Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Erreichbarkeit des behördlich bestellten Datenschutzbeauftragten:
Bei jedem Aufruf der Prüfungsplattform DYNEXITE werden automatisiert folgende Daten und Informationen vom aufrufenden Endgerät erfasst:
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e DSGVO.
Die Daten dienen zur Optimierung der Website und zur Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt. Die Daten werden zudem zur Klärung möglicher Fehlfunktionen bei Einsprüchen gegen Bewertungen und vergleichbaren Supportfällen herangezogen.
Die Daten werden zur Klärung von Einsprüchen und anderen Supportfällen 6 Monate lang aufbewahrt. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite und die Klärung von Supportfällen zwingend erforderlich. Es besteht folglich seitens der Nutzerinnen und Nutzer keine Widerspruchsmöglichkeit.
DYNEXITE ist eine durch das Center für Lehr- und Lernservices (CLS), Abt. Medien für die Lehre (MfL) erstellte, webbasierte Prüfungssoftware. Sie ist als einziges e-Prüfungssystem an der RWTH zugelassen und bildet den kompletten Klausurprozess von der Aufgaben- und Klausurerstellung über die Durchführung, Korrektur, Einsicht und Nachkorrektur bis hin zur Archivierung ab. Studierende erbringen über Dynexite Modulbausteine wie Übungen oder Prüfungsvorleistungen sowie Prüfungsleistungen wie Online-Fernprüfungen (Take Home Exams) und elektronische Präsenzprüfungen. Durch die zeit- und ortsunabhängige Verfügbarkeit der Plattform und der darin gespeicherten Inhalte fördert sie die Vereinbarkeit von Studium, Beruf und Erziehung.
In Dynexite werden die nachfolgend spezifizierten Kategorien personenbezogener Daten von Nutzer*innen verarbeitet.
Personen, für die im Rahmen der Vorbereitung und Durchführung von Online-Klausuren ein Zugang angelegt wurde, verfügen entsprechend über ein Benutzerkonto auf der Plattform Dynexite und sind damit autorisiert, auf die Plattform zuzugreifen. Diese zur Abwicklung von studienorientierenden Tätigkeiten benötigten Benutzerkonten werden lokal ohne Anbindung zum zentralen Identity Management der RWTH angelegt – hier gelten eigene Löschfristen.
Für Studierende, die Dynexite erstmals anlässlich einer Online-Klausur nutzen, werden durch Import der benötigten Daten lokale Accounts angelegt, die den Zugriff auf die jeweiligen Prüfungsinhalte ermöglichen. Für die reine Durchführung von Präsenzklausuren wird seitens der Studierenden nur eine Matrikelnummer benötigt. Beim Zugriff auf Prüfungsergebnisse werden weitere personenbezogene Daten erhoben und in die Bestandsdaten aufgenommen (s.u.)
Im Benutzerprofil von DYNEXITE sind - falls benötigt - der Vor- und Nachname der Person gespeichert, ihre E-Mailadresse sowie ihre Matrikelnummer. Mitarbeiter*innen von Lehrstühlen werden zum Zwecke der Klausurvorbereitung mit Vor- und Nachnamen sowie der Mailadresse registriert.
Zum Zweck der Authentifizierung von Personen mit RWTH-Benutzerkennung über Shibboleth wird zudem aus dem zentralen Identity Management der RWTH eine sogenannte pairwiseID als Service-Provider-spezifische, eindeutige, persistente ID zur Person an DYNEXITE übergeben und gespeichert. Lokale Benutzerkonten verfügen über keine pairwiseID, da hier kein Login per Shibboleth erfolgt. Zur Authentifizierung über RWTHMoodle im Rahmen von Online-Hausübungen wird zusätzlich die spezifische, eindeutige, persistente RWTHMoodleID gespeichert.
Die im Benutzerprofil gespeicherten Daten werden über eine interne, ausschließlich in DYNEXITE verwendete User-ID referenziert.
