Die Einbindung von LTI-Schnittstellen (Learning Tools Interoperability) in Moodle eröffnet enorme didaktische Möglichkeiten. Über die Aktivität Externes Tool las-sen sich externe Lernwerkzeuge wie Medien- und Inhaltsbibliotheken, interaktive Lerninhalte, Verlagsmaterialien oder auch Schnittstellen zu anderen Moodle-Plattformen nahtlos in Kurse integrieren. Gleichzeitig werden dabei jedoch re-gelmäßig personenbezogene Daten übertragen. Genau hier beginnt die daten-schutzrechtliche Verantwortung der Institution.
Unsichtbare Weiterleitungen – ein Datenschutzproblem
Viele LTI-Anbindungen sind technisch so umgesetzt, dass Nutzer*innen gar nicht bemerken, wenn sie Moodle verlassen und auf eine externe Plattform weiterge-leitet werden. Aus Sicht der User Experience mag das ein Vorteil sein – daten-schutzrechtlich ist es jedoch problematisch.
Denn jede Person hat das Recht zu wissen, von wem, zu welchem Zweck, wie lange und wo ihre personenbezogenen Daten verarbeitet werden. Plattformbetreiber wiederum sind verpflichtet, genau darüber transparent zu informieren. Landen Nutzer*innen ohne ihr Wissen außerhalb von Moodle auf einer Drittplatt-form, ohne dass sie über den Datentransfer aufgeklärt wurden, liegt darin ein klarer Verstoß gegen die DSGVO
Schritte zu mehr Datenschutz
1. Verantwortlichkeiten klären
Klären Sie zuerst, wer in welcher datenschutzrechtlichen Rolle agiert: Handelt es sich bei dem externen Dienst um einen Auftragsverarbeiter oder einen eigenständig Verantwortlichen?
Auftragsverarbeiter verarbeiten personenbezogene Daten lediglich im Auftrag einer verantwortlichen Institution. Ist der externe Dienst ein Auf-tragsverarbeiter, ist ein Auftragsverarbeitungsvertrag erforderlich.
Ist der externe Dienst ein eigenständiger Verantwortlicher, muss er transparent informieren, welche Daten wohin und zu welchen Zwecken übermittelt werden.
2. Transparenz gegenüber Nutzer*innen herstellen
Nutzer*innen müssen gemäß Art. 13 DSGVO vom Verantwortlichen informiert werden über:
- die Art der übertragenen Daten
- die Empfänger der Daten
- den Speicherort und die Speicherdauer
- ihre Rechte (Auskunft, Löschung, Widerspruch etc.)
Diese Informationen sollten in der Datenschutzerklärung der Moodle-Instanz sowie ggf. direkt im Kurskontext verfügbar sein.
3. Technische und organisatorische Maßnahmen umsetzen
Neben der rechtlichen Prüfung ist auch auf technische Sicherheit zu achten. Empfehlenswert sind folgende Maßnahmen:
- Verwendung von LTI 1.3 / Advantage, da hier moderne Sicherheits-standards (z. B. OAuth 2.0, signierte Tokens) eingesetzt werden
- Beschränkung der Datenfreigabe in der Tool-Konfiguration unter Datenschutz (hier kann z. B. festgehalten werden, dass Anwender-name und E-Mail-Adresse nicht ans Tool übergeben werden)
- Regelmäßige Überprüfung der aktiven Schnittstellen
- Deaktivierung nicht genutzter Tools
Fazit
Die Einrichtung von LTI-Schnittstellen in Moodle ist also kein rein technischer Vorgang, sondern immer auch eine datenschutzrechtliche Entscheidung. Wer externe Tools anbinden möchte, sollte frühzeitig Datenschutzbeauftragte einbinden, die Datenflüsse dokumentieren und die Konfiguration so datensparsam wie möglich gestalten. So lassen sich innovative Lernangebote und DSGVO-Konformität sinnvoll miteinander verbinden.
Um einen ersten Überblick zu gewinnen, besuchen Sie unser kostenfreies Selbstlernangebot:
Sicher durch den Daten-Dschungel: Moodle datenschutzkonform betreiben
Für einen tieferen Einblick ins Thema Datenschutz bieten wir ein 3-teiliges Live-Webinar an. Mehr dazu erfahren Sie auf:
eLeDia.academy – Zusatzmodule Rechtliches und Berichte
Was ist LTI?
Learning Tools Interoperability (LTI) ist ein vom 1EdTech Consortium (www.1edtech.org, ehemals IMS Global) entwickelter technischer Standard, der externe Lernwerkzeuge (wie eLearning-Kurse, Apps, virtuelle Labore) nahtlos, sicher und ohne erneute Anmel-dung (Single Sign-On) in Lernmanagementsysteme wie Moodle integriert.
