Verfahrensbeschreibung

In diesem Dokument werden die folgenden Arten von Daten unterschieden:

  • Auf persönliche Daten hat nur der Benutzer selbst Zugriff.

  • Auf gruppenbezogene Daten haben alle Mitglieder der jeweiligen Gruppe Zugriff. Die genauen Zugriffsrechte sind konfigurierbar.

  • Schulöffentliche Daten werden von ausgewählten Benutzern erstellt und sind für ausgewählte Gruppen oder alle Benutzer lesbar.

  • Logs protokollieren Änderungen an Daten oder Zugriffe.

Beim IServ Portalserver gelten folgende systemweite Standards:

  • Maßnahmen zur Berichtigung:

    • Persönliche Daten können jederzeit vom Benutzer selbst geändert werden.

    • Gruppenbezogene Daten können von Gruppenmitgliedern geändert werden.

    • Schulöffentliche Daten können nur von ausgewählten Benutzern bearbeitet werden.

    • Logs können nicht geändert werden.

  • Maßnahmen zur Löschung:

    • Nutzer können alle Daten löschen, auf die sie Schreibzugriff haben.

    • Logs werden automatisch nach 6 Monaten gelöscht.

    • Gelöschte Benutzer und Gruppen werden sicherheitshalber noch für 90 Tage gespeichert und danach endgültig gelöscht.

    • Eine Löschung erfolgt im Dateisystem und in der Datenbank.

    • Unabhängig davon können Daten noch für maximal 6 Monate auf dem Backupserver vorgehalten werden.

  • Maßnahmen zur Sperrung:

    • Die Daten gelöschter Benutzer und Gruppen werden bis zu ihrer endgültigen Löschung gesperrt.

  • Verfahren zur Übermittlung:

    • Daten oder Logs werden nicht automatisiert an Dritte übertragen.

    • In vielen Modulen können Links auf externe Quellen hinterlegt werden. Greift ein Benutzer auf diese zu, sieht der externe Anbieter IP-Adresse und Browser des Benutzers, nicht jedoch seine Benutzerkennung.

Für einzelne Module werden mitunter abweichende Regelungen benötigt, die im Folgenden beschrieben sind.

Adressbuch

Jeder Benutzer besitzt einen Eintrag im schulöffentlichen Adressbuch des Servers, der seinen Vor- und Nachnamen enthält. Er kann diesen nach eigenem Ermessen um weitere Daten ergänzen. Benutzer können ihren Eintrag im gemeinsamen Adressbuch sperren, damit sie von anderen Benutzern nicht mehr gesehen werden.

Anmeldung

Erfolgreiche und fehlgeschlagene Anmeldungen am Server werden protokolliert.

App

Der IServ Portalserver informiert IServ über das Vorhandensein und den Gelesen-Status von Benachrichtigungen. IServ informiert die App mittels der Benachrichtigungsdienste von Apple respektive Google darüber. Wurde eine Benachrichtigung gelesen, meldet die App dies direkt an den jeweiligen IServ Portalserver zurück. Die Betreiber der Benachrichtigungsdienste sehen nur die Identifikationsnummer einer Benachrichtigung und eine pseudonymisierte Kennung des Accounts, die Inhalte werden direkt zwischen der App und dem jeweiligen IServ Portalserver ausgetauscht.

Darüber hinaus bieten Smartphones vielfältige Funktionen, die personenbezogene Daten mit anderen Apps oder den Herstellern wie Apple und Google teilen, z. B. Cloud-Backups. Diese werden vom Nutzer selbst konfiguriert und liegen außerhalb des Wirkungskreises des Serverbetreibers.

Aufgaben

Die Lehrer werden vom Modul automatisch aufgefordert, die Abgaben der Schüler am Ende des Schuljahres zu löschen.

Buchungen

Keine Abweichungen.

Dateien

Bei der Nutzung der Arbeitsplatzrechner im lokalen Netzwerk wird ein Benutzerprofil erstellt, das sensible Daten wie den Browser-Verlauf, Cookies oder gespeicherte Passwörter enthält. Bei einer korrekten Abmeldung wird es auf IServ übertragen und vom lokalen Rechner gelöscht. Auf IServ kann das Benutzerprofil als Teil der persönlichen Dateien bearbeitet oder gelöscht werden. Bei einer unvollständigen Abmeldung von einem Arbeitsplatzrechner kann das Profil bis zur manuellen oder durch den Administrator geplanten automatischen Bereinigung verbleiben.