Zur Kontrolle des Zugriffs auf DYNEXITE ist eine Authentifizierung notwendig. Diese erfolgt bei Anmeldung am System über den Single-Sign-On Authentifizierungsdienst Shibboleth. Beim Login können sich die Nutzer*innen anzeigen lassen, welche Daten aus dem Identity Management der RWTH beim Zugriff auf den Dienst DYNEXITE weitergegeben werden. Diese Daten werden nur zur Vergabe der Zugriffsberechtigung benutzt.
In DYNEXITE ist gespeichert, für welche Kurse einer Organisationseinheit und mit welcher Rolle eine Nutzer*in autorisiert ist. Eingeschränkten Zugriff auf die Verwaltung von Prüfungen und Organisationseinheiten erhalten die Nutzer*innen durch entsprechende Vergabe von Rechten durch die Dynexite-Administratoren. Studierende erhalten Zugriff auf Übungen und Prüfungen durch manuelle Zuteilung durch Dozierende oder – bei Aufruf von Dynexite aus einem RWTHMoodle-Lernraum - per automatischer Zuordnung qua Zugehörigkeit. Diese Daten zu Autorisierungen und Rollen sind notwendig für die Funktionsfähigkeit des Systems.
Nutzungsdaten entstehen durch die Aktivität der Nutzer*innen im System. Welche Aktionen sie durchführen können, ist abhängig von ihrer Rolle. Bei jeder Aktion innerhalb von DYNEXITE protokolliert das System automatisch die folgenden Daten:
Darüber hinaus speichert DYNEXITE im Profil der Nutzerin oder des Nutzers diese Daten:
Inhaltsdaten entstehen ebenfalls durch die Nutzer*innen selbst und in Abhängigkeit von ihrer Rolle. Die Nutzer*innen können Inhalte zum Beispiel durch Absolvieren, Erstellen, Begutachten und Korrigieren von Prüfungen erzeugen. Auch hochgeladene Dateien – wie etwa Scans/Bilder - zählen zu Inhaltsdaten.
Zu dieser Datenkategorie zählen auch Bewertungen, die für bewertete Prüfungen vergeben werden. Die Bewertungen können entweder automatisch durch das System erfolgen oder manuell durch die Rollen Manager*in oder Architekt*in. Bei automatischer Vergabe von Bewertungen treffen Autor*innen in Aufgaben die zugrundeliegenden Voreinstellungen. Diese Voreinstellungen werden von Reviewer*innen überprüft und können in der Korrektur von Manager*innen und Architekt*innen manuell zum Zwecke der manuellen Überprüfung und Nachkorrektur überschrieben werden.
Die Verarbeitung der personenbezogenen Daten im DYNEXITE erfolgt im Einklang mit Art. 5 DSGVO zweckgebunden und unter der Maßgabe der Datenminimierung. Bestands-, Modul , Nutzungs- und Inhaltsdaten werden zum Zwecke der Vorbereitung, Organisation und Durchführung von Prüfungen, Übungen und der Lernerfolgskontrolle verarbeitet. Die Nutzungsdaten werden darüber hinaus zum Zweck der Administration und Pflege des Systems, dem technischen Controlling, der Fehlersuche bei technischen Problemen oder der Klärung von Sicherheitsvorfällen verwendet.
Die Daten können, basierend auf Art. 6 Abs. 1 S. 1 lit. e), Abs. 3, Art. 89 Abs. 1 DSGVO i.V.m. § 17 Abs. 1 DSG NRW, auch für wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die Daten werden gelöscht oder anonymisiert, sobald der Forschung- oder Statistikzweck dies erlaubt. Eine weitere Verarbeitung der Daten kann über das Learning-Analytics-System POLARIS erfolgen, sofern eine Anonymisierung durchgeführt oder von den Nutzer*innen eine zusätzliche explizite Einwilligung zur Verarbeitung personenbezogener Daten für den jeweiligen Auswertungszweck eingeholt wurde.
Mit der zentralen Bereitstellung der webbasierten Prüfungsplattform DYNEXITE ermöglicht die RWTH die Entwicklung flexibler Online-Prüfungs- und Übungsangebote für die Hochschullehre, sowie studienorientierende und studienvorbereitende Maßnahmen für Studieninteressierte bzw. Studienanfängerinnen und -anfänger. Die RWTH verarbeitet damit die personenbezogenen Daten in DYNEXITE auf Basis Art. 6, Abs. 1, lit. e DSGVO und §3, Abs. 1 DSG NRW in Wahrnehmung ihrer Aufgaben gemäß §3, Abs. 1, 3 und 5; § 58, Abs. 1, S.2 und § 58a HG NRW sowie §2, Abs. 1 Grundordnung RWTH Aachen und §§ 6,7 E-Learning-Ordnung RWTH Aachen.
