Verfahrensbeschreibung#

In diesem Dokument werden die folgenden Arten von Daten unterschieden:

  • Auf persönliche Daten hat nur der Benutzer selbst Zugriff.

  • Auf gruppenbezogene Daten haben alle Mitglieder der jeweiligen Gruppe Zugriff. Die genauen Zugriffsrechte sind konfigurierbar.

  • Schulöffentliche Daten werden von ausgewählten Benutzern erstellt und sind für ausgewählte Gruppen oder alle Benutzer lesbar.

  • Logs protokollieren Änderungen an Daten oder Zugriffe.

Beim IServ Portalserver gelten folgende systemweite Standards:

  • Maßnahmen zur Berichtigung:

    • Persönliche Daten können jederzeit vom Benutzer selbst geändert werden.

    • Gruppenbezogene Daten können von Gruppenmitgliedern geändert werden.

    • Schulöffentliche Daten können nur von ausgewählten Benutzern bearbeitet werden.

    • Logs können nicht geändert werden.

  • Maßnahmen zur Löschung:

    • Nutzer können alle Daten löschen, auf die sie Schreibzugriff haben.

    • Logs werden automatisch nach 6 Monaten gelöscht.

    • Gelöschte Benutzer und Gruppen werden sicherheitshalber noch für 90 Tage gespeichert und danach endgültig gelöscht.

    • Eine Löschung erfolgt im Dateisystem und in der Datenbank.

    • Unabhängig davon können Daten noch für maximal 6 Monate auf dem Backupserver vorgehalten werden.

  • Maßnahmen zur Sperrung:

    • Die Daten gelöschter Benutzer und Gruppen werden bis zu ihrer endgültigen Löschung gesperrt.

  • Verfahren zur Übermittlung:

    • Daten oder Logs werden nicht automatisiert an Dritte übertragen.

    • In vielen Modulen können Links auf externe Quellen hinterlegt werden. Greift ein Benutzer auf diese zu, sieht der externe Anbieter IP-Adresse und Browser des Benutzers, nicht jedoch seine Benutzerkennung.

Für einzelne Module werden mitunter abweichende Regelungen benötigt, die im Folgenden beschrieben sind.

Abwesenheiten#

Benutzer, die das Recht „Abwesenheiten verwalten“ besitzen, haben Zugriff auf alle Einträge. Lehrkräfte bekommen dieses Recht automatisch zugeordnet. Eltern können nur auf die Einträge der ihnen zugeordneten Kinder zugreifen. Sämtliche Eintragungen und Änderungen werden protokolliert. Beim Löschen eines Benutzers werden die für ihn hinterlegten Daten zum Löschen markiert. In der Oberfläche gelöschte Einträge werden ebenfalls zum Löschen markiert. Zum Löschen markierte Einträge werden in der Oberfläche ausgeblendet, lassen sich aber in der Liste über die Auswahl des Filters „gelöscht“ wieder anzeigen. Alle gespeicherten Daten werden nach Ablauf der konfigurierbaren Löschfrist endgültig gelöscht.

Adressbuch#

Jeder Benutzer besitzt einen Eintrag im schulöffentlichen Adressbuch des Servers, der seinen Vor- und Nachnamen enthält. Er kann diesen nach eigenem Ermessen um weitere Daten ergänzen. Benutzer können ihren Eintrag im gemeinsamen Adressbuch sperren, damit sie von anderen Benutzern nicht mehr gesehen werden.

Anmeldung#

Erfolgreiche und fehlgeschlagene Anmeldungen am Server werden protokolliert.

App#

Der IServ Portalserver informiert IServ über das Vorhandensein und den Gelesen-Status von Benachrichtigungen. IServ informiert die App mittels der Benachrichtigungsdienste von Apple respektive Google darüber. Wurde eine Benachrichtigung gelesen, meldet die App dies direkt an den jeweiligen IServ Portalserver zurück. Die Betreiber der Benachrichtigungsdienste sehen nur die Identifikationsnummer einer Benachrichtigung und eine pseudonymisierte Kennung des Accounts, die Inhalte werden direkt zwischen der App und dem jeweiligen IServ Portalserver ausgetauscht.

Darüber hinaus bieten Smartphones vielfältige Funktionen, die personenbezogene Daten mit anderen Apps oder den Herstellern wie Apple und Google teilen, z. B. Cloud-Backups. Diese werden vom Nutzer selbst konfiguriert und liegen außerhalb des Wirkungskreises des Serverbetreibers.

Aufgaben#

Die Lehrer werden vom Modul automatisch aufgefordert, die Abgaben der Schüler am Ende des Schuljahres zu löschen.

Azure-AD-Anbindung#

Folgende Benutzerdaten werden, für Benutzer mit dem Recht „Benutzer zu Azure synchronisieren“, zu Microsoft Azure AD synchronisiert:

  • Vor- und Nachname

  • E-Mail-Adresse

  • Gelöscht-Zustand

  • Pseudonymisierte UUID

Außerdem werden folgende Gruppendaten, für Gruppen mit dem Gruppenmerkmal „Gruppe zu Azure synchronisieren“, zu Microsoft Azure AD synchronisiert:

  • Anzeigename

  • Accountname

  • UUID

  • Zuweisung der Mitglieder (sofern diese auch synchronisiert werden)

BILDUNGSLOGIN#

Das Modul BILDUNGSLOGIN nutzt die Funktion Login mit IServ. Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: OpenID, Profil (Vorname, Nachname, Spitzname und Accountname), E-Mail und Rollenzugehörigkeiten. Darüber hinaus werden folgende serverspezifische Daten übertragen: Domain des IServ.

