Liste von aktiven Richtlinien

Name Typ Nutzerbestätigung
Zustimmung zu Datenverarbeitung und Datenschutzrichtlinie Richtlinie zum Datenschutz Alle Nutzer/innen

Zusammenfassung

In der Datenschutzrichtlinie, die sie am Ende jeder Seite finden, informieren wir Sie über die rechtlichen Grundlagen der für den Betrieb dieser Lernplattform der Theologischen Hochschule Elstal geltenden Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden in Deutschland K.d.ö.R. (DSO-Bund) sowie der für den Betrieb der Lernplattform notwendigen Verarbeitung Ihrer Daten. 

Um diese Lernplattform der Theologischen Hochschule Elstal zu nutzen, müssen Sie der für den Betrieb notwendigen Datenverwendung und der dafür geltenden Datenschutzrichtlinie zustimmen.

Für die mobile Nutzung der Lernplattform wird Ihnen außerdem die Moodle Premium App zur Verfügung gestellt. Die Nutzung dieser App ist optional.

Mit der Nutzung der Moodle Premium App stimmen Sie den internationalen Nutzungsregelungen sowie der diesbezüglichen Vereinbarung zur Datenverarbeitung (Data Processing Agreement) im zweiten Teil der Datenschutzrichtlinie zu.

Vollständige Richtlinie

Datenschutzerklärung

Inhalt:

I. Allgemeine Informationen
II. Allgemeine Informationen zur Datenverarbeitung
III. Informationen zu unseren Datenverarbeitungstätigkeiten
IV. Weitergabe und Offenlegung von personenbezogenen Daten
V. Informationen zum Schutz Ihrer Daten und zu Ihren Rechten

Datenschutzbestimmungen

Wir, die Theologische Hochschule Elstal im Bund Evangelisch-Freikirchlicher
Gemeinden in Deutschland K.d.ö.R., im Folgenden BEFG, bedanken uns für die
Nutzung unserer Moodle-Lernplattform. Wir messen dem Schutz Ihrer Daten hohe
Bedeutung bei und beachten die gesetzlichen Datenschutzbestimmungen. Der BEFG
unterliegt nicht der EU-DSGVO. Stattdessen findet die
Datenschutzgrundverordnung des BEFG (DSO-BUND:
www.baptisten.de/dso) Anwendung.

Wir möchten Sie daher ausführlich über die verantwortliche Stelle sowie die
Verwendung Ihrer Daten bei der Nutzung unserer Lernplattform informieren:

I. Allgemeine Informationen

1. Begriffsbestimmungen

a) personenbezogene Daten: alle Informationen, die sich auf
eine identifizierte oder identifizierbare natürliche Person (im Folgenden
„betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person
angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer
Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck
der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind,
identifiziert werden kann;

b) besondere Daten: personenbezogene Daten, aus denen die
rassische und ethnische Herkunft, politische Meinungen, religiöse oder
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie genetisch oder biometrischen Daten zur eindeutigen Identifizierung einer
natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der
sexuellen Orientierung einer natürlichen Person;

c) Verarbeitung: jeden mit oder ohne Hilfe automatisierter
Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang
mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation,
das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das
Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder
eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung;

d) Empfänger: eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt
werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder
nicht;

e) Drittland: ein Land, das nicht Mitglied der Europäischen
Union ist;

f) Stelle des Bundes: eine Gemeinde, die Mitglied des Bunds
Evangelisch-Freikirchlicher Gemeinden, K. d. ö. R. ist, ein Landesverband, die
Arbeitsgemeinschaft der Brüdergemeinden, ein Arbeitszweig, eine Einrichtung
oder ein Organ dieses Bundes;

g) Verantwortliche Stelle: eine Stelle des Bundes, die allein
oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten entscheidet;

h) Auftragsverarbeiter: eine natürliche oder juristische
Person oder – falls die verantwortliche Stelle zu einer anderen juristischen
Person gehört – eine Stelle des Bundes, die personenbezogene Daten im Auftrag
der verantwortlichen Stelle verarbeitet;

i) Dritter: eine natürliche oder juristische Person, Behörde,
selbständige Gemeinde oder Einrichtung außer der betroffenen Person, der
verantwortlichen Stelle, dem Auftragsverarbeiter und den Personen, die unter
der unmittelbaren Verantwortung der verantwortlichen Stelle oder des
Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

j) Anonymisierung: ist die Verarbeitung personenbezogener
Daten derart, dass die personenbezogenen Daten nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können oder nur mit einem großen Aufwand
an Zeit, Kosten und Arbeitskraft einer identifizierten oder identifizierbaren
Person zugeordnet werden können.

k) Pseudonymisierung: die Verarbeitung personenbezogener Daten
in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher
Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet
werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt
werden und technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten
oder identifizierbaren natürlichen Person zugewiesen werden;

l) Dateisystem: jede strukturierte Sammlung personenbezogener
Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob
diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen
Gesichtspunkten geordnet geführt wird;

m) Aufsichtsgremium bzw. Datenschutzrat: eine unabhängige
Stelle des Bundes, die über die Einhaltung der Datenschutzordnung wacht;

n) Bundesbeauftragter für Datenschutz: der vom Präsidium des
Bundes bestellten Beauftragten für den Datenschutz (im Folgenden auch kurz:
Bundesbeauftragter);

o) Einschränkung der Verarbeitung: die Markierung
gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung
einzuschränken;

p) Einwilligung: der betroffenen Person jede freiwillig für
den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene
Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen
bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass
sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten
einverstanden ist.

2. Name und Anschrift des Verantwortlichen

Verantwortliche Stelle im Sinne der Datenschutzordnung (DSO-BUND) ist:

Andrea Klimt (andrea.klimt(at)th-elstal.de),
Rektorin der Theologischen Hochschule Elstal.

Theologische Hochschule Elstal

Johann-Gerhard-Oncken-Str. 7

14641 Wustermark

Die Theologische Hochschule Elstal wird vertreten durch Andrea Klimt,
Rektorin der Theologischen Hochschule Elstal.


Der Bund Evangelisch-Freikirchlicher Gemeinden (BEFG) in Deutschland K.d.ö.R.
wird vertreten durch Michael Noss, Präsident, Corinna Zeschky, Stellvertreterin
des Präsidenten, Christoph Stiba, Generalsekretär, Volker Springer,
Kaufmännischer Geschäftsführer und Alexander Rockstroh, ChristusForum
Deutschland.


Bei allgemeinen Fragen oder Anregungen an uns zum Thema Datenschutz können Sie
sich jederzeit telefonisch unter 033234 74-105 oder per E-Mail unter datenschutzfragen@baptisten.de
mit uns in Verbindung setzen.

II. Allgemeine Informationen zur Datenverarbeitung

1. Umfang

Grundsätzlich werden Ihre personenbezogenen Daten nur verarbeitet, um die
Lernplattform nutzen zu können.