Im DYNEXITE existieren fünf Rollen mit aufsteigendem Rechteumfang:
Diese haben in unterschiedlichem Maße Einsicht in personenbezogene Daten in DYNEXITE. Die Dateneinsicht darf nur zum angegebenen Zweck erfolgen, insoweit es zur Aufgabenerfüllung notwendig ist. Es gilt zudem der Grundsatz der Datenminimierung.
Student*innen können online oder in Präsenz Übungen und Klausuren bearbeiten. Sie können ihre Ergebnisse einsehen und im Rahmen von Einsichten Nachkorrekturanträge stellen.
| Rechte | Datenzugriff |
|---|---|
| Prüfungen/Übungen bearbeiten | Prüfungsinhalte |
| Einsicht |
Prüfungsinhalte Durch Manager*innen freigegebene Korrekturinformationen Durch Manager*innen freigegebene Nachkorrekturinformationen |
Administrator*innen verwalten alle Organisationseinheiten. Sie sind darüber hinaus dazu befugt, im Hauptmenü des Bereiches „Administration“ Einstellungen vorzunehmen. Dabei wird in diesem Bereich zwischen den Unterfunktionen „Konfiguration“, „Benutzer“, „Organisationseinheit“ und „Werkzeuge“ unterschieden. Diese Rolle wird an der RWTH Aachen ausschließlich von Mitarbeiter*innen von MfL wahrgenommen. Mit der Funktion „Organisationseinheit“ kann sich der Administrator sämtliche anderen Rollen zuweisen.
| Rechte | Datenzugriff |
|---|---|
| Benutzer verwalten | Name, Email, Email-Verifikationsstatus, Identifikation (z.B. Matrikelnummer), Modulzugehörigkeiten |
| Konfigurationen verwalten | Instanz-Identifikationsnummer, Authentifizierungseinstellungen |
| Organisationseinheiten verwalten | Namen, Kennungen und Erstellzeitpunkt von Organisationseinheiten |
| Semester verwalten | Zeiträume, Kürzel und Bezeichnung von Semestern |
| Events (Systemereignisse) | Alle o.a. Operationen können im Event-Log inkl. Zeitstempel nachverfolgt werden |
Der/die Manager*in ist immer einer Organisationseinheit zugewiesen und verwaltet diese. Manager*innen können weitere Benutzer hinzufügen, entfernen, ihnen und sich selbst Rollen im Kontext ihrer Organisationseinheit zuweisen. Die zentrale Konfiguration der Organisationseinheit (z.B. Name, Kennung und Konfiguration) kann von ihnen angepasst werden. Darüber hinaus hat der/die Manager*in für die Aufgaben und Veröffentlichungen innerhalb der Organisationseinheit Leserechte. Auf Datumsstempel von Aktionen, die von anderen Mitgliedern der Organisationseinheit durchgeführt wurden, hat die Manager*in keinen Zugriff. Ausnahme: Beim Review von Aufgaben (s.u.) abgegebene Kommentare sind mit ungefähren Zeitangaben versehen. Die angezeigten Kategorien der Datumsstempel lauten:
Nach Abschluss des Reviewprozesses werden diese Datumsstempel samt Kommentaren gelöscht.