Buchungen#

Keine Abweichungen.

Casio ClassPad.academy#

Das Modul ClassPad.academy nutzt die Funktion Login mit IServ. Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: OpenID, Profil (Vorname, Nachname, Spitzname und Accountname), E-Mail, Gruppen- und Rollenzugehörigkeiten sowie Gruppenbesitz. Darüber hinaus werden folgende serverspezifische Daten übertragen: Domain des IServ.

Dateien#

Bei der Nutzung der Arbeitsplatzrechner im lokalen Netzwerk wird ein Benutzerprofil erstellt, das sensible Daten wie den Browser-Verlauf, Cookies oder gespeicherte Passwörter enthält. Bei einer korrekten Abmeldung wird es auf IServ übertragen und vom lokalen Rechner gelöscht. Auf IServ kann das Benutzerprofil als Teil der persönlichen Dateien bearbeitet oder gelöscht werden. Bei einer unvollständigen Abmeldung von einem Arbeitsplatzrechner kann das Profil bis zur manuellen oder durch den Administrator geplanten automatischen Bereinigung verbleiben.

Drucken#

Keine Abweichungen.

E-Mail#

E-Mails werden beim Löschen zunächst in den Ordner „Papierkorb“ verschoben und dort nach 7 Tagen automatisch endgültig gelöscht. Der Benutzer kann E-Mails im Ordner „Papierkorb“ auch sofort manuell endgültig löschen.

Vom Benutzer versendete E-Mails werden an die jeweiligen Zielserver übermittelt, die nicht den Datenschutzrichtlinien von IServ unterliegen. Benutzer können auf Wunsch ihre eigenen E-Mails automatisch an eine externe E-Mail-Adresse umleiten. Bei der Einrichtung wird ein entsprechender Datenschutzhinweis angezeigt.

Eduplaces#

Die Erweiterung Eduplaces nutzt die Funktion Single-Sign-On der IServ Schulplattform. Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: IServ-Benutzer-ID, Gruppenzugehörigkeiten und Rollenzugehörigkeiten. Darüber hinaus werden folgende serverspezifische Daten übertragen: Domain, Hostname und Servername der IServ Schulplattform.

Eine Kontenpersonalisierung kann von Benutzern mit der Rolle „Administrator“ oder „Lehrer“ für das eigene Konto sowie Gruppen, in denen sie selbst Mitglied sind, erfolgen. Benutzer mit der Rolle „Administrator“ können zudem alle Konten der Schule personalisieren. Im Rahmen einer Kontenpersonalisierung werden folgende benutzerspezifische Daten der betroffenen Konten übertragen: IServ-Benutzer-ID, Vorname, Nachname, E-Mail-Adresse, Gruppen- und Rollenzugehörigkeit.

Edupool#

Edupool verwendet für die Authentifizierung am Medienzentrum Single-Sign-On. Im Rahmen der Authentifizierung werden folgende benutzerspezifische Daten übertragen: eine eindeutige, sitzungsspezifische ID, E-Mail-Adresse, Rolle (Lehrer- oder Schülerkonto), Accountname und Vor- bzw. Nachname des Benutzers sowie alle Gruppenmitgliedschaften. Darüber hinaus werden folgende serverspezifische Daten übertragen: eine eindeutige ID des IServ-spezifischen Edupool Clients, die Domain des IServ und die in der Konfiguration angegebenen Werte für Land bzw. Bundesland, Bezirk und Schulnummer. Die Klassenstufe des Benutzers wird übertragen, sofern diese aus den Daten der Benutzerverwaltung ermittelt werden kann (Feld Zusätzliche Informationen).

Elternbriefe#

Das Modul Elternbriefe ermöglicht es Lehrer(innen) über ihre Schüler(gruppen) mit Eltern in Kontakt zu treten.

Welche personenbezogenen Daten werden verarbeitet?

Name und Vorname von Benutzern.

Werden sensible Daten lt. Art 9 DSGVO verarbeitet?

Anhand der Vornamen oder Namen gemeinsamer Elternteile könnten sexuelle Orientierung oder Herkunft der Eltern interpretiert werden.

Wie wurden / werden die Nutzer über die Verarbeitungen informiert?

Zusammen mit der Einwilligungserklärung erhalten die Eltern die gesetzlichen Informationen.

Wer muss Zugriff auf diese Daten haben?

Personen mit der Berechtigung Elternbriefe schreiben zu dürfen, in der Regel Lehrer(innen) und die Schulverwaltung. Die Rechtevergabe obliegt der Schule.

Sind alle Felder wirklich notwendig?

Ja.

Werden Daten an Dritte weitergegeben und warum?

Nein

Gibt es Löschfristen (automatisch oder empfohlen)?

Lehrer(innen) sind Inhaber(innen) der von ihnen verfassten Elternbriefe und können diese und implizit alle zugehörigen Antworten löschen. Kinder sind die Empfänger der Elternbriefe. Eltern können Elternbriefe über ihre Kinder abrufen. Eltern können ihre Antworten zu einem Elternbrief löschen. Antworten werden automatisch gelöscht, nachdem das Kind (Empfänger) gelöscht wurde. Elternbriefe werden automatisch gelöscht, wenn sowohl keine Kinder (Empfänger) mehr existieren, als auch der Inhaber nicht mehr existiert.

Welche der Daten aus diesem Modul werden in anderen Modulen verwendet?

Keine.

Welche Möglichkeit zur Auswertung oder Profilbildung ergibt sich daraus?

Eltern können mit ihren Kindern in Verbindung gebracht werden.

