Datenschutzerklärung
für Software, Webanwendungen, Moodle-basierte Systeme, Plugins, Tools und KI-gestützte Funktionen
Diese Datenschutzerklärung informiert darüber, wie die pentanet.ch GmbH Personendaten im Zusammenhang mit ihren Websites, Softwarelösungen, Webanwendungen, Moodle-basierten Systemen, Plugins, Schnittstellen, Supportleistungen und KI-gestützten Funktionen bearbeitet.
Diese Datenschutzerklärung ist auf die Allgemeinen Geschäftsbedingungen (AGB) der pentanet.ch GmbH für Software-Nutzung, Urheberrecht und Schutz des geistigen Eigentums abgestimmt. Sie regelt den Datenschutz und ersetzt keine gesonderten vertraglichen Leistungs-, SLA- oder Haftungsbestimmungen.
Diese Vorlage ersetzt keine individuelle rechtliche Prüfung. Je nach konkreter Installation, Hostingmodell, eingesetzten Drittanbietern und Kundenvorgaben können ergänzende Regelungen notwendig sein.
1. Verantwortliche Stelle
Verantwortlich für die Bearbeitung von Personendaten ist, soweit pentanet.ch GmbH selbst über Zweck und Mittel der Bearbeitung entscheidet:
pentanet.ch GmbH
Technikumstrasse 2
3400 Burgdorf
Schweiz
E-Mail: info@pentanet.ch
Website: https://pentanet.ch
Bei datenschutzrechtlichen Anfragen kann die oben genannte Kontaktadresse verwendet werden.
2. Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung gilt für die Bearbeitung von Personendaten im Zusammenhang mit:
3. Abgrenzung zum Open-Source-LMS Moodle
Moodle ist ein Open-Source-Lernmanagementsystem und nicht Eigentum der pentanet.ch GmbH. Die Moodle-Software selbst ist nicht Bestandteil eigener proprietärer Software oder eigener AGB der pentanet.ch GmbH.
Für Moodle gelten die jeweiligen Open-Source-Lizenzbedingungen und Nutzungsbestimmungen. Diese Datenschutzerklärung bezieht sich im Zusammenhang mit Moodle nur auf Datenbearbeitungen, die durch Leistungen der pentanet.ch GmbH entstehen, insbesondere durch Hosting, Betrieb, Konfiguration, Wartung, Support, eigene Plugins, Schnittstellen, Designs oder sonstige ausdrücklich vereinbarte Dienstleistungen.
Durch die blosse Nutzung einer selbst betriebenen Moodle-Installation werden Personendaten nicht automatisch an das Moodle-Projekt oder Moodle HQ übermittelt. Eine Übermittlung an Dritte erfolgt nur, wenn entsprechende externe Dienste, Plugins, Integrationen, KI-Anbieter oder Hostingdienste eingesetzt werden.
4. Hosting und Betrieb von Standard-Moodle, Plugins, Tools und Kursinhalten
Sofern vertraglich ausdrücklich vereinbart, kann pentanet.ch GmbH für das Hosting und den technischen Betrieb einer Standard-Moodle-Installation Personendaten bearbeiten. Diese Bearbeitung beschränkt sich grundsätzlich auf technische Betriebszwecke, insbesondere Bereitstellung der Serverumgebung, Monitoring, Backups, Sicherheitsupdates, Protokollierung, Fehleranalyse, Systemstabilität und technische Wiederherstellung.
Die datenschutzrechtliche und inhaltliche Verantwortung für Personendaten und Inhalte, die Kunden, Lehrpersonen, Lernende oder sonstige Nutzerinnen und Nutzer innerhalb von Kursen, Aktivitäten, Tools, Aufgaben, Tests, Foren, H5P-Elementen, Abgaben, KI-Funktionen oder sonstigen Kursbereichen erfassen, hochladen, bearbeiten oder veröffentlichen, liegt grundsätzlich beim Kunden, sofern dieser über Zweck und Mittel der Bearbeitung entscheidet.
pentanet.ch GmbH übernimmt, soweit gesetzlich zulässig und vertraglich nicht ausdrücklich anders vereinbart, keine rechtliche Verantwortung für Fehler, Störungen, Fehlfunktionen, Datenverluste oder sonstige Folgen, die durch Plugins, Erweiterungen, Themes, Schnittstellen, externe Dienste, Drittanbieter-Tools oder deren Konfiguration, Aktualisierung, Kompatibilität oder Nutzung entstehen.
