Alle Betroffenen haben gegenüber den jeweiligen Verantwortlichen folgende Rechte hinsichtlich der sie betreffenden Daten:

• Recht auf Auskunft,
• Recht auf Berichtigung oder Löschung,
• Recht auf Einschränkung der Verarbeitung,
• Recht auf Widerruf Ihrer Einwilligung,
• Recht auf Widerspruch gegen die Verarbeitung,
• Recht auf Datenübertragbarkeit.

Diese Rechte können jederzeit geltend gemacht werden, indem sich die bzw. der Betroffene unter den bei den Verantwortlichen angegebenen Kontaktdaten an diese wendet.

Zusätzlich können sich alle Betroffenen auch an die Datenschutzbeauftragten der Verantwortlichen wenden.

Datenschutzbeauftragte des Sächsischen Staatsministeriums für Kultus
Carolaplatz 1
01097 Dresden
Telefon: +49 (0) 351 564 66414
E-Mail: datenschutz@smk.sachsen.de

Der bzw. die Datenschutzbeauftragte der Schule kann erst bei erfolgter Anmeldung ermittelt werden.

Sollten betroffene Personen mit der Datenverarbeitung nicht einverstanden sein, besteht jederzeit die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde, der Sächsischen Datenschutz- und Transparenzbeauftragten, zu beschweren. Sie kann unter folgenden Daten erreicht werden:

Sächsische Datenschutz- und Transparenzbeauftragte
Frau Dr. Juliane Hundert
Devrientstraße 5
01067 Dresden
Telefon: +49 (0) 351 85471 101
Telefax: +49 (0) 351 85471 109
Internet: www.datenschutz.sachsen.de
E-Mail: post@sdtb.sachsen.de

Personenbezogene Daten sind, vereinfacht gesagt, Informationen, die es den Verantwortlichen für diese Plattform ermöglichen, einen Menschen zu identifizieren. Das kann im einfachsten Fall dadurch passieren, dass in einem Nutzerprofil z. B. der Nachname, der Vorname, die Schule und die Klassenstufe angegeben sind. Hierdurch ist in fast jedem Fall klar, um welchen konkreten Schüler es sich handelt.

Es kann aber auch sein, dass den Verantwortlichen nur unvollständige Informationen vorliegen, sie aber dennoch in der Lage sind, aus diesen Informationen herauszufinden, um wen es sich handelt. So kann beispielsweise auch ein Bild eines Menschen ausreichen, um herauszufinden, um wen es sich handelt.

Wenn Verantwortliche in irgendeiner Form mit diesen Daten umgehen, sei es beispielsweise dadurch, dass Daten erhoben werden, dass sie gespeichert werden oder dass sie an andere übermittelt oder sogar veröffentlicht werden, spricht man von einer Verarbeitung. Es gibt noch viele andere Arten von Verarbeitungen, welche alle in Art. 4 Nr. 2 der DS-GVO nachgelesen werden können. Im Grunde ist aber jeder denkbare Vorgang rund um den Umgang mit Daten erfasst.

Im Datenschutzrecht sind die Verantwortlichen diejenigen, die über die Verarbeitung der Daten bestimmen. Wer dies für die Plattform Schullogin.de ist, erfährt man weiter unten in dieser Datenschutzerklärung.

Unter Betroffenen versteht man diejenigen Menschen, deren Daten verarbeitet werden. Auf Schullogin.de können dies Schülerinnen und Schüler, Lehrerinnen und Lehrer sowie externes Schulpersonal sein.

Eine Datenübermittlung ist die Weitergabe von Daten entweder an Dritte oder an Auftragsverarbeitende.

Auftragsverarbeitende sind andere Verantwortliche, die die Daten aber nur innerhalb der Grenzen eines genau vorgegebenen Vertrages mit den Verantwortlichen verarbeiten. Weil dieser Vertrag sehr ausführlich ist und den Auftragsverarbeitenden keinen eigenen Entscheidungsraum gibt, dürfen diese Daten immer übermittelt werden.

Dritte sind alle anderen Verantwortlichen, die keine Auftragsverarbeitenden sind. An diese dürfen Daten in aller Regel nur weitergegeben werden, wenn ein Gesetz das vorschreibt oder die Betroffenen sich hiermit einverstanden erklärt haben.

Bei der Nutzung von Schullogin.de müssen einige Unterscheidungen getroffen werden.