Welches Risiko für den Nutzer kann sich aus den Daten in diesem Modul ergeben?

Benutzergenerierte Inhalte können grundsätzlich vertrauliche und/oder persönliche Daten enthalten. Es ist durch den Betreiber mithilfe von Dienstanweisungen sicherzustellen, dass besonders schützenswerte Daten und Daten, die nicht im pädagogischen Netz verarbeitet werden dürfen, nicht durch Benutzer in IServ verarbeitet werden.

Welche technischen Maßnahmen schützen diese Daten?

Nur Inhaber des Rechts „Elternbriefe schreiben“ haben Zugriff auf die Daten. Die Rollen- und Rechtevergabe obliegt der Schule. Eltern sehen nur die, über ihre verknüpften Kinder, an sie adressierten Elternbriefe und die eigenen Antworten. Die Verknüpfung von Eltern und Kindern obliegt der Schuladministration.

Elternsprechtage#

Mit dem Modul ist es möglich Elternsprechtage zu planen und Gesprächstermine von Eltern buchen zu lassen. Teilnehmer(innen) werden über kommende Termine entsprechend der persönlichen Einstellungen benachrichtigt.

Welche personenbezogenen Daten werden verarbeitet?

Name, Vorname und Benutzer-Id von Benutzer(inne)n.

Werden sensible Daten lt. Art 9 DSGVO verarbeitet?

Nein.

Wie wurden / werden die Nutzer über die Verarbeitungen informiert?

Zusammen mit der IServ-Einwilligungserklärung erhalten die Eltern die gesetzlichen Informationen.

Wer muss Zugriff auf diese Daten haben?

Personen, die Elternsprechtage organisieren oder anbieten, in der Regel die Schulverwaltung und Lehrerinnen und Lehrer. Eltern oder Schüler(inne)n, die Sprechtage buchen.

Sind alle Felder wirklich notwendig?

Ja.

Werden Daten an Dritte weitergegeben und warum?

Nein.

Gibt es Löschfristen (automatisch oder empfohlen)?

Elternsprechtage werden standardmäßig ein Jahr nach ihrer Durchführung automatisch gelöscht. Die Löschfrist kann in der Konfiguration angepasst werden.

Welche der Daten aus diesem Modul werden in anderen Modulen verwendet?

Keine.

Welche Möglichkeit zur Auswertung oder Profilbildung ergibt sich daraus?

Eltern können mit ihren Kindern in Verbindung gebracht werden. Anhand von gebuchten Terminen kann ein grobes Bewegungsprofil von Personen erstellt werden. Eine automatische Auswertung findet nicht statt.

Welches Risiko für den Nutzer kann sich aus den Daten in diesem Modul ergeben?

Keine. Die Weitergabe sollte außerdem per Benutzerordnung geregelt werden.

Welche technischen Maßnahmen schützen diese Daten?

Die Daten der Nutzer werden verschlüsselt übertragen (Transportverschlüsselung).

Der Zugriff auf Daten ist durch das Rechtemanagement in IServ beschränkt. Die Rollen- und Rechtevergabe obliegt der Schule.

Elternverwaltung#

Die Elternverwaltung ermöglicht die Registrierung und Verwaltung von Elternaccounts. Dafür werden folgende Daten von Erziehungsberechtigten importiert und gespeichert:

Erforderliche Daten:

  • Name und Vorname

  • Import-Id des Kindes bzw. der Kinder

Optionale Daten:

  • Telefonnummer/Handy

  • E-Mail-Adresse

  • Adresse

Die optionalen Daten werden genutzt, um mögliche Duplikate von Nutzern zu identifizieren und zusammenführen zu können.

Bei der Eltern-Registrierung muss das Elternteil eine persönliche E-Mail Adresse und ein Passwort angeben, das verschlüsselt gespeichert wird.

Foren#

Benutzer können nur eigene Forenbeiträge ändern und löschen. Administratoren können einzelne Beiträge, bestimmte Themen oder ganze Foren löschen. Beim Löschen eines Benutzers wird der Autorenname aus all seinen Forenbeiträgen gelöscht. Der Inhalt der Forenbeiträge bleibt jedoch bei schulöffentlichen Foren dauerhaft und bei gruppenbezogenen über die Lebenszeit der jeweiligen Gruppe erhalten.

Gerätesteuerung#

Keine Abweichungen.

Geräteverwaltung#

Die Geräteverwaltung speichert Informationen von Geräten, die in sie aufgenommen werden, unabhängig davon, ob es sich dabei um ein privates Gerät oder um ein Gerät der Organisation handelt. Unbekannte Geräte im Netzwerk sind über die Funktion „Unbekannte Geräte“ sichtbar, werden allerdings nicht dauerhaft gespeichert.

Bei der Aufnahme eines Gerätes können diverse Informationen erfasst werden. Hierzu zählt, in welchem Raum sich ein Gerät befindet und welche Position es innerhalb des Raumes das Gerät einnimmt, die Inventarnummer des Gerätes, sowie die MAC und IP-Adressen der Netzwerkschnittstellen. Die MAC-Adresse lässt unter Umständen erkennen, um welchen Hersteller bzw. um welchen Gerätetypen es sich handelt. Weiterhin können über eine Freitextbeschreibung und Schlagwörter („Tags“) Zusatzinformationen hinzugefügt werden. Handelt es sich bei dem Gerät um ein privates Gerät, wird auch ein Benutzer zugeordnet. Sollte das Besitzer-Benutzerkonto dann endgültig gelöscht werden, so werden auch die Informationen seiner Geräte gelöscht.

