DSGVO – was bei OpenOLAT zu beachten ist

In der neuen Datenschutz-Grundverordnung (DSGVO) der EU werden auf 88 Seiten die Grundlagen für den Datenschutz von Benutzern gelegt (Verordnung als PDF). Eine gute Online-Darstellung findet sich bei DSGVO-Gesetz.de. In Englisch wird die Verordnung „General Data Protection Regulation“ (GDPR) genannt.

Die DSGVO wurde 2016 von der EU beschlossen und gilt ab dem 25. Mai 2018. Bis dahin müssen alle Institutionen, die Daten von Personen verarbeiten, die Verordnung umgesetzt haben.

In den folgenden Abschnitten werden alle Aspekte erläutert, die den Betrieb der OpenOLAT Installationen bei frentix betreffen. Es besteht jedoch kein Anspruch auf Vollständigkeit, die Betreiber der OpenOLAT Installationen müssen jeweils selbst die notwendigen Schritte unternehmen.

Administrative Aspekte

Nutzungsbedingungen

Die Nutzungsbedingungen können in OpenOLAT vom Betreiber der Plattform selbst angepasst werden. Dabei können mit Hilfe des Übersetzungswerkzeugs von OpenOLAT die Texte in allen eingestellten Sprachen angepasst werden. Der Betreiber ist für den Inhalt der Nutzungsbedingungen selbst verantwortlich, der bei der Installation vorgegebene Text gilt nur als Beispiel.

Werden die Nutzungsbedingungen angepasst, muss der Betreiber die Versionen in der Verfahrensbeschreibung mit Datum protokollieren.

Mit Hilfe eines Datenbankbefehls können alle akzeptierten Nutzungsbedingungen aller Benutzer im OpenOLAT zurück gesetzt werden. Die Benutzer müssen nach dem Login die neuen Benutzungsbedinungen akzeptieren. Bei den von frentix betriebenen Systemen kann der Betreiber bei frentix anfragen, dass die akzeptierten Benutzerbedingungen zurück gesetzt werden können.

Bevorstehende Änderungen der Nutzungsbedingungen können vorab im OpenOLAT über die Info- oder Wartungsmeldung kommuniziert werden.

Gültigkeit der DSGVO

Die neue Datenschutzverordnung betrifft alle Unternehmen, die in der EU ihren Sitz haben oder Dienstleistungen innerhalb der EU oder für Kunden in der EU anbieten.

Die Schweiz hat die europäische Datenschutzverordnung (noch) nicht umgesetzt. Werden von Institutionen die Dienstleistungen nur innerhalb der Schweiz angeboten und wenn es keinen Benutzer aus dem europäischen Ausland gibt, braucht die Datenschutzverordnung nicht zwingend umgesetzt werden. Sobald aber z.B. ein Schüler in der EU lebt, muss die ganze Schule für das OpenOLAT die Datenschutzverordnung beachten. Auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) finden sich weitere Informationen.

Verarbeitungsverzeichnis

Vom Betreiber von OpenOLAT muss ein Verarbeitungsverzeichnis geführt werden.  Im folgenden einige Links, wie so ein Verzeichnis aussehen könnte:

https://www.harald-dvorak.at/dsgvo-verarbeitungsverzeichnis-how-to/

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html

Löschen der Daten

Mit der neuen Datenschutzverordnung haben die Benutzer ein „Recht auf Vergessen“. Dafür müssen alle zu dem Benutzer gehörenden Daten gelöscht werden. In OpenOLAT kann man mit der Funktion „direktes Benutzerlöschen“ in der Benutzerverwaltung die User endgültig löschen. Folgende Daten werden dabei gelöscht:

  • Sämtliche Stammdaten
  • persönliche Einstellungen
  • Notizen des Benutzers
  • Kalenderdaten
  • Dokumente im Bereich „Persönlicher Ordner“

In der DSGVO gibt es aber keine definierten Fristen, wann etwas gelöscht werden muss. Einen guten Artikel dazu gibt es beim Expertenforum Arbeitsrecht.