Zunächst muss die Plattform Schullogin von den über diese Plattform erreichbaren Diensten unterschieden werden.

Unter diesen Diensten gibt es wiederum Dienste, die direkt von den Verantwortlichen von Schullogin.de betrieben werden oder zumindest von diesen Beaufsichtigt werden. Diese Dienste werden "interne Dienste" genannt.

Es handelt sich hierbei um folgende Dienste:

• Nachrichten
• Dateiablage
• Videokonfernz
• Moodle
• Etherpad
• OPAL Schule (Dieser Dienst wird nur beaufsichtigt)

Daneben gibt es Dienste, die nicht von den Verantwortlichen von Schullogin.de betrieben werden, sondern auf die die Plattform nur weiterleitet und hierbei die Anmeldeinformationen überträgt. Diese Dienste werden "externe Dienste" genannt.

Es handelt sich um folgende Dienste:

• LernSax
• MeSax

Sowohl für Schullogin.de als auch für alle Dienste, egal ob intern oder extern, muss zusätzlich noch danach unterschieden werden, ob es sich um den technischen Betrieb des Dienstes handelt oder um die im Dienst hinterlegten Informationen und Daten.

Um diese Plattform nutzen zu können, muss ein individueller Nutzeraccount erstellt werden. Die Entscheidung hierüber trifft die jeweilige Schule oder Einrichtung auf Grundlage von Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG, wenn die Schule oder Einrichtung der Auffassung ist, dass die Nutzung der Plattform zur Erfüllung des gesetzlichen Erziehungs- und Bildungsauftrages in Form von E-Learning-Angeboten erfolgen soll.

Entscheidet sich die Schule oder Einrichtung hierzu, wird der Account mit folgenden Daten angelegt und auf den Servern von Schullogin.de gespeichert:

• Nachname
• Vorname
• Einrichtung
• Klasse
• Klassenstufe
• Rolle (student oder teacher)

Diese Daten beziehen die technisch Verantwortlichen aus der Datenbank SaxSVS, welche ebenfalls vom Sächsischen Staatsministerium für Kultus betrieben wird.

Um die Plattform nutzen zu können, werden aus den gespeicherten Stammdaten sodann noch weitere Daten erstellt. Die jeweils dem gleichen Zweck dienen und die Nutzung der Plattform erst ermöglichen.

• Erstellung eines eindeutigen Benutzernamens
• Erstellung einer E-Mail-Adresse

Der Benutzername kann hierbei jederzeit in den Profileinstellungen eingesehen werden.

Da die Accountdaten notwendig sind, um die Nutzenden jederzeit korrekt zuordnen zu können, können diese nicht geändert werden.

Die Nutzenden sind jedoch in der Lage, eigenständig das für sie zunächst vergegebene Passwort jederzeit zu ändern und sich einen "Login-Alias" zu geben. Dieser Login-Alias kann dann auch an Stelle des vom System vergebenen Benutzernamens zur Anmeldung bei Schullogin.de verwendet werden.

Um die technische Sicherheit der Plattform zu gewährleisten, werden in einer Protokolldatei (ein sogenanntes "Logfile") Informationen darüber erfasst, wann sich Nutzenden von welcher Internet-IP-Adresse aus in die Plattform einloggen möchten und ob es hierbei Fehlversuche gab.

Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.

Weiterhin werden alle Änderungen an den Accountdaten ebenfalls in Logfiles protokolliert. Hierbei wird auch protokolliert, durch wen die Änderungen vorgenommen worden sind.

Diese Datenverarbeitung dient ebenfalls der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können, wer wann Änderungen an den Daten vorgenommen hat.

Schullogin.de benutzt die Software Matomo (früher Piwik) zur statistischen Auswertung von Zugriffen der Nutzenden.

Zur Auswertung der Zugriffe werden Cookies verwendet. Mit diesen Textdateien, die auf dem Computer der Nutzenden gespeichert werden, ist es möglich, die Benutzung der Website zu analysieren. Die durch Cookies generierten Informationen und Daten werden auf einem Server in Deutschland gespeichert. Die IP-Adresse wird vor der Speicherung anonymisiert. Dadurch ist es den Betreibenden der Plattform nicht möglich herauszufinden, wie sich individuelle Nutzende auf den Websites bewegt haben. Man kann nur allgemein herausfinden, wie sich alle Nutzenden bewegen.

Die Software läuft direkt im Rechenzentrum des technischen Betreibers von Schullogin.de und übermittelt an den Hersteller der Software keinerlei Daten.