2. Rechtsgrundlage

§ 5 Abs. 2 DSO-BUND dient uns als Rechtsgrundlage für
Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten
Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur
Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist,
die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung
oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf § 5 Abs. 2.
d) DSO-BUND. Gleiches gilt für solche Verarbeitungsvorgänge, die zur
Durchführung vorvertraglicher Maßnahmen erforderlich sind. Unterliegen wir
einer rechtlichen Verpflichtung, durch welche eine Verarbeitung von
personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung
steuerlicher Pflichten, so basiert die Verarbeitung auf § 5 Abs. 2 d) DSO-BUND.
In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten
erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder
einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der
Fall, wenn ein Besucher in unseren Räumen verletzt werden würde und daraufhin
sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige
Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben
werden müssten. Dann würde die Verarbeitung § 5 Abs. 2 e) DSO-BUND beruhen.
Letztlich könnten Verarbeitungsvorgänge auf § 5 Abs. 2 f) bis h) DSO-BUND
beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von
keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung
zur Wahrung eines berechtigten Interesses des BEFG oder eines Dritten
erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des
Betroffenen nicht überwiegen. Gleiches gilt für solche Verarbeitungen, die zur
Wahrnehmung einer Aufgabe erforderlich ist, die im Interesse des Bundes liegt
oder sie journalistisch-redaktionellen Zwecke des Bundes dient. Letztlich ist
eine Verarbeitung personenbezogener Daten zulässig, wenn eine Rechtsvorschrift
des Bundes oder eine vorrangige staatliche Rechtsvorschrift diese erlaubt oder
anordnet, § 5 Abs. 2 a) DSO-BUND.

3. Dauer der Datenspeicherung und
Datenlöschung

Wir löschen Ihre personenbezogenen Daten grundsätzlich, wenn der Zweck der
Speicherung nicht mehr vorliegt. Es ist jedoch denkbar, dass eine darüber
hinausgehende Speicherung sich aus europäischen oder nationalstaatlichen
Gesetzen, Verordnungen oder sonstigen Vorschriften ergibt, denen wir als
Verantwortlicher unterliegen. Solche Daten werden erst gelöscht, wenn die
entsprechenden Speicherfristen, die sich aus den zuvor genannten Rechtsquellen
ergeben, enden.

III. Informationen zu unseren
Datenverarbeitungstätigkeiten

Besuch unserer Lernplattform

1. Beschreibung und Umfang der
Datenverarbeitung

Immer wenn Sie unsere Lernplattform besuchen erfassen wir vollautomatisch
Informationen und Daten von Ihrem Computersystem bzw. mobilen Endgerät. Hierbei
erhalten wir folgende Daten:

a. Informationen über den Browsertyp
und die verwendete Version

b. Das genutzte Betriebssystem

c. Ihren Internet-Service-Provider

d. Ihre IP-Adresse

e. Datum und Uhrzeit Ihres Zugriffs

f. Webseiten, von denen Sie auf unsere
Lernplattform gelangen

g. Webseiten, die von Ihrem System über
unsere Lernplattform aufgerufen werden

Die erhobenen Daten werden in Logfiles gespeichert. Wir speichern diese
Daten nicht zusammen mit weiteren, anderen personenbezogenen Daten von Ihnen.

2. Rechtsgrundlage für die Datenverarbeitung

§ 5 Abs.2 h) DSO Bund ist die Rechtsgrundlage zur vorübergehenden
Speicherung der Daten bzw. Logfiles.

3. Zweck der Datenverarbeitung

Für die Dauer Ihrer Sitzung ist es erforderlich Ihre IP-Adresse zu
speichern, um unsere Lernplattform an Ihren Rechner bzw. an Ihr mobiles
Endgerät ausliefern zu können.

Durch die einheitliche Speicherung in Logfiles wird die Funktionsfähigkeit
unserer Lernplattform sichergestellt und ein wichtiger Beitrag zur Sicherheit
der IT-Systeme geleistet.

4. Dauer der Speicherung

Gespeicherte Logfiles werden i. d. R. nach sieben Tagen gelöscht. Nur
sofern eine längere Speicherung nötig ist, wird die IP-Adresse verfremdet, so
dass keine Zuordnung mehr zu Ihnen möglich ist.

5. Widerspruchs- und Beseitigungsmöglichkeit

Es besteht ein Widerspruchsrecht. Da die Daten zur Bereitstellung unserer
Lernplattform jedoch zwingend erforderlich sind, könnten Sie diese im Anschluss
nicht mehr nutzen.

Registrierung auf unserer Lernplattform

1. Beschreibung und Umfang der
Datenverarbeitung

Zur Registrierung auf unserer Lernplattform und zum Senden von
Informationsemails werden folgende Anmeldedaten von Ihnen erhoben:

a. Anrede

b. Ihr Vorname

c. Ihr Name

d. Ihr selbstgewähltes Passwort

e. Ihre E-Mail-Adresse

2. Rechtsgrundlage für die Datenverarbeitung

§ 5 Abs. 2 b) DSO Bund und somit eine Einwilligung Ihrerseits ist die
Rechtsgrundlage zur Verarbeitung Ihrer personenbezogenen Daten.

3. Zweck der Datenverarbeitung

Nur durch die Bereitstellung Ihrer personenbezogenen Daten können Sie sich
auf unserer Lernplattform registrieren und diese im Anschluss nutzen. Um Ihnen
Zugangsdaten zukommen zu lassen und um Sie ggf. an nicht beendete Lerneinheiten
zu erinnern, ist die Angabe Ihrer E-Mail-Adresse erforderlich.

4. Dauer der Speicherung

Die von Ihnen im Rahmen des Registrierungsprozesses erhobenen
personenbezogenen Daten werden bis zur Löschung Ihres Kontos gespeichert.

5. Widerrufs- und Beseitigungsmöglichkeit

Sie haben jederzeit die Möglichkeit Ihr Konto zu löschen, durch klicken auf
das entsprechende Feld innerhalb der Lernplattform oder durch direkte
Information des Verantwortlichen.

Nutzung unserer Lernplattform

1. Beschreibung und Umfang der
Datenverarbeitung

Zur Nutzung unserer Lernplattform werden folgende personenbezogenen Daten
von Ihnen erhoben:

a. Anrede

b. Ihr Vorname

c. Ihr Name

d. Ihre Anschrift

e. Ihre E-Mail-Adresse

f. Kursauswertung (z. B. Zugriffszeit,
Sitzungsdauer, Testergebnisse)

g. Ihre Forenbeiträge, Ihre Chatbeiträge,
Ihre Wikibeiträge

Diese Daten werden in einem Nutzerprofil zusammengefasst.

2. Rechtsgrundlage für die Datenverarbeitung

§ 5 Abs. 2 b) DSO-Bund und somit eine Einwilligung Ihrerseits ist die
Rechtsgrundlage zur Verarbeitung Ihrer personenbezogenen Daten.

3. Zweck der Datenverarbeitung

Nur durch die Bereitstellung Ihrer personenbezogenen Daten haben Sie
Zugriff auf die Lernplattform und können diese nutzen.

4. Dauer der Speicherung

Die Daten Ihres Nutzerprofils werden bis zur Löschung Ihres Nutzerprofils
gespeichert. Ebenso werden die Nutzerprofildaten gelöscht, sobald ein Kurs von
der Lernplattform entfernt wird.

5. Widerrufs- und Beseitigungsmöglichkeit

Sie haben jederzeit die Möglichkeit Ihr Nutzerprofil zu löschen, durch
klicken auf das entsprechende Feld innerhalb der Lernplattform oder durch
direkte Information des Verantwortlichen.

