1. Name und Anschrift des Verantwortliche
HWR Berlin
Informationstechnologie
Badensche Straße 52
10825 Berlin
It-hotline(at)hwr-berlin.de
2. Name und Anschrift des behördlichen Datenschutzbeauftragten
| HiSolutions AG
Vitali Dick (Datenschutzbeauftragter) Bouchéstraße 12 12435 Berlin datenschutz@hwr-berlin.de |
HWR Berlin
Prof. Dr. Markus Schaal (stv. Datenschutzbeauftragter) Badensche Str. 50/51 10825 Berlin datenschutz@hwr-berlin.de |
3. Datenverarbeitung im Verfahren Onlinelehre während der Corona bedingten Einschränkungen
3.1 Zwecke der Verarbeitung
Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:
- Durchführung von Lehrveranstaltungen im Onlineformat unter Nutzung von Konferenz- und Streamingtools
- Abnahme von mündlichen Prüfungen
- Durchführung von Konferenzen, Online-Meetings, Videokonferenzen oder Webinaren unter Nutzung der Konferenzsysteme Jitsi Meet, BigBlueButton und Microsoft Teams.
3.2 Rechtsgrundlage für die Verarbeitung
Rechtsgrundlage für die Verarbeitung ist die Einwilligung des Lehrenden bzw. Studierenden in die Datenverarbeitung nach Art. 6 Abs. 1 lit. a DSGVO. Es besteht weder eine vertragliche noch eine gesetzliche Verpflichtung die Daten bereit zu stellen. Die Einwilligung ist freiwillig. Die Rechtmäßigkeit der Verarbeitung bleibt bis zum Widerruf der Einwilligung unberührt.
3.3 Arten und Kategorien von personenbezogenen Daten
Wir verarbeiten zu den in 3.1 genannten Zwecken folgende Kategorien und Arten Daten vom Nutzer:
|
Datenkategorien |
Datenarten |
Erforderlich für |
Jitsi |
BigBlueButton |
MS-Teams |
|
Stammdaten aus dem Active Directory der HWR Berlin |
Benutzername |
Zur eindeutigen Identifikation des Nutzers |
Ja, bei Login |
Ja, bei Login |
Ja |
|
Name, Vorname |
Zur eindeutigen Identifikation des Nutzers |
Ja, bei Login |
Ja, bei Login |
Ja |
|
|
E-Mail-Adresse |
Zur eindeutigen Identifikation des Nutzers |
Ja, bei Login |
Ja, bei Login |
Ja |
|
|
Meeting-Metadaten
|
Aktivitätsverlauf |
k.A. |
k.A. |
k.A. |
Ja |
|
Angezeigter Name / Alias |
Zur Identifikation des Nutzers |
Ja |
Ja |
Ja |
|
|
Authentifikationsdaten aus dem Active Directory |
Persönliches Passwort in verschlüsselter Form |
Zur Authentifikation und Anmeldung am Onlinedienst |
Ja, bei Login |
Ja, bei Login |
Ja |
|
Stream-Inhaltsdaten |
Textdaten |
Zur Nutzung der Chatfunktion |
Ja |
Ja |
Ja |
|
Videodaten |
Zur Nutzung der Bildübertragung |
Ja |
Ja |
Ja |
|
|
Audiodaten |
Zur Nutzung der Mikrophonfunktion |
Ja |
Ja |
Ja |
|
|
Aufzeichnungen |
Video-, Audio- und Textdateien |
Zur Bereitstellung der Aufzeichnung an den Studierenden und Verwendung außerhalb des Livestreams |
