Alle Betroffenen haben gegenüber den jeweiligen Verantwortlichen folgende Rechte hinsichtlich der sie betreffenden Daten:

• Recht auf Auskunft,
• Recht auf Berichtigung oder Löschung,
• Recht auf Einschränkung der Verarbeitung,
• Recht auf Widerruf Ihrer Einwilligung,
• Recht auf Widerspruch gegen die Verarbeitung,
• Recht auf Datenübertragbarkeit.

Diese Rechte können jederzeit geltend gemacht werden, indem sich die:der Betroffene unter den bei den Verantwortlichen angegebenen Kontaktdaten an diese wendet.

Zusätzlich können sich alle Betroffenen auch an die Datenschutzbeauftragten der Verantwortlichen wenden.

Datenschutzbeauftragte des Sächsischen Staatsministeriums für Kultus
Carolaplatz 1
01097 Dresden
Telefon: + 49 (0) 351 5646 6414
E-Mail: datenschutz@smk.sachsen.de

Der Datenschutzbeauftragte der Schule kann erst ermittelt werden, wenn ein Nutzer angemeldet ist.

Sollte ein:e Betroffene:r mit der Datenverarbeitung nicht einverstanden sein, besteht jederzeit die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde, dem Sächsischen Datenschutzbeauftragten, zu beschweren. Er kann unter folgenden Daten erreicht werden:

Sächsische Datenschutzbeauftragte
Frau Dr. Juliane Hundert
Devrientstraße 5
01067 Dresden
Telefon: + 49 (0) 351 8547 1101
Telefax: +49 (0) 351 85471 109
Internet: www.datenschutz.sachsen.de
E-Mail: saechsdsb@slt.sachsen.de

Personenbezogene Daten sind, vereinfacht gesagt, Informationen, die es den Verantwortlichen für diese Plattform ermöglichen, einen Menschen zu identifizieren. Das kann im einfachsten Fall dadurch passieren, dass in einem Nutzerprofil z.B. der Name, der Vorname, die Schule und die Klassenstufe angegeben sind. Hierdurch ist in fast jedem Fall klar, um welchen konkreten Schüler es sich handelt.

Es kann aber auch sein, dass dem Verantwortlichen nur unvollständige Informationen vorliegen, er aber in der Lage ist, aus diesen Informationen dennoch herauszufinden, um wen es sich handelt. So kann beispielsweise auch ein Bild eines Menschen ausreichen, um herauszufinden, um wen es sich hierbei handelt.

Wenn der Verantwortliche in irgendeiner Form mit diesen Daten umgeht, sei es beispielsweise dadurch, dass die Daten von Ihm erhoben werden, dass er sie speichert oder dass er sie an andere übermittelt oder sogar veröffentlicht, spricht man von einer Verarbeitung. Es gibt noch viele andere Arten von Verarbeitungen, welche alle in Art. 4 Nr. 2 der DS-GVO nachgelesen werden können. Im Grunde ist aber jeder denkbare Vorgang rund um den Umgang mit Daten erfasst.

Im Datenschutzrecht ist derjenige, der über die Verarbeitung bestimmt immer der sogenannte Verantwortliche. Wer dies für die Plattform Schullogin.de ist, erfährt man weiter unten in dieser Datenschutzerklärung.

Unter der:m Betroffenen versteht man immer denjenigen Menschen, dessen Daten verarbeitet werden. Auf Schullogin.de können dies Schüler:innen, Lehrer:innen und Eltern sein.

Eine Datenübermittlung ist die Weitergabe von Daten entweder an einen Dritten oder an einen Auftragsverarbeiter:in.

Auftragsverarbeiter sind andere Verantwortliche, die die Daten aber nur innerhalb der Grenzen eines genau vorgegebenen Vertrages mit dem Verantwortlichen verarbeiten. Weil dieser Vertrag sehr ausführlich ist und dem Auftragsverarbeiter:in keinen eigenen Entscheidungsraum gibt, dürfen diese Daten immer übermittelt werden.

Dritte sind alle anderen Verantwortlichen, die keine Auftragsverarbeiter:in sind. An diese dürfen Daten in aller Regel nur weitergegeben werden, wenn ein Gesetz das vorschreibt oder der Betroffene sich hiermit einverstanden erklärt hat.