IV. Weitergabe und Offenlegung von
personenbezogenen Daten

Wir geben Ihre Daten an Dienstleister weiter, die uns helfen oder
unterstützen. Hierbei handelt es sich um Unternehmen aus der Gruppe der
verbundenen Unternehmen oder Dritter, mit denen wir entsprechende Verträge
geschlossen haben, sowohl innerhalb als auch außerhalb der Europäischen Union
bzw. des EWR. Wir können Ihre Daten auch an Behörden wie die Polizei oder das
Finanzamt weitergeben, wenn dies nach geltenden Rechtsvorschriften erforderlich
ist.

Im Rahmen der Regelungen der EU-Datenschutzgrundverordnung übermitteln wir
personenbezogene Daten in folgenden Fällen:

1. Verarbeiter

Wir verwenden Anbieter, die Ihre personenbezogenen Daten nur auf unsere
Anweisung hin verarbeiten und als Datenverarbeiter in unserem Namen handeln.
Diese unterstützen uns bei der Einrichtung bzw. Verwaltung der Lernplattform,
Sicherstellung der Funktionalität und Wahrung datenschutzrechtlicher Vorgaben.
Ferner erbringen sie Dienstleistungen, die bestimmte Funktionen unseres
Angebots (z.B. Versenden von E-Mails), Hostingdienste,
Kundendienstunterstützung und Dienstleistungen in Zusammenhang mit der
Verfolgung und Reaktion auf Sicherheitsvorfälle, Fehlerbehebung und
Problemlösung im Service oder auf der Webseite zum Zwecke der Analyse des
Website-Datenverkehrs abdecken.

2. Anfragen von Behörden

Wir leiten Daten an staatliche Stellen weiter, wenn dies gesetzlich
vorgeschrieben ist. Dies ist zum Beispiel der Fall, wenn eine gültige strafbewehrten
Vorladung vorliegt, wir einem anderen rechtlichen Verfahren nachkommen müssen,
oder wir eine schriftliche Anfrage einer Behörde erhalten.

V. Informationen zum Schutz Ihrer Daten und zu Ihren Rechten

Ihre Rechte als Betroffener

Jede betroffene Person hat das Recht, von dem für die Verarbeitung
Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende
personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses
Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an unseren
Datenschutzbeauftragten oder einen anderen Mitarbeiter des für die Verarbeitung
Verantwortlichen wenden.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche
Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und
eine Kopie dieser Auskunft zu erhalten. Ferner besteht ein Auskunftsrecht über
folgende Informationen (§ 11 DSO-BUND):

    die Verarbeitungszwecke;

    die Kategorien personenbezogener
Daten;

    die Empfänger, gegenüber denen
die personenbezogenen Daten offengelegt worden sind;

    falls möglich, die geplante
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

    das Bestehen eines Rechts auf
Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder
auf Einschränkung der Verarbeitung durch die verantwortliche Stelle oder eines
Widerspruchsrechts gegen diese Verarbeitung;

    das Bestehen eines
Beschwerderechts beim Datenschutzrat;

    Information über die Herkunft der
Daten.

Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen,
kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder einen
anderen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, die unverzügliche Berichtigung sie betreffender unrichtiger
personenbezogener Daten zu verlangen (§ 12 DSO-Bund). Ferner steht der
betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der
Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten –
auch mittels einer ergänzenden Erklärung – zu verlangen (§ 12 Abs. 2 DSO-BUND).

Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen,
kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder einen
anderen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat
zudem das Recht, von dem Verantwortlichen zu verlangen, dass die sie
betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer
der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich
ist:

    Die personenbezogenen Daten
wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für
welche sie nicht mehr notwendig sind.

    Die betroffene Person widerruft
ihre Einwilligung (§ 6 Abs. 3 DSO-BUND), auf die sich die Verarbeitung gem. § 6
Abs. 1 DSO-Bund oder § 8 Abs. 2 Buchst. a) DSO-BUND stützte, und es fehlt an
einer anderweitigen Rechtsgrundlage für die Verarbeitung.

    Die betroffene Person legt gem. §
16 Abs. 1 DSO-Bund Widerspruch gegen die Verarbeitung ein, und es liegen keine
vorrangigen berechtigten Gründe für die Verarbeitung vor.

    Die personenbezogenen Daten
wurden unrechtmäßig verarbeitet.

    Die Löschung der
personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach
dem Kirchenrecht, Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich,
dem der Verantwortliche unterliegt.

Sofern einer der o.g. Gründe zutrifft und eine betroffene Person die
Löschung von personenbezogenen Daten, die bei der Theologischen Hochschule
Elstal gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an
unseren Datenschutzbeauftragten oder einen anderen Mitarbeiter des für die
Verarbeitung Verantwortlichen wenden. Dieser wird sodann veranlassen, dass dem
Löschverlangen unverzüglich nachgekommen wird.

Wurden die personenbezogenen Daten der Theologischen Hochschule Elstal
öffentlich gemacht und ist diese als Verantwortlicher gem. § 13 Abs. 1 DSO-BUND
zur Löschung der personenbezogenen Daten verpflichtet, so trifft die
Theologische Hochschule Elstal unter Berücksichtigung der verfügbaren
Technologie und der Implementierungskosten angemessene Maßnahmen, auch
technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche
die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis
zu setzen, dass die betroffene Person von diesen anderen für die
Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser
personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht
erforderlich ist. Der Datenschutzbeauftragte der Theologischen Hochschule
Elstal oder ein anderer Mitarbeiter wird im Einzelfall das Notwendige
veranlassen.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat
gem. § 14 DSO-BUND das Recht, von dem Verantwortlichen die Einschränkung der
Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

    Die Richtigkeit der
personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar
für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der
personenbezogenen Daten zu überprüfen.

    Die Verarbeitung ist
unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen
Daten ab und verlangt stattdessen die Einschränkung der Nutzung der
personenbezogenen Daten.

    Der Verantwortliche benötigt die
personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die
betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen.

    Die betroffene Person hat
Widerspruch gegen die Verarbeitung gem. § 16 Abs. 1 DSO-BUND eingelegt und es
steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen
gegenüber denen der betroffenen Person überwiegen.

Sofern eine der o.g. Voraussetzungen gegeben ist und eine betroffene Person
die Einschränkung von personenbezogenen Daten, die bei der Theologischen
Hochschule Elstal gespeichert sind, verlangen möchte, kann sie sich hierzu
jederzeit an unseren Datenschutzbeauftragten oder einen anderen Mitarbeiter des
für die Verarbeitung Verantwortlichen wenden. Dieser wird sodann die
Einschränkung der Verarbeitung veranlassen.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, die sie betreffenden personenbezogenen Daten, welche durch die
betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat
außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung
durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt
wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gem. § 5
Abs. 1 a) DSO-BUND oder § 8 Abs. 2 DSO-BUND oder auf einem Vertrag gem. § 5
Abs. 2 b) DSO-BUND oder auf einer sich aus einem Vertrag ergebenden rechtlichen
Verpflichtung gem. § 5 Abs. 2 d) DSO-BUND beruht und die Verarbeitung mithilfe
automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen
übertragen wurde.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit
gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund
von Art. 5 Abs. 2 e), f) oder g) DSO-BUND erfolgt, Widerspruch einzulegen. Dies
gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Die Theologische Hochschule Elstal verarbeitet die personenbezogenen Daten
im Fall des Widerspruchs nicht mehr, es sei denn, wir können zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen,
Rechten und Freiheiten der betroffenen Person überwiegen oder der Verarbeitung,
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen.