Falls die Funktion vom Administrator aktiviert wurde, können Benutzer und Gruppen über den Ordner „Homepage“ eine eigene Homepage im lokalen Netzwerk der Schule oder im Internet veröffentlichen.

Drucken

Keine Abweichungen.

E-Mail

E-Mails werden beim Löschen zunächst in den Ordner „Papierkorb“ verschoben und dort nach 7 Tagen automatisch endgültig gelöscht. Der Benutzer kann E-Mails im Ordner „Papierkorb“ auch sofort manuell endgültig löschen.

Vom Benutzer versendete E-Mails werden an die jeweiligen Zielserver übermittelt, die nicht den Datenschutzrichtlinien von IServ unterliegen. Benutzer können auf Wunsch ihre eigenen E-Mails automatisch an eine externe E-Mail-Adresse umleiten. Bei der Einrichtung wird ein entsprechender Datenschutzhinweis angezeigt.

Edupool

Edupool verwendet für die Authentifizierung am Medienzentrum Single-Sign-On. Im Rahmen der Authentifizierung werden folgende benutzerspezifische Daten übertragen: eine eindeutige, sitzungsspezifische ID, E-Mail-Adresse, Rolle (Lehrer- oder Schülerkonto), Accountname und Vor- bzw. Nachname des Benutzers sowie alle Gruppenmitgliedschaften. Darüber hinaus werden folgende serverspezifische Daten übertragen: eine eindeutige ID des IServ-spezifischen Edupool Clients, die Domain des IServ und die in der Konfiguration angegebenen Werte für Land bzw. Bundesland, Bezirk und Schulnummer. Die Klassenstufe des Benutzers wird übertragen, sofern diese aus den Daten der Benutzerverwaltung ermittelt werden kann (Feld Zusätzliche Informationen).

Foren

Benutzer können nur eigene Forenbeiträge ändern und löschen. Administratoren können einzelne Beiträge, bestimmte Themen oder ganze Foren löschen. Beim Löschen eines Benutzers wird der Autorenname aus all seinen Forenbeiträgen gelöscht. Der Inhalt der Forenbeiträge bleibt jedoch bei schulöffentlichen Foren dauerhaft und bei gruppenbezogenen über die Lebenszeit der jeweiligen Gruppe erhalten.

Gerätesteuerung

Keine Abweichungen.

Geräteverwaltung

Die Geräteverwaltung speichert Informationen von Geräten, die in sie aufgenommen werden, unabhängig davon, ob es sich dabei um ein privates Gerät oder um ein Gerät der Organisation handelt. Unbekannte Geräte im Netzwerk sind über die Funktion „Unbekannte Geräte“ sichtbar, werden allerdings nicht dauerhaft gespeichert.

Bei der Aufnahme eines Gerätes können diverse Informationen erfasst werden. Hierzu zählt, in welchem Raum sich ein Gerät befindet und welche Position es innerhalb des Raumes das Gerät einnimmt, die Inventarnummer des Gerätes, sowie die MAC und IP-Adressen der Netzwerkschnittstellen. Die MAC-Adresse lässt unter Umständen erkennen, um welchen Hersteller bzw. um welchen Gerätetypen es sich handelt. Weiterhin können über eine Freitextbeschreibung und Schlagwörter („Tags“) Zusatzinformationen hinzugefügt werden. Handelt es sich bei dem Gerät um ein privates Gerät, wird auch ein Benutzer zugeordnet. Sollte das Besitzer-Benutzerkonto dann endgültig gelöscht werden, so werden auch die Informationen seiner Geräte gelöscht.

Wenn sich ein Gerät innerhalb der Domäne befindet, kann außerdem festgestellt werden, wer es momentan bedient.

Infobildschirm

Eingestellte Inhalte werden auf Bildschirmen innerhalb der Schule angezeigt und sind somit vor Ort auch für Personen ohne Benutzerkonto einsehbar.

Internetzugriff

Zugriffe aus dem lokalen Netzwerk auf das Internet werden im Webproxy- und Firewall-Log protokolliert und für 7 Tage gespeichert. Die Log-Dateien sind nur per SSH über die Konsole als root einsehbar, nicht über die Weboberfläche.