Ebenfalls nicht umfasst ist die Verantwortung für die fachliche, rechtliche, didaktische oder inhaltliche Richtigkeit und Zulässigkeit von Kursinhalten, Lernaktivitäten, KI-generierten Inhalten, Benutzerhandlungen, Rollen, Berechtigungen oder Tool-Nutzungen innerhalb einzelner Kurse. Die Auswahl, Prüfung, rechtmässige Nutzung und Kontrolle dieser Tools und Inhalte liegt beim Kunden.
Support zu Plugins, Tools, Kursinhalten, Konfigurationen oder Anwendungsfragen kann durch pentanet.ch GmbH erbracht oder koordiniert werden. Dabei können Support- und Kommunikationsdaten, Screenshots, Logdaten sowie erforderliche Benutzer-, Kurs- oder Systemdaten bearbeitet werden, soweit dies für die Bearbeitung der Supportanfrage notwendig ist. Solche Supportleistungen werden zusätzlich verrechnet und sind nicht Bestandteil von SLA-Bestimmungen, insbesondere nicht Bestandteil vereinbarter Reaktionszeiten, Wiederherstellungszeiten oder Verfügbarkeitszusagen, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.
5. Rollen von pentanet.ch GmbH und Kunden
Je nach Situation bearbeitet pentanet.ch GmbH Personendaten in unterschiedlicher Rolle:
- Eigene Verantwortlichkeit: Bei eigenen Websites, Kontaktanfragen, Angeboten, Rechnungen, Supportfällen, Vertragsverwaltung und interner Administration entscheidet pentanet.ch GmbH selbst über Zweck und Mittel der Bearbeitung.
- Auftragsbearbeitung: Wenn pentanet.ch GmbH im Auftrag eines Kunden eine Moodle-Installation, Softwarelösung oder technische Umgebung hostet, betreibt, wartet oder unterstützt, kann pentanet.ch GmbH Personendaten im Auftrag des Kunden bearbeiten. In diesem Fall bleibt der Kunde für die Rechtmässigkeit der Datenbearbeitung gegenüber seinen Nutzerinnen und Nutzern verantwortlich.
- Verantwortung des Kunden: Wenn der Kunde Plugins, Tools, Kursaktivitäten, Rollen, Berechtigungen, Inhalte, KI-Funktionen oder Drittanbieter-Dienste auswählt, konfiguriert oder nutzt, entscheidet er in der Regel selbst über Zweck und Mittel dieser Bearbeitung und trägt die entsprechende datenschutzrechtliche Verantwortung.
- Gemeinsame oder getrennte Verantwortlichkeit: Bei bestimmten Integrationen oder Drittdiensten kann eine gesonderte datenschutzrechtliche Beurteilung erforderlich sein.
Soweit erforderlich, wird mit dem Kunden eine separate Vereinbarung zur Auftragsbearbeitung abgeschlossen.
6. Kategorien bearbeiteter Personendaten
Je nach Nutzung können insbesondere folgende Personendaten bearbeitet werden:
- Stammdaten: Name, Firma, Funktion, Adresse, Telefonnummer, E-Mail-Adresse, Vertragsdaten.
- Benutzer- und Kontodaten: Benutzername, Rollen, Berechtigungen, Login-Daten, Spracheinstellungen, Kurszugehörigkeiten.
- Nutzungs- und Protokolldaten: Zeitpunkt von Zugriffen, IP-Adresse, Browser, Betriebssystem, Logins, Aktivitäten, Fehlermeldungen, technische Logfiles.
- Lern- und Kursdaten: Kurseinschreibungen, Aktivitäten, Fortschritte, Bewertungen, Abgaben, Kommentare, Forenbeiträge und weitere Inhalte innerhalb einer Lernplattform.
- Support- und Kommunikationsdaten: E-Mails, Supportanfragen, Fehlerbeschreibungen, Screenshots, Besprechungsnotizen, Logauszüge, Systeminformationen und Korrespondenz.
- Inhalts- und Uploaddaten: Dokumente, Texte, Aufgabenstellungen, Kursmaterialien, Prompts und sonstige Inhalte, die durch Nutzerinnen und Nutzer hochgeladen oder eingegeben werden.
- Abrechnungs- und Geschäftsdaten: Offerten, Bestellungen, Rechnungen, Zahlungsinformationen und Buchhaltungsdaten.
Besonders schützenswerte Personendaten sollen nur eingegeben oder übermittelt werden, wenn dies für den vorgesehenen Zweck notwendig, rechtlich zulässig und organisatorisch abgesichert ist.
7. Zwecke der Datenbearbeitung
Personendaten werden insbesondere zu folgenden Zwecken bearbeitet:
8. KI-gestützte Funktionen und KI Kurs Generator
Bei der Nutzung des KI Kurs Generators oder anderer KI-gestützter Funktionen können eingegebene Texte, Prompts, hochgeladene Dokumente, Kursinformationen und generierte Inhalte verarbeitet werden, um daraus Vorschläge, Kursinhalte, Aufgaben, Tests, Zusammenfassungen oder andere Lernmaterialien zu erstellen.