Verarbeitet die Theologische Hochschule Elstal personenbezogene Daten, um
Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit
Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zweck
derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit
solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person
gegenüber der Theologischen Hochschule Elstal der Verarbeitung für Zwecke der
Direktwerbung, so wird die Theologische Hochschule Elstal die personenbezogenen
Daten nicht mehr für diese Zwecke verarbeiten.

Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer
besonderen Situation ergeben, gegen die sie betreffende Verarbeitung
personenbezogener Daten, die bei der Theologischen Hochschule Elstal zu wissenschaftlichen
oder historischen Forschungszwecken oder zu statistischen Zwecken gem. § 13
Abs. 3 Nr. 4 DSO-BUND erfolgen, Widerspruch einzulegen, es sei denn, eine
solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden
Aufgabe erforderlich.

Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person
direkt an den Datenschutzbeauftragten der Theologischen Hochschule Elstal oder
einen anderen Mitarbeiter wenden.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung –
einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die
ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise
erheblich beeinträchtigt, sofern die Entscheidung

a) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der
betroffenen Person und dem Verantwortlichen erforderlich ist, oder

b) aufgrund von Rechtsvorschriften des Bundes Evangelisch-Freikirchlicher
Gemeinden in Deutschland K.d.ö.R., der Europäischen Union oder der
Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese
Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten
sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Ist die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der
betroffenen Person und dem Verantwortlichen erforderlich oder

b) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person,
trifft die Theologische Hochschule Elstal angemessene Maßnahmen, um die Rechte
und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu
wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person
seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf
Anfechtung der Entscheidung gehört.

Möchte die betroffene Person Rechte mit Bezug auf automatisierte
Entscheidungen geltend machen, kann sie sich hierzu jederzeit an unseren
Datenschutzbeauftragten oder einen anderen Mitarbeiter des für die Verarbeitung
Verantwortlichen wenden.

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das
Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu
widerrufen.

Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung
geltend machen, kann sie sich hierzu jederzeit an unseren
Datenschutzbeauftragten oder einen anderen Mitarbeiter des für die Verarbeitung
Verantwortlichen wenden.

Automatisierte Entscheidungsfindung und Profiling

Wir führen keine automatisierten Einzelfallentscheidungen einschließlich
Profiling durch, gemäß Art. 22 DSGVO.

Internationaler Datenversand

Grundsätzlich müssen Empfänger personenbezogener Daten Ihren Sitz in der
Europäischen Union (EU) bzw. im Europäischen Wirtschaftsraum (EWR) haben. Der
Datenversand in Drittstaaten ist ansonsten nur gestattet, wenn es eine
Angemessenheitsentscheidung der EU-Kommission gibt, von der EU-Kommission
genehmigte Standardvertragsklauseln genutzt werden oder es sich um genehmigte
Verhaltens- bzw. Unternehmensregeln handelt. Die EU-Kommission hat am 28. Juni
2021 einen Angemessenheitsbeschluss für den Datentransfer in das Vereinigten
Königreich angenommen. Da für die Datenübermittlung in die USA kein
Angemessenheitsbeschluss oder geeignete Garantien vorliegen, ist nicht
auszuschließen, dass Behörden im jeweiligen Drittland (z.B. durch
nachrichtendienstliche Erhebungsbefugnisse) Zugriff auf die übermittelten Daten
erlangen können, um diese zu erfassen und auszuwerten. Die Durchsetzung Ihrer
Betroffenenrechte kann daher nicht gewährleistet werden. Der Verarbeitung kann
über das Cookie-Banner entsprechend zugestimmt werden oder eine bereits
erteilte Einwilligung widerrufen werden.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Sofern Sie zu der
Auffassung gelangen, dass die Verarbeitung personenbezogener Daten, die Sie
betreffen, nicht im Einklang mit der DSO-Bund stattfindet, steht Ihnen das
Recht zu, beim Datenschutzrat Beschwerde einzureichen. Gerne können Sie auch
vorab Kontakt zu unserem Datenschutzbeauftragten aufnehmen, dieser ist bei der
Klärung Ihrer Fragen auch gerne behilflich.

VI. Informationen zu Cookies und Social
Media Plugins

Unsere Lernplattform nutzt Cookies, die temporär auf Ihrem Gerät
gespeichert werden.

Die hierbei platzierten Cookies sind ausschließlich essenzieller Natur und
dürfen daher ohne Ihre Zustimmung genutzt werden, gemäß § 5 Abs. 2 h). Ihnen
steht jedoch ein Widerspruchsrecht zu. Sollten Sie der Nutzung essenzieller
Cookies jedoch widersprechen, müssen Sie davon ausgehen, dass die
Funktionsfähigkeit unserer Lernplattform nicht mehr gegeben ist.

Auf unserer Lernplattform werden keine, nicht-essenziellen Cookies oder
Social-Media-Plugins eingesetzt.

Sofern auf unserer Lernplattform Videos von entsprechenden Plattformen, wie
z. B. Youtube oder VIMEO, eingebettet sind, haben wir auf unserer Lernplattform
technische Vorkehrungen getroffen, um das Setzen von Cookies solcher
Drittanbieter möglichst zu unterbinden. Um dies vollumfänglich sicherzustellen,
sollten Sie jedoch in Ihren Browsereinstellungen die Funktion „Cookies von
Drittanbietern“ deaktivieren. Nur dann können Sie sicher sein, dass keine Daten
an außerhalb der EU bzw. des EWR gesendet werden.

Nutzungsbedingungen/Urheberrechtsschutz

Sämtliche auf der Lernplattform bereitgestellten Dokumente durch den
Verantwortlichen oder einen Nutzer dienen ausschließlich zur persönlichen
Nutzung durch die Teilnehmer, deren Kollegen oder weiterer Mitarbeiter.
Insbesondere, da auch personenbezogene Daten im Rahmen des
Lernplattform-Gebrauchs genutzt werden bzw. aus Copyright-Gründen, ist eine
Übersetzung, ein Nachdruck oder eine Vervielfältigung der Teilnehmerunterlagen
untersagt. Eine entsprechende Genehmigung kann nur der Verantwortliche
erteilen.

Nutzung der Moodle Premium App

Für die mobile Nutzung der Lernplattform wird Ihnen die Moodle Premium App zur Verfügung gestellt. Die Nutzung dieser App ist optional.

Mit der Nutzung der Moodle Premium App stimmen Sie den internationalen Nutzungsregelungen sowie der folgenden Vereinbarung zur Datenverarbeitung (Data Processing Agreement) zu.