Wenn sich ein Gerät innerhalb der Domäne befindet, kann außerdem festgestellt werden, wer es momentan bedient.

Infobildschirm#

Eingestellte Inhalte werden auf Bildschirmen innerhalb der Schule angezeigt und sind somit vor Ort auch für Personen ohne Benutzerkonto einsehbar.

Internetzugriff#

Zugriffe aus dem lokalen Netzwerk auf das Internet werden im Webproxy- und Firewall-Log protokolliert und für 7 Tage gespeichert. Die Log-Dateien sind nur per SSH über die Konsole als root einsehbar, nicht über die Weboberfläche.

Kalender#

Keine Abweichungen.

Klassengeld#

Mit Klassengeld können Sie ihre Schulkasse digital verwalten. Für die Nutzung wird ein Schulkonto bei Klassengeld benötigt. Mit dem IServ-Modul Klassengeld werden die beiden Systeme miteinander verbunden. So können Sie Benutzer-Stammdaten von IServ nach Klassengeld importieren. Mithilfe der Integration in Elternbriefe können Sie Eltern einen Brief mit Zahlungsaufforderung und weiteren Informationen zukommen lassen und den Zahlstatus einsehen. Das Single-Sing-On ermöglicht einen einfachen Wechsel zwischen den Systemen.

Welche personenbezogenen Daten werden verarbeitet?

Import von Benutzer-Stammdaten nach Klassengeld:

Bei dem Import werden Nutzerdaten von IServ nach Klassengeld übertragen. Dies beinhaltet folgende personenbezogenen Informationen: - Name und Vorname von Benutzer(innen) - Rollen von Benutzer(innen) (Schüler oder Lehrer) - für Schüler(innen) die Klassenzugehörigkeit (Klasse/zusätzliche Information)

Werden sensible Daten lt. Art 9 DSGVO verarbeitet?

Nein.

Wie wurden / werden die Nutzer über die Verarbeitungen informiert?

Einwilligungs- und Informationspflichten müssen individuell durch die Kunden (Schulen) eingeholt bzw. erfüllt werden. Wir stellen passende Vorlagen unter https://iserv.de/downloads/privacy/ zur Verfügung.

Wer muss Zugriff auf diese Daten haben?

Personen die einen verwaltenden Zugang zu Klassengeld haben, in der Regel Lehrer(innen) und die Schulverwaltung. Die Rechtevergabe obliegt der Schule.

Sind alle Felder wirklich notwendig?

Ja.

Werden Daten an Dritte weitergegeben und warum?

Nein, es liegt ein AV-Vertrag vor.

Gibt es Löschfristen (automatisch oder empfohlen)?

Die Löschfristen von Klassengeld-Projekten werden von der infin GmbH definiert.

Projekte können durch berechtigte Personen manuell gelöscht werden.

Personen die in IServ gelöscht werden, werden seitens Klassengeld archiviert. Sie können von berechtigten Personen in Klassengeld gelöscht werden.

Für Elternbriefe mit Klassengeld-Projekt gelten die Löschfristen, wie sie für Elternbriefe definiert wurden.

Welche der Daten aus diesem Modul werden in anderen Modulen verwendet?

Keine

Welche Möglichkeit zur Auswertung oder Profilbildung ergibt sich daraus?

Eltern können mit ihren Kindern in Verbindung gebracht werden.

Welches Risiko für den Nutzer kann sich aus den Daten in diesem Modul ergeben?

Benutzergenerierte Inhalte können grundsätzlich vertrauliche und/oder persönliche Daten enthalten. Es ist durch den Betreiber mithilfe von Dienstanweisungen sicherzustellen, dass besonders schützenswerte Daten und Daten, die nicht im pädagogischen Netz verarbeitet werden dürfen, nicht durch Benutzer in IServ verarbeitet werden.

Welche technischen Maßnahmen schützen diese Daten?

Nur Inhaber des Rechts „Elternbriefe schreiben“ haben Zugriff auf die Daten. Die Rollen- und Rechtevergabe obliegt der Schule. Eltern sehen nur die, über ihre verknüpften Kinder, an sie adressierten Elternbriefe mit Klassengeld-Projekt und die eigenen Antworten. Die Verknüpfung von Eltern und Kindern obliegt der Schuladministration.

Klausurmodus#

Für die Dauer einer Klausur wird der Besitzer der Klausur mit den Geräten assoziiert. Diese Assoziation wird automatisch nach spätestens 24 Stunden oder durch das Beenden einer Klausur gelöscht.

Die Teilnehmer der Klausur können dem Besitzer über ein eingehängtes Netzlaufwerk Dateien der Klausur übergeben. Der Besitzer der Klausur erhält Vollzugriff zu diesen Dateien. Die Teilnehmer der Klausur haben nach Ende der Klausur keine Möglichkeit, diese Dateien zu verändern oder zu löschen.

Klausurplan#

Keine Abweichungen.

Login mit IServ#

Login mit IServ ist ein Dienst, der es Benutzern ermöglicht, sich bei Drittanbietern mit einem IServ-Konto anzumelden. Drittanbieter müssen durch die IServ GmbH in das Programm aufgenommen werden.

Wenn eine Schule das zugehörige Modul installiert, werden automatisch eine OpenID-Client-ID sowie ein dazugehöriges Secret generiert und zusammen mit der Domain des Schulservers an einen Server der IServ GmbH übertragen und dort permanent gespeichert. Der Administrator des IServs kann in der Oberfläche auswählen, welchen Drittanbietern es erlaubt ist, die Login mit IServ Funktion zusammen mit dem eigenen Server zu nutzen. Anmeldungen müssen individuell durch den Benutzer bestätigt werden. Den Benutzern wird dabei angezeigt, welche Daten an den Drittanbieter übermittelt werden.