Bei der Nutzung von Schullogin.de müssen einige Unterscheidungen getroffen werden.

Zunächst muss die Plattform Schullogin von den über diese Plattform erreichbaren Diensten unterschieden werden.

Unter diesen Diensten gibt es wiederum Dienste, die direkt von den Betreibern von Schullogin.de betrieben werden oder zumindest von diesen Beaufsichtigt werden. Diese Dienste werden "interne Dienste" genannt.

Es handelt sich hierbei um folgende Dienste:

• Nachrichten (Maildienst)
• Dateiablage
• Moodle
• Etherpad
• OPAL Schule (Dieser Dienst wird nur beaufsichtigt)

Daneben gibt es Dienste, die nicht von den Betreibern von Schullogin.de betrieben werden, sondern auf die die Plattform nur weiterleitet und hierbei die Anmeldeinformationen überträgt. Diese Dienste werden "externe Dienste" genannt.

Es handelt sich um folgende Dienste:

• LernSax
• MeSax

Sowohl für Schullogin.de als auch für alle Dienste, egal ob intern oder extern, muss zusätzlich noch danach unterschieden werden, ob es sich um den technischen Betrieb des Dienstes handelt oder um die im Dienst hinterlegten Informationen und Daten.

Um diese Plattform nutzen zu können, muss ein individueller Nutzeraccount erstellt werden. Die Entscheidung hierüber trifft die jeweilige Schule oder Einrichtung auf Grundlage von Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes, wenn die Schule oder Einrichtung der Auffassung ist, dass die Nutzung der Plattform zur Erfüllung des gesetzlichen Erziehungs- und Bildungsauftrages in Form von eLearning-Angeboten erfolgen soll.

Entscheidet sich die Schule oder Einrichtung hierzu, wird der Account mit folgenden Daten angelegt und auf den Servern von Schullogin.de gespeichert:

• Name
• Vorname
• Einrichtung
• Klasse
• Klassenstufe
• Rolle (Schüler:in/ Lehrer:in

Diese Daten bezieht die:der technisch Verantwortliche aus der Datenbank SaxSVS, welche ebenfalls vom Sächsischen Staatsministerium für Kultus betrieben wird.

Um die Plattform nutzen zu können, werden aus den gespeicherten Stammdaten sodann noch weitere Daten erstellt. Die jeweils dem gleichen Zweck dienen und die Nutzung der Plattform erst ermöglichen.

• Erstellung eines eindeutigen Benutzernamens
• Erstellung einer E-Mail-Adresse

Der Benutzername kann hierbei jederzeit in den Profileinstellungen eingesehen werden.

Da die Accountdaten notwendig sind, um den Nutzer jederzeit korrekt zuordnen zu können, können diese nicht geändert werden.

Jede:r Nutzer:in ist jedoch in der Lage, eigenständig das für Ihn zunächst vergebene Passwort jederzeit zu ändern und sich einen "Login-Alias" zu geben. Dieser Login-Alias kann dann auch an Stelle des vom System vergebenen Benutzernamens zur Anmeldung bei Schullogin.de verwendet werden.

Um die technische Sicherheit der Plattform zu gewährleisten werden in einer Protokolldatei (ein sogenanntes "Logfile") Informationen darüber erfasst, wann sich ein:e Nutzer:in von welcher Internet-IP-Adresse aus in die Plattform einloggen möchte und ob es hierbei Fehlversuche gab.

Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.

Weiterhin werden alle Änderungen an den Accountdaten ebenfalls in Logfiles protokolliert. Hierbei wird auch protokolliert, durch wen die Änderungen vorgenommen worden sind.

Diese Datenverarbeitung dient ebenfalls der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können wer wann Änderungen an den Daten vorgenommen hat.

Schullogin.de benutzt die Software Matomo (früher Piwik) zur statistischen Auswertung von Besucherzugriffen.

Zur Auswertung der Nutzerzugriffe werden Cookies verwendet. Mit diesen Textdateien, die auf dem Computer des jeweiligen Nutzers gespeichert werden, ist es möglich, die Benutzung der Website zu analysieren. Die durch Cookies generierten Informationen und Daten werden auf einem Server in Deutschland gespeichert. Die IP-Adresse wird vor der Speicherung anonymisiert. Dadurch ist es dem Betreiber der Plattform nicht möglich herauszufinden, wie sich ein:e individuelle:r Nutzer:in auf den Websites bewegt hat. Man kann nur allgemein herausfinden, wie sich alle Nutzer:innen bewegen.