| Rechte | Datenzugriff |
|---|---|
| Mitglieder verwalten | Mitgliederdaten: Namen, Email-Adressen, Rollen |
| Einstellungen verwalten | Name, Kennung und Konfiguration zu Prozessen |
| Aufgaben einsehen | Konfiguration, Lösungen, Logik, Änderungshistorie (Änderungstyp, Autor), Kommentare (Text, Autor, ungefähres Datum - gespeichert nur bis zum abgeschlossenen Review) |
| Module einsehen | Kursnamen, Kursidentifikation, Semester, Erstellzeitpunkt |
| Klausuren exportieren und importieren | Zeitraum der Prüfung, Anzahl der importierten Einzelprüfungen |
| Module erstellen | Name, Kennung, Semester |
| Studierende einer Klausur zuweisen | Studierendendaten: Matrikelnummer oder Email, Name (falls vorhanden) |
Innerhalb einer Organisationseinheit können Autor*innen Aufgaben erstellen, bearbeiten und löschen. Auf Datumsstempel von Aktionen, die von anderen Mitgliedern der Organisationseinheit im Aufgabenbereich durchgeführt wurden, hat die Autorin*in keinen Zugriff. Ausnahme: Beim Review von Aufgaben (s.u.) abgegebene Kommentare sind mit ungefähren Zeitangaben versehen. Die angezeigten Kategorien der Datumsstempel lauten:
Nach Abschluss des Reviewprozesses werden diese Datumsstempel samt Kommentaren gelöscht.
| Rechte | Datenzugriff |
|---|---|
| Aufgaben und Gutachten bearbeiten | Konfiguration, Lösungen, Logik, Änderungshistorie (Änderungstyp, Autor), Kommentare (Text, Autor, ungefähres Datum - gespeichert nur bis zum abgeschlossenen Review) |
Die Gutachter*in inspiziert die Aufgaben, die von Autor*innen der ihr zugewiesenen Organisationseinheiten zur Begutachtung freigegeben wurden. Akzeptiert der/die Gutachter*in eine Aufgabe, so kann diese vom Architekten in einem Modul zur Erstellung von Übungen oder Klausuren verwendet werden. Fehlerhafte Aufgaben kann er/sie mit einer Begründung ablehnen. Auf Datumsstempel von Aktionen, die von anderen Mitgliedern der Organisationseinheit durchgeführt wurden, hat die Gutachter*in keinen Zugriff. Ausnahme: Beim Review von Aufgaben abgegebene Kommentare sind mit ungefähren Zeitangaben versehen. Die angezeigten Kategorien der Datumsstempel lauten:
Nach Abschluss des Reviewprozesses werden diese Datumsstempel samt Kommentaren gelöscht.
| Rechte | Datenzugriff |
|---|---|
| Aufgaben begutachten |
Konfiguration, Lösungen, Logik, Änderungshistorie (Änderungstyp, Autor), Kommentare (Text, Autor, ungefähres Datum - gespeichert nur bis zum abgeschlossenen Review) Datum), Kommentare (Text, Autor, Datum) |
Die Architekt*innen einer Organisationseinheit stellen aus begutachteten Aufgaben Klausuren, Hausübungen oder Tests zusammen und starten damit den Prüfungsprozess. Im Nachgang einer Klausur fallen den Architekt*innen zurzeit noch die Aufgaben der Korrektur, der Ergebnisbekanntgabe und der Einsicht zu. Auf Datumsstempel von Aktionen, die von anderen Mitgliedern der Organisationseinheit durchgeführt wurden, hat die Architekt*in keinen Zugriff.
| Rechte | Datenzugriff |
|---|---|
| Prüfung oder Test einsehen, erstellen oder konfigurieren | Art der Prüfung oder des Tests, Name, Erstellzeitpunkt, Ersteller, Bestehensgrenze, Prozessverhalten, Aktive Prozessphase, Aufgabenauswahl |
| Klausuren korrigieren | Aufgaben, Allgemeine Statistiken, Studierendendaten (Matrikelnummer, Antworten, Ergebnisse) |
| Ergebnisse veröffentlichen | Statistiken, Matrikelnummern, Ergebnisse, aus der Wertung genommene Aufgaben |
| Einsicht durchführen | Studierendendaten (Matrikelnummern, übrige Zeit), erlaubte Durchführzeit, Konfiguration zur Lösungsanzeige |
| Nachkorrektur durchführen | Namen, Kommentare, Zustand des Einspruchs, Anmerkung von anderen Korrektoren |
| Module erstellen | Name, Kennung, Semester |
Art. 5, Abs. 1, lit. e DSGVO schreibt vor, dass für die verarbeiteten personenbezogenen Daten eine an die Erfüllung des jeweiligen Zwecks gebundene Speicherfrist anzugeben ist, nach deren Ablauf die Daten zu löschen sind.
