nutzer angelegten Kalender und Adressbücher gelöscht. Freiwillig bereitgestellte Daten und Dokumente werden spätestens gelöscht, wenn die Fristen für die Verarbeitung der Stammdaten abgelaufen ist und damit die Benutzerkonten gelöscht werden.

5.3 Betriebsdaten

Logfiles

System-Logfiles werden nach einer Aufbewahrungsfrist von 7 Tagen, FachanwendungsLogfiles nach 30 Tagen automatisch gelöscht.

Cookies

Durch entsprechende Einstellungen in dem für die Nutzung des Angebotes eingesetzten Internetbrowsers können die Speicherung und Übermittlung der mit der Verarbeitung von Cookies einhergehenden Daten verhindert und bereits abgelegte Cookies gelöscht werden. Dies kann jedoch zur Folge haben, dass nicht sämtliche Funktionen des Angebots vollumfänglich genutzt werden können.

6 Rechte Betroffener

Betroffene haben jederzeit das Recht Die Anerkennung der Nutzungsbedingungen wie auch die Einwilligung in die Verarbeitung von freiwillig bereitgestellten Daten und Dokumenten kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Betroffene wenden sich für einen Widerruf an den Verantwortlichen oder an die zuständigen Administratorinnen und Administratoren von LOGINEO NRW. Das Benutzerkonto des betreffenden Nutzers bzw. der betreffenden Nutzerin wird bei Widerruf unverzüglich zurückgesetzt. Mit der Rücksetzung werden alle von der jeweiligen Nutzerin bzw. Stand: 07.11.2019 | Seite 10 von 10 vom jeweiligen Nutzer in den „Eigene Dateien“ der Dateiablagen abgelegte Dokumente und Dateien, das dienstliche bzw. schulische E-Mail-Postfach sowie alle in der Groupware von der Nutzerin bzw. dem Nutzer angelegten Kalender und Adressbücher gelöscht. Auch bei einem Widerruf können diejenigen Daten weiterhin verarbeitet werden, deren Verarbeitung eine Rechtsgrundlage erlaubt. Welche Rechtsgrundlage dies ist und um welche Daten es sich handelt, findet sich im Abschnitt „Umfang und Rechtmäßigkeit der Datenverarbeitung“ dieser Datenschutzerklärung.
Betroffene wenden sich zur Wahrung ihrer Rechte an den Verantwortlichen, an die zuständigen Administratorinnen und Administratoren von LOGINEO NRW oder an die für die Schule zuständigen behördlichen Datenschutzbeauftragten. Sollten Betroffene annehmen, dass ihre Daten unrechtmäßig verarbeitet wurden, können sie sich auch an die zuständige Aufsichtsbehörde wenden.

Stand: 07.11.2019