Data Processing Agreement

BETWEEN:
(1) You or your organization or entity as the Data Controller (the “Partner” or the “Data
Controller”); and
(2) Moodle Pty Ltd being a company registered under the laws of Western Australia with
ABN 55 116 513 636 (the “Data Processor").
BACKGROUND
1. This Agreement is to ensure the protection and security of data passed from the
Partner to the Data Processor for processing or accessed by the Data Processor on the
authority of the Partner for processing or otherwise received by the Data Processor for
processing on behalf of the Partner.
2. The Data Processor provides to the Data Controller the Services described in Schedule
1.
3. The provision of such Services involves the processing of Personal Data by the Data
Processor on behalf of the Data Controller.
4. The GDPR and the Data Protection Acts place certain obligations upon a Data
Controller to ensure that any data processor it engages provides sufficient guarantees
to ensure that the processing of the data carried out on its behalf is secure.
5. This Agreement ensures sufficient security guarantees are in place and that any data
processing complies with obligations equivalent to those of the GDPR and Data
Protection Acts.
6. The terms of this Agreement are to apply to all processing of Personal Data carried out
by the Data Processor and to all Personal Data held by the Data Processor on behalf of
the Data Controller.
IT IS AGREED
1. DEFINITIONS AND INTERPRETATION
1.1 In this agreement:
“the Data Protection Acts” or "the Acts" means the Data Protection Acts 1988 and 2003 and
the Data Protection Act 2018 (when enacted) and EU Directive 95/46/EC;
"Data" means any information of whatever nature that, by whatever means, is provided to the
Data Processor by the Partner, is accessed by the Data Processor on the authority of the
Partner, or is otherwise received by the Data Processor on behalf of the Partner, for the
purposes of the Processing specified in clause 3.1(a), and shall include, without limitation,
any Personal Data;
"Data Subject", "Personal Data" and "Processing" shall have the same meanings as are
assigned to those terms in the Acts;
“GDPR” means the General Data Protection Regulation, being Regulation (EU) 2016/679;
“Schedule” means the schedule annexed to and forming part of this Agreement;
"Services" means processing of the Data by the Data Processor in connection with and for the
purposes of the provision of the services to be provided by the Data Processor to the Partner
under the Services Agreement;
“Services Agreement” means the agreement for the provision of services between the Partner
and the Data Processor identified in the Schedule 1.
“Security Measures” means the security measures set out in the Schedule 2.
1.2 In this agreement any reference, express or implied, to any enactment (which includes any
legislation in any jurisdiction) includes references to:
(a) that enactment as re-enacted, amended, extended or applied by or under any other
enactment (before, on or after the date of this agreement);
(b) any enactment which that enactment re-enacts (with or without modification); and
(c) any subordinate legislation made (before, on or after the date of this agreement) under that
enactment, as re-enacted, amended, extended or applied as described in clause 1.2(a), or under
any enactment referred to in clause 1.2(b).
1.3 In this agreement:
(a) references to a person include an individual, a body corporate and an unincorporated
association of persons;
(b) references to a party to this agreement include references to the successors or assignees
(immediate or otherwise) of that party.
2. APPLICATION OF THIS AGREEMENT
2.1 The terms of this Agreement apply to all processing of Personal Data carried out for the
Data Controller by the Data Processor and to all Personal Data held by the Data Processor in
relation to all such processing whether such Personal Data is held at the date of this
Agreement or received thereafter. the terms of this Agreement supersede any other
arrangement, understanding or agreement including any services agreement made between the
parties at any time relating to protection of Personal Data.
3. DATA PROCESSING
3.1 The Partner acknowledges that it is deemed the Data Controller and Moodle Pty Ltd is
deemed the Data Processor at all times and in respect of any personal data processed in the
course of providing the Services.
3.2 The Data Processor acknowledges that it is the Data Processor in respect of any personal
data that the Partner allows access to or provides to it for the purposes of providing Services
to the Partner and that, in such a context, the Partner is the Data Controller.
3.3 The Data Processor takes sole responsibility for its compliance, as data processor, with the
requirements of the GDPR and the Data Protection Acts and of the contract herein.
3.4 If the Data Processor processes personal data other than as instructed by the Partner, the
Data Processor shall be considered to be a controller in respect of that processing and shall be
subject to the rules and legal obligations on data controllers pursuant to the Acts.
3.5 In consideration of the undertakings provided by the Partner in clause 5 of this
Agreement, the Data Processor agrees to Process the Data in accordance with this Agreement,
and specifically the Data Processor agrees to:
1. process the Data at all times in accordance with the GDPR and the Data Protection
Acts and solely for the purposes (connected with provision by the Data Processor of
the Services), to the extent and in such manner as is necessary for those purposes and
in the manner specified from time to time by the Partner in writing and for no other
purpose or in any manner except with the express prior written consent of the Partner;
2. in a manner consistent with the GDPR and the Data Protection Acts and with any
guidance issued by the relevant Data protection authority, implement appropriate
technical and organizational measures to safeguard the Personal Data from
unauthorized or unlawful Processing or accidental loss, destruction or damage, and
that having regard to the state of technological development and the cost of
implementing any measures, such measures shall ensure a level of security appropriate
to the harm that might result from unauthorized or unlawful processing or accidental
loss, destruction or damage and to the nature of the Data to be protected. the details of
those security measures for the time being are set out in Schedule 2 hereto;
3. in particular, ensure that appropriate security measures shall be taken against
unauthorized access to, or unauthorized alteration, disclosure or destruction of, the
data, in particular where the processing involves the transmission of data over a
network, and against all other unlawful forms of processing. the details of those
security measures for the time being are set out in Schedule 2 hereto;
4. comply, in processing of the data, with the Partner’s information security policies and
procedures as defined or as may be communicated from time to time or specified in
the context of a particular project or instance of processing;
5. ensure that each of its employees, agents and subcontractors are made aware of its
obligations under this agreement with regard to the security and protection of the Data
and shall require that they enter into and enforce binding obligations with the Data
Processor in order to maintain the levels of security and protection provided for in this
agreement, including the agreement Appended at Schedule 2;
6. not divulge the Data whether directly or indirectly to any person, firm or company or
otherwise without the express prior written consent of the Partner except to those of its
employees, who are engaged in the Processing of the Data and are subject to written
terms substantially the same as the terms contained in this processor agreement or
except as may be required by any law or regulation;
7. not divulge the Data, whether directly or indirectly to any person, firm or company or
otherwise except with the express prior written consent of the Partner, and to agents or