Die Accountdaten werden nach Ablauf von 2 Jahren gelöscht, wenn Nutzende ihre Ausbildung beendet haben oder in den Ruhestand gehen oder nach 2 Jahren vollständiger Inaktivität.

Log-Dateien werden jeweils nach Ablauf von 3 Monaten seit der Erfassung gelöscht, wobei der jeweils letzte Eintrag erhalten bleibt, um die Fristen bis zur endgültigen Löschung des Accounts bestimmen zu können.

Der Dienst "Nachrichten" ist ein E-Mail-Postfach. Die für das Postfach notwendige E-Mail-Adresse wird durch Schullogin.de direkt bei der Erstellung des Accounts mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des Sächsischen Schulgesetzes (SächsSchulG).

Über diesen Dienst können die Nutzenden mit allen anderen Nutzenden von Schullogin.de kommunizieren, indem sie deren E-Mail-Adressen als Empfängerinnen und Empfänger der E-Mail angeben.

Der Dienst selber verarbeitet nur Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 3 Monaten gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können, wer wann Änderungen an den Daten vorgenommen hat.

Wenn Nutzende keine Änderungen vornehmen, werden automatisch die Kontaktdaten aller von einem Nutzenden angegebenen E-Mail-Empfängerinnen und -Empfänger dem eigenen Adressbuch zugeordnet. Zusätzlich können Nutzende jederzeit eigene Kontakte aus allen Nutzenden von Schullogin.de hinzufügen.

Alle empfangenen und versendeten Nachrichten werden so lange gespeichert, bis die Nutzenden diese eigenständig löschen.

Abgesehen hiervon werden die Nachrichten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst "Dateiablage" (Nextcloud) ist ein Cloud-Speicher-Dienst. Über den Dienst ist es den Nutzenden möglich, Dateien in einem erstellten Speicher hochzuladen. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG.

Neben der Möglichkeit, Daten hochzuladen, können diese Daten abhängig von der eigenen Rolle als student oder teacher, auch mit anderen geteilt werden.

Accounts mit der Rolle student haben nur die Möglichkeit, Daten oder Ordner mit Nutzenden an der eigenen Einrichtung oder Schule zu teilen.

Accounts mit der Rolle teacher haben die Möglichkeit, einen Ordner freizugeben (Bereitstellungsordner). Die dort enthaltenen Daten können von den Nutzenden, an die der Ordner freigegeben wurde, eingesehen werden und in den eigenen Speicher kopiert werden.

Accounts mit der Rolle teacher haben weiterhin die Möglichkeit, einen Ordner so freizugeben, dass andere Nutzende dort eigene Daten ablegen können (Abgabeordner). Die im Ordner abgegebenen Daten können nur von den Nutzenden, die die Daten einstellen, und von Personen, die den Ordner freigegeben haben, eingesehen werden. Andere Nutzende, für die der Ordner auch freigegeben wurde, können immer nur ihre eigenen Daten sehen.

Accounts mit der Rolle teacher können zuletzt auch Ordner so freigeben, dass alle für den Ordner freigegebenen Nutzenden alle eingestellten Daten einsehen und bearbeiten können und neue Daten einstellen können, die dann wieder von allen anderen freigegebenen Nutzenden eingesehen und bearbeitet werden können. Accounts mit der Rolle teacher können hierbei jederzeit die Freigabe entziehen und den weiteren Zugriff für einzelne Nutzende oder alle Nutzende wieder unmöglich machen.

Wie lange die eingestellten Daten gespeichert werden, entscheiden immer diejenigen Personen, die die jeweiligen Ordner besitzen, in denen die Daten liegen.

Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst selber verarbeitet nur Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 3 Monaten gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können, wer wann Änderungen an den Daten vorgenommen hat.

Der Dienst "Videokonferenz" (BigBlueButton) ist ein Webkonferenzdienst. Über den Dienst ist es Accounts mit der Rolle teacher möglich, Videokonferenzen zu starten und zu verwalten. Die Möglichkeit der Verwaltung der Räume wird über die Software Greenlight bereitgestellt. Der hierfür notwendige Account in dieser Software wird beim ersten Start der Software bei Schullogin.de angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. e) Datenschutz-Grundverordnung (DS-GVO) in Verbindung mit §§ 1 und 38b des SächsSchulG.