Die Software läuft direkt im Rechenzentrum des technischen Betreibers von Schullogin.de und übermittelt an den Hersteller der Software keinerlei Daten.

Die Accountdaten werden nach Ablauf von 2 Jahren gelöscht, wenn der:die Nutzer:in seine:ihre Ausbildung beendet hat oder in den Ruhestand geht oder nach 2 Jahren vollständiger Inaktivität.

Log-Dateien werden jeweils nach Ablauf von 3 Monaten seit der Erfassung gelöscht, wobei der jeweils letzte Eintrag erhalten bleibt, um die Fristen bis zur endgültigen Löschung des Accounts bestimmen zu können.

Der Dienst "Nachrichten" ist ein E-Mail-Postfach. Die für das Postfach notwendige E-Mail-Adresse wird durch Schullogin.de direkt bei der Erstellung des Accounts mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes.

Über diesen Dienst kann jede:r Nutzer:in mit allen anderen Nutzern von Schullogin.de kommunizieren, indem er deren E-Mail-Adresse als Empfänger der E-Mail angibt.

Der Dienst selber verarbeitet nur Logfiles über die vom Nutzer vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 3 Monaten gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können wer wann Änderungen an den Daten vorgenommen hat.

Wenn die:der Nutzer:in keine Änderungen vornimmt, werden automatisch die Kontaktdaten aller von Ihm angegebenen E-Mail-Empfänger dem eigenen Adressbuch zugeordnet. Zusätzlich kann die:der Nutzer:in auch jederzeit eigene Kontakte aus allen Nutzern von Schullogin.de hinzufügen.

Alle empfangenen und versendeten Nachrichten werden so lange gespeichert, bis die:der Nutzer:in diese selber löscht.

Abgesehen hiervon werden die Nachrichten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst "Dateiablage" ist ein Cloud-Speicher-Dienst. Über den Dienst ist es jedem:r Nutzer:in möglich, Dateien in den von dem Nutzer erstellten Speicher hochzuladen. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes.

Neben der Möglichkeit, Daten hochzuladen, können diese Daten abhängig von der eigenen Rolle als Schüler:in oder Lehrer:in, auch mit anderen geteilt werden.

Schüler:innen haben nur die Möglichkeit, Daten oder Ordner mit einem:r Lehrer:in an der eigenen Einrichtung oder Schule zu teilen.

Lehrer:innen haben die Möglichkeit, einen Ordner freizugeben (Bereitstellungsordner). Die dort enthaltenen Daten können von den Nutzern, an die der Ordner freigegeben wurde, eingesehen werden und in den eigenen Speicher kopiert werden.

Lehrer:innen haben weiterhin die Möglichkeit, einen Ordner so freizugeben, dass andere Nutzer:innen dort eigene Daten ablegen können (Abgabeordner). Die im Ordner abgegebenen Daten können nur die:der Nutzer:in, der die Daten einstellt und der Lehrer:in, der den Ordner freigegeben hat, einsehen. Andere Nutzer:innen, für die der Ordner auch freigegeben wurde, können immer nur ihre eigenen Daten sehen.

Lehrer:innen können zuletzt auch Ordner so freigeben, dass alle für den Ordner freigegebenen Nutzer:innen alle eingestellten Daten einsehen und bearbeiten können und neue Daten einstellen können, die dann wieder von allen anderen freigegebenen Nutzern eingesehen und bearbeitet werden können. Die:Der Lehrer:in kann hierbei jederzeit die Freigabe entziehen und den weiteren Zugriff für einzelne Nutzer:innen oder alle Nutzer:innen wieder unmöglich machen.

Wie lange die eingestellten Daten gespeichert werden entscheidet immer die:der Inhaber:in des Ordners, in dem die Daten liegen.

Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst selber verarbeitet nur Logfiles über die vom Nutzer vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 3 Monaten gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können wer wann Änderungen an den Daten vorgenommen hat.