subcontractors who are subject to written terms substantially the same as the terms
contained in this processor agreement, or except as may be required by any law or
regulation;
8. provide the Partner on demand with the text of any such written terms to which its
employees, sub-contractor or agents are subject with regard to their processing of
Data;
9. upon the request of the Partner, promptly provide a written description of the technical
and organizational measures employed by it and/or any of its permitted sub-
contractors, detailed to such a level that the Partner can determine whether or not, in
connection with personal data, the Supplier and its permitted subcontractors are
complying with their obligations under this Agreement. If, as a result of an
independent audit by the Partner, its Agents, or the Office of the Data Protection
Commissioner, the measures employed by the Data Processor and/or its permitted
subcontractors are not sufficient to ensure compliance with their obligations under this
Agreement, the Data Processor shall take all steps (or procure that its permitted sub-
contractors take all steps) which are reasonably required to ensure that such
compliance is achieved;
10. afford to the Partner (and procure that its permitted sub-contractors afford to the
Partner) access on at least 14 working days notice, and at reasonable intervals, to any
premises where the relevant personal data are being processed to enable the Partner to
ensure that the Data Processor is complying with its obligations under this Agreement
and/or that the Data Processor’s permitted subcontractors are complying with the
equivalent contractual obligations imposed on them;
11. notify the Data Controller (within 2 working days) if it receives:
1.
1.
1. a request from a data subject to have access to that person’s Personal
Data
2. or a complaint or request relating to the Data Controller obligations’
under the Act;
l. provide the Data Controller with full cooperation and assistance in relation to any complaint
or request made, including by:
i. providing the Data Controller with full details of the complaint or request
ii. complying with a data access request within the relevant timescale set out in the Act and in
accordance with the Data Controller’s instructions; providing the Data Controller with any
Personal Data it holds in relation to a data subject (within the timescales required by the Data
Controller)
iii. providing the Data Controller with any information requested by the Data Controller;
m. notify the Data Controller immediately if it becomes aware of:
i. any unauthorized or unlawful processing, loss of, damage to or destruction of any of the
Personal Data
ii. or any advance in technology and methods of working which mean that the Data Controller
should revise the security measures set out in Schedule 2;
n. in the event of the exercise by Data Subjects of any of their rights under the Acts in relation
to the Data directly to the Data Processor, inform the Partner as soon as possible, and the Data
Processor further agrees to assist the Partner with all data subject information requests which
may be received from any Data Subject in relation to any Data;
o. in the event that the Data Processor receives a request for any information contained in the
Data pursuant to the acts, not to respond to the person making such request but to notify the
Partner within 2 working days, and the Data Processor further agrees to assist the Partner with
all such requests for information which may be received from any person within such
reasonable timescales as may be prescribed by the Partner;
p. for the purposes of this Agreement, procure a right in favour of the Partner to enforce the
obligations imposed on the Data Processor’s permitted subcontractors directly against such
sub-contractors and shall also procure that the terms of any sub-contract shall be governed by
the Laws of Ireland and be subject to the jurisdiction of the Irish courts;
q. not Process or transfer the Data outside of the European Economic Area except for limited
specified purpose and with the express consent of the Partner;
r. to notify all incidents of loss of control of personal data in manual or electronic form to
the Partner, as soon as it becomes aware of the incident, such that the Partner can notify the
Data Protection Commissioner within 24 hours;
s. in the event of any such breach, to promptly, and at its own expense provide the Partner
on request with all information required to fulfil its obligations, as Data Controller, under all
applicable laws, regulations and codes of practice;
t. to otherwise comply with all applicable laws and regulations and with the Personal Data
Security Breach Code of Practice insofar as they apply to it;
u. the Data Processor shall maintain the Personal Data processed by the Data Processor on
behalf of the Data Controller in confidence, and in particular, unless the Data Controller has
given written consent for the Data Processor to do so, the Data Processor shall not disclose
any Personal Data supplied to the Data Processor by, for, or on behalf of, the Data Controller
to any third party. the Data Processor shall not process or make any use of any Personal Data
supplied to it by the Data Controller otherwise than in connection with the provision of the
Services to the Data Controller. the above obligations in this Clause 3.5 (z) shall continue for
a period of five (5) years after the cessation of the provision of Services by the Data Processor
to the Data Controller. Nothing in this Agreement shall prevent either party from complying
with any legal obligation imposed by the Data Protection Commissioner or a court. Both
parties shall however, where possible, discuss together the appropriate response to any request
from the Data Protection Commissioner or court for disclosure of information;
aa. the Data Processor shall take appropriate measures to ensure that the people processing the
data on its behalf are subject to a duty of confidence;
bb. the Data Processor shall not subcontract to any third party any of its rights or obligations
under this Agreement without the prior written consent of the Data Controller. Where the
Data Processor, with the written consent of the Data Controller, does subcontract, it shall do
so only by way of a written sub-processing agreement with the subcontractor which imposes
the same obligations on the subcontractor as are imposed on the Data Processor under this
Agreement and which permits both the Data Processor and the Data Controller to enforce
those obligations. For the avoidance of doubt, where the subcontractor does not meet its
obligations under any sub-processing agreement, the Data Processor shall remain fully liable
to the Data Controller for meeting its obligations under this Agreement;
cc. the Data Processor shall delete or return all personal data to the Partner, as requested, on
the termination of this contract;
dd. the Data Processor shall submit to audits and inspections by or on behalf of the Partner,
provide the Partner with whatever information it needs to ensure that they are both meeting
their obligations under Article 28 of the GDPR, and will tell the controller immediately if it is
asked to do something infringing the GDPR or other data protection law of the EU or a
member state;
ee. This Agreement shall continue in full force and effect for so long as the Data Processor is
processing Personal Data on behalf of the Data Controller, and thereafter as provided in
Clause 3.5 (z).
4. OBLIGATIONS OF THE PARTNER
4.1 In consideration of the obligations undertaken by the Data Processor in clause 4, the
Partner agrees that it shall ensure that it complies at all times with any applicable enactment,
and in particular with its obligations as Data Controller under the GDPR and Data Protection
Acts.
4.2 In particular, the Partner shall ensure that any disclosure of Personal Data made by it to
the Data Processor is made with the data subject's consent, which consent shall have been
obtained freely, fairly and after the data subject has been fully informed as to all processing to
be applied or is otherwise lawful.
