Der Family Educational Rights and Privacy Act (FERPA) ist ein Bundesgesetz der Vereinigten Staaten, das den Zugriff auf und die Verwaltung von Lernendenbildungsdaten regelt. FERPA gewährt Lernenden und ihren Eltern bestimmte Rechte in Bezug auf den Schutz dieser Daten. Dazu gehören das Recht auf Einsichtnahme und Überprüfung, das Recht, eine Änderung zu verlangen, wenn die Eltern oder Lernende Daten für unrichtig halten, und das Recht, eine gewisse Kontrolle über die Offenlegung von personenbezogenen Daten zu haben.
Die ArcGIS-Produkte und -Services von Esri werden von Bildungseinrichtungen für verschiedene Zwecke genutzt, darunter Forschung, Unterricht und Administration. Häufig wird ArcGIS von den Bildungseinrichtungen nicht für die Verarbeitung von Bildungsdaten verwendet und kann so konfiguriert werden, dass die Anforderungen an die Einhaltung von FERPA minimiert werden. Wenn diese Produkte und Services jedoch zur Speicherung, Verarbeitung oder Übermittlung von Bildungsdaten verwendet werden, können sie in den Geltungsbereich von FERPA fallen. Daher liegt es in der Hand der Kunden zu entscheiden, ob ihre Workflows zu den FERPA-Anforderungen passen oder nicht.
Das Engagement von Esri für die Sicherheit und den Schutz der Kundendaten umfasst:
- Übermitteln unserer Datenschutzpraktiken für eine unabhängige Bewertung und Zertifizierung
- Teilnahme am jährlichen FedRAMP-Audit einer qualifizierten unabhängigen Drittpartei
- Durchführen von Schwachstellen-Scans mindestens alle 30 Tage und Tests zur Bewertung der Sicherheitslage und zur Identifizierung neuer Bedrohungen
- Schutz der Daten von K-12-Lernenden durch Deaktivieren von zielgerichteten Cookies
Häufig gestellte Fragen zu FERPA
Gibt es FERPA-Zertifizierungsprogramme?
- Nein. Derzeit gibt es keine speziellen FERPA-Zertifizierungsprogramme, um die Drittparteien-Compliance zu prüfen. Die Bildungseinrichtung muss ihre eigene Bewertung vornehmen, um festzustellen, ob ein Produkt oder Service ihre Compliance beeinträchtigt.
Welche Sicherheits- und Datenschutzmaßnahmen von ArcGIS Online unterstützen die FERPA-Compliance?
- Bereitstellen einer Reihe von Produktsicherheitsfunktionen in ArcGIS Online, wie z. B. die rollenbasierte Zugriffskontrolle
- Schützen von Daten bei der Übertragung durch TLS 1.2 und im Ruhezustand durch 256-Bit Advanced Encryption Standard (AES-256).
- Nutzen des physischen und Umgebungsschutzes unserer Cloudanbieter: Die Hosting-Einrichtungen von Esri sind rund um die Uhr mit Personal besetzt und werden auf mehreren Ebenen durch physische Sicherheitsmaßnahmen gesichert und überwacht. Dazu gehören Zäune, Pförtner, Überwachungskameras, Personenschleusen, Cages, Bewegungsmelder und biometrische Zugangsprüfungen.
- Keine Einsicht in nicht öffentliche ArcGIS Online-Inhalte von Kunden, sofern es sich nicht um eine Reaktion auf ein Sicherheitsereignis oder einen Supportfall handelt und dafür die Zustimmung des Kunden vorliegt
- Kein Teilen von Kundendaten mit Drittparteien
- "Einfrieren" von Kundendaten (Lesezugriff) zur Einhaltung einer gesetzlichen Aufbewahrungsfrist aufgrund einer Anfrage beim technischen Support
- Kein Speichern von Kundendaten außer den Kontoinformationen, die aus E-Mail-Adresse und Benutzername bestehen
- Behalten von Konten nur bis zu 60 Tage nach Kündigung, um die Reaktivierung des Produkts zu ermöglichen (falls vom Kunden angefordert); danach wird das Konto endgültig gelöscht
Wie konfiguriere ich eine ArcGIS Online-Organisation so, dass möglichst wenig personenbezogene Daten erfasst werden?
- Administratoren von Organisationen können festlegen, dass die optionalen Felder des Benutzerprofils (z. B. Vor- und Nachname, Firmenname, Telefonnummer und Profilbild) nicht automatisch ausgefüllt werden, um die Übertragung von personenbezogenen Daten zu minimieren.
- Ausführlichere Hinweise zum Thema Datenschutz bei der Verwendung unserer Produkte in Bildungseinrichtungen finden Sie in unserer "ArcGIS Online School Guidance" und den "ArcGIS Location Sharing Privacy Best Practices", die weiter unten verlinkt sind.
Welche Auswirkungen auf die Compliance hat der COPPA auf ArcGIS Online?
- Der Children's Online Privacy Protection Act (COPPA) ist ein zusätzliches Gesetz zum Schutz der Daten von Kindern, das jedoch nicht direkt auf ArcGIS Online anwendbar ist. Der Children's Online Privacy Protection Act (COPPA) ist ein US-amerikanisches Bundesgesetz, das zum Schutz der Daten von Kindern unter 13 Jahren erlassen wurde. Er unterliegt der Aufsicht der Federal Trade Commission (FTC).
- COPPA gilt für Websites und Onlineservices, die sich an Kinder richten, und schreibt vor, dass diese Websites und Dienste die Zustimmung der Eltern für die Erfassung und Verwendung der persönlichen Daten von Kindern benötigen.
- Die Kunden sind dafür verantwortlich, gegebenenfalls die elterliche Zustimmung für die Nutzung von ArcGIS Online einzuholen.
- ArcGIS Online richtet sich nicht speziell an Kinder unter 13 Jahren, kann aber von ihnen genutzt werden, z. B. im Rahmen eines schulischen Bildungsprogramms. Wenn Sie die ArcGIS Online School Guidance (siehe unten) befolgen, können Bildungseinrichtungen die gängigen Datenschutzbestimmungen für Lernende wie COPPA, FERPA und sogar DSGVO besser einhalten.
- Zum Schutz der Daten von Minderjährigen deaktiviert Esri automatisch zielgerichtete Cookies für Lernende, die ArcGIS for Schools Bundle-Konten verwenden.
Ressourcen
- ArcGIS Online School Guidance (öffentlich)
- HECVAT Lite (öffentliches Trust Center-Dokument)
- ArcGIS Security Advisor Validation Tool (öffentliche Trust Center-Seite)
- ArcGIS Online and Enterprise Best Practices Checklist (öffentlich)
- Ergänzende Datenschutzbestimmungen für Esri Produkte und Services (Esri Products & Services Privacy Statement Supplement) (öffentlich)
- ArcGIS Location Sharing Privacy Best Practices (öffentliches Trust Center-Dokument)