Für den Loginprozess werden die Anfragen und Antworten durch einen Server der IServ GmbH geleitet. Dabei werden URL, IP-Adresse, Anfragezeitpunkt, Browsername und Version protokolliert und nach 7 Tagen gelöscht. Trotz sorgfältiger Auswahl der Drittanbieter durch die IServ GmbH müssen die Datenschutzbestimmungen der Drittanbieter aufgrund der unterschiedlichen datenschutzrechlichten Regelungen der Länder und Betreiber-Organisationen individuell von den Betreibern selbst geprüft werden.

Messenger#

Benutzer können über die Oberfläche nur auf Nachrichten aus Räumen zugreifen, in denen sie Mitglied sind. Bei Betreten eines Raumes erhalten Benutzer keinen Zugriff auf frühere Nachrichten im Raum. Benutzer mit dem Recht „Meldungen ansehen“ erhalten die Ausschnitte der gemeldeten Konversationen unabhängig davon, ob sie Mitglied im betroffenen Raum sind.

Von bearbeiteten Nachrichten werden auch sämtliche älteren Fassungen zu Dokumentationszwecken gespeichert. Ebenso bleiben vom Benutzer gelöschte Nachrichten im System gespeichert und werden nur ausgeblendet. Einmal gelesene Nachrichten bleiben auch dann erhalten, wenn der Absender-Benutzer gelöscht wurde. Gelöschte Räume und Räume ohne Mitglieder werden nach spätestens 24 Stunden endgültig vom Server gelöscht.

Um die Ladegeschwindigkeit zu verbessern, werden ausgewählte Daten, wie zum Beispiel Raumzustände verschlüsselt auf dem Gerät des Endnutzers gespeichert. Nach einem Logout oder nach einer Woche werden die Daten beim nächsten Öffnen neu verschlüsselt. Nicht mehr benötigte Daten werden gelöscht. Bei einem nicht autorisierten Zugriff, wie etwa durch einen anderen Account, werden die Daten invalidiert und von dem System gelöscht.

Mobilgeräteverwaltung#

Die Mobilgeräteverwaltung (MDM) speichert Informationen von Mobilgeräten, die über sie verwaltet und gesteuert werden, unabhängig davon, ob es sich dabei um ein privates Gerät oder um ein Gerät der Organisation handelt. Für jedes Gerät wird dabei ein Eintrag in der Geräteverwaltung erstellt oder eine Verknüpfung zu einem vorhandenen Eintrag hergestellt, über welchen Informationen über das Gerät gespeichert werden. Für Umfang und Verwendung dieser Daten gilt die Beschreibung der Geräteverwaltung. Darüber hinaus speichert die Mobilgeräteverwaltung gerätespezifische Informationen, die von den Geräten selbst an das Modul übermittelt werden. Dies kann je nach Gerätetyp unterschiedliche Datentypen umfassen: die Seriennummer des jeweiligen Gerätes, Geräteidentifikationsnummern, wie die UDID und IMEI bzw. MEID, sowie für AppleTV-Geräte die Device-ID, seine über WLAN und Ethernet genutzten MAC-Adressen, den Geräte-Typen und die zugehörige Produktbezeichnung, die Versionsnummer des auf dem Gerät aktuell laufenden Betriebssystems und seiner Firmware. Diese Daten werden täglich einmal abgerufen, gespeichert wird jeweils immer nur der neueste Eintrag für jedes Gerät. Zur Nachvollziehbarkeit möglicher Netzwerkprobleme wird darüber hinaus gespeichert, wann und mit welcher IP-Adresse das Gerät auf diese Abrufe geantwortet hat.

Die Seriennummer und UDID für jedes Gerät sind für Administratoren einsehbar.

Administratoren können für Geräte, die in den Verloren-Modus versetzt wurden, eine Standortabfrage durchführen. Der abgefragte Standort wird gespeichert, bis der Verloren-Modus für das Gerät erfolgreich deaktiviert wurde. Im System-Log wird gespeichert, durch wen eine Standortabfrage initiiert wurde.

Gespeichert werden außerdem welche über die Mobilgeräteverwaltung verwalteten Anwendungen und Profile auf den Geräten installiert sind, sowie die Zuweisung für den Betrieb der Anwendungen notwendiger Lizenzen. Die Zuweisung von Anwendungslizenzen an Geräte erfolgt über eine von Apple Inc. betriebene Anwendung.

Für die Steuerung der Geräte werden Geräteidentifikationsnummern an Apple Inc. übermittelt. Ein Austausch von personenbezogenen Daten findet dabei nicht statt. Die Übermittlung erfolgt zum Anstoß des weiteren Datenaustauschs. Jeder weitere Datenaustausch findet im Anschluss nur noch direkt zwischen dem IServ und dem Gerät statt.

Weitere Informationen bei Apple Inc.:

Wurde eine Synchronisierung der Daten der Mobilgeräteverwaltung zu einer Zentralinstanz konfiguriert, werden regelmäßig folgende Daten zur Zentralinstanz übertragen:

  • Geräte einschließlich ihrer Zuweisungen

  • Zusammenstellungen

  • Profile

  • Anwendungen und Lizenzzahlen

  • Enrollment-Einstellungen

  • Räume

  • Gruppennamen

  • Geräte-Tags

  • Vor- und Nachnamen von Benutzern mit zugewiesenen Mobilgeräten

NBC Anbindung#

Durch die Aktivierung des Moduls werden Daten aller Benutzer, Gruppen und Rollen regelmäßig an das zentrale Identitätsmanagement der Niedersächsischen Bildungscloud weitergegeben. Eine automatische Löschung dieser Informationen auf den Servern der Niedersächsischen Bildungscloud erfolgt nicht.