 

 

Meldepflicht bei Datenleaks

Mit der DSGVO sind auch die Meldepflichten verändert worden. Bei Datenlecks müssen die Kunden innert 72 Stunden informiert werden. Das betrifft sowohl die Beziehung frentix – OpenOLAT Kunden als auch die Betreiber der Plattform gegenüber den Nutzern von OpenOLAT. Wenn hochsensible Daten davon betroffen sind, muss sogar sofort informiert werden.

Um Datenlecks entgegen zu wirken, sind alle von frentix gehosteten Systeme über sichere https-Verbindungen verschlüsselt.

Datenschutzbeauftragter

Bei frentix wurde intern ein Datenschutzbeauftragter bestimmt. Gerne teilen wir Ihnen die Kontaktdaten auf Anfrage mit.

Die Betreiber von OpenOLAT Instanzen müssen, falls sie unter die Anforderungen der DSGVO fallen, ebenfalls einen Datenschutzbeauftragten bestimmen.

Technische Aspekte

Verschlüsselung

Ein Login auf die Weboberfläche von OpenOLAT ist ausschliesslich über HTTPS möglich. Die Verschlüsselung ist nicht nur für den Loginprozess sondern für sämtlichen Datenverkehr aktiviert. Die Daten zwischen dem aufrufenden Computer und der OpenOLAT Installation sind somit verschlüsselt und können nicht eingesehen oder verändert werden.

Wenn man über WebDAV auf Daten im OpenOLAT zugreift, kann man wählen, ob HTTPS oder HTTP verwendet wird. HTTP wird vom WebDAV Protokoll benötigt, um eine hohe Kompatibilität mit Windows zu verwenden. In diesem Fall erfolgt die Authentifizierung mit Digest-Authentication. Wird auf diese WebDAV Kompatibilität verzichtet, so kann HTTP auch ausgeschaltet werden.

Datentypen

In einem LMS werden verschiedenste Daten gespeichert. Es kann folgende Unterteilung vorgenommen werden:

  • Personendaten (wie Name, Vorname, eMail, Telefonnummer, Geschlecht, Geburtsdatum, Titel)
  • Adressdaten (wie private oder geschäftliche Adresse)
  • Kennnummern (wie Versicherungsnummer, AHV-Nummer, Personalnummer)
  • Leistungsnachweise (Punkte von Tests, Aufgaben, bewertungsrelevanten Bausteinen, Zeugnisse)
  • Online-Daten (wie IP-Adresse, Standort, Browser-Version, Datum & Zeit von Zugriffen)

Welche Daten gespeichert werden ist einerseits technisch durch das System bedingt, andererseits durch die Konfiguration der OpenOLAT Instanz. Nur Benutzername, Vorname und Name sind definitiv Pflichtfelder vom System, alle anderen Personen-, Adressdaten oder Kennnummern sind optional bzw. werden vom OpenOLAT Betreiber gegebenenfalls auf Mandatory gestellt.

Üblicherweise werden keine physischen Merkmale, Bankdaten, Herkunft, Parteizugehörigkeit, Religion etc. im OpenOLAT erfasst.

Datacenter

Die gehosteten OpenOLAT Instanzen werden von frentix ausschliesslich auf Servern in der Schweiz betrieben. Die produktiven Server als auch die Backup-Server sind im Besitz von frentix. Nur wenige ausgewählte Mitarbeiter haben Zugriff auf die Server. Der Zugriff erfolgt über persönliche Zertifikate.

Das Datacenter verfügt über eine biometisch gesicherte Vereinzelungsanlage (Fingerabdruckscanner mit Personenschleuse), redundanter Kühlanlage, Rauch- und Brandmelder mit automatischer Löschgasanlage, zwei unabhängigen UPS Stromunterbruchsanlagen und redundanten Dieselgeneratoren. Es entspricht damit einem TIER-IV Datacenter Standard. Die Backupserver werden in einem Hochsicherheits-Datacenter räumlich getrennt zur frentix Hosting Cloud betrieben. Das Datacenter erfüllt die Richtlinien der eidg. Finanzmarktaufsicht (FINMA) – Circular 2008/7 und ist zertifiziert nach ISO/IEC 27001:2013. Das Rechenzentrum bestätigt, DSGVO-konform zu sein.

frentix bietet des weiteren einen on-premise Betrieb an, in diesem Fall gehören die Server den Kunden und die OpenOLAT Installation läuft vor Ort beim Kunden. Der Kunde muss entsprechend selbst dafür sorgen, dass bezüglich der Server die Bestimmungen der DSGVO eingehalten werden.

