Durch die Nutzung des moodle-basierten elektronischen Lernmanagementsystems MD Campus (im weiteren Verlauf „MD Campus“ oder „Plattform“) werden persönliche Daten über Sie gespeichert. Dazu gehören beispielsweise Ihr Name und die E-Mailadresse oder Angaben darüber, welche Angebote Sie auf dem MD Campus nutzen. Diese Daten sind mit Ihrer Person verbunden. Es ist daher unsere Pflicht, Sie darüber zu informieren, dass diese Daten erfasst und verarbeitet werden und welche Rechte Sie diesbezüglich haben. Sofern Sie weitere Angebote des MD Campus nutzen (z.B. Lernformate oder Fachforen), werden Sie über die dann geltenden Bedingungen gesondert informiert.

Wir stellen sicher, dass intern nur die Personen Zugriff auf diese Informationen erhalten, die diesen Zugang unbedingt benötigen. Personenbezogene Daten werden von uns vertraulich behandelt und nicht der breiten Öffentlichkeit zur Verfügung gestellt. Die meisten Daten werden von Ihnen eigenständig eingegeben. Daher sind Ihnen diese Daten bereits bekannt. Andere Daten entstehen durch Ihre Interaktion im MD Campus und werden automatisch auf dem Server gespeichert, wie beispielsweise Protokolle über die Nutzung. Diese werden hauptsächlich genutzt, um technische Probleme zu lösen.

1. Angaben zur Verantwortlichen Stelle

Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO sind wir:

Medizinischer Dienst Bund (KöR)
Theodor-Althoff-Str. 47
45133 Essen
Telefon: +49 201 83 27 -0
Telefax: +49 201 83 27 -100
E-Mail: offic[at]md-bund.de
Internet: www.md-bund.de

Postanschrift:
Medizinischer Dienst Bund
Postfach 10 02 15
45002 Essen

Weitere Angaben zu uns entnehmen Sie bitte den Impressumsangaben.

2. Der Datenschutzbeauftragte der Verantwortlichen Stelle im Sinne der Datenschutz-Grundverordnung

Für Ihre konkreten Fragen zum Schutz Ihrer Daten sowie für weitere Informationen in Bezug auf die Behandlung von personenbezogenen Daten im Medizinischen Dienst Bund steht Ihnen auch der Datenschutzbeauftragte des Medizinischen Dienstes Bund zur Verfügung:

Medizinischer Dienst Bund
- Datenschutzbeauftragter -
Theodor-Althoff-Str. 47
45133 Essen
Telefon: +49 201 83 27 -0
Telefax: +49 201 83 27 -100
E-Mail: datenschutzbeauftragter[at]md-bund.de
Internet: www.md-bund.de

3. Datenverarbeitung im Rahmen der Nutzung der elektronischen Lernplattform MD Campus (Moodle)

a) Umfang der Verarbeitung personenbezogener Daten

Wir erheben und verarbeiten personenbezogene Daten von Nutzenden des MD Campus grundsätzlich nur, soweit dies zur Herstellung eines funktionsfähigen Lernmanagementsystems oder dessen Angebote erforderlich ist.

Registrierung

Um den MD Campus nutzen zu können, ist eine Registrierung erforderlich. Für die Selbstregistrierung ist die Eingabe folgender Daten notwendig:

• Anmeldename
• Kennwort
• Vor- und Nachname
• Medizinischer Dienst
• Dienstliche E-Mailadresse

Nach Abschluss der Selbstregistrierung können Sie weitere Angaben im Benutzerprofil optional ergänzen. Außerdem können Sie ein Profilbild hochladen. Ihr Bild wird nur mit Ihrer ausdrücklichen Zustimmung veröffentlicht. Sie können Ihre Zustimmung jederzeit und ohne Angabe von Gründen widerrufen und das Bild löschen.

Supportanfragen

Wenn Sie Unterstützung im Umgang mit dem MD Campus benötigen, gibt es mehrere Wege, uns zu kontaktieren. Sie können uns über die E-Mailadresse campus-support[at]md-bund.de eine Anfrage senden oder das Kontaktformular des MD Campus nutzen. Bei Nutzung beider Wege speichern wir Ihre gestellten Supportanfragen inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und eventueller Anschlussfragen. Das Sammeln dieser Anfragen hilft uns, die Plattform technisch zu verbessern und den Bedarf an Support zu verringern. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

b) Rechtsgrundlagen der Datenverarbeitung

Von Gesetzes wegen ist grundsätzlich jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn eine Rechtsgrundlage vorliegt.

