Datenschutzhinweise der Kunze & Ritter GmbH gemäß Art. 13 und Art. 14 DSGVO im Rahmen der Nutzung unserer internen Lernplattform (Moodle LMS)
Mit den folgenden Datenschutzhinweisen informieren wir dich darüber, wie wir mit deinen personenbezogenen Daten im Rahmen der Nutzung unserer internen Lernplattform (Learning-Management-System, im Folgenden „LMS”) umgehen. Das LMS wird von der Kunze & Ritter GmbH ausschließlich intern für die Aus- und Weiterbildung sowie zu Schulungszwecken ihrer Beschäftigten eingesetzt.
Unsere Lernplattform basiert auf der Open-Source-Software Moodle. Sie ermöglicht die Bereitstellung von Kursen und Lerninhalten, die Durchführung von Tests und Prüfungen, die Nachverfolgung des Lernfortschritts sowie die Ausstellung von Nachweisen und Zertifikaten. Die Plattform ist unter der Adresse https://lms.kunze-ritter.de erreichbar.
Der Begriff personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „Betroffener”) beziehen. Personenbezogene Daten sind daher beispielsweise der Vor- und Nachname, Adresse, Geburtsdatum, E-Mail-Adressen oder Telefonnummern aber auch technische eindeutige Merkmale wie die IP-Adresse.
1. Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Kunze & Ritter GmbH
Christaweg 44
79114 Freiburg
Tel: +49 761 455 54 – 0
E-Mail: info(at)kunze-ritter.de
Website: www.kunze-ritter.com
Geschäftsführer: Dietmar Ritter, Emanuel Krupka
2. Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:
Ingenieurbüro Bernd Hölle GmbH
Gerhard-Kindler-Straße 3
72770 Reutlingen
Tel: +49 7121 820 17 40
E-Mail: kunze-ritter(at)ibh-datenschutz.de
3. Art und Zwecke der Verarbeitung personenbezogener Daten
Die Kunze & Ritter GmbH verarbeitet im Rahmen der Bereitstellung und Nutzung des LMS unter anderem folgende Arten an personenbezogenen Daten:
- Stammdaten des Nutzerkontos: Vor- und Nachname, Anmeldename (Benutzername), dienstliche E-Mail-Adresse, ggf. Abteilung/Funktion sowie weitere im Profil hinterlegte Angaben. Diese Stammdaten werden im Regelfall aus dem unternehmenseigenen Verzeichnisdienst Microsoft Entra ID übernommen (siehe Ziffer 10);
- Anmelde- und Kursdaten: Zuordnung zu Kursen und Kursbereichen, Einschreibungen sowie Rollen innerhalb der Plattform;
- Aktivitäts- und Fortschrittsdaten: Bearbeitungsstand von Kursen und einzelnen Aktivitäten, Aktivitäts- und Kursabschlüsse, Teilnahme an und aufgewendete Zeit für Lerninhalte;
- Test-, Prüfungs- und Bewertungsdaten: Abgegebene Antworten in Tests und Quizzen, Anzahl der Versuche, erzielte Punkt- und Bewertungsergebnisse (Noten/Bewertungen) sowie ggf. Feedback der Trainer;
- Nachweise und Zertifikate: Erworbene Auszeichnungen (Badges) sowie ausgestellte Teilnahme- und Abschlussnachweise/Zertifikate;
- Kommunikations- und Inhaltsdaten: Beiträge in Foren, Nachrichten und sonstige im Rahmen der Kurse erstellte Inhalte, soweit solche Aktivitäten in einem Kurs vorgesehen sind;
- Protokoll- und Nutzungsdaten (Logs): Moodle protokolliert Interaktionen der Nutzer über das Ereignis-Subsystem. Erfasst werden dabei z. B. An- und Abmeldungen, Zugriffe auf Kurse und Aktivitäten, das Aufrufen und Abschließen von Lerninhalten, der Zeitpunkt des ersten und letzten Zugriffs sowie die zugehörige IP-Adresse;
- Technische Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs sowie technisch notwendige Sitzungsinformationen (Session-Cookies), die für den Betrieb der Plattform erforderlich sind.
Zweck der Verarbeitung ist die Durchführung und Organisation der internen Aus- und Weiterbildung der Beschäftigten, insbesondere die Bereitstellung von Schulungsinhalten, die Durchführung und Auswertung von Tests und Prüfungen, die Dokumentation des Lernfortschritts und des Abschlusses von Pflichtschulungen (z. B. im Bereich Datenschutz und Informationssicherheit), die Ausstellung entsprechender Nachweise sowie die Gewährleistung des technisch sicheren Betriebs der Plattform.
