Datenschutzerklärung nach der DSGVO
1 Name und Anschrift des Verantwortlichen
HWR Berlin
Informationstechnologie
Badensche Straße 52
10825 Berlin
It-hotline@hwr-berlin.de
2 Name und Anschrift des behördlichen Datenschutzbeauftragten
Klaus Hoogestraat (ITM Management & Consulting GmbH)
Badensche Str. 52
10825 Berlin
datenschutz@hwr-berlin.de
3 Datenverarbeitung im Verfahren HWR-Cloudspeicherdienst
3.1 Zwecke der Verarbeitung
Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:
- Bereitstellung von Speicherplatz zum temporären Upload von Dateien der HWR Mitglieder
- Teilen bzw. Austausch von Ordnern und Dateien über die Cloud an HWR-Mitglieder und Dritte
3.2 Rechtsgrundlage für die Verarbeitung
Rechtsgrundlage für die Verarbeitung ist
- für Studierende Art. 6 (1) lit. e DSGVO i.V.m § 6 (1) 2 BerlHG. Gegen die Datenverarbeitung kann Widerspruch erhoben werden. Die Cloud kann dann nicht mehr genutzt werden.
- für alle anderen Mitglieder der HWR und externe Zugreifende Art. 6 (1) lit. e DSGVO
i.V.m § 6 (1) 1-10 und 12 BerlHG. Gegen die Datenverarbeitung kann aus wichtigem Grunde Widerspruch erhoben werden.
- für freiwillig eingegebene Nutzer-Profildaten Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist freiwillig. Es besteht weder eine vertragliche noch eine gesetzliche Verpflichtung die Daten bereit zu stellen. Die Rechtmäßigkeit der Verarbeitung bleibt bis zum Widerruf der Einwilligung unberührt.
3.3 Arten und Kategorien von personenbezogenen Daten
Wir verarbeiten zu den in 3.1 genannten Zwecken folgende Kategorien und Arten von Daten:
| Datenkategorien | Datenarten | Betroffenenkategorien | Rechtsgrundlage | Erforderlich für |
| Stammdaten | Name / Vorname / Emailadresse | Lehrende / Lehrbeauftragte / Angestellte / Studierende | – Art. 6 (1) lit.e DSGVO
i.V.m § 6 (1) 1-10 und 12 BerlHG
– Art. 6 (1) lit. a DSGVO |
Zur eindeutigen Identifikation des Nutzerkontos |
| Authorisierungsdaten / Berechtigungsdaten | Rollen des Nutzers / Freigaben des Nutzers | Zuordnung zu einer Berechtigungsgruppe und Gewährleistung bestimmter Zugriffsrechte | ||
| Authentifikationsdaten | Nutzernamen / Authorisierungstoken | Authentifikation und Autorisierung des Nutzers gegenüber der HWR, als berechtigtes Mitglied der HWR Berlin. | ||
| Inhaltsdaten / Dateidaten | Von den Nutzern hochgeladene Dateien, die entweder in anderen Verarbeitungsverzeichnissen benannt sind oder von den Zugreifenden bereit gestellt wurden | Lehrende / Lehrbeauftragte / Angestellte / Studierende / externe Zugreifende | Teilen bzw. Austausch von Ordnern und Dateien über die Cloud an HWR-Mitglieder und Dritte | |
| Server Logdateien | Comon Log Formaat (insb. IP-Adresse) / | Aufzeichnungen zur Fehlerdiagnose und Verfolgung von Sicherheitsvorfällen | ||
| Cookiedaten* | 4 unterschiedliche Cookies | Es handelt sich um essentielle Cookies, die erforderlich sind, um den Nutzer und dessen Sitzung gegenüber dem Cloud-System zu identifizieren. | ||
| Auditlogdaten | Protokollierung von Erstellung, das Ändern und das Löschen von Shares sowie die Berechtigungen darauf serverseitig | Um im Streit/Schadensfall nachvollziehen zu können, wie es z.B. zur Weitergabe von Daten gekommen ist und durch wen dies autorisiert war | ||
| Aktivitätsdaten | Protokollierung von Erstellung, das Ändern und das Löschen von Shares sowie die Berechtigungen darauf clientseitig | Lehrende / Lehrbeauftragte / Angestellte / Studierende | ||
| Profildaten (freiwillig / standardmäßig nicht befüllt) | Profilbild / Telefonnummer / Adresse / Webseite / Twitter / Gebietsschema | Lehrende / Lehrbeauftragte / Angestellte / Studierende | Art. 6 (1) lit. a DSGVO | Keine |
* Es handelt sich um folgende Cookies: oc_sessionPassphrase / __Host-nc_sameSiteCookiestrict / __Host-nc_sameSiteCookielax / 514c7a36e9080
