Datenschutzerklärung für die Verwendung des Computerspiels „Qookies“

Allgemeine Datenschutzerklärung für die Verwendung des Computerspiels „Qookies“ (im Folgenden „Computerspiel“) des Lehrstuhls Didaktik der Physik der Ludwig-Maximilians-Universität München (im Folgenden „LMU“). In dieser Datenschutzerklärung wird erläutert, wie personenbezogene Daten durch die LMU im Zusammenhang mit der Nutzung des Computerspiels verarbeitet werden. Ferner werden Nutzende des Computerspiels über die Ihnen zustehenden Rechte aufgeklärt. Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher, weiblicher und diverser Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

A. Allgemeine Datenschutzinformationen

Die LMU ist eine staatliche Hochschule des Freistaats Bayern (Art. 4 Abs. 1 Satz 1 Nr. 1 Bayerisches Hochschulinnovationsgesetz, BayHIG). Sie ist eine Personalkörperschaft des öffentlichen Rechts mit dem Recht der Selbstverwaltung im Rahmen der Gesetze und zugleich eine staatliche Einrichtung (Art. 4 Abs. 1 BayHIG). Die LMU nimmt eigene Angelegenheiten als Körperschaft und staatliche Angelegenheiten als staatliche Einrichtung wahr (Art. 4 BayHIG).

I. Kontaktinformationen im Zusammenhang mit dem Internetauftritt der LMU

I.1. Angaben zum Verantwortlichen für den Datenschutz an der LMU

Für die Systembetreuung und die durch die LMU erstellten Inhalte des Computerspiels ist der Lehrstuhl Didaktik der Physik der LMU datenschutzrechtlich verantwortlich:

Lehrstuhl Didaktik der Physik
Ludwig-Maximilians-Universität München
Geschwister-Scholl-Platz 1
80539 München

Für die durch Nutzende erstellten und angebotenen Aufgaben und Inhaltsbereiche innerhalb des Computerspiels sind die jeweiligen Aufgabenersteller verantwortlich.

I.2 Angaben zum behördlichen Datenschutzbeauftragten der LMU

Die Kontaktdaten des behördlichen Datenschutzbeauftragten der LMU finden Sie im Internet auf der Internetseite der LMU unter https://www.lmu.de/datenschutz. Der behördliche Datenschutzbeauftragte steht für Fragen zum Datenschutz an der LMU zur Verfügung. Bitte nutzen Sie hierfür das Kontaktformular auf der Internetseite des behördlichen Datenschutzbeauftragten der LMU unter https://www.lmu.de/datenschutz.

II. Informationen zur Datenverarbeitung

II.1 Anwendungsbereich der Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Computerspiel „Qookies“.

  • Gemäß Art. 4 Ziff. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online- Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Gemäß Art. 4 Ziff. 2 DSGVO meint „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

II.2 Zwecke und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Zweck der Verarbeitung ist die Bereitstellung und Verbesserung des Computerspiels „Qookies“. Das Computerspiel und die darin und im Anschluss vollzogene Datenverarbeitung wird im Rahmen des wissenschaftlichen Forschungsprojekts „GALaQSci“ umgesetzt. Ziel ist es, das Verhalten von Nutzerinnen und Nutzern in spielbasierten Lernsituationen besser zu verstehen, insbesondere im Zusammenspiel mit KI-gestützten Hilfesystemen. Die Daten dienen ausschließlich der wissenschaftlichen Analyse und werden nicht kommerziell genutzt oder an Dritte weitergegeben. Personenbezogene Daten werden nur erhoben und verarbeitet, soweit dies zur Verbindung von erhobenen Daten im Computerspiel (s.u.) und Fragebogendaten außerhalb des Computerspiels erforderlich ist. Bei der Verarbeitung Ihrer personenbezogenen Daten berücksichtigen wir insbesondere die datenschutzrechtlichen Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treue und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Soweit und sobald der Verarbeitungszweck nicht beeinträchtigt wird, anonymisieren oder pseudonymisieren wir personenbezogene Daten. Wir stellen durch eine geeignete IT-Sicherheitsinfrastruktur sicher, dass intern nur die Personen Zugriff auf diese Informationen erhalten, die diesen Zugang für die Aufgabenerfüllung benötigen. Personenbezogene Daten werden von uns vertraulich behandelt und nicht Dritten, insbesondere nicht öffentlich, unbefugt zur Verfügung gestellt. Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten ist Ihre Einwilligung gemäß Artikel 6 Abs. 1 lit. a) DSGVO. Die Datenverarbeitung erfolgt entsprechend den maßgebenden datenschutzrechtlichen Regelungen, insbesondere auf Grundlage der Datenschutzgrundverordnung, sowie des bayerischen Datenschutzgesetzes. Die erhobenen Daten werden zu dem unter II.2 beschriebenen Zweck erhoben und verarbeitet. Die Datenverarbeitung erfolgt außerdem im notwendigen Umfang zum Zweck der fortlaufenden Verbesserung des Systembetriebs, d.h. zur Qualitätssicherung, durch die Betreiber des Computerspiels. Im Folgenden beschreiben wir Ihnen welche personenbezogenen Daten verarbeitet werden.