Die von Moodle bereitgestellte Analytics-Funktion, die auf Grundlage der Protokolldaten Vorhersagen zum Lernverhalten treffen kann, wird von uns nur eingesetzt, soweit dies für die genannten Zwecke erforderlich ist. Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.
4. Rechtsgrundlagen
4.1 Die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung des LMS erfolgt vorrangig auf Grundlage von § 26 Abs. 1 BDSG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses und die Erfüllung der damit verbundenen Aus- und Weiterbildungspflichten erforderlich ist.
4.2 Soweit die Teilnahme an bestimmten Schulungen der Erfüllung einer rechtlichen Verpflichtung dient (z. B. Pflichtunterweisungen im Bereich Datenschutz und Informationssicherheit), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.
4.3 Die Verarbeitung technischer Daten und Protokolldaten zur Gewährleistung eines sicheren und störungsfreien Betriebs der Plattform stützt sich auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Informationssicherheit, der Missbrauchsprävention und der ordnungsgemäßen Administration des Systems.
4.4 Soweit wir dich im Einzelfall um eine Einwilligung bitten (z. B. für freiwillige Zusatzangaben im Profil), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
5. Cookies und Zugriff auf Informationen im Endgerät (§ 25 TDDDG)
5.1 Beim Aufruf der Anmeldeseite sowie bei der Nutzung der Lernplattform werden Cookies auf deinem Endgerät gespeichert bzw. es wird auf bereits dort gespeicherte Informationen zugegriffen. Das Speichern von Informationen im Endgerät und der Zugriff auf bereits gespeicherte Informationen stellen einen Vorgang nach § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) dar. Die anschließende Verarbeitung der so erlangten personenbezogenen Daten richtet sich nach der DSGVO.
Die Lernplattform (Moodle) verwendet die folgenden beiden Cookies:
- MoodleSession – technisch notwendiges Cookie. Es hält deine Anmeldung beim Wechsel von Seite zu Seite aufrecht (Sitzungsverwaltung). Ohne dieses Cookie ist eine Nutzung der Plattform nach der Anmeldung nicht möglich. Das Cookie wird beim Abmelden oder beim Schließen des Webbrowsers automatisch gelöscht (Session-Cookie).
5.2 Das technisch notwendige Cookie MoodleSession ist für die Bereitstellung des von dir ausdrücklich gewünschten Dienstes (Nutzung der angemeldeten Lernplattform) unbedingt erforderlich. Die Speicherung und der Zugriff sind daher gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei zulässig. Die zugehörige Verarbeitung der personenbezogenen Daten stützt sich auf § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO sowie auf unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb gemäß Art. 6 Abs. 1 lit. f DSGVO.
5.3 Du kannst die Speicherung von Cookies darüber hinaus durch entsprechende Einstellungen in deinem Webbrowser einschränken oder verhindern und bereits gesetzte Cookies löschen. Wird das technisch notwendige Cookie MoodleSession blockiert, ist eine Anmeldung an der Lernplattform nicht möglich.
6. Deine Betroffenenrechte
Wenn wir personenbezogene Daten von dir verarbeiten, hast du folgende Betroffenenrechte:
- ein Recht auf Auskunft und auf Kopie (Art. 15 DSGVO),
- ein Recht auf Berichtigung, wenn wir falsche Daten über dich verarbeiten (Art. 16 DSGVO),
- ein Recht auf Löschung, es sei denn, dass noch Ausnahmen greifen, warum wir die Daten noch speichern, also zum Beispiel Aufbewahrungspflichten oder Verjährungsfristen (Art. 17 DSGVO),
- ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
- ein jederzeitiges Recht, Einwilligungen in die Datenverarbeitung zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung davon berührt wird,
- ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
- ein Recht auf Widerspruch gegen die Verarbeitung im öffentlichen Interesse oder bei berechtigtem Interesse (Art. 21 DSGVO).
Du kannst deine Rechte unter anderem ausüben, indem du eine E-Mail an folgende E-Mail-Adresse schreibst: kunze-ritter(at)ibh-datenschutz.de. Darüber hinaus stellt Moodle über den Bereich „Datenschutz und Richtlinien” die Möglichkeit bereit, Anträge auf Datenexport oder Datenlöschung direkt über die Plattform zu stellen.
