Header Bild

Datenschutzerklärung zu den Videokonferenzsystemen der HWR Berlin


1. Name und Anschrift des Verantwortliche

HWR Berlin
Informationstechnologie

Badensche Straße 52
10825 Berlin

It-hotline(at)hwr-berlin.de

2. Name und Anschrift des behördlichen Datenschutzbeauftragten

HiSolutions AG

Vitali Dick (Datenschutzbeauftragter)

Bouchéstraße 12

12435 Berlin

datenschutz@hwr-berlin.de

HWR Berlin

Prof. Dr. Markus Schaal (stv. Datenschutzbeauftragter)

Badensche Str. 50/51

10825 Berlin

datenschutz@hwr-berlin.de

3. Datenverarbeitung im Verfahren Onlinelehre während der Corona bedingten Einschränkungen

3.1       Zwecke der Verarbeitung

Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:

3.2       Rechtsgrundlage für die Verarbeitung

Rechtsgrundlage für die Verarbeitung ist die Einwilligung des Lehrenden bzw. Studierenden in die Datenverarbeitung nach Art. 6 Abs. 1 lit. a DSGVO. Es besteht weder eine vertragliche noch eine gesetzliche Verpflichtung die Daten bereit zu stellen. Die Einwilligung ist freiwillig. Die Rechtmäßigkeit der Verarbeitung bleibt bis zum Widerruf der Einwilligung unberührt.

3.3      Arten und Kategorien von personenbezogenen Daten

Wir verarbeiten zu den in 3.1 genannten Zwecken folgende Kategorien und Arten Daten vom Nutzer:

Datenkategorien

Datenarten

Erforderlich für

Jitsi

BigBlueButton

MS-Teams

Stammdaten aus dem Active Directory der HWR Berlin

Benutzername

Zur eindeutigen Identifikation des Nutzers

Ja, bei Login

Ja, bei Login

Ja

Name, Vorname

Zur eindeutigen Identifikation des Nutzers

Ja, bei Login

Ja, bei Login

Ja

E-Mail-Adresse

Zur eindeutigen Identifikation des Nutzers

Ja, bei Login

Ja, bei Login

Ja

Meeting-Metadaten

 

Aktivitätsverlauf

k.A.

k.A.

k.A.

Ja

Angezeigter Name / Alias

Zur Identifikation des Nutzers

Ja

Ja

Ja

Authentifikationsdaten aus dem Active Directory

Persönliches Passwort in  verschlüsselter Form

Zur Authentifikation und Anmeldung am Onlinedienst

Ja, bei Login

Ja, bei Login

Ja

Stream-Inhaltsdaten

Textdaten

Zur Nutzung der Chatfunktion

Ja

Ja

Ja

Videodaten

Zur Nutzung der Bildübertragung

Ja

Ja

Ja

Audiodaten

Zur Nutzung der Mikrophonfunktion

Ja

Ja

Ja

Aufzeichnungen

Video-, Audio- und Textdateien

Zur Bereitstellung der Aufzeichnung an den Studierenden und Verwendung außerhalb des Livestreams

Nein

Nein

Mit separater Einwilligung

Diagnosedaten

Client-ID

1.       Bereitstellen und Verbessern des Dienstes,

2.       Aktualisierung des Dienstes

3.       und dessen Sicherheit.

 

k.A.

k.A.

Ja

User-ID

k.A.

k.A.

Ja

Dauer der Nutzung eines Office-Diensts

k.A.

k.A.

Ja

Größe der bearbeiteten Datei

k.A.

k.A.

Ja

Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments)

k.A.

k.A.

Ja

Programmsprache

k.A.

k.A.

Ja

Cookiedaten

Einwilligungscookie

Speicherung der Einwilligung zur Datenverarbeitung auf dem Browser des Nutzers

Ja

Serverlogdaten

IP-Adresse des Clients

Aufzeichnungen zur Fehlerdiagnose und Verfolgung von Sicherheitsvorfällen

Ja

Ja

k.A.

user-identifier

Ja

Ja

k.A.

userid des Nutzers

Ja

Ja

k.A.

Datum, die Uhrzeit und die Zeitzone  des Nutzers

Ja

Ja

k.A.

 

3.4       Löschfristen

Wir löschen die personenbezogenen Daten nach folgenden Fristen:

Datenkategorien

Jitsi

BigBlueButton

MS-Teams*

Stammdaten

150 Tage nach Exmatrikulation

Profildaten

k.A.

k.A.

180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements

Meeting-Metadaten

 

k.A.

180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements

Authentifikations-daten

150 Tage nach Exmatrikulation

Stream-Inhaltsdaten

Beim Streaming erfolgt keine Speicherung

180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements

Aufzeichnungen

nicht möglich

nicht möglich

Bei Aufzeichnung 180 Tage nach Deaktivierung des Kontos oder Beendigung des Abonnements

Diagnosedaten

k.A.

180 Tage nach Deaktivierung des Kontos oder Beendigung des Abonnements

Cookiedaten

Zum Ende des jeweiligen begonnen Studiensemesters

Serverlogs

30 Tage

k.A.

*Microsoft sichert vertraglich zu sämtliche personenbezogenen Daten nach 180 Tagen zu löschen, die im Rahmen der Auftragsverarbeitung verarbeitet werden. Daten, die als eigenständiger Verantwortlicher verarbeitet werden, weichen hiervon ggf. ab.

Daneben werden die Daten gelöscht, sobald der Nutzer von seinem Recht zur Löschung nach Art. 13 (2) b DSGVO der Daten Gebrauch macht.

 

3.5       Ort der Verarbeitung

Die Systeme Jitsi und BigBlueButton werden an der HWR Berlin betrieben. Die Datenverarbeitung erfolgt somit in Deutschland.