News#

Der Administrator kann optional einzelne News-Kategorien als RSS-Feed im Internet veröffentlichen.

Office#

Das Modul Office bietet die Möglichkeit bei der gemeinsamen Bearbeitung von Dokumenten die Funktion Änderungen nachverfolgen zu aktivieren. Dabei werden die Änderungen, die Benutzer an einem Dokument durchführen, mit ihrem vollen Vor- und Nachnamen verknüpft. Bei der Löschung des Benutzers bleiben diese Informationen im Dokument erhalten, da die Informationen nicht sicher automatisiert aus den Dokumenten entfernt werden können und ein Interesse der anderen Benutzer, welche das Dokument bearbeiten, besteht, den Ursprung von Änderungen nachvollziehen zu können.

Online-Medien#

Das Modul Online-Medien aggregiert Inhalte von verschiedenen externen Anbietern, die nicht den Datenschutzrichtlinien von IServ unterliegen. Bei der Nutzung haben diese Anbieter Zugriff auf die eingegebenen Suchbegriffe sowie IP-Adresse und Browser des jeweiligen Benutzers, nicht jedoch seine Benutzerkennung.

Pläne#

Keine Abweichungen.

Rechnersperre#

Keine Abweichungen.

Schülerkarriere#

Das Modul Schülerkarriere bindet Bilder von Servern der Schülerkarriere GmbH ein, die nicht den Datenschutzrichtlinien von IServ unterliegen. Bei der Nutzung des Moduls werden IP-Adresse und Browser des jeweiligen Benutzers übertragen, nicht jedoch seine Benutzerkennung. Durch Abgleich der Daten ist es für Schülerkarriere möglich, festzustellen, welche Anzeigen besucht wurden.

Siehe auch: https://www.schuelerkarriere.de/datenschutzerklaerung-2

Scobees#

Das Modul Scobees nutzt die Funktion Login mit IServ. Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: OpenID, Profil (Vorname, Nachname, Spitzname und Accountname), E-Mail und Rollenzugehörigkeiten. Darüber hinaus werden folgende serverspezifische Daten übertragen: Domain des IServ.

Single-Sign-On#

Das Modul erlaubt Benutzern den Zugriff auf ausgewählte externe Dienste ohne Neuanmeldung per OAuth-Standard. Diese unterliegen nicht den Datenschutzrichtlinien von IServ. Bei einem Zugriff übermittelt IServ die Benutzerkennung des angemeldeten Benutzers an den externen Anbieter.

Softwareverteilung#

Softwarepakete von Drittanbietern unterliegen gesonderten Datenschutzbestimmungen. Administratoren sind dazu angehalten, sicherzustellen, dass die Datenschutzrichtlinien der jeweiligen Produkte, denen der eigenen Organisation entsprechen, bevor diese eingesetzt werden.

Stundenplan#

Der Stunden- und Vertretungsplan wird aus dem Schulverwaltungsprogramm importiert und auf IServ angezeigt. Schüler sehen nur die Einträge, die sie selbst betreffen. Eine Schule kann die Namen der unterrichtenden Lehrer aus Datenschutzgründen ausblenden.

Telemetrie#

Das Telemetrie-Modul dient der Übermittlung von anonymisierten Nutzungsdaten zur Verbesserung der durch die IServ GmbH vertriebenen Software. Die Speicherung erfolgt auf Servern der IServ GmbH in Deutschland.

Warum setzen wir Telemetrie ein? In aller Kürze: Wir wollen lernen, um die IServ Schulplattform besser an Ihre Bedürfnisse und Einsatzwünsche anzupassen. Wir wissen bisher sehr wenig über die Nutzung unserer IServ-Module im täglichen Einsatz. Also konkret wie häufig ein Modul abgerufen wird und welche Funktionen an Ihrer Schule eingesetzt werden. Aus telemetrischen Daten können wir allgemeine Schlüsse ziehen, wie wir die IServ Schulplattform weiterentwickeln. Das gilt für unsere Entwicklungsschwerpunkte ebenso wie für die Ausprägung der einzelnen Module, also z. B. ob und wie wir das Aufgaben-Modul ausbauen. Die Erfassung der telemetrischen Daten erfolgt dabei auf der IServ Schulplattform immer personenunabhängig und anonym. Es geht uns um die Verbesserung unseres Produktes. Der Datenschutz und die digitale Souveränität unserer Nutzerinnen und Nutzer haben für uns grundsätzlich höchste Priorität.

Eine Übertragung personenbezogener Daten findet nicht statt. Es werden lediglich Daten übermittelt, die im Rahmen der normalen Nutzung der Dienste unabhängig von den Telemetriekomponenten in ähnlicher oder identischer Form bereits auf den Kundensystemen angefallen sind oder direkt aus diesen Daten abgeleitet werden können.

Es besteht von Seite der Betreiber die Möglichkeit des Opt-outs durch Deinstallation des Moduls. Eine Löschung kann nicht durch individuelle Nutzer veranlasst werden, da wir die gespeicherten Daten lediglich den Servern zuordnen können, aber niemals einzelnen Nutzern. Es werden grundsätzlich nur Daten von Servern mit 50 oder mehr Nutzern übertragen.