II.3 Welche Daten werden gespeichert?

Im Rahmen der Nutzung des Computerspiels werden folgenden Daten erhoben:

  • Texteingaben der Nutzerinnen und Nutzer innerhalb des Computerspiels, z. B. im Chat mit einem Sprachmodell, welches lokal an der LMU gehostet wird.
  • Zeit, die pro Computerspiel-Level benötigt wird
  • Zeitpunkte von Spielereignissen (z. B. Levelwechsel, Interaktionen mit dem KI-Charakter)
  • Screenshots des Spiels zum Zeitpunkt der Spielereignisse
  • Insbesondere keine Erhebung von Namen, IP-Adressen oder Gerätekennungen

Bei der Nutzung der App wird eine zufällig erzeugte, gerätebezogene Nutzer-ID gespeichert um eine pseudonymisierte Auswertung der genannten Daten über verschiedene Sitzungen hinweg zu ermöglichen. Die ID erlaubt keinen direkten Rückschluss auf die Identität der Nutzerin oder des Nutzers. Die Nutzer-ID ist in den Einstellungen des Computerspiels einsehbar und kann zur Wahrnehmung von Betroffenenrechten (z. B. Auskunft oder Löschung) verwendet werden.

II.4 Wer hat worauf Zugriff?

  • Projektpartner des Projekts GALaQSci von LMU, TUM, MPQ, Quantum Gaming and Studio Merkas
  • Anonymisierte und gemittelte Daten werden veröffentlicht

II.5 Datensicherheit

Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende Verschlüsselungsverfahren (z. B. SSL/TLS) und gesicherte technische Systeme. Der technische Betrieb der Datenverarbeitungssystem erfolgt mit Unterstützung des Leibniz- Rechenzentrums (LRZ) der Bayerischen Akademie der Wissenschaften (Boltzmannstraße 1 D-85748 Garching bei München, Telefon: (089) 35831 8000, Fax: (089) 35831 9700, E-Mail: lrzpost@lrz.de, https://www.lrz.de), mit dem ein Auftragsverarbeitungsvertrag besteht. Alle unsere Mitarbeiterinnen und Mitarbeiter unterliegen dem gesetzlichen Datengeheimnis gemäß Art. 11 BayDSG oder sind zur Vertraulichkeit verpflichtet.

II.6 Datenübermittlungen

Datenübermittlungen erfolgen aufgrund Gesetzes oder mit Ihrer Einwilligung. Gegebenenfalls werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt. Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet werden und dort auf Grundlage der Art. 41 ff. BayDiG verarbeitet werden. Im Übrigen übermitteln wir personenbezogene Daten an Dritte nur dann, wenn dies im Rahmen einer Vertragsabwicklung notwendig ist (Artikel 6 Abs. 1 lit b DSGVO), etwa an Veranstalter einer Veranstaltung oder an beauftragte Dienstleister. Die weitergegebenen Daten dürfen von dem jeweiligen Auftragsverarbeiter oder Dritten ausschließlich zu den genannten Zwecken bzw. im Rahmen des geltenden Rechts verwendet werden.

II.7 Datenlöschung und Speicherdauer

Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist oder eine Einwilligung vorliegt. Die personenbezogenen Daten von Nutzern des Computerspiels werden gelöscht oder anonymisiert, sobald und soweit der jeweilige Zweck der Speicherung entfällt und keine Archivierungspflicht besteht. Sofern dies in den maßgebenden Vorschriften vorgesehen ist, kann auch darüber hinaus eine Speicherung erfolgen.

Eine Löschungsprüfung und Durchführung erfolgt regelmäßig und zumindest jährlich. Betriebsdaten am LRZ: Die im Zuge des Betriebes des Webservers anfallenden Zugriffsdaten und Fehlermeldungen (Weblogs) werden nach 7 Tagen anonymisiert. Eine Gleitlöschung der anonymisierten Logs erfolgt regelmäßig im dreimonatigem Rhythmus.