Drittanbieter

frentix leitet keine Informationen über Benutzer oder Daten an Dritte weiter. Beim Betrieb der Plattform kann es aber je nach den Inhalten, die von den Autoren eingesetzt werden, dazu kommen, dass Informationen und Benutzerdaten an Dritte (auch ins Ausland) weiter geleitet werden. Dafür ist jedoch der OpenOLAT Betreiber selbst verantwortlich.

Weitere Hinweise dazu finden sich im Abschnitt „Inhaltliche Aspekte“.

Datenexport von EU nach CH

Ein Transfer von Daten innerhalb der EU ist für EU-Länder problemlos möglich. Auch die Datenübermittlung in den Europäischen Wirtschaftsraum EWR (EU inkl. Norwegen, Island und Liechtenstein) ist darin eingeschlossen.

Schwieriger wird es bei den Drittländern und die Schweiz fällt in diesem Fall unter diese Regelung. Die EU hat jedoch Länder mit einem angemessenen Datenschutzniveau definiert, die ein ähnliches Niveu erreichen und Daten deshalb transferiert werden können. Die Übermittlung der Daten ist in der Richtlinie 95/46/EG des Europäischen Parlaments definiert (Überblick).

Die Bitkom hat eine umfassende Broschüre über Datenübermittlung verfasst.

MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT, 2017: Diese Beschlüsse betreffen Länder, die eng mit der Europäischen Union und ihren Mitgliedstaaten verbunden sind (Schweiz, Andorra, die Färöer, Guernsey, Jersey, Insel Man), wichtige Handelspartner (Argentinien, Kanada, Israel, die Vereinigten Staaten) und Länder, die eine Vorreiterrolle bei der Entwicklung von Datenschutzgesetzen in ihrer Region spielen (Neuseeland, Uruguay).

Eine gute Übersicht gibt es in einem Artikel über Auftragsdatenverarbeitung, in dem auch auf das Schweizer Datenschutzgesetz verwiesen wird. Das Schweizer Datenschutzgesetz ist von 1992 und wird momentan an die DSGVO angepasst und anschliessend aktualisiert werden.

Google Analytics

Seit dem Release 12.4 kann man den Code von google Analytics in OpenOLAT integrieren und damit über Analytics die Kursbesuche genau tracken. Somit kann man auch innerhalb eines Kurses nachvollziehen, welche Bausteine angeklickt wurden und wann der Kurs verlassen wurde.

google hat die Datenschutzstandards angepasst und im Internet publiziert.

Kunden, die google Analytics in Verbindung mit OpenOLAT einsetzen, müssen dies den Benutzern entsprechend in den Nutzungsbedingungen kommunizieren und die DSVGO Richtlinien einhalten.

Einsatz von LDAP, SSO und Shibboleth

Bei dem Einsatz von LDAP, SSO (z.B. OAuth2), Social Media Login (z.B. über Facebook, Twitter, …) oder Shibboleth werden Daten der Benutzer ohne sein Wissen von einem System auf ein anderes übertragen. So werden bei dem Login auf OpenOLAT die Anmeldeinformationen an den LDAP, SSO oder Shibboleth-Server weitergegeben, dort kontrolliert und beim Rückgeben an das OpenOLAT unter Umständen mit zusätzlichen Informationen angereichert.

Sind diese Anwendungen bei den OpenOLAT Instanzen im Einsatz, muss der Betreiber dafür Sorge tragen, dass der OpenOLAT Benutzer zur Genüge gemäss DSGVO aufgeklärt wird.

Inhaltliche Aspekte

SCORM Inhalte

SCORM Module werden in der Regel auf das OpenOLAT hochgeladen und im OpenOLAT in Kurse eingebunden. Die Kommunikation verläuft über die SCORM Schnittstelle zwischen LMS und dem SCORM. In diesem Fall werden keine Daten an einem anderen Ort gespeichert.