Der Dienst "BigBlueButton" ist ein Webkonferenzdienst. Über den Dienst ist es jeder Lehrkraft möglich, Videokonferenzen zu starten und zu verwalten. Die Möglichkeit der Verwaltung der Räume wird über die Software Greenlight bereitgestellt. Der hierfür notwendige Account in dieser Software wird beim ersten Start der Software bei Schullogin.de angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. e) Datenschutz-Grundverordnung (DS-GVO) in Verbindung mit § 1 Sächsisches Schulgesetz (SächsSchulG) und § 38b des SächsSchulG.

Für die Dauer einer Konferenz können Daten als Präsentation, im Chat oder in den geteilten Notizen hochgeladen werden, die Lehrkraft kann durch Moderationsrecht festlegen, welche Daten für welche Teilnehmer:innen einsehbar sind.

Schüler:innen haben nur die Möglichkeit, an Videokonferenzen mit einem:r Lehrer:in teilzunehmen.

Konferenzdaten werden für die Dauer der Konferenz auf dem jeweiligen Server gespeichert. Hierzu zählen:

• technische Daten zur Konferenzdurchführung (Konferenz-ID, Konferenz-Besitzer, Datum der Konferenzerstellung und der letzten Nutzung einer Konferenz, technische Eigenschaften des Konferenzraumes, ggfs. weitere Nutzungsdaten durch Eingaben des Nutzers),
• Aktionen der Teilnehmer während der Konferenz,
• Bild- und Tondaten werden nur durch die Server durchgeleitet.

Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit § 1 SächsSchulG und § 38b des SächsSchulG.

Mit Beendigung der Konferenz werden alle Konferenzdaten gelöscht. Die audiovisuelle Aufzeichnung von Konferenzen innerhalb des Systems ist nicht möglich.

Die Accounts von Lehrer:innen zur Erstellung von Konferenzen werden mit dem Löschen des Schullogin-Accounts entfernt.

Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Neben Schullogin können Schulen über einen API-Schlüssel die Raumverwaltung in selbstständig betriebene Dienste (z. B LernSax, Moodle, Nextcloud) integrieren.

Der Dienst selber verarbeitet außerdem Logfiles über die vom Nutzer vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 4 Wochen bei unserem Subunternehmer gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können, wer wann Änderungen an den Daten vorgenommen hat.

Der Dienst "Moodle" ist ein Angebot aus dem Bereich des eLearning, in welchem man an Online-Kursen teilnehmen kann und hierbei auch digitale Prüfungen ablegen kann. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes.

In den Einstellungen des Dienstes kann jede:r Nutzer:in ihr:sein eigenes Nutzerprofil anpassen und um weitere Informationen ergänzen. Nicht geändert werden kann jedoch die mit dem Profil verknüpfte E-Mail-Adresse von Schullogin.de und der Benutzername, da diese notwendig sind, um eine Zuordnung zu einer:m Schüler:in zu gewährleisten.

Wenn man den Dienst nutzt, werden Daten darüber gespeichert, welche Kurse die:der Nutzer:in besucht, was er wann in diesen Kursen getan hat. Leistungsergebnisse aus den Kursen (Testergebnisse u.ä.) werden ebenfalls gespeichert.

Neben den Daten, die die:der Nutzer:in in den Kursen selbst eingibt, werden durch die Kursbetreuer:innen weitere Daten zu der:m Nutzer:in erfasst.

Detailliertere Informationen zu allen in Betracht kommenden Daten sind auch zu finden unter https://www3.sachsen.schule/sbs/services/kooperation/moodle/datenschutz/

Neben den Nutzungsdaten werden auch Logfiles erstellt, um nachvollziehen zu können, wann sich ein:e Nutzer:in eingeloggt hat. Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.

Die Profildaten können vom Nutzer jederzeit angepasst und, abgesehen von der E-Mail-Adresse und dem Benutzernamen auch gelöscht werden. Die Löschung wird mit einer Zeitverzögerung von 3 Monaten endgültig wirksam.

Die Inhalte aus den besuchten Kursen und die verfassten Nachrichten können durch die:den Nutzer:in nicht verändert werden, da die Kurse zur Dokumentation von schulischen Leistungen dienen, und die:der Nutzer:in diese nicht nachträglich löschen darf.

Logfiles werden für die Dauer eines Schuljahres aufbewahrt und danach automatisch gelöscht.

Abgesehen hiervon werden alle Daten (Profildaten, Inhaltsdaten und Logdaten) auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst "Etherpad" ermöglicht es, gemeinsam mit anderen Nutzern von Schullogin.de gemeinsam an Textdokumenten (Diese werden Pads genannt) zu arbeiten. Die Erstellung eines individuellen Accounts ist hierfür nicht notwendig. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes.