Je nach Konfiguration können hierfür externe KI-Anbieter eingesetzt werden, zum Beispiel OpenAI, Microsoft Azure/OpenAI oder andere durch den Kunden oder pentanet.ch GmbH konfigurierte Anbieter. Welche Anbieter konkret verwendet werden, hängt von der jeweiligen Installation, Konfiguration und Vereinbarung ab.
Nutzerinnen und Nutzer dürfen keine sensiblen, vertraulichen oder rechtswidrigen Inhalte in KI-Funktionen eingeben, sofern dies nicht ausdrücklich vorgesehen, rechtlich zulässig und vertraglich geregelt ist. Dazu gehören insbesondere Gesundheitsdaten, besonders schützenswerte Personendaten, vertrauliche Kundendaten, Zugangsdaten, Geschäftsgeheimnisse oder urheberrechtlich geschützte Inhalte ohne entsprechende Rechte.
KI-generierte Inhalte können fehlerhaft, unvollständig oder rechtlich unzulässig sein. Die fachliche, rechtliche und didaktische Prüfung der Ergebnisse liegt bei der Person oder Organisation, welche die Inhalte nutzt oder veröffentlicht.
9. Rechtsgrundlagen
Die Bearbeitung von Personendaten erfolgt nach dem anwendbaren Datenschutzrecht, insbesondere dem schweizerischen Datenschutzgesetz (DSG). Soweit die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) anwendbar ist, erfolgt die Bearbeitung insbesondere auf Grundlage von Vertragserfüllung, berechtigtem Interesse, Einwilligung oder gesetzlichen Pflichten.
Berechtigte Interessen können insbesondere in der sicheren Bereitstellung der Systeme, der Kundenbetreuung, der Fehleranalyse, der Abwehr von Missbrauch, der Verbesserung von Dienstleistungen und der Geschäftsadministration liegen.
10. Weitergabe von Personendaten an Dritte
Personendaten können an Dritte weitergegeben werden, soweit dies für die Bereitstellung der Dienstleistungen, die Vertragserfüllung, die technische Infrastruktur, die Sicherheit oder gesetzliche Pflichten erforderlich ist. Dazu können insbesondere gehören:
- Hosting- und Infrastrukturprovider;
- IT-Dienstleister, Wartungs- und Supportpartner;
- KI-Anbieter und Schnittstellenanbieter, sofern KI-Funktionen verwendet werden;
- Anbieter von Plugins, Schnittstellen, externen Diensten oder Drittanbieter-Tools, sofern solche Funktionen eingesetzt werden;
- E-Mail-, Kommunikations- und Kollaborationstools;
- Zahlungs-, Buchhaltungs- und Administrationsdienstleister;
- Behörden, Gerichte oder sonstige Stellen, sofern eine rechtliche Pflicht besteht.
Dritte werden soweit erforderlich vertraglich verpflichtet, Personendaten nur zweckgebunden und angemessen geschützt zu bearbeiten. Wenn der Kunde selbst Drittanbieter-Plugins, Schnittstellen oder externe Dienste einsetzt, ist er für die Prüfung der datenschutzrechtlichen Voraussetzungen grundsätzlich selbst verantwortlich, sofern nichts anderes vereinbart wurde.
11. Datenbearbeitung im Ausland
Personendaten können auch in Staaten ausserhalb der Schweiz oder des Europäischen Wirtschaftsraums bearbeitet werden, insbesondere wenn eingesetzte Hosting-, Cloud-, Kommunikations-, Plugin-, Schnittstellen- oder KI-Anbieter entsprechende Systeme nutzen.
Bei Übermittlungen in Staaten ohne angemessenes Datenschutzniveau werden, soweit erforderlich, geeignete Garantien eingesetzt. Dazu können insbesondere Standardvertragsklauseln, vertragliche Schutzpflichten oder andere gesetzlich vorgesehene Schutzmechanismen gehören.
12. Cookies, Logfiles und technische Daten
Beim Besuch von Websites oder Webanwendungen können technische Daten automatisch erfasst werden. Dazu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Browsertyp, Betriebssystem, Referrer-URL und Fehlermeldungen.
Cookies und ähnliche Technologien können eingesetzt werden, um grundlegende Funktionen bereitzustellen, Sitzungen zu verwalten, Spracheinstellungen zu speichern, Sicherheit zu gewährleisten oder die Nutzung zu analysieren. Nutzerinnen und Nutzer können Cookies in den Einstellungen ihres Browsers einschränken oder löschen. Dadurch können einzelne Funktionen eingeschränkt sein.