Es gibt jedoch SCORM Anbieter, die die SCORM-Inhalte und Daten von den Benutzern auf eigenen Servern speichern. Der Benutzer startet also das SCORM und in diesem Moment werden die Daten an einen externen Server weiter geleitet und unter Umständen auch dort gespeichert.

frentix hat hier keinen Einfluss, der Betreiber der OpenOLAT Instanz ist dafür verantwortlich, den Benutzer darauf aufmerksam zu machen oder die Datenübermittlung zu verhindern.

LTI

Mit LTI können externe Lernapplikationen in OpenOLAT integriert werden. LTI steht für „Learning Tool Interoperability“ und ist ein IMS Standard zur Einbindung von externen Lernapplikationen wie zum Beispiel einem Chat, einem Mediawiki, einem Testeditor oder einem virtuellen Labor (siehe auch http://www.imsglobal.org/lti).

Zum Schutz der Privatsphäre und Erfüllung der Datenschutzgesetze muss der Benutzer beim erstmaligen Aufruf das Übertragen der Benutzerinformationen bestätigen. Diese Bestätigung wird immer dann wieder erzwungen, wenn sich die Konfiguration des Bausteins in Bezug auf übermittelte Daten ändert.

frentix hat hier keinen Einfluss, der Betreiber der OpenOLAT Instanz ist dafür verantwortlich, den Benutzer darauf aufmerksam zu machen oder die Datenübermittlung zu verhindern. Gegebenenfalls müssen die Texte, die dem Benutzer angezeigt werden, mit dem Übersetzungstool von OpenOLAT angepasst werden.

edubase und card2brain

edubase und card2brain sind ebenfalls über LTI integriert. Es werden von daher Daten der Benutzer an externe Server übergeben.

frentix hat hier keinen Einfluss, der Betreiber der OpenOLAT Instanz ist dafür verantwortlich, den Benutzer darauf aufmerksam zu machen, falls card2brain oder edubase im Einsatz sind.

Weitere Integrationen

In den HTML-Editor von OpenOLAT können über iframe oder andere Optionen Social Media Kanäle eingebunden werden. Sind die User gleichzeitig über den Browser in den sozialen Medien angemeldet, können Informationen und Aktivitäten an die Server übermittelt werden.

Die Autoren und der Betreiber der OpenOLAT Instanz sind in diesem Fall selbst dafür verantwortlich, die Benutzer zu informieren.

Anzeige Benutzerdaten

In den Einstellungen kann der Benutzer definieren, welche Stammdaten von ihm in der öffentlichen Visitenkarte angezeigt werden sollen.

In der Teilnehmerliste des Kurses und der Gruppe kann der Benutzer aber keine Einstellungen vornehmen. Deshalb ist der Betreiber der OpenOLAT Plattform verantwortlich, den Benutzer darüber zu informieren. Wenn ein Benutzer in der Teilnehmerliste nicht erscheinen möchte, müsste in diesem Fall die ganze Teilnehmerliste im Kurs deaktiviert werden.

In der Mitgliederverwaltung des Kurses können Betreuer und Besitzer die Teilnehmer eines Kurses einsehen. In dieser Tabelle können die anzuzeigenden Stammdaten ein- und ausgeschalten werden. Der Benutzer hat keinen Einfluss darauf, welche Daten die Betreuer/Besitzer sehen.

In der Mitgliederverwaltung der Gruppen können Ersteller einer Gruppe andere Teilnehmer einladen. Sind diese Teilnehmer in der Gruppe eingetragen, können die Ersteller der Gruppe in der Teilnehmertabelle einstellen, welche Stammdaten der anderen Benutzer sie sehen können. Darüber müssen die Teilnehmer entsprechend vom Betreiber des OpenOLAT Systems informiert werden.

In der Benutzerverwaltung können alle Daten eines Benutzers eingesehen werden. Es können dabei auch mehr Daten erfasst werden, als dem Benutzer angezeigt werden. Um DSGVO konform zu sein muss das OpenOLAT ggf. so konfiguriert werden, dass der Benutzer alle seine Daten sehen kann.