Das System MS-Teams wird von Microsoft betrieben. Die Standorte der Server befinden sich vertraglich garantiert in Europa. Microsoft versendet ggf. personenbezogene Daten an Unterauftragsverarbeiter weltweit.

3.6      Empfänger der personenbezogenen Daten und Übermittlung der Daten in ein Drittland oder eine int. Organisation

Eine Übermittlung von Verbindungsdaten an Dritte außerhalb der Hochschule (externe Empfänger) erfolgt für Jitsi Meet und BigBlueButton nicht.

Wir nutzen das Unternehmen Microsoft als ausführenden Auftragsverarbeiter für die Anwendung MS-Teams. MS Teams ist ein Cloud-Dienst, der von einem amerikanischen Anbieter erbracht wird. Bei den USA handelt es sich um ein Drittland außerhalb der Europäischen Union. Microsoft ist nach dem EU-US Privacy Shield zertifiziert, wonach eine Übermittlung von Daten ins US-amerikanische Ausland rechtmäßig erfolgen kann und ein angemessenes Datenschutzniveau des Dienstleisters bescheinigt wird. Mit Microsoft wurden EU-Standard-Vertragsklauseln[1] abgeschlossen. Die Inhalte dieser Klauseln decken die Anforderungen aus Art. 28 DSGVO zu Mindestanfoderungen an Verträge zur Auftragsverarbeitung ab. Microsoft unterliegt dem US Cloud Act, welcher amerikanischen Strafverfolgungsbehörden die Möglichkeit eröffnet auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Microsoft behält sich vor zu “legitimen Geschäftstätigkeiten[2]“ personenbezogene Daten der Kunden (alle personenbezogenen Daten einschließlich Text-, Ton-, Video- oder Bilddateien) als unabhängiger Verantwortlicher zu nutzen. Microsoft kann gemäß den abgeschlossenen Verträgen Unterauftragsverarbeiter[3] beauftragen, Dienstleistungen im Namen von Microsoft zu erbringen. Bei der Beauftragung eines Unterauftragsverarbeiters stellt Microsoft durch einen schriftlichen Vertrag sicher, dass der Unterauftragsverarbeiter auf Kundendaten oder personenbezogene Daten zugreifen und diese nur für die Erbringung der Dienstleistungen nutzen darf, für die Microsoft sie gespeichert hat und sie nicht für andere Zwecke zu nutzen.

Microsoft behält sich vor die oben genannten personenbezogenen Daten in ca. 35 Länder weltweit an ca. 150 Unterauftragsverarbeiter zu übermitteln und dort verarbeiten zu lassen. Sämtliche Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen laut Microsoft angemessenen Absicherungen, wie sie in Art. 46 DSGVO beschrieben sind.

Nähere Informationen zur Datenverarbeitung von Microsoft finden Sie im MS Trust Center und der MS Datenschutzerklärung.

Innerhalb der Hochschule (interne Empfänger) können die Daten vom jeweiligen Lehrenden und den IT-Administratoren verarbeitet werden.

3.7      Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Die HWR Berlin führt kein Profiling oder automatisierte Entscheidungen durch.

Bei Nutzung der Microsoft Webanwendungen bzw. der Mobile App kann es zur ausführlichen Analyse des Nutzerverhaltens über Cookies und Java-Skripte kommen.  Näheres hierzu in der MS Datenschutzerklärung.

3.8      Auftragsverarbeitung

Der Auftragsverarbeiter stellt die Applikation, die Datenbanken, Server sowie die Wartung der Applikation zur Verfügung. Es handelt sich um:

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Die HWR Berlin ist der Ansprechpartner für Betroffene und für die Einhaltung datenschutzrechtlicher Vorgaben zuständig. Prinzipiell kann sich der Betroffene jedoch auch an den Auftragsverarbeiter zur Durchsetzung seiner Betroffenenrechte wenden. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder wenn er gegen diese Anweisungen gehandelt hat.

——————————————————————————————————————————————————————————————

4        Allgemeines zur Datenverarbeitung

4.1       Anwendungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Verfahren Onlinelehre während der Corona bedingten Einschränkungen an der HWR Berlin.

4.2       Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.

4.3       Rechte der von der Verarbeitung betroffenen Person

Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:

4.4       Auskunftsrecht

Sie können von der HWR eine Bestätigung darüber verlangen, ob personenbezogene Daten zu Ihrer Person durch uns verarbeitet werden.

4.5       Ausübung der Rechte

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zu widerrufen, wobei der Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung nicht berührt.

 

Hierfür schickt der Nutzer eine E‐Mail an It-hotline@hwr-berlin.deoder eine postalische Nachricht an

HWR Berlin

Informationstechnologie

Badensche Straße 52

10825 Berlin

 

4.6       Beschwerderecht

Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Friedrichstr. 219
10969 Berlin
mailbox@datenschutz-berlin.de

4.7       Datensicherheit

Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.

—————————————————————————————————————————————————————————————

5        Stand, Änderungen und Geltung der Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 04/2020. Wir behalten uns vor, die Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen. Ergeben sich Änderungen die einer erneuten Einwilligung bedürfen, werden wir eine hierauf angepasste Einwilligung und Datenschutzerklärung an Sie versenden.

[1] „Standardvertragsklauseln“ sind die Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern ansässig sind, die keinen angemessenen Grad an Datenschutz gewährleisten, wie in Artikel 46 der DSGVO beschrieben und durch die Entscheidung 2010/87/EG der Europäischen Kommission vom 5. Februar 2010 genehmigt.

[2] (1) Abrechnungs- und Kontoverwaltung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten; (5) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen).

[3] Aktuelle Liste siehe: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2JOJ1