Dir steht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), für die Kunze & Ritter GmbH zuständig ist der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
7. Empfänger oder Kategorien von Empfängern der Daten
Innerhalb des Unternehmens erhalten nur diejenigen Stellen und Personen Zugriff auf deine Daten, die diese zur Durchführung und Verwaltung der Schulungen benötigen. Dies sind insbesondere die für die Kurse zuständigen Trainer/Kursverantwortlichen (Einsicht in Fortschritt, Test- und Bewertungsergebnisse der ihnen zugeordneten Kurse), die Administratoren der Plattform sowie ggf. deine Führungskraft und die Personalabteilung im Rahmen der Nachverfolgung von Pflichtschulungen.
Eine Übermittlung der personenbezogenen Daten an Dritte findet nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Zur Bereitstellung und zum Betrieb der Plattform setzen wir technische Dienstleister (Hosting/Wartung) ein, die als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrages tätig werden und ausschließlich nach unserer Weisung handeln.
Die Lernplattform wird auf einer eigens dafür eingerichteten Instanz bei der Strato AG (Otto-Ostrowski-Straße 7, 10249 Berlin) gehostet. Die Strato AG verarbeitet die auf der Plattform anfallenden personenbezogenen Daten ausschließlich als Auftragsverarbeiterin gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrages und ausschließlich nach unserer Weisung. Die Daten werden in Rechenzentren in Deutschland verarbeitet.
8. Übermittlung von Daten an ein Drittland (Art. 13 Abs. 1 lit. f DSGVO)
Personenbezogene Daten werden nicht an Drittländer (Staaten außerhalb der Europäischen Union und dem Europäischen Wirtschaftsraum) oder eine internationale Organisation (Artikel 44 ff. DSGVO) übermittelt.
9. Dauer der Speicherung von personenbezogenen Daten (Art. 13 Abs. 2 lit. a DSGVO)
Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Die Speicherdauern sind in der Lernplattform je Datenkategorie und Verarbeitungszweck festgelegt:
- Schulungs- und Nutzungsdaten der Beschäftigten (Stammdaten des Nutzerkontos, Einschreibungen, Fortschritts-, Test-, Bewertungsdaten sowie Nachweise, Badges und Zertifikate) – Zweck „Durchführung und Nachweis interner Schulungen”: Aufbewahrung für 3 Jahre nach dem endgültigen Abschluss der jeweiligen Schulung bzw. nach Wegfall des Verarbeitungszwecks. Nach Ablauf der Frist werden die Daten zur Löschung markiert und anschließend gelöscht bzw. anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Technische Protokolldaten (Logs) (An- und Abmeldungen, Zugriffe auf Kurse und Aktivitäten, Zeitstempel und IP-Adresse) – Zweck „IT-Sicherheit und Betrieb (Protokolldaten)”: Aufbewahrung für 180 Tage (rund sechs Monate); danach werden die Protokolldaten automatisiert gelöscht.
Die in der Lernplattform hinterlegten Fristen zur Datenlöschung können zudem über den entsprechenden Bereich der Plattform eingesehen werden.
10. Bereitstellung personenbezogener Daten (Art. 13 Abs. 2 lit. e DSGVO)
Die Bereitstellung bestimmter personenbezogener Daten (insbesondere der Kontostammdaten sowie der im Rahmen der Kursbearbeitung anfallenden Fortschritts- und Testdaten) ist für die Nutzung des LMS und die Teilnahme an den Schulungen erforderlich. Ohne diese Daten kann die Nutzung der Plattform sowie die Durchführung und der Nachweis der Schulungen nicht erfolgen. Soweit einzelne Angaben als freiwillig gekennzeichnet sind, hat deren Nichtbereitstellung keine nachteiligen Folgen.
11. Quelle der personenbezogenen Daten (Art. 14 DSGVO)
Ein Teil der personenbezogenen Daten wird nicht direkt bei dir, sondern durch den Verantwortlichen bzw. automatisiert erhoben. Nutzerkonten werden nicht manuell durch die Administratoren angelegt, sondern beim erstmaligen Login automatisiert über die Single-Sign-On-Anbindung (SSO) an den unternehmenseigenen Verzeichnisdienst Microsoft Entra ID erstellt. Die Anmeldung und Kontoerstellung erfolgt dabei über eine OAuth-2-/OpenID-Connect-Verbindung. Die für das Konto verwendeten Stammdaten (z. B. Vor- und Nachname, dienstliche E-Mail-Adresse und Benutzername) werden aus deinem bestehenden Konto in Microsoft Entra ID übernommen; sie stammen aus dem bestehenden Beschäftigungsverhältnis. Weitere Daten (insbesondere Fortschritts-, Test-, Bewertungs- und Protokolldaten) entstehen automatisch durch deine Nutzung der Plattform.