Für die von uns vorgenommenen Verarbeitungen gilt folgende Rechtsgrundlage:

Art. 6 Abs. 1 S. 1 lit. a DS-GVO ("Einwilligung"): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist.

c) Übermittlung von personenbezogenen Daten an Dritte

Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt, erhalten ggf. Zugriff auf Ihre personenbezogenen Daten:

Dienstleister für den Betrieb unserer Webseite und die Verarbeitung der durch die Systeme gespeicherten oder übermittelten Daten.

Bei der Selbstregistrierung in den MD Campus und der Nutzung der dort bereitgestellten offenen Angebote werden Ihre personenbezogenen Daten von uns nicht an sonstige Dritte weitergeben.

d) Datenlöschung und Speicherdauer

Wir speichern die personenbezogenen Daten nur so lange, wie wir sie benötigen, um Ihnen die Dienste der Plattform anbieten zu können. Die Daten werden gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage der Speicherung entfallen.

Wenn Sie Ihren Account im MD Campus löschen möchten, benachrichtigen Sie uns bitte per E-Mail an campus-support[at]md-bund.de, damit wir Ihre Daten aus dem System entfernen.

Sollten Sie aus dem Medizinischen Dienst ausscheiden, werden wir nach Kenntnis Ihres Ausscheidens ebenfalls Ihren Benutzerzugang schließen und unverzüglich Ihre Daten löschen.

4. Dienstleister (Auftragsverarbeitung nach DS-GVO)

Die Seite der Domain www.md-campus.de wird von der Hetzner Online GmbH gehostet und von der Wunderbyte GmbH technisch betreut. Damit verarbeitet Wunderbyte und Hetzner im Auftrag des Diensteanbieters personenbezogene Daten (DS-GVO Art. 28).

5. Datensicherheit

Wir setzen umfassende technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Zerstörung 1 zu schützen. Dazu gehören

• Verschlüsselung:
  
  • Einsatz von SSL/TLS-Verschlüsselung für die gesamte Kommunikation zwischen Ihrem Browser und unserer Plattform.
  • Verschlüsselung sensibler Daten in der Datenbank. 
• Zugriffskontrollen:
  
  • Implementierung von Rollen- und Berechtigungskonzepten, um den Zugriff auf Daten auf das notwendige Minimum zu beschränken.
  • Regelmäßige Überprüfung und Anpassung von Zugriffsberechtigungen.  
• Authentifizierung:
  
  • Starke Passwortrichtlinien und gegebenenfalls Multi-Faktor-Authentifizierung (MFA).
  • Regelmäßige Aufforderung zur Passwortänderung.  
• Datensicherung:
  
  • Regelmäßige Backups der Datenbank und der Dateien.
  • Sichere Aufbewahrung der Backups an einem externen Standort.  
• Sicherheitsupdates:
  
  • Kontinuierliche Aktualisierung der Software und aller Plugins, um Sicherheitslücken zu schließen.
  • Regelmäßige Sicherheitsüberprüfungen.
• Protokollierung und Überwachung:
  • Protokollierung relevanter Aktivitäten, um Sicherheitsvorfälle erkennen und nachverfolgen zu können.
  • Überwachung der Systeme auf verdächtige Aktivitäten.  

Unsere Sicherheitsmaßnahmen orientieren sich an den aktuellen Standards der Technik und werden kontinuierlich an neue Bedrohungen und technologische Entwicklungen angepasst. Dabei berücksichtigen wir die Art, den Umfang, den Kontext und den Zweck der Datenverarbeitung sowie die Risiken für die betroffenen Personen. Im Falle eines Datenschutzverstoßes haben wir Prozesse etabliert, um diesen schnell zu erkennen, zu beheben und die betroffenen Personen sowie die Aufsichtsbehörden zu informieren.

6. Bereitstellung der Website und Erstellung von Logfiles

a) Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf des MD Campus erfasst unser Server automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Die Access-Logs der Webserver protokollieren, welche Seitenaufrufe zu welchem Zeitpunkt stattgefunden haben. Sie beinhalten folgende Daten:

1. IP Adressen (werden für 180 Tage aufbewahrt) 
2. Datum 
3. Uhrzeit 
4. aufgerufene Seiten 
5. Statuscode 
6. Datenmenge 
7. Referrer 
8. User Agent 
9. aufgerufener Hostname 

Error-Logs, welche fehlerhafte Seitenaufrufe protokollieren, werden nach sieben Tagen gelöscht. Diese beinhalten neben den Fehlermeldungen die zugreifende IP-Adresse und je nach Fehler die aufgerufene Webseite.

