Ich habe soeben die meisten Themen und Beiträge in diesem Forum studiert und möchte mich bei allen bedanken.
Als verantwortlicher Moodle-Admin möchte ich hier ein konkretes Beispiel darstellen, in der Hoffnung, dass wir Lösungen dafür finden, bzw. anderen diese Lösungen auch dienen können.
Ich wurde vor ein paar Tagen von einem Studierenden darauf aufmerksam gemacht, dass er in Google nach seinem Namen suchen lassen kann und dann Links folgender Art findet:
https://moodle.domain.ch/course/info.php?id=xxx
https://moodle.domain.ch/course/search.php?page=x&perpage=10&search=ss
https://moodle.domain.ch/course/search.php?page=x&perpage=10&search=sie
Die Links erscheinen direkt in Google oder auf anderen Suchmaschinen wie
http://www.yasni.de/person/nachname/vorname/vorname-nachname.htm
http://www.123people.ch/s/
Im gegebenen Falle war der Studierende mit einem Studienkameraden und zwei Dozierenden in einem Kurs, eher ein Projekt, als Teacher eingetragen. Seit dem Projekt sind 1-2 Jahre vergangen.
Damit man sich auf unserem Moodle umsehen kann, ist es so konfiguriert, dass die Navigation auf der Front Page und durch die Kurs-Kategorien hindurch frei zugänglich ist (siehe moodle.fhnw.ch). Ein Link führt auch direkt zur Moodle-Kurs-Liste. Hingegen haben wir eine Vorschrift eingeführt, dass jeder Kurs mit einem Passwort geschütz werden muss, seit in einer früheren Moodle-Version bereits der Fall aufgetaucht war, dass Profile von Studierenden auf diese Weise über die Suchmaschinen gefunden und eingesehen werden konnten.
Eine Option in Moodle sorgt nun dafür, dass man Profile nur nach einem Login einsehen kann, ist also erledigt.
Wenn ich nicht irre, kann man seit Version 1.7, also seit es Rollen gibt, einstellen, ob man für die meisten Operationen eingeloggt sein muss oder nicht. Theoretisch könnte man so also die Suche nach Kursen nur eingeloggten Leuten erlauben, muss ich aber noch abklären.
Wenn ich weiterhin nicht irre, kann man ebenfalls ein- oder ausschalten, ob in den Kurs-Listen die zuständigen Dozierenden angezeigt werden oder nicht.
Die obigen Links führen über die Zahlen xxx oder x direkt zur Anzeige eines einzelnen Kurses oder einer Liste von Kursen, da in der Suche nach den Buchstaben "ss" oder "sie" gesucht wurde. "ss" ergibt bei uns eine Liste aller Kurse, welche im Titel SS für Sommer Semester tragen. "sie" ergibt bei uns eine Liste aller Kurse, welche im Kurs-Beschrieb den Ausdruck "Sie" enthalten, wie z.B. "In diesem Kurs finden Sie..." In der Kurs-Liste von Moodle werden standardmässig die Dozierenden angezeigt. Dass man das Abschalten kann, ist ziemlich sicher, aber dann sehen das auch die eingeloggten Studierenden nicht mehr. Da wäre also eine kombinierte Option erwünscht, mit welcher gesteuert werden könnte ob und für wen die Anzeige möglich sein soll.
Dass allein die Anzeige eines Kurs-Titels zusammen mit den Verantwortlichen, wie in einer Datenbank, eine Verknüpfung, ein neues Datum ist, wissen wir alle. Dass es aber ein Datenschutzproblem darstellen könnte, hätte ich nicht erwartet. Denn Dozierende sind es sich wohl gewöhnt, als Verantwortliche eines Kurses aufgelistet zu werden. Das wird ja auch in Studien-Führern und Studien-Plänen gemacht. Bei Studierenden und externen Mitarbeitenden/Partnern, könnte das aber tatsächlich zu Problemen führen, wenn ihr Name mit einem bestimmten Projekt oder Kurs in Zusammenhang gebracht wird, sei dies vom Kurs-Titel und -Inhalt her, sie dies lediglich die Tatsache, dass jemand in einem solchen Kurs oder Projekt verantwortlich war.
Ich spreche hier von unserer Fachhochschule, wo auch Projekte mit externen Partnern durchgeführt werden, z.T. mit vertraulichen Daten, welche ebenfalls geschützt werden müssen.
Noch ein Detail: zufälligerweise handelt es sich im geschilderten Falle um unsere vorherige Plattform unter Moodle 1.5x welche ich im vergangenen Juli in den Maintenance-Mode gesetzt habe, nachdem wir die Kurse auf 1.9x portiert hatten. Die Suchfunktion und die Anzeige der Kurs-Listen funktioniert trotzdem noch! obwohl die Kurse selbst mit Passwort geschützt und wegen des Maintenance-Modus nicht eingesehen werden können. Auf der aktuellen habe ich das auch gerade getestet und auch mit 1.9.4 ist die Suche und die Anzeige von Kursen möglich, wenn man den Zugang nicht generell nur den eingeloggten Leuten erlaubt.