4.3 The Partner shall comply with its responsibilities under with all applicable laws,
regulations and codes of practice.
5. LIABILITY
5.1 Each party to this Data Processing Agreement commits to being responsible for its own
acts of infringement of this Data Processing Agreement. A party shall not be liable for any
claims, demands, actions, costs, expenses and liabilities, including reasonable legal fees
resulting from the culpable infringement committed by the other party or its current and
former trustees, directors, officers, employees, agents, and affiliates. Art. 82 of GDPR is in no
way altered by this clause 5.1.
6. TERMINATION
6.1 This agreement shall terminate automatically upon termination or expiry of the Data
Processor obligations’ in relation to the Services, and on termination of this agreement the
Data Processor shall forthwith deliver to the Partner or destroy, at the Partner’s sole option, all
Data in its possession or under its control which has been provided by Direct. Either party
may terminate this contract on 30 days written notice to the other party, or without notice in
the event of a breach of any of the terms of this agreement.
7. WAIVER
7.1 Failure by either party to exercise or enforce any rights available to that party or the
giving of any forbearance, delay or indulgence shall not be construed as a waiver of that
party's rights under this agreement.
8. INVALIDITY
8.1 If any term or provision of this agreement shall be held to be illegal or unenforceable in
whole or in part under any enactment or rule of law such term or provision or part shall to that
extent be deemed not to form part of this agreement but the enforceability of the remainder of
this agreement shall not be affected provided however that if any term or provision or part of
this agreement is severed as illegal or unenforceable, the parties shall seek to agree to modify
this agreement to the extent necessary to render it lawful and enforceable and as nearly as
possible to reflect the intentions of the parties embodied in this agreement including without
limitation the illegal or unenforceable term or provision or part.
9. ENTIRE AGREEMENT
9.1 This agreement and the documents attached to or referred to in this agreement shall
constitute the entire understanding between the parties and shall supersede all prior
agreements, negotiations and discussions between the parties. In particular the parties warrant
and represent to each other that in entering into this agreement they have not relied upon any
statement of fact or opinion made by the other, its officers, servants or agents which has not
been included expressly in this agreement. Further, each party hereby irrevocably and
unconditionally waives any right it may have:
1. to rescind this agreement by virtue of any misrepresentation;
2. to claim damages for any misrepresentation whether or not contained in this
agreement;
save in each case where such misrepresentation or warranty was made fraudulently.
10. NOTICES
10.1 Notices shall be in writing and shall be sent to the other party marked for the attention of
the person at the address set out below. Notices may be sent by mail, email or facsimile
transmission. Correctly-addressed notices sent by mail shall be deemed to have been delivered
72 hours after posting and correctly directed email or facsimile transmissions shall be deemed
to have been delivered instantaneously on transmission providing that they are confirmed as
set out as above.
If for the Partner: email address provided to the Data Processor
If for the Data Processor: privacy@moodle.com;
SCHEDULE 1
THE SERVICES AGREEMENT
Description of all Personal Data accepted from the Data Controller:
1. Information stored in Airnotifier server related to the website of the Data Controller,
the device of the website’s end user
 website address
 website admin email
 Pushid - the “device token”, a unique identifier of the device in Google or Apple
system
2. Information processed by Airnotifier server (not stored)
 User id - the id of the user on the website database
 User name - the user name used mostly for logging-in
 User from id - the id of the user who sends the notification
 User from name - the user name of the user who sends the notification
 User full name - the full name (first name and second name) of the user who receives
the notification
 Date and time - the date the notification was sent
 Subject of the notification
 Notification - this is a boolean field indicating whether is a notification or message
 Small message - a summary of the message that is being sent
 Full message - the full message
 Device platform - the type of device (Android or Apple device)
Airnotifier server is located in the European Union.
Its purpose:
Enable the end users of the platform to receive push notifications as determined by the
administrator of their installation through the Mobile application.
Processing the Data Controller requires to be performed upon it:
 register the website on the webpage informed by the Data Processor
 Request access key on the Airnotifier server in order to enable the push notifications
service
SCHEDULE 2
The following are the Security Measures referred to in Sub-Clause 1.1.:
1. the Data Processor will ensure that in respect of all Personal Data it receives from or
processes on behalf of the Data Controller it maintains security measures to a standard
appropriate to:
1.1 the harm that might result from unlawful or unauthorized processing or accidental loss,
damage or destruction of the Personal Data; and
1.2 the nature of the Personal Data.
2. In particular the Data Processor shall:
2.1 ensure that it
2.1.1 defines security needs based on a risk assessment;
2.1.2 allocates responsibility for implementing the policy to a specific individual or members
of a team;
2.1.3 that the required information is disseminated to all relevant staff; and
2.1.4 provides a mechanism for feedback and review.
2.2 ensure that appropriate security safeguards and virus protection are in place to protect the
hardware and software which is used in processing the Personal Data in accordance with best
industry practice;
2.3 prevent unauthorized access to the Personal Data;
2.4 ensure the storage of Personal Data conforms with best industry practice such that the
media on which Personal Data is recorded (including paper records and records stored
electronically) are stored in secure locations and access by personnel to Personal Data is
strictly monitored and controlled;
2.5 have secure methods in place for the transfer of Personal Data whether in physical form
(for instance, by using couriers rather than post) or electronic form (for instance, by using
encryption);
2.6 put password protection on computer systems on which Personal Data is stored and ensure
that only authorized personnel are given details of the password;
2.7 take reasonable steps to ensure the reliability of employees or other individuals who have
access to the Personal Data;
2.8 ensure that any employees or other individuals required to access the Personal Data are
informed of the confidential nature of the Personal Data and comply with the obligations set
out in this Agreement;
2.9 ensure that none of the employees or other individuals who have access to the Personal
Data publish, disclose or divulge any of the Personal Data to any third party unless directed in
writing to do so by the Data Controller;
2.10 have in place methods for detecting and dealing with breaches of security (including
loss, damage or destruction of Personal Data) including:
2.10.1 the ability to identify which individuals have worked with specific Personal Data;
2.10.2 having a proper procedure in place for investigating and remedying breaches of the
data protection principles contained in the Acts; and
2.10.3 notifying the Data Controller as soon as any such security breach occurs.
2.11 have a secure procedure for backing up and storing back-ups separately from originals;
2.12 have a secure method of disposal of unwanted Personal Data including for back-ups,
disks, print outs and redundant equipment.
Last modified: Wednesday, 7 April 2021, 9:34 PM