Kalender

Keine Abweichungen.

Klausurmodus

Für die Dauer einer Klausur wird der Besitzer der Klausur mit den Geräten assoziiert. Diese Assoziation wird automatisch nach spätestens 24 Stunden oder durch das Beenden einer Klausur gelöscht.

Die Teilnehmer der Klausur können dem Besitzer über ein eingehängtes Netzlaufwerk Dateien der Klausur übergeben. Der Besitzer der Klausur erhält Vollzugriff zu diesen Dateien. Die Teilnehmer der Klausur haben nach Ende der Klausur keine Möglichkeit, diese Dateien zu verändern oder zu löschen.

Klausurplan

Keine Abweichungen.

Messenger

Benutzer können über die Oberfläche nur auf Nachrichten aus Räumen zugreifen, in denen sie Mitglied sind. Bei Betreten eines Raumes erhalten Benutzer keinen Zugriff auf frühere Nachrichten im Raum. Benutzer mit dem Recht „Meldungen ansehen“ erhalten die Ausschnitte der gemeldeten Konversationen unabhängig davon, ob sie Mitglied im betroffenen Raum sind.

Von bearbeiteten Nachrichten werden auch sämtliche älteren Fassungen zu Dokumentationszwecken gespeichert. Ebenso bleiben vom Benutzer gelöschte Nachrichten im System gespeichert und werden nur ausgeblendet. Einmal gelesene Nachrichten bleiben auch dann erhalten, wenn der Absender-Benutzer gelöscht wurde. Gelöschte Räume und Räume ohne Mitglieder werden nach spätestens 24 Stunden endgültig vom Server gelöscht.

Mobilgeräteverwaltung

Die Mobilgeräteverwaltung (MDM) speichert Informationen von Mobilgeräten, die über sie verwaltet und gesteuert werden, unabhängig davon, ob es sich dabei um ein privates Gerät oder um ein Gerät der Organisation handelt. Für jedes Gerät wird dabei ein Eintrag in der Geräteverwaltung erstellt oder eine Verknüpfung zu einem vorhandenen Eintrag hergestellt, über welchen Informationen über das Gerät gespeichert werden. Für Umfang und Verwendung dieser Daten gilt die Beschreibung der Geräteverwaltung. Darüber hinaus speichert die Mobilgeräteverwaltung gerätespezifische Informationen, die von den Geräten selbst an das Modul übermittelt werden. Dies kann je nach Gerätetyp unterschiedliche Datentypen umfassen: die Seriennummer des jeweiligen Gerätes, Geräteidentifikationsnummern, wie die UDID und IMEI bzw. MEID, sowie für AppleTV-Geräte die Device-ID, seine über WLAN und Ethernet genutzten MAC-Adressen, den Geräte-Typen und die zugehörige Produktbezeichnung, die Versionsnummer des auf dem Gerät aktuell laufenden Betriebssystems und seiner Firmware. Diese Daten werden täglich einmal abgerufen, gespeichert wird jeweils immer nur der neueste Eintrag für jedes Gerät. Zur Nachvollziehbarkeit möglicher Netzwerkprobleme wird darüber hinaus gespeichert, wann und mit welcher IP-Adresse das Gerät auf diese Abrufe geantwortet hat.

Die Seriennummer und UDID für jedes Gerät sind für Administratoren einsehbar.

Gespeichert werden außerdem welche über die Mobilgeräteverwaltung verwalteten Anwendungen und Profile auf den Geräten installiert sind, sowie die Zuweisung für den Betrieb der Anwendungen notwendiger Lizenzen. Die Zuweisung von Anwendungslizenzen an Geräte erfolgt über eine von Apple Inc. betriebene Anwendung.

Für die Steuerung der Geräte werden Geräteidentifikationsnummern an Apple Inc. übermittelt. Ein Austausch von personenbezogenen Daten findet dabei nicht statt. Die Übermittlung erfolgt zum Anstoß des weiteren Datenaustauschs. Jeder weitere Datenaustausch findet im Anschluss nur noch direkt zwischen dem IServ und dem Gerät statt.

Weitere Informationen bei Apple Inc.:

News

Der Administrator kann optional einzelne News-Kategorien als RSS-Feed im Internet veröffentlichen.