Ruft ein:e Nutzer:in den Dienst auf, so wird nur eine nicht in Verbindung zu der Person stehende Zahlenfolge an den Dienst übertragen, damit sichergestellt werden kann, dass es sich überhaupt um eine:n Nutzer:in von Schullogin.de handelt.

Nachdem die:der Nutzer:in den Dienst aufgerufen hat, kann sich die:der Nutzer:in einen frei wählbaren Namen geben. Über diesen soll er für die anderen Nutzer eines gemeinsamen Dokuments erkennbar sein.

Um auf ein Pad zuzugreifen oder ein eigenes zu erstellen ist es nicht notwendig, sich ein Passwort oder ähnliches zu überlegen. Das bedeutet aber, dass grundsätzlich jede:r Nutzer:in von Schullogin.de auf alle Pads zugreifen kann, indem sie:er den Namen eines ihr:ihm bekannten Pads eingibt oder ihn einfach errät.

Weiterhin kann man auch einen Link zu einem Pad erzeugen und diesen an jeden weitergeben. Insbesondere auch an Personen, die überhaupt kein:e Nutzer:in von Schullogin.de sind.

Wird in einem Pad gearbeitet, so werden alle Eingaben vollständig aufgezeichnet, um jederzeit zu einer anderen Version des Dokuments zurückspringen zu können. Hierbei wird auch immer mit angezeigt, wer die Änderung vorgenommen hat.

Jedes Pad wird, wenn es 30 Tage lang nicht aufgerufen worden ist, automatisch gelöscht. Eine manuelle Löschung kann nicht vorgenommen werden.

Wird das Pad gelöscht, werden auch alle Informationen zu den Änderungen gelöscht.

Der Dienst "OPAL Schule" ist ein Angebot aus dem Bereich des eLearning, in welchem man an Online-Kursen teilnehmen kann und hierbei auch digitale Prüfungen ablegen kann. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des sächsischen Schulgesetzes.

OPAL Schule wird technisch nicht direkt durch das Sächsische Staatsministerium für Kultus betrieben, sondern durch die BPS Bildungsportal Sachsen GmbH. Das Kultusministerium hat mit der BPS Bildungsportal Sachsen GmbH aber einen Vertrag geschlossen, in dem alle Vorgaben für die Verarbeitung von Daten geregelt sind.

Alle Informationen zu den Datenverarbeitungen sind findet man im Dienst OPAL Schule am unteren Bildschirmrand unter "Datenschutz". Einige Punkte sollen aber hier nochmals extra aufgeführt werden.

In den Einstellungen des Dienstes kann jede:r Nutzer:in ein eigenes Profilbild hinzufügen. Alle anderen Informationen können hierüber aber nicht angepasst werden, da dies notwendig ist, um die:den Nutzer:in korrekt zuordnen zu können.

Wenn man den Dienst nutzt, werden Daten darüber gespeichert, welche Kurse die:der Nutzer:in besucht, was er wann in diesen Kursen getan hat. Leistungsergebnisse aus den Kursen (Testergebnisse u.ä.) werden ebenfalls gespeichert.

Neben den Daten, die die:der Nutzer:in in den Kursen selbst eingibt, werden durch die Kursbetreuer:innen weitere Daten zu der:dem Nutzer:in erfasst.

Neben den Nutzungsdaten werden auch Logfiles erstellt, um nachvollziehen zu können, wann sich ein:e Nutzer:in eingeloggt hat und welche Aktivitäten sie:er durchgeführt hat. Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen und nachvollziehen zu können, welche Eingaben gemacht worden sind.

Das Profilbild kann jederzeit vom Nutzer gelöscht werden.

Die Inhalte aus den besuchten Kursen und die verfassten Nachrichten können durch die:den Nutzer:in nicht verändert werden, da die Kurse zur Dokumentation von schulischen Leistungen dienen, und die:der Nutzer: diese nicht nachträglich löschen darf.

Logfiles werden für die Dauer eines Schuljahres aufbewahrt und danach automatisch gelöscht.

Abgesehen hiervon werden alle Daten (Profildaten, Inhaltsdaten und Logdaten) auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.