Datenschutzerklärung v7 (14.09.2023)

 
  1.   ALLGEMEINES

    Der Schutz Ihrer persönlichen Daten ist der Technischen Universität Graz besonders wichtig. Ausführliche Informationen über die Datenverarbeitung im öffentlich zugänglichen Webseitenbereich finden Sie in der allgemeinen Datenschutzerklärung. In der folgenden Datenschutzerklärung informieren wir Sie über die Datenverarbeitung im registrierungspflichten Bereich der Plattform iMooX (nachfolgend: Plattform).

  2.   KONTAKTDATEN

    Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Betriebes ist die Technische Universität Graz (nachfolgend: TU Graz), Rechbauerstraße 12, 8010 Graz.
    Datenschutzbeauftragte der TU Graz ist die x-tention Informationstechnologie GmbH, Römerstraße 80A, 4600 Wels, datenschutzbeauftragter@tugraz.at.
    Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte an datenschutz@tugraz.at oder an die jeweiligen Kursanbieter*innen.
    Verantwortliche für die die Verarbeitung der personenbezogenen Daten im Kurs (siehe Punkt 4) sind grundsätzlich die Anbieter*innen des jeweiligen Kurses.

  3.   PERSONEN- UND DATENKATEGORIEN

    Im Zuge der Nutzung der Plattform werden von der TU Graz folgende Kategorien im Rahmen des Betriebes verarbeitet:

    • Alle auf der Plattform registrierten Benutzer*innen, welche ein Konto haben: Stammdaten (Moodle-NutzerID, Vorname, Nachname, E-Mail-Adresse), IT-Sicherheitsdaten (IP-Adresse, Logdaten), Profildaten (Teilnahmebestätigung, freiwillige Angaben wie Profilbilder etc.), standardisiertes Feedback/Fragebögen, Newsletter
    • Bei den Benutzer*innen, welche ein EduID-Konto haben: Zusätzliche Stammdaten (Institutionszugehörigkeit, Nutzer-InstitutionsID)
    • Kursleiter*innen/Zertifizierte Kursersteller*innen: Zusätzlich Titel, Angaben zur Person, Lehrmaterialien, Bild- und Tonaufnahmen
    • Kooperationspartner*innen: Angaben zur juristischen Person

    Im Zuge der Teilnahme an einem Kurs werden von den jeweiligen Anbieter*innen folgende Kategorien im Rahmen des Kurses verarbeitet:

    • Alle für den Kurs registrierten Benutzer*innen: Kontaktdaten (Vor- und Nachname, E-Mail-Adresse), Kursdaten (eingeschriebener Kurs, Daten im Zusammenhang mit Kursaktivitäten, Kurs-Antworten, Resultate, Assignments, Badges, Einträge in Foren etc.)

  4.   ZWECK UND RECHTSGRUNDLAGE

    Die Plattform dient der Unterstützung der öffentlichen Verbreitung von Lehr- und Lerninhalten für Studierende, Bedienstete sowie externe Personen, um Bildung frei zugänglich zu machen. Die Verarbeitung von personenbezogenen Daten erfolgt

    durch die TU Graz zu folgenden Zwecken

    • Betrieb der Plattform (Administration, Benutzerverwaltung, Öffentlichkeitsarbeit, Teilnahmebestätigungen etc.)
    • Newsletter-Abonnements (Versand, Analysefunktion)
    • Qualitätssicherung der Online-Lehre (statistische Auswertung)
    • technischen Zurverfügungstellung der Plattform und Gewährleistung einer reibungslosen Nutzung (Datensicherheit)
    • wissenschaftlichen Forschung (primär in anonymisierter und pseudonymisierter Form)

    durch die Anbieter*innen zu folgenden Zwecken

    • Organisatorischen und administrativen Tätigkeiten im Kurs (optionales Feedback/Fragebögen, Badges, Benachrichtigungen, Sichtbarmachung des Kurses und der Kursleitung etc.)
    • Umsetzung des didaktischen Konzepts – siehe Angaben in der Kursbeschreibung (Features – Quiz, Forum, Videos, Benachrichtigungen etc.)