Office

Das Modul Office bietet die Möglichkeit bei der gemeinsamen Bearbeitung von Dokumenten die Funktion Änderungen nachverfolgen zu aktivieren. Dabei werden die Änderungen, die Benutzer an einem Dokument durchführen, mit ihrem vollen Vor- und Nachnamen verknüpft. Bei der Löschung des Benutzers bleiben diese Informationen im Dokument erhalten, da die Informationen nicht sicher automatisiert aus den Dokumenten entfernt werden können und ein Interesse der anderen Benutzer, welche das Dokument bearbeiten, besteht, den Ursprung von Änderungen nachvollziehen zu können.

Online-Medien

Das Modul Online-Medien aggregiert Inhalte von verschiedenen externen Anbietern, die nicht den Datenschutzrichtlinien von IServ unterliegen. Bei der Nutzung haben diese Anbieter Zugriff auf die eingegebenen Suchbegriffe sowie IP-Adresse und Browser des jeweiligen Benutzers, nicht jedoch seine Benutzerkennung.

Pläne

Keine Abweichungen.

Rechnersperre

Keine Abweichungen.

Schülerkarriere

Das Modul Schülerkarriere bindet Bilder von Servern der Schülerkarriere GmbH ein, die nicht den Datenschutzrichtlinien von IServ unterliegen. Bei der Nutzung des Moduls werden IP-Adresse und Browser des jeweiligen Benutzers übertragen, nicht jedoch seine Benutzerkennung. Durch Abgleich der Daten ist es für Schülerkarriere möglich, festzustellen, welche Anzeigen besucht wurden.

Siehe auch: https://www.schuelerkarriere.de/datenschutzerklaerung-2

Single-Sign-On

Das Modul erlaubt Benutzern den Zugriff auf ausgewählte externe Dienste ohne Neuanmeldung per OAuth-Standard. Diese unterliegen nicht den Datenschutzrichtlinien von IServ. Bei einem Zugriff übermittelt IServ die Benutzerkennung des angemeldeten Benutzers an den externen Anbieter.

Softwareverteilung

Softwarepakete von Drittanbietern unterliegen gesonderten Datenschutzbestimmungen. Administratoren sind dazu angehalten, sicherzustellen, dass die Datenschutzrichtlinien der jeweiligen Produkte, denen der eigenen Organisation entsprechen, bevor diese eingesetzt werden.

Stundenplan

Der Stunden- und Vertretungsplan wird aus dem Schulverwaltungsprogramm importiert und auf IServ angezeigt. Schüler sehen nur die Einträge, die sie selbst betreffen. Eine Schule kann die Namen der unterrichtenden Lehrer aus Datenschutzgründen ausblenden.

Texte

Über den Bearbeitungsverlauf sind alte Versionen der Texte verfügbar. Dies hat zur Folge, dass im Inhalt des Textes gelöschte Informationen weiterhin abrufbar sind. Hierbei sind Änderungen einzelnen Benutzern zugeordnet. Diese Zuordnung bleibt auch nach dem Löschen eines bearbeitenden Benutzers bestehen, wird aber anonymisiert. Der Bearbeitungsverlauf kann nur gelöscht werden, indem der Text selbst von berechtigten Benutzern gelöscht wird. Nicht alle Nutzer mit dem Recht einen Text zu bearbeiten, können diesen Text auch vollständig löschen.

Umfragen

Die Datenspeicherung erfolgt so, dass nicht zugeordnet werden kann, welcher Benutzer welche Antworten gegeben hat. Die Teilnehmerliste wird automatisch 30 Tage nach Ende der Umfrage gelöscht. Die Ergebnisse einer Umfrage können als CSV-Datei exportiert werden, nicht jedoch die Namen der Teilnehmer.

Veyon

Das Modul integriert die Open-Source-Software Veyon mittels spezieller Schnittstellen in die Geräteverwaltung von IServ. Die Software wird von IServ mit einer definierten Konfiguration ausgeliefert, eine individuelle Anpassungen dieser durch den Administrator ist nicht vorgesehen.

Die folgenden Funktionen können von der Lehrkraft auf Schülercomputer angewandt werden, die in der Geräteverwaltung dem gleichen Raum, wie der Lehrercomputer zugeordnet sind:

  • die Lehrkraft kann den Bildschirminhalt aller oder einzelner Schülercomputer einsehen. Benutzer an den Schülercomputern werden per Benachrichtigung in der Windows-Taskleiste darüber informiert, dass ihr Bildschirminhalt eingesehen wird.