II.8 Minderjährigenschutz

Personen unter 16 Jahren sollten ohne Zustimmung der Eltern bzw. Sorgeberechtigten keine personenbezogenen Daten an die LMU übermitteln. Eine Bearbeitung kann nur nach entsprechender Zustimmung oder im Rahmen der Erfüllung einer gesetzlichen Pflicht erfolgen.

II.9 Ihre Rechte

Sie haben verschiedene Ansprüche gegenüber der verantwortlichen Stelle im Hinblick auf die über Sie gespeicherten Daten. Zu Ihren Rechten gehören:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die personenbezogenen Daten, die über Sie verarbeitet werden, zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sofern inkorrekte personenbezogene Daten gespeichert werden, können Sie den Verantwortlichen auffordern, eine Anpassung der Daten vorzunehmen. Der Verantwortliche wird der Aufforderung nachkommen, sofern die Berichtigung berechtigt und zulässig ist.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben einen Anspruch darauf, dass personenbezogene Daten gelöscht werden, die nachweislich falsch sind oder für die der Verantwortliche keinen Verarbeitungszweck nachweisen kann. Ein Recht auf Löschung von personenbezogenen Daten besteht nicht, wenn der Verantwortliche verpflichtet ist, die Daten aus gesetzlichen Gründen oder aufgrund von dienstlichen Verpflichtungen noch vorzuhalten (Nachweis von Unterweisungen, Nachweis Qualitätssicherung, urheberrechtliche Nutzungsrechte, Prüfungsrecht). Der Antrag auf Löschung kann als Widerruf der Einwilligung gewertet werden. Dies kann dazu führen, dass Sie danach keinen Zugang zum Computerspiel mehr erhalten und eine Erstellung einer Aufgabe nicht mehr möglich ist.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Die Verantwortlichen werden sicherstellen, dass personenbezogene Daten im Falle der berechtigten Einschränkung der Verarbeitung nur solchen Personen zugänglich sind, die die Daten verarbeiten müssen. Dazu können sie sich der Mittel der Pseudonymisierung und der Anonymisierung bedienen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können unter den gesetzlichen Voraussetzungen der weiteren Nutzung der Daten widersprechen. Dies kann nur in die Zukunft hinein wirksam werden. Das Widerspruchsrecht ist keine automatische Verpflichtung zur Löschung der Daten für den Verantwortlichen. Sofern der Verantwortliche Speicherpflichten aus anderen gesetzlichen Gründen hat, gehen diese vor. Der Widerspruch kann dazu führen, dass Sie danach keinen Zugang zum Computerspiel mehr erhalten.
  • Recht auf Datenübertragbarkeit Art. 20 DSGVO): Sie haben unter den gesetzlichen Voraussetzungen einen Anspruch, Daten, die von Ihnen selber erfasst wurden, in einem elektronischen Format zu erhalten, das für die Nutzung an anderer Stelle eingesetzt werden kann. Das Recht ist beschränkt auf Daten, die nicht einem Geschäftsgeheimnis unterliegen und daher nicht an andere Stellen übertragen werden dürfen oder die die Rechte anderer, z.B. deren Persönlichkeitsrecht oder Urheberrecht, betreffen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, die Einwilligung zur Verarbeitung Ihrer Daten für die Zukunft zu widerrufen. Der Widerruf lässt die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs unberührt. Der Widerruf kann dazu führen, dass Sie danach keinen Zugang zum Computerspiel mehr erhalten und eine Teilnahme an einem Kurs nicht mehr möglich ist. Sofern die Bearbeitung im Rahmen eines Arbeitsvertrages erfolgt, kann das Recht auf Widerruf eingeschränkt sein.
  • Im Falle eines Verstoßes gegen gesetzliche Bestimmungen zum Schutz der über Sie gespeicherten Daten können Sie die zuständige Aufsichtsbehörde ansprechen. Die für die LMU unmittelbar zuständige Datenschutz-Aufsichtsbehörde ist der Bayerische Landesbeauftragte für den Datenschutz (https://www.datenschutz-bayern.de). Bitte sprechen Sie zuerst den Verantwortlichen bzw. den behördlichen Datenschutzbeauftragten an, damit Ihr Anliegen schnellstmöglich geprüft und ggf. entsprochen werden kann.

Bei Löschung, Einschränkung oder Widerruf ist eine weitere Nutzung des Computerspiels sowie sowie die Teilnahme an den dort vorhandenen Aktivitäten und Funktionen mit sofortiger Wirkung nicht mehr gewährleistet.