3.4 Löschfristen
Wir löschen die personenbezogenen Daten nach folgendem Schema:
| Datenkategorien | Löschfrist |
| Stammdaten | Nach Löschung des Users = 150 Tage nach Ausscheiden des Studierenden aus der Hochschule / 60 Tage nach Ausscheiden des Angestellten oder Lehrenden aus der Hochschule |
| Authorisierungsdaten / Berechtigungsdaten | Nach Löschung des Users |
| Authentifikationsdaten | Token (Nach Schließen der Browsersession / Bei Aktivität 8 Stunden) |
| Inhaltsdaten / Dateidaten | Wegfall des Verarbeitungszwecks
Nach Löschung des Users und gesetzliche Löschfristen, die in anderen Verarbeitungsverzeichnissen definiert sind |
| Server Logdateien | 30 Tage |
| Cookiedaten | Nach Schließen der Browsersession / Bei Aktivität 8 Stunden |
| Auditlogdaten | 30 Tage |
| Aktivitätsdaten | 30 Tage |
| Profildaten (freiwillig / standardmäßig nicht befüllt) | Nach Löschung des Users |
Daneben werden die Daten gelöscht, sobald der Nutzer von seinem Recht zur Löschung nach Art. 13 (2) b DSGVO der Daten Gebrauch macht oder die Daten selbständig löscht.
3.5 Ort der Verarbeitung
Der HWR-Cloudspeicherdienst wird an der HWR Berlin betrieben. Die Datenverarbeitung erfolgt somit in Deutschland.
3.6 Empfängern der personenbezogenen Daten und Übermittlung der Daten in ein Drittland oder eine int. Organisation
Eine Übermittlung von Daten an Dritte außerhalb der Hochschule (externe Empfänger) erfolgt von Seiten des HWR-Rechenzentrums nicht. Wenn Nutzer Dateien teilen, kann es zu Übermittlungen an Dritte kommen. Diese sind in anderen Verarbeitungstätigkeiten dokumentiert.
Eine Übermittlung von Verbindungsdaten an ein Drittland oder eine internationale Organisation erfolgt seitens des HWR-Rechenzentrums nicht. Wenn Nutzer Dateien teilen, kann es zu Übermittlungen an Drittländer kommen. Diese sind in anderen Verarbeitungstätigkeiten dokumentiert.
4 Allgemeines zur Datenverarbeitung
4.1 Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.
4.2 Rechte der von der Verarbeitung betroffenen Person
Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:
- Informationspflicht bei Erhebung von personenbezogenen Daten nach Art. 13 DSGVO
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 DSGVO
- Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
- Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
- Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder die Verarbeitung nach Art. 6 (1) f DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist nach Art. 21 DSGVO.
- Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.
4.3 Auskunftsrecht
Sie können von der HWR eine Bestätigung darüber verlangen, ob personenbezogene Daten zu Ihrer Person uns verarbeitet werden.
4.4 Ausübung der Rechte
Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte an den oben genannten Datenschutzbeauftragten oder stellen Sie die Anfrage unter dem Link.[1]
4.5 Beschwerderecht
Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219 10969 Berlin
mailbox@datenschutz-berlin.de
4.6 Datensicherheit
Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.
5 Stand, Änderungen und Geltung der allgemeinen Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 01/2022. Wir behalten uns vor, die Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen. Ergeben sich Änderungen die einer erneuten Einwilligung bedürfen, werden wir eine hierauf angepasste Einwilligung und Datenschutzerklärung an Sie versenden.
| Version | Datum | Dokument | Autor | Änderung / Bemerkung | Klassifizierung |
| 1.0 | 13.10.2020 | DSE Nextcloud | IT – DuD | Final Release | öffentlich |
| 1.1 | 07.01.2022 | DSE Nextcloud | IT – DuD | Final Release | öffentlich |
[1] https://dsgvo2.ds–manager.net/jd8g73mg9/anfrage_meldung.html?key=5oZEoda8bochZmO9