Bestandsdaten von Mitarbeiter*innen bleiben im DYNEXITE erhalten, bis sie (etwa bei Ausscheiden aus dem Dienstverhältnis) durch eine berechtigte Person gelöscht werden. Die Speicherung der Bestandsdaten von Studierenden richtet sich nach §12, Abs. 1 E-Learning-Ordnung der RWTH Aachen. Demnach sind Bestandsdaten bis zur Exmatrikulation zu speichern. Bestandsdaten der Zweithörenden und Gasthörenden nach §§ 11 und 12 der Einschreibungsordnung sind solange zu speichern, wie sie an Lehrveranstaltungen der RWTH Aachen teilnehmen dürfen.
Die für die Authentifizierung benötigten Daten werden mit dem Ausloggen, dem Ende der DYNEXITE-Session nach längerer Inaktivität oder mit dem Beenden der Browsersession gelöscht.
Die Autorisierungen für den Zugriff auf DYNEXITE-Übungen und -prüfungen über RWTHMoodle werden bei Löschung der individuellen Bestandsdaten gelöscht. Die an Mitarbeiter*innen vergebenen Rollen- und Rechte werden ebenfalls bei Löschung der individuellen Bestandsdaten gelöscht.
DYNEXITE-Logdaten werden 6 Monate aufbewahrt, um im Bedarfsfall bis zur Prüfungsphase am Semesterende Meldungen zu technischen Fehlfunktionen wie nicht gespeicherten Inhaltsdaten in Prüfungsversuchen klären zu können.
Über diesen Zeitraum hinaus werden lediglich im Kontext von Inhaltsdaten Datum und Uhrzeit der Erstellung der Daten sowie Vorname und Nachname der erstellenden Person länger gespeichert und in der Weboberfläche des Systems angezeigt. Die Daten zu erstem und letztem Zugriff auf die Webseite werden analog zu den Bestandsdaten gelöscht, wenn letztere gelöscht werden.
Inhaltsdaten sind Prüfungsakten und als solche 10 Jahre ab Exmatrikulation der Betreffenden zu speichern. Die Prüfungsleistung begründende Aufgabeninhalte müssen für alle Betroffenen im gleichen Zeitraum zur Verfügung stehen.
Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet.
Eine Übermittlung der oben spezifizierten personenbezogenen Daten aus DYNEXITE in Drittstaaten ist nicht vorgesehen.
Gemäß Art. 32 DSVGO werden verschiedene technische und organisatorische Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten in DYNEXITE zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzerkontrolle (Benutzername und Passwort). Der Zugriff auf den Server ist sowohl durch Benutzerkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern.
Die gesamten Maßnahmen sind in einem gesonderten Dokument im Detail beschrieben. Sie sind entsprechend Art. 32 DSVGO getroffen.
DYNEXITE verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der Nutzerinnen und Nutzer gespeichert werden. Rufen Nutzerinnen und Nutzer eine Website auf, so kann ein Cookie auf ihrem Betriebssystem gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.
Folgende Cookies werden verwendet und dabei folgende Daten darin gespeichert und übermittelt:
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. e DSGVO.
Cookies werden auf dem Rechner der Nutzer*innen gespeichert und von diesem an die Seite übermittelt. Daher haben die Nutzer*innen die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in ihrem Internetbrowser können sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für das DYNEXITE deaktiviert, können möglicherweise nicht mehr alle Funktionen des Systems vollumfänglich genutzt werden.
Sie haben unter den in Art. 15 ff. DSGVO definierten Voraussetzungen das Recht, von der RWTH Aachen über die Sie betreffenden personenbezogenen Daten Auskunft zu erhalten, die Berichtigung unrichtiger Daten, die Löschung von Daten oder die Einschränkung der Datenverarbeitung zu verlangen, Widerspruch gegen die Datenverarbeitung einzulegen sowie die Datenübertragbarkeit einzufordern.
Auch haben Sie gemäß Art. 77 DSGVO das Recht der Beschwerde bei einer Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Die für die RWTH Aachen University zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit (NRW). [https://www.ldi.nrw.de/]