Für die Dauer einer Konferenz können Daten als Präsentation, im Chat oder in den geteilten Notizen hochgeladen werden, Accounts mit der Rolle teacher können durch Moderationsrecht festlegen, welche Daten für welche Teilnehmmenden einsehbar sind.

Accounts mit der Rolle student haben nur die Möglichkeit, an Videokonferenzen mit einer Lehrerin bzw. einem Lehrer teilzunehmen.

Konferenzdaten werden für die Dauer der Konferenz auf dem jeweiligen Server gespeichert. Hierzu zählen:

• technische Daten zur Konferenzdurchführung (Konferenz-ID, Konferenz-Besitzende, Datum der Konferenzerstellung und der letzten Nutzung einer Konferenz, technische Eigenschaften des Konferenzraumes, ggfs. weitere Nutzungsdaten durch Eingaben des Nutzenden),
• Aktionen der Teilnehmenden während der Konferenz,
• Bild- und Tondaten werden nur durch die Server durchgeleitet.

Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG.

Mit Beendigung der Konferenz werden alle Konferenzdaten gelöscht. Die audiovisuelle Aufzeichnung von Konferenzen innerhalb des Systems ist nicht möglich.

Die Accounts mit der Rolle teacher zur Erstellung von Konferenzen werden mit dem Löschen des Schullogin-Accounts entfernt.

Abgesehen hiervon werden alle Daten auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Neben Schullogin können Schulen über einen API-Schlüssel die Raumverwaltung in selbstständig betriebene Dienste (z. B LernSax, Moodle, Dateiablage) integrieren.

Der Dienst selber verarbeitet außerdem Logfiles über die von den Nutzenden vorgenommenen Änderungen an den verfügbaren Einstellungen. Diese werden jeweils für die Dauer von 4 Wochen bei einem Subunternehmen der Verantwortlichen gespeichert und hiernach gelöscht. Diese Datenverarbeitung dient der nach Art. 6 Abs. 1 c) DS-GVO bestimmten Pflicht, jederzeit nachvollziehen zu können, wer wann Änderungen an den Daten vorgenommen hat.

Der Dienst "Moodle" ist ein Angebot aus dem Bereich des E-Learning, in welchem man an Online-Kursen teilnehmen kann und hierbei auch digitale Prüfungen ablegen kann. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG.

In den Einstellungen des Dienstes können Nutzende ihr eigenes Nutzerprofil anpassen und um weitere Informationen ergänzen. Nicht geändert werden kann jedoch die mit dem Profil verknüpfte E-Mail-Adresse von Schullogin.de und der Benutzername, da diese notwendig sind, um eine Zuordnung zu einer Person zu gewährleisten.

Wenn man den Dienst nutzt, werden Daten darüber gespeichert, welche Kurse Nutzende besuchen, was sie wann in diesen Kursen getan haben. Leistungsergebnisse aus den Kursen (Testergebnisse u. ä.) werden ebenfalls gespeichert.

Neben den Daten, die Nutzende in den Kursen selbst eineben, werden durch die Kursbetreuenden weitere Daten zu den Nutzenden erfasst.

Detailliertere Informationen zu allen in Betracht kommenden Daten sind auch zu finden unter https://www3.sachsen.schule/sbs/services/kooperation/moodle/datenschutz/

Neben den Nutzungsdaten werden auch Logfiles erstellt, um nachvollziehen zu können, wann sich Nutzende eingeloggt haben. Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen.

Die Profildaten können vvon Nutzenden jederzeit angepasst und, abgesehen von der E-Mail-Adresse und dem Benutzernamen, auch gelöscht werden. Die Löschung wird mit einer Zeitverzögerung von 3 Monaten endgültig wirksam.

Die Inhalte aus den besuchten Kursen und die verfassten Nachrichten können durch Nutzende nicht verändert werden, da die Kurse zur Dokumentation von schulischen Leistungen dienen und Nutzende diese nicht nachträglich löschen dürfen.

Logfiles werden für die Dauer eines Schuljahres aufbewahrt und danach automatisch gelöscht.

Abgesehen hiervon werden alle Daten (Profildaten, Inhaltsdaten und Logdaten) auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.

Der Dienst "Etherpad" ermöglicht es, gemeinsam mit anderen Nutzenden von Schullogin.de an Textdokumenten (diese werden Pads genannt) zu arbeiten. Die Erstellung eines individuellen Accounts ist hierfür nicht notwendig. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG.