Nein |
Nein |
Mit separater Einwilligung |
|
Diagnosedaten |
Client-ID |
1. Bereitstellen und Verbessern des Dienstes, 2. Aktualisierung des Dienstes 3. und dessen Sicherheit.
|
k.A. |
k.A. |
Ja |
|
User-ID |
k.A. |
k.A. |
Ja |
||
|
Dauer der Nutzung eines Office-Diensts |
k.A. |
k.A. |
Ja |
||
|
Größe der bearbeiteten Datei |
k.A. |
k.A. |
Ja |
||
|
Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments) |
k.A. |
k.A. |
Ja |
||
|
Programmsprache |
k.A. |
k.A. |
Ja |
||
|
Cookiedaten |
Einwilligungscookie |
Speicherung der Einwilligung zur Datenverarbeitung auf dem Browser des Nutzers |
Ja | ||
|
Serverlogdaten |
IP-Adresse des Clients |
Aufzeichnungen zur Fehlerdiagnose und Verfolgung von Sicherheitsvorfällen |
Ja |
Ja |
k.A. |
|
user-identifier |
Ja |
Ja |
k.A. |
||
|
userid des Nutzers |
Ja |
Ja |
k.A. |
||
|
Datum, die Uhrzeit und die Zeitzone des Nutzers |
Ja |
Ja |
k.A. |
||
3.4 Löschfristen
Wir löschen die personenbezogenen Daten nach folgenden Fristen:
|
Datenkategorien |
Jitsi |
BigBlueButton |
MS-Teams* |
|
Stammdaten |
150 Tage nach Exmatrikulation |
||
|
Profildaten |
k.A. |
k.A. |
180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements |
|
Meeting-Metadaten
|
k.A. |
180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements |
|
|
Authentifikations-daten |
150 Tage nach Exmatrikulation |
||
|
Stream-Inhaltsdaten |
Beim Streaming erfolgt keine Speicherung |
180 Tage nach Deaktivierung des Online-Kontos oder Beendigung des Abonnements |
|
|
Aufzeichnungen |
nicht möglich |
nicht möglich |
Bei Aufzeichnung 180 Tage nach Deaktivierung des Kontos oder Beendigung des Abonnements |
|
Diagnosedaten |
k.A. |
180 Tage nach Deaktivierung des Kontos oder Beendigung des Abonnements |
|
|
Cookiedaten |
Zum Ende des jeweiligen begonnen Studiensemesters |
||
|
Serverlogs |
30 Tage |
k.A. |
|
*Microsoft sichert vertraglich zu sämtliche personenbezogenen Daten nach 180 Tagen zu löschen, die im Rahmen der Auftragsverarbeitung verarbeitet werden. Daten, die als eigenständiger Verantwortlicher verarbeitet werden, weichen hiervon ggf. ab.
Daneben werden die Daten gelöscht, sobald der Nutzer von seinem Recht zur Löschung nach Art. 13 (2) b DSGVO der Daten Gebrauch macht.
3.5 Ort der Verarbeitung
Die Systeme Jitsi und BigBlueButton werden an der HWR Berlin betrieben. Die Datenverarbeitung erfolgt somit in Deutschland.
Das System MS-Teams wird von Microsoft betrieben. Die Standorte der Server befinden sich vertraglich garantiert in Europa. Microsoft versendet ggf. personenbezogene Daten an Unterauftragsverarbeiter weltweit.
3.6 Empfänger der personenbezogenen Daten und Übermittlung der Daten in ein Drittland oder eine int. Organisation
Eine Übermittlung von Verbindungsdaten an Dritte außerhalb der Hochschule (externe Empfänger) erfolgt für Jitsi Meet und BigBlueButton nicht.
Wir nutzen das Unternehmen Microsoft als ausführenden Auftragsverarbeiter für die Anwendung MS-Teams. MS Teams ist ein Cloud-Dienst, der von einem amerikanischen Anbieter erbracht wird. Bei den USA handelt es sich um ein Drittland außerhalb der Europäischen Union. Microsoft ist nach dem EU-US Privacy Shield zertifiziert, wonach eine Übermittlung von Daten ins US-amerikanische Ausland rechtmäßig erfolgen kann und ein angemessenes Datenschutzniveau des Dienstleisters bescheinigt wird. Mit Microsoft wurden EU-Standard-Vertragsklauseln[1] abgeschlossen. Die Inhalte dieser Klauseln decken die Anforderungen aus Art. 28 DSGVO zu Mindestanfoderungen an Verträge zur Auftragsverarbeitung ab. Microsoft unterliegt dem US Cloud Act, welcher amerikanischen Strafverfolgungsbehörden die Möglichkeit eröffnet auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Microsoft behält sich vor zu “legitimen Geschäftstätigkeiten[2]“ personenbezogene Daten der Kunden (alle personenbezogenen Daten einschließlich Text-, Ton-, Video- oder Bilddateien) als unabhängiger Verantwortlicher zu nutzen. Microsoft kann gemäß den abgeschlossenen Verträgen Unterauftragsverarbeiter[3] beauftragen, Dienstleistungen im Namen von Microsoft zu erbringen. Bei der Beauftragung eines Unterauftragsverarbeiters stellt Microsoft durch einen schriftlichen Vertrag sicher, dass der Unterauftragsverarbeiter auf Kundendaten oder personenbezogene Daten zugreifen und diese nur für die Erbringung der Dienstleistungen nutzen darf, für die Microsoft sie gespeichert hat und sie nicht für andere Zwecke zu nutzen.