Wenn Analyse-, Marketing- oder externe Medien-Dienste eingesetzt werden, werden diese in der jeweiligen Website- oder Plattformkonfiguration separat ausgewiesen, sofern dies rechtlich erforderlich ist.
13. Aufbewahrungsdauer
Personendaten werden nur so lange aufbewahrt, wie dies für die jeweiligen Zwecke erforderlich ist, vertragliche oder gesetzliche Aufbewahrungspflichten bestehen, berechtigte Interessen an der Aufbewahrung bestehen oder Ansprüche geltend gemacht, ausgeübt oder abgewehrt werden müssen.
Technische Logdaten werden in der Regel nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Betrieb notwendig ist. Vertrags-, Rechnungs- und Geschäftsdaten können aufgrund gesetzlicher Pflichten länger aufbewahrt werden.
Bei Moodle-basierten Systemen und Kundenplattformen richtet sich die Aufbewahrung von Kurs-, Lern- und Benutzerdaten zusätzlich nach den Vorgaben des jeweiligen Kunden und der konkreten Systemkonfiguration. Supportdaten werden grundsätzlich nur so lange aufbewahrt, wie dies für die Bearbeitung, Dokumentation, Abrechnung und Nachvollziehbarkeit des Supportfalls erforderlich ist.
14. Datensicherheit
pentanet.ch GmbH trifft angemessene technische und organisatorische Massnahmen, um Personendaten vor unberechtigtem Zugriff, Verlust, Missbrauch, Veränderung oder Offenlegung zu schützen. Dazu können insbesondere Zugriffskontrollen, Rollen- und Berechtigungskonzepte, Verschlüsselung, Protokollierung, Backups, Sicherheitsupdates und organisatorische Weisungen gehören.
Trotz angemessener Schutzmassnahmen kann keine absolute Sicherheit garantiert werden. Die Übermittlung von Daten über das Internet erfolgt grundsätzlich auf eigenes Risiko, soweit dies gesetzlich zulässig ist.
15. Rechte betroffener Personen
Betroffene Personen können im Rahmen des anwendbaren Datenschutzrechts insbesondere Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sie können ausserdem Berichtigung, Löschung, Einschränkung der Bearbeitung, Herausgabe oder Übertragung von Daten verlangen, soweit die gesetzlichen Voraussetzungen erfüllt sind.
Soweit eine Bearbeitung auf Einwilligung beruht, kann diese Einwilligung grundsätzlich mit Wirkung für die Zukunft widerrufen werden. Bestehen gesetzliche Aufbewahrungspflichten oder überwiegende berechtigte Interessen, kann eine Löschung oder Einschränkung abgelehnt oder aufgeschoben werden.
Anfragen können an info@pentanet.ch gerichtet werden. Zur Verhinderung von Missbrauch kann ein Identitätsnachweis verlangt werden.
16. Verantwortung der Kunden und Nutzerinnen und Nutzer
Kunden, die Moodle-Installationen, Softwarelösungen, Plugins, Tools oder KI-Funktionen nutzen, sind dafür verantwortlich, ihre eigenen Nutzerinnen und Nutzer angemessen über die Datenbearbeitung zu informieren, sofern sie selbst über Zweck und Mittel der Bearbeitung entscheiden.
Kunden sind insbesondere dafür verantwortlich, nur solche Personendaten in Systeme, Uploads, Prompts, Kursaktivitäten oder KI-Funktionen einzugeben, deren Bearbeitung rechtlich zulässig ist. Sie müssen erforderliche Einwilligungen, Informationspflichten, Berechtigungen, Löschkonzepte und interne Weisungen selbst sicherstellen, soweit dies in ihrem Verantwortungsbereich liegt.
Der Kunde ist zudem verantwortlich für die Auswahl, Aktivierung, Konfiguration und rechtmässige Nutzung von Plugins, Drittanbieter-Tools, Schnittstellen, Kursinhalten, Rollen, Berechtigungen und KI-Funktionen, sofern diese nicht ausdrücklich Bestandteil einer schriftlich vereinbarten Leistung von pentanet.ch GmbH sind.
17. Änderungen dieser Datenschutzerklärung
pentanet.ch GmbH kann diese Datenschutzerklärung jederzeit anpassen, wenn sich Datenbearbeitungen, rechtliche Anforderungen, technische Funktionen, Drittanbieter oder Geschäftsprozesse ändern. Es gilt die jeweils aktuelle Version.
18. Kontakt
Fragen zum Datenschutz können an folgende Adresse gerichtet werden:
pentanet.ch GmbH
Technikumstrasse 2
3400 Burgdorf
Schweiz
E-Mail: info@pentanet.ch
Website: https://pentanet.ch