Rufen Nutzende den Dienst auf, so wird nur eine nicht in Verbindung zu der jeweiligen Person stehende Zahlenfolge an den Dienst übertragen, damit sichergestellt werden kann, dass es sich überhaupt um Nutzende von Schullogin.de handelt.

Nachdem Nutzende den Dienst aufgerufen haben, können sich die Nutzenden einen frei wählbaren Namen geben. Über diesen sollen Nutzende für die anderen Nutzenden eines gemeinsamen Dokuments erkennbar sein.

Um auf ein Pad zuzugreifen oder ein eigenes zu erstellen ist es nicht notwendig, sich ein Passwort oder Ähnliches zu überlegen. Das bedeutet aber, dass grundsätzlich alle Nutzenden von Schullogin.de auf alle Pads zugreifen können, indem der Name eines Pads eingegeben oder erraten wird.

Weiterhin kann man auch einen Link zu einem Pad erzeugen und diesen an jeden weitergeben. Insbesondere auch an Personen, die überhaupt keine Nutzenden von Schullogin.de sind.

Wird in einem Pad gearbeitet, so werden alle Eingaben vollständig aufgezeichnet, um jederzeit zu einer anderen Version des Dokuments zurückspringen zu können. Hierbei wird auch immer mit angezeigt, wer die Änderung vorgenommen hat.

Jedes Pad wird, wenn es 30 Tage lang nicht aufgerufen worden ist, automatisch gelöscht. Eine manuelle Löschung kann nicht vorgenommen werden.

Wird das Pad gelöscht, werden auch alle Informationen zu den Änderungen gelöscht.

Der Dienst "OPAL Schule" ist ein Angebot aus dem Bereich des E-Learning, in welchem man an Online-Kursen teilnehmen kann und hierbei auch digitale Prüfungen ablegen kann. Der hierfür notwendige Account in der Software wird bei der Erstellung des Accounts bei Schullogin.de mit angelegt. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 e) DS-GVO in Verbindung mit §§ 1 und 38b des SächsSchulG.

OPAL Schule wird technisch nicht direkt durch das Sächsische Staatsministerium für Kultus betrieben, sondern durch die BPS Bildungsportal Sachsen GmbH. Das Kultusministerium hat mit der BPS Bildungsportal Sachsen GmbH aber einen Vertrag geschlossen, in dem alle Vorgaben für die Verarbeitung von Daten geregelt sind.

Alle Informationen zu den Datenverarbeitungen findet man im Dienst OPAL Schule am unteren Bildschirmrand unter "Datenschutz". Einige Punkte sollen aber hier nochmals extra aufgeführt werden.

In den Einstellungen des Dienstes können Nutzende ein eigenes Profilbild hinzufügen. Alle anderen Informationen können hierüber aber nicht angepasst werden, da dies notwendig ist, um Nutzende korrekt zuordnen zu können.

Wenn man den Dienst nutzt, werden Daten darüber gespeichert, welche Kurse die Nutzenden besuchen und was sie wann in diesen Kursen getan haben. Leistungsergebnisse aus den Kursen (Testergebnisse u. Ä.) werden ebenfalls gespeichert.

Neben den Daten, die Nutzende in den Kursen selbst eingeben, werden durch die Kursbetreuenden weitere Daten zu den Nutzerinnen und Nutzern erfasst.

Neben den Nutzungsdaten werden auch Logfiles erstellt, um nachvollziehen zu können, wann sich Nutzende eingeloggt haben und welche Aktivitäten sie durchgeführt haben. Diese Datenverarbeitung setzt nach Art. 6 Abs. 1 c) die in der DS-GVO bestimmte Pflicht um, für die Sicherheit der Datenverarbeitung Sorge zu tragen und nachvollziehen zu können, welche Eingaben gemacht worden sind.

Das Profilbild kann jederzeit von den Nutzenden gelöscht werden.

Die Inhalte aus den besuchten Kursen und die verfassten Nachrichten können durch die Nutzenden nicht verändert werden, da die Kurse zur Dokumentation von schulischen Leistungen dienen und Nutzende diese nicht nachträglich löschen dürfen.

Logfiles werden für die Dauer eines Schuljahres aufbewahrt und danach automatisch gelöscht.

Abgesehen hiervon werden alle Daten (Profildaten, Inhaltsdaten und Logdaten) auch dann gelöscht, wenn der Nutzeraccount bei Schullogin.de insgesamt gelöscht wird.