    Datenverarbeitungen zum Zweck der Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erfolgen auf der Rechtsgrundlage von Art 6 Abs 1 lit b DSGVO (Erfüllung eines Vertrages – Benutzerrichtlinien/Durchführung der Kurse – oder zur Erfüllung vorvertraglicher Maßnahmen).
    Datenverarbeitungen, die im Zusammenhang mit der Wahrnehmung von Aufgaben im öffentlichen Interesse liegen oder im Rahmen der Ausübung öffentlicher Gewalt erfolgen, stützen sich auf die Rechtsgrundlage in Art 6 Abs 1 lit e DSGVO iVm §§ 2, 3 und 13 UG 2002 (Betrieb der Plattform – Qualitätssicherung der Online-Lehre, wissenschaftliche Forschung).
    Die Rechtsgrundlage für die Datenverarbeitung von freiwillig hochgeladenen und/oder verwendeten Inhalten und/oder Services (z.B. Profilbilder) einschließlich etwaiger sich daraus ergebender sensibler Daten1 ist Ihre Einwilligung nach Art 6 Abs 1 lit a DSGVO bzw. Art 9 Abs 2 lit a DSGVO.
    Zum Zweck der Abwicklung des freiwilligen Newsletter-Abonnements verarbeiten wir Ihre personenbezogenen Daten nach § 174 TKG 2021 iVm mit Art 6 Abs 1 lit a DSGVO.
    Zur Sicherstellung der Datensicherheit erfolgt die Verarbeitung der personenbezogenen Daten im überwiegenden berechtigten Interesse der TU Graz nach Art 6 Abs 1 lit f DSGVO.

    STUDIERENDE
    Die Verwendung und Übermittlung von personenbezogenen Daten im Rahmen des Studiums erfolgt zur Durchführung und Organisation sowie zur Umsetzung des didaktischen Konzepts der jeweiligen Lehrveranstaltung. Zweck ist die Aufrechterhaltung des Lehrbetriebes und das Anbieten eines umfangreichen digitalen Lehr- und Lernangebotes (siehe Punkt 6, Empfänger).

    VERARBEITUNG ZU WISSENSCHAFTLICHEN FORSCHUNGSZWECKEN
    Die TU Graz verarbeitet primär in pseudonymisierter oder anonymisierter Form (personenbezogene) Daten in weiterer Folge unter Einhaltung geeigneter technischer und organisatorischer Maßnahmen zu wissenschaftlichen Forschungszwecken, etwa um auszuwerten, welche Funktionen und Anwendungen besonders häufig von dem*der Benutzer*in genutzt werden, um so das Angebot der Plattform iMooX laufend verbessern zu können. Rechtsgrundlage dieser Auswertungen ist das öffentliche Interesse nach Artikel 6 Absatz 1 lit e DSGVO iVm § 7 DSG.

     

  5.   INTERNE DIENSTE UND INTERNE DATENÜBERMITTLUNG

    ANALYSE-TOOL MATOMO MIT ANONYMISIERUNGSFUNKTION
    Zur Qualitätssicherung der Online-Lehre nutzen wir basierend auf dem Open Source Webanalysedienst Matomo, unser eigenes Analysetool TU Graz Analytics. Dabei werden Analyse-Cookies gesetzt, die uns eine statistische Auswertung der aufgerufenen Inhalte ermöglichen (z.B. Erstellung von Reports über die Webseitenaktivität). Die Informationen werden dabei erst nach Kürzung bzw. Anonymisierung der IP-Adresse gespeichert. Die gekürzte IP-Adresse lässt somit keinen Rückschluss auf den*die Benutzer*in mehr zu. Durch die Verwendung dieses Webseitenanalysetools werden keine personenbezogenen Daten an Dritte übermittelt. Die Daten werden ausschließlich auf sicheren Servern der TU Graz verarbeitet.

    LOGDATEN
    Im Zuge der Verwendung der Plattform werden technisch notwendige Protokolldaten gespeichert. Diese erlauben es der TU Graz, Systemstörungen, Systemfehler, die zu einer Einschränkung der Verfügbarkeit der Online-Angebote führen sowie unerlaubte Zugriffe auf unsere Systeme zu erkennen, einzugrenzen und zu beseitigen. Die Logdaten werden nicht mit anderen personenbezogenen Daten verknüpft. Folgende Datenkategorien werden verarbeitet: Datum und Uhrzeit der Abfrage, Name und URL der abgerufenen Ressourcen, Datenmenge (in Bytes) der angefragten und/oder angerufenen Ressource, Antwort des Servers (z.B. http-Statuscode), Erkennungsdaten des verwendeten Browsers und Betriebssystems, Webseite, von der aus der Zugriff erfolgte, IP-Adresse, MAC-Adresse, Username.

  6.   EMPFÄNGER

    Es werden nur jene personenbezogenen Daten an die Anbieter*innen übermittelt, die für die Abwicklung des Kurses erforderlich sind.

    Zum Zweck der transaktionalen Versendung von E-Mails (z.B. Accountbeendigung, abonnierte Benachrichtigungen in Foren) sowie für die Aussendung des iMooX-Newsletters (freiwillige und aktive Anmeldung notwendig) wird die SendinBlue GmbH als Auftragsverarbeiter eingesetzt. Es erfolgt keine Übermittlung von personenbezogenen Daten in ein Drittland.