  • die Lehrkraft kann Bildschirmfotos des Bildschirminhaltes einzelner Schülercomputer anfertigen und speichern.

  • die Lehrkraft kann die Steuerung von Maus und Tastatur einzelner Schülergeräte mittels einer Fernsteuerungsfunktion übernehmen.

  • die Lehrkraft hat die Möglichkeit mittels der Funktionen „Programm ausführen“ ein beliebiges installiertes Programm auf den Schülercomputern zu starten.

  • die Lehrkraft hat die Möglichkeit mittels der Funktionen „Webseite öffnen“ eine beliebige Webseite auf den Schülercomputern zu öffnen.

  • die Lehrkraft kann mit der Dateiübertragungsfunktion Dateien aus dem persönlichen Heimatverzeichnis auf die Schülercomputer übertragen. Hierbei ist es möglich, sofern auf dem Schülercomputer bereits eine Datei mit demselben Namen wie die übertragene Datei existiert, die Datei auf dem Zielsystem überschrieben wird, sofern die entsprechende Option bei der Übertragung aktiviert wurde.

  • die Lehrkraft hat die Möglichkeit den gesamten oder Teile des Bildschirminhaltes vom Lehrercomputer per Video-Broadcast auf die Schülercomputer zu übertragen und dort anzeigen zu lassen.

Der Zugriff auf Geräte, die in der Geräteverwaltung einem anderem Raum zugeordnet sind, wird mittels einer Raum-individuellen Authentifizierung unterbunden. Die Nutzung der Steuerungssoftware durch Unbefugte wird unterbunden, indem nur einer bestimmten Benutzergruppe Zugriff auf diese gewährt werden kann und die Software ohne Angabe einer Benutzergruppe nicht funktional ist. Der Administrator ist dazu angehalten, die Software nur auf Computer zu installieren, wo die Nutzung im Rahmen des schulischen Unterrichtes relevant ist. Der Administrator ist dazu angehalten, nicht-unterrichtlich genutzte Computer oder Computer, auf denen die Software normalerweise nicht genutzt wird, vor unberechtigter Einsichtnahme mittels der Software zu schützen. Geeignete Maßnahmen dazu sind etwa das Nicht-Installieren oder Deaktivierung der Steuerungsmöglichkeit (Einstellung Steuerbar) in der Geräteverwaltung für die entsprechenden Computer. Die Organisation ist dazu angehalten, interne Richtlinien zur Verwendung der Software zu erlassen, beispielsweise eine Dienstanweisung, um missbräuchliche Nutzung auszuschließen.

Videokonferenzen

Zusätzlich zur Datenverarbeitung auf dem IServ werden die eigentlichen Videokonferenzen auf durch die IServ GmbH betriebenen Servern durchgeführt. Die Server werden bei vertraglichen Partnern der IServ GmbH in Deutschland angemietet. Eine detaillierte Liste unserer Vertragspartner befindet sich im AV-Vertrag.

An die Server der IServ GmbH werden Klarnamen der Teilnehmer, IP-Adressen, Browserkennungen, Berechtigungen, Videokonferenz-Raum-Einstellungen wie beispielsweise der Raumname und die Adresse sowie eine eindeutige Identifikationsnummer des IServs übermittelt. Auf dem Videokonferenz-Server haben die Benutzer die Möglichkeit, Daten in Form von Beteiligungen am virtuellen Whiteboard, Chat-Nachrichten, hochgeladenen Präsentationen und Notizen einzugeben. Außerdem fallen Metadaten wie Dauer der Videokonferenz und Zeitstempel zu Ereignissen wie dem Beitritt oder dem Verlassen einer Konferenz an.

Diese Daten werden frühestens zum Ende der Videokonferenz und spätestens nach Ablauf von sieben Tagen gelöscht. Sicherungskopien dieser Daten werden nicht angelegt.

Audio- und Videoübertragungen werden grundsätzlich nur durchgeleitet, aber nicht gespeichert.

Die IServ GmbH wertet angefallene Daten zusätzlich zur Bereitstellung des Dienstes ausschließlich zu diagnostischen und in anonymisiert Form zu statistischen Zwecken aus. Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.