Privacy Notice

Last updated: June 2022
Moodle Pty Ltd and its affiliated companies (“Moodle”, “we” or “us”), is the company at the
heart of the open source Moodle Project: empowering educators to improve our world. This
privacy notice sets out how Moodle collects and uses information about you when you use our
products and services (“services”) and why we collect certain personal data. This notice also
explains the choices that you can make about the way that we use your information.
We have also included a number of useful resources below which you may use to engage with
Moodle to ensure your personal data and the personal data of those around you is protected.
Your privacy protection is important to us. This is why we have adopted the following pivotal
legislation: EU’s General Data Protection Regulation 2016/679 (“GDPR”), UK General Data
Protection Regulation (“UK GDPR”) and the California Consumer Privacy Act 2018
(“CCPA”). This privacy notice relates to all personal data we process and addresses the
legislation mentioned.
‘Personal data’, in this privacy notice, means any information relating to an identified or
identifiable natural person (‘data subject’). An identifiable natural person is someone who can
be identified, directly or indirectly, in particular by reference to an identifier such as a name,
an identification number, location data, an online identifier or to one or more factors specific
to the physical, physiological, genetic, mental, economic, cultural or social identity of that
natural person.
Why we collect your personal data
So that we can help you, we need your data and here we tie in our legal justifications for
needing to collect your data.
In order for us to provide you with our services or for correspondence purposes we need to
collect your personal data. We ensure that the information we collect and use is confined to
this purpose. We always process your personal data for specific purposes, with the nature of
the data collected depending on your interaction with us. We are committed to transparency in
this.
Our legal bases for controlling or processing personal data are:
Article 6.1(a) GDPR (Consent): You provide informed consent to us or have a
reasonable expectation that we will use your information in a certain way – for
example, to engage in our community discussions, or to hear about new services or
offers. You can withdraw your consent at any time either by selecting ‘delete my data’
within the specific service or by request to privacy@moodle.com;
Article 6.1(b) GDPR (Contract): Providing our services and fulfilling our
obligations to you, usually relating to a terms of service or partnership agreement;
Article 6.1(c) GDPR (Legal Obligation): The necessity to meet compliance with our
legal obligations; and/or
Article 6.1(f) GDPR (Legitimate Interest): Where it is in our legitimate interests to
do so. We only rely on ‘legitimate interests’ as the legal basis for processing by us, or
third parties we use, for these purposes:
• recruitment and induction of new employees, contractors and other people who
work with us;
• emergency contacts for people who work with us, such as employees and
contractors for health and safety purposes;
• business development; or
• providing login systems to users via their existing social media accounts.
Where we rely on a specific basis for processing your information and you wish to object to
that processing, you must be aware that it might not be possible for you to continue using our
services.
The special categories of personal data (Article 9 of GDPR) we process are:
• biometric data in the form of facial images, where you have uploaded and we store
your profile picture;
• health data in respect of employees, contractors and other people who work with us;
and/or
• any special categories of special personal data which any user volunteers while using
our services (for example in a forum or submission).
If we need to pass on special category personal data (see Article 9 of GDPR) to a third
party, we will only do that in accordance with the legal bases under Article 6 of GDPR as
outlined above.
If you would like more details please refer to our Register of GDPR Information.
How we collect personal data
Here we give you examples of ways that you interact with us and the resulting data we may
collect!
Moodle collects personal data from you when you interact with us. This can be through our
websites, over the phone, in person, including, without limitation, when you:
• create an individual or corporate user account;
• request support;
• register for or participate in an online class, exam, certification, training, webcast or
other event;
• request information or materials;
• participate in surveys or evaluations;
• participate in promotions, contests or giveaways;
• make a purchase through our shop or register products;
• apply for employment;
• submit questions or comments; or
• submit content or posts on our forums or other interactive webpages.
How we use personal data
Here we let you know what happens if we need to engage others to assist us to service your
needs. If we do engage others we have set how we ensure your data is kept safe.
We may need to pass your personal data on to third-party service providers contracted to
Moodle in the course of dealing with you. We do this because there are services, such as our
video conferencing facility, which will not work unless we are able to make these transfers.
Any third parties we share your data with are obliged to keep your personal data secure and
use it only for necessary service delivery. When your data is no longer required to fulfil the
service, those third parties will be directed to dispose of your data in accordance with our
standard procedures.
We seek to enter into Data Processing Agreements with our third party service providers to
ensure they only process your data as instructed by us. If you obtain products or services
directly from us on behalf of others we will ensure you enter into a Data Processing
Agreement (DPA) with us. You will also need to enter into a DPA with your
students/employees/customers when using our systems. An example of our DPA is available
on our website.
How we store personal data
Here we outline our processes for data storage, how we will protect your data and keep it only
for as long as needed!
We will process (collect, store and use) the information you provide in a manner compatible
with GDPR. We maintain physical, organisational and technical safeguards for all personal
data we hold. We will endeavour to keep your information accurate and up to date, and not
keep it for longer than is necessary. We are required to retain certain information in
accordance with the law, such as information needed for income tax and audit purposes. How
long certain kinds of personal data should be kept are governed by specific business sector
requirements and agreed practices. Personal data can be held in addition to these periods
depending on individual business needs.
We will process different forms of personal data for as long as it is necessary and
proportionate for the purpose for which it has been supplied and we will store the personal
data for the shortest amount of time possible, taking into account legal and service
requirements.
Marketing
We love to share, but you can opt out and we will not sell your information!
We have no interest in collecting any data beyond that needed to ensure our services work for
you. If you are going to be contacted by us for marketing purposes, we will not rely solely on
this privacy notice. We will endeavour to seek your consent appropriately. Moodle does not
sell data, and has no intentions in doing so in the future.
Data protection rights
You control the personal data you share with us! Here, we outline your rights under GDPR
and CCPA.
At any point while we are in possession of or we process your personal data, you have the
following rights:
• (GDPR) right of access – you have the right to request a copy of the information that
we hold about you;
• (GDPR) right of rectification – you have a right to correct data that we hold about you
that is inaccurate or incomplete;
• (GDPR) right to be forgotten – in certain circumstances you can ask for the data we
hold about you to be erased from our records;
• (GDPR) right to restriction of processing – where certain conditions apply to have a
right to restrict the processing;
• (GDPR) right of portability – you have the right to have the data we hold about you
transferred to another organisation;
• (GDPR) right to object – you have the right to object to certain types of processing
such as direct marketing;
• (GDPR) right to object to automated processing, including profiling – you also have
the right not to be subject to the legal effects of automated processing or profiling;
• (GDPR) right to judicial review: in the event that we refuse your request under rights
of access, we will provide you with a reason as to why. You have the right to complain
as outlined below;
• (CCPA) right to deletion - you have the right to delete personal information collected
from you (with some exceptions);
• (CCPA) right to opt out of sales - we do not sell your data;
• (CCPA) right to be free of discrimination - if you exercise your rights we will not
discriminate against you; and/or
• (CCPA) right to know - you have the right to know:
• the categories of personal information collected;
• specific pieces of personal information collected;
• the categories of sources from which we collect personal information;
• the purposes for which we use your personal information;
• the categories of third parties with whom we share your personal information;
and/or
• the categories of information that we disclose to third parties.
Where we are your Data Controller, please make your request directly to the Data Protection
Officer at dpo@moodle.com. We will always respond within one month.
However, if we are processing your data on behalf of your Data Controller (your service
provider) you should contact them directly.
Useful Resources
We provide you with useful resources to streamline your engagement with us.
We remain committed to building a secure LMS that protects the privacy and security of
learners' and employees’ data. We provide all users with the tools to ensure that their data,
information and operations are secure and protected. Privacy features embedded with Moodle
LMS ensure that Moodle is GDPR compliant and adheres to local privacy legislation
requirements. However, some responsibility for compliance and safety rests with the
organisation that controls each Moodle installation. We encourage institutions and
organisations to implement security measures for their Moodle installation and:
• write multiple policy documents (including site policy for guests) so that they can be
completely transparent with their learners, educators and anyone who visits their site
on how they collect, use or disclose their data;
• protect digital minors with age-of-consent checks and manage access for minors who
require parental agreement to access their learning management system;
• handle all data requests from learners and keep track of retention periods in a
centralised place; and
• enable users to easily request access or download their data, to see the policies they’ve
agreed to and appoint a Privacy officer role to manage subject access/deletion requests
from such users centrally.
We have also included some useful resources for your use in engaging with MoodleHQ:
• Our standard Data Processing Agreement (DPA) that covers all of our products and
services in a concise and comprehensive Schedule 1.
• Cross Border Standard Contract Clauses (SCCs) that will allow us to contract with you
to ensure protection of any personal data required to be transferred outside the EEA.
• GDPR Questionnaire that may assist you in undertaking due diligence of Moodle's
privacy practices when choosing a vendor that's right for you.
Privacy notices of other websites
Our privacy notice and managing your data is only applicable when you are using our
services. It does not cover your use of others’ sites and services.
This privacy notice outlines how we manage your personal data. If the website you are using
is not hosted by us or you click on a link to another website, we encourage you to read their
privacy notice.
Where we are not involved with your personal data, such as where the Moodle software has
been self-hosted, you should address your requests to the Data Controller of the website since
we have no access to your personal data.
Children and Personal Data
Let’s keep our children safe!
Here at Moodle we understand the importance of protecting the personal data of children
under the age of 16. It is not our intention to collect personal data from a child. If you believe
that a child has disclosed personal data or that we hold personal information about a child,
please email us at privacy@moodle.com.
Verification
Before we action a request we need to ensure it is from you.
Before we action a personal data request we need to verify your identity. We accept a request
made through your personal Moodle account while you are logged in. We sometimes require
additional information such as a colour copy of your passport, driving licence or national ID
card.
Amendments to our Privacy Notice
We are transparent about any updates made to this Notice.
Moodle updates our privacy notice when necessary or in response to:
• feedback from our community, customers, relevant authority, industry or other
stakeholders;
• changes in our products or services; and/or
• data processing or policy changes.
The “last updated” date at the top of this privacy notice reflects when the most recent changes
were made. We encourage you to periodically review this privacy notice for any amendments.
How to contact us
We love feedback, reach out to us!
If you have any questions about our privacy notice, please contact us via our Feedback Form,
or by email at privacy@moodle.com, or by mail at:
Moodle Pty Ltd
PO Box 303
West Perth WA 6872
Australia
How to contact the appropriate authorities
Here we provide further independent contacts should they be required.
If you have questions or wish to lodge a complaint about how your personal data is being
processed by us (or third parties as described above), or how your complaint has been
handled, you have the right to contact a supervisory authority and also our Data Protection
Officer, Data Compliance Europe Ltd.
Our independent Data Protection Officer is:
Data Compliance Europe Ltd.
12 City Gate
Lower Bridge Street, Dublin 8
Ireland
Email: moodle@datacomplianceeurope.eu
Our supervisory authority is:
Data Protection Commissioner
Canal House
Station Road, Portarlington
R32 AP23 Co Laois
Ireland
Email: info@dataprotection.ie
Phone: +353 57 8684800
Register of GDPR Information
If you would like more details about the types of information we process, please refer to our
Register of GDPR Information.