Rosario
Datenschutz schon bei der Anzeige des Kurs-Titels und der Kurs-Verantwortlichen
von Rosario Carcò -
Anzahl Antworten: 2
Als Antwort auf Rosario Carcò
Re: Datenschutz schon bei der Anzeige des Kurs-Titels und der Kurs-Verantwortlichen
von Maik Riecken -
Hallo,
Ich empfehle dringend die Beratung durch ein Fachunternehmen, z.B. durch einen Moodlepartner.
Ein paar meiner *persönlichen Grundregeln* zum Thema Datenschutz:
Gruß,
Maik
Ein paar meiner *persönlichen Grundregeln* zum Thema Datenschutz:
- Vertrauliche Informationen müssen besonders geschützt werden. Das bedeutet grundsätzlich eine weitgehende Isolation von "nicht so vertraulichen Inhalten".
- Verschlüsselung (SSL) und ein Zugriffschutz - mindestens htaccess - wären für mich obsolet - besser ein verschlüsseltes VPN.
- Systeme, die nicht genutzt und damit auch meist nicht gepflegt werden (Updates etc.), gehören *nicht* ins öffentliche Netz. Sicherheitshistorien gibt es bei jeder PHP-Applikation zu Hauf...
Gruß,
Maik
Als Antwort auf Rosario Carcò
Re: Datenschutz schon bei der Anzeige des Kurs-Titels und der Kurs-Verantwortlichen
von Ralf Hilgenstock -
Hallo,
es gibt eine Reihe von Möglichkeiten hier vorzugehen. Einige sind bereits genannt.
Grundsätzlich dazu: Das Internet ist ein großer Elefant. Er hat ein irres Gedächtnis und vergisst nichts so schnell. Alte Informationen bleiben also auch nach einer Umstellung von Moodle über Suchmaschinen verfügbar und werden von dort, nicht aber aus der Plattform aufgerufen.
Einige Lösungen sind bereits genannt:
- Dozentenprofile sind nur nach Login sichtbar
- Kurse sind kennwortgeschützt
- Startseite erst nach Login sichtbar.
Man kann nun noch weiter gehen:
- Kursverzeichnisse sind erst nach Login auf der Startseite sichtbar
- 'Alle Kurse' wird abgeschaltet
- Es wird eine zweite Dozentenrolle geschaffen, die bei der Ansicht Kursinfo nicht ausgewiesen wird.
Zum Vorgehen:
Zuerst sammeln, was sichtbar sein soll und was nicht sein soll, was für wen wann sichtbar sein soll.
Übrigens: ein besonderes Schmankerl auf Ihrer Seite sind Kursausschreibungstexte mit dem Dozentennamen und dessen E-Mailadresse im Text.
Der Wartungsmodus beschränkt nur die Option, sich einzuloggen und an einem Kurs teilzunehmen. Informationen, die nicht kursintern sind, sind weiter zugänglich. Alles, was Informationen in die Datenbank schreibt ist unterbunden.
Übrigens: eine weitere Option ist 'verfügbare Kurse in nicht sichtbaren Kurskategorien'.
Ralf Hilgenstock
moodle partner
es gibt eine Reihe von Möglichkeiten hier vorzugehen. Einige sind bereits genannt.
Grundsätzlich dazu: Das Internet ist ein großer Elefant. Er hat ein irres Gedächtnis und vergisst nichts so schnell. Alte Informationen bleiben also auch nach einer Umstellung von Moodle über Suchmaschinen verfügbar und werden von dort, nicht aber aus der Plattform aufgerufen.
Einige Lösungen sind bereits genannt:
- Dozentenprofile sind nur nach Login sichtbar
- Kurse sind kennwortgeschützt
- Startseite erst nach Login sichtbar.
Man kann nun noch weiter gehen:
- Kursverzeichnisse sind erst nach Login auf der Startseite sichtbar
- 'Alle Kurse' wird abgeschaltet
- Es wird eine zweite Dozentenrolle geschaffen, die bei der Ansicht Kursinfo nicht ausgewiesen wird.
Zum Vorgehen:
Zuerst sammeln, was sichtbar sein soll und was nicht sein soll, was für wen wann sichtbar sein soll.
Übrigens: ein besonderes Schmankerl auf Ihrer Seite sind Kursausschreibungstexte mit dem Dozentennamen und dessen E-Mailadresse im Text.
Der Wartungsmodus beschränkt nur die Option, sich einzuloggen und an einem Kurs teilzunehmen. Informationen, die nicht kursintern sind, sind weiter zugänglich. Alles, was Informationen in die Datenbank schreibt ist unterbunden.
Übrigens: eine weitere Option ist 'verfügbare Kurse in nicht sichtbaren Kurskategorien'.
Ralf Hilgenstock
moodle partner