Datenschutz und Sicherheit
Unsere Lernsysteme werden nach den Vorgaben der DSGVO als Software-as-a-Service ausschließlich in Deutschland in einem ISO 27001/2022 zertifizierten Rechenzentrum gehostet.
Software hosted in Germany
Auch alle angebundenen Drittsysteme - beispielsweise das Konferenzsystem BigBlueButton oder das Online Office ONLYOFFICE - werden ausschließlich auf Servern in Deutschland betrieben. So verlassen die Daten der Nutzenden nie die sicheren Server in Deutschland.
Alle Bildungssites unserer Schweizer Kunden werden in der Schweiz gehostet.
Datenschutz per Design
Datenschutz per Design meint den Datenschutz durch Technikgestaltung. Um personenbezogene Daten zu schützen, haben wir eine Vielzahl von Maßnahmen ergriffen. So setzen wir beispielsweise konsequent auf Datenminimierung und sorgen dafür, dass nur diejenigen personenbezogenen Daten erhebt, die für die Nutzung unbedingt nötig sind. Auch verwenden wir keine Tracking-Verfahren, mit denen sich Nutzeraktivitäten personenbezogen verfolgen ließen.
Datenschutzpaket
Wir schließen mit Ihnen einen Vertrag über die Verarbeitung der Daten im Auftrag. In diesem Vertrag dokumentieren wir auch unsere Technischen und Organisatorischen Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten, die in der Cloud verarbeitet werden. Zusätzlich bieten wir Ihrer Bildungsinstitution ein Datenschutzpaket an, das alle Vorlagen für die interne Dokumentation nach DSGVO enthält.
Datensparsamkeit und Transparenz sind unsere Prinzipien. So tragen wir dem Datenschutz Rechnung.
Unser Sicherheitskonzept
So schützen wir Nutzerdaten vor Manipulation, Verlust, Zerstörung sowie gegen den Zugriff Unbefugter:
Datenminimierung
WebWeaver® erhebt und verarbeitet zunächst grundsätzlich nur diejenigen personenbezogenen Daten, die für den technischen Betrieb sowie bei Anlage von Nutzerzugängen unbedingt notwendig sind. Hierzu gehört technisch beispielsweise die IP-Adresse, die die Nutzer bei ihrem Login verwenden. Im Fall von massenhaften Zugriffen, die von bestimmten IP-Adressen aus erfolgen, ist der Betreiber dadurch in der Lage, IP-Adressen zu blocken und damit die Verfügbarkeit der Plattform sicherzustellen.
Verschlüsselung der Datenübertragung
Jegliche Datenübertragung via Browser oder WebWeaver®-Apps wird durch Transportverschlüsselung geschützt. Dritte können Daten bei der Übertragung daher nicht auslesen oder manipulieren.
Passwörter und Passwortsicherheit
Auf WebWeaver® werden die Zugangspasswörter ausschließlich "gehasht" gespeichert und können auch von einem Administrator nicht eingesehen werden.
Die Passwort-Richtlinie zur Erlangung einer hohen Passwort-Komplexität können Sie als Betreiber (z.B. Schulträger) auf Ihrer Plattform definieren, sofern dies mit Rücksicht auf die sehr heterogenen Nutzergruppen im Schulkontext alltagstauglich ist.
Absicherung von Logins bei WebWeaver® App
Erfolgt der Zugang zu WebWeaver® über die App, werden auf den jeweiligen Endgeräten keine Passwörter gespeichert. Es wird lediglich ein sogenanntes „Token“ abgelegt, das – bei entsprechender Einstellung – auch den automatischen Login beim Start der App ermöglicht.
Sicherheit bei Verlust eines Mobilgerätes
Im Privatbereich kann der einzelne Nutzer die Verbindung zu dem Gerät, auf dem die App oder WebWeaver® Desktop installiert ist, jederzeit löschen. So wird etwa bei Verlust eines Mobilgerätes der Login über die App durch Unbefugte auf diesem Gerät unterbunden.
Gemeinsam genutzte schulische Mobilgeräte
Für gemeinsam genutzte schulische Mobilgeräte kann bei Installation der App per Einstellung festgelegt werden, dass Logins in der App nicht gespeichert werden können. So ist über gemeinsam genutzte Geräte ein unbefugter Zugriff auf personenbezogene Daten durch Dritte ausgeschlossen.
Länderabhängige Zugangsbeschränkung
Über die Administration der Schule lässt sich der Zugang zu WebWeaver® rollenbezogen oder auch für einzelne Nutzer durch eine länderspezifische Zugangsbeschränkung absichern. Diese legt fest, aus welchen Ländern der Login anhand der beim Login verwendeten IP-Adresse möglich ist. Ein Login aus einem anderen Land wird dann trotz korrekt eingegebenem Passwort automatisiert unterbunden. Über einen solchen Login-Versuch werden die jeweiligen Nutzer per Systemnachricht benachrichtigt.
Gibt es keine Zugangsbeschränkung, so haben die einzelnen Nutzer die Möglichkeit, in den Einstellungen in ihrem Privatbereich selbst eine länderspezifische Zugangsbeschränkung zu aktivieren.
Keine Verwendung von sogenannten Tracking-Cookies
WebWeaver® verwendet keine sog. Tracking-Cookies, mit denen sich Nutzeraktivitäten verfolgen ließen. Lediglich sogenannte Session-Cookies werden auf dem beim Login verwendeten Endgerät während der jeweiligen Dauer des Besuchs auf der Lernplattform gespeichert. Diese dienen einzig dazu, die jeweilige Sitzung abzusichern und werden nach Schließen des Browserfensters automatisch wieder gelöscht.
Löschung und Wiederherstellung von Nutzerzugängen und zugehörigen Daten
Über die Administrationsfunktion „Purgatorium“ können die Zugänge von versehentlich gelöschten Nutzern bzw. Klassen und Gruppen für eine durch den Betreiber definierte Frist nach Löschung mit allen zugehörigen Daten wiederhergestellt werden.
Mit Hilfe des Purgatoriums können Schuladministratoren fehlerhafte Löschungen ohne Datenverlust rückgängig machen. Zugänge können vor Ablauf der Frist der Zwischenspeicherung im Purgatorium dadurch endgültig gelöscht werden, dass sie im Purgatorium selbst nochmals gelöscht werden. Auf diese Weise lässt sich z.B. das Recht eines Betroffenen auf Löschung trotz Verwendung des Purgatoriums leicht umsetzen.
Selbstauskunft über gespeicherte Daten
In den persönlichen Einstellungen im Privatbereich haben die Nutzende von WebWeaver® über die Funktion „Auskunftsrecht“ jederzeit die Möglichkeit, sich über die personenbezogenen Daten zu informieren, die das System über sie gespeichert hat.