Bei Neuinstallationen von Servern wird das Modul vorausgewählt. Auf Bestandsserver erfolgt die Installation in Abhängigkeit zur bereits jetzt optionalen Netzwerkmonitor-Komponente, d.h. auf Servern ohne Netzwerkmonitor-Modul findet keine Installation statt.

Übermittelte Daten:

Feld

Beschreibung

Sitzungsidentifikationsnummer

Identifiziert eine Benutzersitzung über mehrere Anfragen hinweg. Wird spätestens nach 24 Stunden erneuert, auch wenn die Sitzung länger als 24 Stunden dauert. Kann nach erfolgter Übertragung nicht mehr dem Benutzer zugeordnet werden

Route der Anfrage

Route der angefragten Seite (z. B. news_show oder admin_room_add)

Rollen des Nutzers

Kürzel für Schüler-, Lehrer- oder Administratorrolle

Startzeitpunkt der Anfrage

Startzeitpunkt der Anfrage, abgerundet auf volle Stunden

Dauer

Dauer der Nutzung der angefragten Seite, aktuell ein Vielfaches von 15 Sekunden

LAN

Kam die Anfrage aus dem lokalen Netzwerk? Ja oder nein

Browser

Name des Browsers des Benutzers. (z. B. Firefox, Chrome, Safari, IServ-App)

Browser-Version

Versionsnummer des Browsers

Betriebssystem

Betriebssystem des Benutzers (z. B. Windows 7, Android 9.0)

Texte#

Über den Bearbeitungsverlauf sind alte Versionen der Texte verfügbar. Dies hat zur Folge, dass im Inhalt des Textes gelöschte Informationen weiterhin abrufbar sind. Hierbei sind Änderungen einzelnen Benutzern zugeordnet. Diese Zuordnung bleibt auch nach dem Löschen eines bearbeitenden Benutzers bestehen, wird aber anonymisiert. Der Bearbeitungsverlauf kann nur gelöscht werden, indem der Text selbst von berechtigten Benutzern gelöscht wird. Nicht alle Nutzer mit dem Recht einen Text zu bearbeiten, können diesen Text auch vollständig löschen.

Übersetzen#

Übersetzen nutzt eine API-Schnittstelle zu DeepL, um von Nutzer(inne)n eingegebene Texte in andere Sprachen zu übersetzen und in der IServ-Oberfläche anzuzeigen. Zu diesem Zweck werden die eingegebenen Texte an DeepL gesendet. Die Übersetzung geschieht ausdrücklich durch eine Nutzer(innen)-Interaktion. Zur Nutzungsanalyse von „Übersetzen“ werden anonymisierte Daten gespeichert und von IServ ausgewertet.

Welche personenbezogenen Daten werden verarbeitet?

Das Modul erhebt diejenigen personenbezogenen Daten, die von Anwender(innen) in übersetzbare Textfelder eingegeben werden. Für die Nutzungsanalyse werden keine personenbezogenen Daten erfasst.

Werden sensible Daten lt. Art 9 DSGVO verarbeitet?

Auf die Inhalte der durch „Übersetzen“ verarbeiteten Texte hat IServ keinen Einfluss, es sollte eine Benutzungsordnung geben, die bestimmte Inhalte untersagt. (IServ liefert dazu ein Muster)

Für die Nutzungsanalyse werden keine sensiblen Daten erfasst.

Wie wurden / werden die Nutzer über die Verarbeitungen informiert?

Die Schulen müssen für die Nutzung von IServ Einwilligungen der Nutzer besitzen. Wir stellen passende Vorlagen unter https://iserv.de/downloads/privacy/ zur Verfügung. Dieses Dokument kann den Betroffenen zur Verfügung gestellt werden.

Wer muss Zugriff auf diese Daten haben?

Nutzer(inne)n, die Texte in der Originalsprache anzeigen lassen können, sind in der Lage diese Texte übersetzen und in andere Sprachen anzeigen zu lassen.

Sind alle Felder wirklich notwendig?

Ja.

Werden Daten an Dritte weitergegeben und warum?

Nein.

Gibt es Löschfristen (automatisch oder empfohlen)?

Für Texte gelten die Löschfristen der jeweiligen Module. Übersetzungen werden für bis zu 90 Tage im Cache des Schulservers für den erneuten Abruf gespeichert.

Welche der Daten aus diesem Modul werden in anderen Modulen verwendet?

Keine.

Welche Möglichkeit zur Auswertung oder Profilbildung ergibt sich daraus?

Keine.

Welches Risiko für den Nutzer kann sich aus den Daten in diesem Modul ergeben?

Keine.

Welche technischen Maßnahmen schützen diese Daten?

Die Daten der Nutzer werden verschlüsselt übertragen (Transportverschlüsselung).

Umfragen#

Die Datenspeicherung erfolgt so, dass nicht zugeordnet werden kann, welcher Benutzer welche Antworten gegeben hat. Die Teilnehmerliste wird automatisch 30 Tage nach Ende der Umfrage gelöscht. Die Ergebnisse einer Umfrage können als CSV-Datei exportiert werden, nicht jedoch die Namen der Teilnehmer.

Veyon#

Das Modul integriert die Open-Source-Software Veyon mittels spezieller Schnittstellen in die Geräteverwaltung von IServ. Die Software wird von IServ mit einer definierten Konfiguration ausgeliefert, eine individuelle Anpassungen dieser durch den Administrator ist nicht vorgesehen.

Die folgenden Funktionen können von der Lehrkraft auf Schülercomputer angewandt werden, die in der Geräteverwaltung dem gleichen Raum, wie der Lehrercomputer zugeordnet sind:

  • die Lehrkraft kann den Bildschirminhalt aller oder einzelner Schülercomputer einsehen. Benutzer an den Schülercomputern werden per Benachrichtigung in der Windows-Taskleiste darüber informiert, dass ihr Bildschirminhalt eingesehen wird.