    Im Zuge der Versendung des Newsletters wird erhoben, ob, wann, wie oft und mit welchem E-Mail-Client der Newsletter zugestellt, geöffnet oder angeklickt wurde (Messung der Öffnungs- und Klickrate, des Standortes sowie des E-Mail Providers). Mit dieser Erhebung können wir nachvollziehen, ob die im Newsletter enthaltenen Informationen relevant für die Empfänger*innen sind und somit unser Informationsangebot verbessern.

    Sie können sich jederzeit durch Klicken auf den Abmeldelink in der Fußzeile des Newsletter selbst abmelden. Nach der Abmeldung werden Ihre personenbezogenen Daten, die zur Aussendung des Newsletters verarbeitet wurden, gelöscht.

  7.   DATENÜBERMITTLUNG IN DRITTLÄNDER

    YOUTUBE
    Die Anbieter*innen können im Rahmen des didaktischen Konzepts im Kurs Plugins (Videos) des Anbieters YouTube einbinden. Bei Aufruf der Plattform bzw. des Kurses werden keine Daten der Nutzer*innen an YouTube übermittelt. Die Videos erscheinen lediglich als Vorschaubild. Erst mit Ihrer Einwilligung durch den aktiven Klick auf den Link „Video aktivieren“ wird der Videoinhalt geladen und abgespielt. Damit stimmen Sie der Datenübertragung zu, auf deren Grundlage personenbezogene Daten (z.B. IP-Adresse) an YouTube übermittelt werden. Im Zuge der Verwendung von YouTube können Daten in die USA (Drittland) übermittelt werden. YouTube bzw. die Google LLC ist als elektronischer Kommunikationsdienst im Sinne von 50 U.S.Code § 1881 (b) (4) zu qualifizieren und unterliegen als solche der Überwachung durch US-Geheimdienste gemäß 50 U.S.Code § 1881a („FISA 702”). Die Einhaltung der europäischen Anforderungen zum Datenschutz kann daher nicht garantiert werden. Die Übermittlung dieser Daten in ein Drittland für einen bestimmten Zweck erfolgt unter der Ausnahmebestimmung von Art 49 Abs 1 lit a DSGVO, indem Sie uns nach Aufklärung über die Risiken Ihre Einwilligung erteilen. Weitere Informationen über die Verarbeitung und Nutzung Ihrer Daten durch YouTube entnehmen Sie bitte den Datenschutzrichtlinien des Serviceanbieters: Google LLC, 1600 Amphitheatre Parkway, Mountain View, California 94103, USA. Datenschutzerklärung: https://policies.google.com/privacy/partners

  8.   SPEICHERDAUER (FESTLEGUNG VON KRITERIEN)

    ALLGEMEINES
    Wo es technisch möglich ist, wird der Personenbezug nach Ablauf von 30 Tagen gelöscht. Die Logdaten werden grundsätzlich acht Wochen gespeichert. Systembedingt kann eine längere Speicherung erfolgen, die aber zwölf Monate nicht überschreitet.

    BEI ERFÜLLUNG DES VERTRAGES/VORVERTRAGLICHER MAßNAHMEN
    Ihre personenbezogenen Daten werden von uns solange gespeichert, wie dies für die Abwicklung des Vertrages bzw. vorvertraglicher Maßnahmen notwendig ist.

    BEI ÖFFENTLICHEM ODER BERECHTIGTEM INTERESSE
    Wir verarbeiten die Daten solange als dies zur Wahrung der öffentlichen/berechtigen Interessen notwendig ist bzw. solange bis (begründeter) Widerspruch erhoben wird.

    EINWILLIGUNG
    Haben Sie uns zur Verarbeitung Ihrer Daten eine Einwilligung erteilt, werden Ihre personenbezogenen Daten bis zum Widerruf der Einwilligung gespeichert. Es werden nur jene Daten gespeichert, die zum Zweck des Nachweises Ihrer Einwilligung bzw. Ihres Widerrufs notwendig sind. Ab dem Zeitpunkt des Widerrufs werden diese Daten drei Jahre aufbewahrt.
    Darüber hinaus speichern wir Ihre Daten nur, wenn dafür gesetzliche Aufbewahrungsfristen bestehen oder Verjährungsfristen betreffend potentieller Rechtsansprüche offen sind.

  9.   BETROFFENENRECHTE

    Sie haben das Recht auf Auskunft, Berichtigung, Übertragbarkeit, Einschränkung, Widerspruch und Löschung der Daten, wobei festgehalten wird, dass eine Nutzung der Plattform iMooX ohne die Verarbeitung von personenbezogenen Daten nicht möglich ist. Darüber hinaus besteht ein Widerrufsrecht gegen die Datenverarbeitung (bei der Rechtsgrundlage der Einwilligung). Bedenken Sie aber, dass durch einen Widerruf die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung nicht berührt wird. Des Weiteren kann eine Ausübung dieser Rechte nicht zu einer Auflösung vertraglicher oder gesetzlicher Pflichten führen.
    Es besteht ferner ein Beschwerderecht an die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.

  1. Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.