Zugriffe über FTP werden mit anonymisierter Angabe zu Benutzername und IP-Adresse protokolliert und für 60 Tage aufbewahrt.

Die Mail-Logs für den Versand von E-Mails aus der Webumgebung heraus werden nach einem Tag anonymisiert und anschließend für 60 Tage vorgehalten. Bei der Anonymisierung werden alle Daten zum Absender/Empfänger etc. entfernt. Es bleiben lediglich die Daten zum Versandzeitpunkt sowie die Information, wie die E-Mail verarbeitet wurde, erhalten (Queue-ID oder nicht gesendet).

Server-Log-Files

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage 

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Wir behalten uns vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden.

b) Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzenden zu ermöglichen. Hierfür muss die IP-Adresse des Nutzenden für die Dauer der Sitzung gespeichert bleiben.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DS-GVO.

c) Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DS-GVO. Die Verarbeitung der Protokolldaten dient statistischen Zwecken und der Verbesserung der Qualität unserer Webseite, insbesondere der Stabilität und der Sicherheit der Verbindung (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a oder lit. f DS-GVO).

Sofern für die Verarbeitung der Daten die Speicherung von Informationen in Ihrer Endeinrichtung oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erforderlich ist, ist § 25 TDDDG hierfür die Rechtsgrundlage.

d) Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind, d. h. nachdem die Website bereitgestellt wurde und die jeweilige Sitzung beendet ist.

e) Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzenden keine Widerspruchsmöglichkeit.

7. Verwendung von Cookies

a) Beschreibung und Umfang der Datenverarbeitung

Der MD Campus verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzenden gespeichert werden. Diese Cookies enthalten charakteristische Zeichenfolgen, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglichen.

Bei der Nutzung des MD Campus werden Cookies z.B. für die Anmeldung auf dem MD Campus verwendet. Darüber hinaus erfordern bestimmte weitere Elemente unserer Plattform die eindeutige Identifizierung eines Browsers über verschiedene Webseiten hinweg. Optional können Cookies gesetzt werden, wenn der Username bei erneutem Log-In gespeichert werden soll.

Sie können die Lernplattform nur nutzen, wenn Sie in Ihrem Browser Cookies zumindest temporär zulassen.

• “MoodleSession“: dieses Cookie speichert das Login der aktuellen Moodle-Sitzung. Beim Ausloggen aus Moodle oder beim Beenden des Webbrowsers wird dieses Cookie automatisch gelöscht.
• “MoodleID“: dieses Cookie speichert auf Wunsch den Benutzernamen im Webbrowser. Beim nächsten Login erscheint der Anmeldename bereits automatisch. Es vereinfacht den Login-Vorgang und kann auf Wunsch beim Login aktiviert werden.

b) Rechtsgrundlage

Rechtsgrundlage für Cookies, die unbedingt erforderlich sind, um Ihnen den ausdrücklich gewünschten Dienst zur Verfügung zu stellen, ist § 25 Abs. 2 Nr. 2 TDDDG. Jeder Einsatz von Cookies, der hierfür nicht zwingend technisch erforderlich ist, stellt eine Datenverarbeitung dar, die nur mit einer ausdrücklichen und aktiven Einwilligung Ihrerseits gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 S. 1 lit. a DS-GVO erlaubt ist. Dies gilt insbesondere für die Verwendung von Performance Cookies.

b) Zweck der Datenverarbeitung

„MoodleSession“ ist technisch notwendig, damit die Zugriffsberechtigungen innerhalb von Moodle während der Sitzung erhalten bleiben. Ohne dieses Cookie funktioniert Moodle nicht.

Das Cookie „MoodleID“ wird nur dann gesetzt, wenn der Nutzende sich wünscht, dass der Username bei erneutem Login gemerkt werden soll. Es vereinfacht den Login-Vorgang und kann auf Wunsch beim Login aktiviert werden.

c) Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner des Nutzenden gespeichert und von diesem an unsere Seite übermittelt. Daher haben Sie auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden.

8. Rechte der betroffenen Person

Nach der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu: Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DS-GVO).

Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DS-GVO).

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DS-GVO).

Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DS-GVO).

Gemäß Art. 7 Abs. 3 DS-GVO kann Ihre einmal erteilte Einwilligung jederzeit uns gegenüber widerrufen werden, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.

Weiterhin besteht ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.