Microsoft behält sich vor die oben genannten personenbezogenen Daten in ca. 35 Länder weltweit an ca. 150 Unterauftragsverarbeiter zu übermitteln und dort verarbeiten zu lassen. Sämtliche Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen laut Microsoft angemessenen Absicherungen, wie sie in Art. 46 DSGVO beschrieben sind.
Nähere Informationen zur Datenverarbeitung von Microsoft finden Sie im MS Trust Center und der MS Datenschutzerklärung.
Innerhalb der Hochschule (interne Empfänger) können die Daten vom jeweiligen Lehrenden und den IT-Administratoren verarbeitet werden.
3.7 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Die HWR Berlin führt kein Profiling oder automatisierte Entscheidungen durch.
Bei Nutzung der Microsoft Webanwendungen bzw. der Mobile App kann es zur ausführlichen Analyse des Nutzerverhaltens über Cookies und Java-Skripte kommen. Näheres hierzu in der MS Datenschutzerklärung.
3.8 Auftragsverarbeitung
Der Auftragsverarbeiter stellt die Applikation, die Datenbanken, Server sowie die Wartung der Applikation zur Verfügung. Es handelt sich um:
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Die HWR Berlin ist der Ansprechpartner für Betroffene und für die Einhaltung datenschutzrechtlicher Vorgaben zuständig. Prinzipiell kann sich der Betroffene jedoch auch an den Auftragsverarbeiter zur Durchsetzung seiner Betroffenenrechte wenden. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder wenn er gegen diese Anweisungen gehandelt hat.
——————————————————————————————————————————————————————————————
4 Allgemeines zur Datenverarbeitung
4.1 Anwendungsbereich
Diese Datenschutzerklärung gilt für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Verfahren Onlinelehre während der Corona bedingten Einschränkungen an der HWR Berlin.
4.2 Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.
4.3 Rechte der von der Verarbeitung betroffenen Person
Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:
- Informationspflicht bei Erhebung von personenbezogenen Daten nach Art. 13 DSGVO
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 DSGVO
- Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
- Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
- Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder die Verarbeitung nach Art. 6 (1) f DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist nach Art. 21 DSGVO.
- Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.
4.4 Auskunftsrecht
Sie können von der HWR eine Bestätigung darüber verlangen, ob personenbezogene Daten zu Ihrer Person durch uns verarbeitet werden.
4.5 Ausübung der Rechte
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zu widerrufen, wobei der Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung nicht berührt.
Hierfür schickt der Nutzer eine E‐Mail an It-hotline@hwr-berlin.deoder eine postalische Nachricht an
HWR Berlin
Informationstechnologie
Badensche Straße 52
10825 Berlin
4.6 Beschwerderecht
Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
mailbox@datenschutz-berlin.de
4.7 Datensicherheit
Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.
—————————————————————————————————————————————————————————————
5 Stand, Änderungen und Geltung der Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 04/2020. Wir behalten uns vor, die Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen. Ergeben sich Änderungen die einer erneuten Einwilligung bedürfen, werden wir eine hierauf angepasste Einwilligung und Datenschutzerklärung an Sie versenden.
[1] „Standardvertragsklauseln“ sind die Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern ansässig sind, die keinen angemessenen Grad an Datenschutz gewährleisten, wie in Artikel 46 der DSGVO beschrieben und durch die Entscheidung 2010/87/EG der Europäischen Kommission vom 5. Februar 2010 genehmigt.
[2] (1) Abrechnungs- und Kontoverwaltung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten; (5) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen).
[3] Aktuelle Liste siehe: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2JOJ1