  • die Lehrkraft kann Bildschirmfotos des Bildschirminhaltes einzelner Schülercomputer anfertigen und speichern.

  • die Lehrkraft kann die Steuerung von Maus und Tastatur einzelner Schülergeräte mittels einer Fernsteuerungsfunktion übernehmen.

  • die Lehrkraft hat die Möglichkeit mittels der Funktionen „Programm ausführen“ ein beliebiges installiertes Programm auf den Schülercomputern zu starten.

  • die Lehrkraft hat die Möglichkeit mittels der Funktionen „Webseite öffnen“ eine beliebige Webseite auf den Schülercomputern zu öffnen.

  • die Lehrkraft kann mit der Dateiübertragungsfunktion Dateien aus dem persönlichen Heimatverzeichnis auf die Schülercomputer übertragen. Hierbei ist es möglich, sofern auf dem Schülercomputer bereits eine Datei mit demselben Namen wie die übertragene Datei existiert, die Datei auf dem Zielsystem überschrieben wird, sofern die entsprechende Option bei der Übertragung aktiviert wurde.

  • die Lehrkraft hat die Möglichkeit den gesamten oder Teile des Bildschirminhaltes vom Lehrercomputer per Video-Broadcast auf die Schülercomputer zu übertragen und dort anzeigen zu lassen.

Der Zugriff auf Geräte, die in der Geräteverwaltung einem anderem Raum zugeordnet sind, wird mittels einer Raum-individuellen Authentifizierung unterbunden. Die Nutzung der Steuerungssoftware durch Unbefugte wird unterbunden, indem nur einer bestimmten Benutzergruppe Zugriff auf diese gewährt werden kann und die Software ohne Angabe einer Benutzergruppe nicht funktional ist. Der Administrator ist dazu angehalten, die Software nur auf Computer zu installieren, wo die Nutzung im Rahmen des schulischen Unterrichtes relevant ist. Der Administrator ist dazu angehalten, nicht-unterrichtlich genutzte Computer oder Computer, auf denen die Software normalerweise nicht genutzt wird, vor unberechtigter Einsichtnahme mittels der Software zu schützen. Geeignete Maßnahmen dazu sind etwa das Nicht-Installieren oder Deaktivierung der Steuerungsmöglichkeit (Einstellung Steuerbar) in der Geräteverwaltung für die entsprechenden Computer. Die Organisation ist dazu angehalten, interne Richtlinien zur Verwendung der Software zu erlassen, beispielsweise eine Dienstanweisung, um missbräuchliche Nutzung auszuschließen.

Videokonferenzen#

Zusätzlich zur Datenverarbeitung auf dem IServ werden die eigentlichen Videokonferenzen auf durch die IServ GmbH betriebenen Servern durchgeführt. Die Server werden bei vertraglichen Partnern der IServ GmbH in Deutschland angemietet. Eine detaillierte Liste unserer Vertragspartner befindet sich im AV-Vertrag.

An die Server der IServ GmbH werden Klarnamen der Teilnehmer, IP-Adressen, Browserkennungen, Berechtigungen, Videokonferenz-Raum-Einstellungen wie beispielsweise der Raumname und die Adresse sowie eine eindeutige Identifikationsnummer des IServs übermittelt. Auf dem Videokonferenz-Server haben die Benutzer die Möglichkeit, Daten in Form von Beteiligungen am virtuellen Whiteboard, Chat-Nachrichten, hochgeladenen Präsentationen und Notizen einzugeben. Außerdem fallen Metadaten wie Dauer der Videokonferenz und Zeitstempel zu Ereignissen wie dem Beitritt oder dem Verlassen einer Konferenz an.

Diese Daten werden frühestens zum Ende der Videokonferenz und spätestens nach Ablauf von sieben Tagen gelöscht. Sicherungskopien dieser Daten werden nicht angelegt.

Audio- und Videoübertragungen werden grundsätzlich nur durchgeleitet, aber nicht gespeichert.

Die IServ GmbH wertet angefallene Daten zusätzlich zur Bereitstellung des Dienstes ausschließlich zu diagnostischen und in anonymisierter Form zu statistischen Zwecken aus. Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.

WebUntis#

Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: OpenID, Profil (Vorname, Nachname, Spitzname und Accountname), E-Mail und sowie eine WebUntis-spezifische Datenzusammenstellung (Import-ID, „Zusätzliche Information“ und Rollenzugehörigkeit). Darüber hinaus werden folgende serverspezifische Daten übertragen: Name der Schule.

Mit der Vollsynchronisation der Nutzerdaten in der Verwaltungsoberfläche werden folgende benutzerspezifische Daten der Schüler(innen) übertragen: Vorname, Nachname, Accountname, Import-ID, „Zusätzliche Information“, UUID sowie Nutzerstatus.

Westermann#

Im Rahmen der Authentifizierung per Single-Sign-On werden folgende benutzerspezifische Daten übertragen: OpenID, Profil (Vorname, Nachname, Spitzname und Accountname), E-Mail, UUID, Gruppen- und Rollenzugehörigkeiten.

Wolke#

In Wolke abgelegte Dateien und Ordner werden getrennt vom eigentlichen Dateibereich lokal auf dem IServ gespeichert. Durch Freigaben können diese mit anderen Benutzern oder Gruppen des Servers, sowie durch externe Freigabe, mit Dritten geteilt werden.