DATENSCHUTZERKLÄRUNG
Diese Datenschutzerklärung gilt für die Internetpräsenz der Hochschule und die dort zur Verfügung gestellten Internetseiten, Dienste und Angebote, soweit sie auf diese Erklärung verlinken oder auf sie Bezug nehmen und erläutert den Umgang der Hochschule mit personenbezogenen Daten.
Sie beschreibt außerdem, welche Wahlmöglichkeiten Sie bezüglich der Erfassung und Verwendung Ihrer personenbezogenen Daten sowie des Zugriffs auf diese Daten haben und wie Sie diese Angaben aktualisieren und korrigieren können.
III. Allgemeines zur Datenverarbeitung
IV. Bereitstellung der Internetpräsenz | Erstellung von Log-Dateien
VI. Registrierung — Internationale Wettbewerbe, Weimarer Meisterkurse, Pinnwand, Alumni-Datenbank
XI. Rechte der betroffenen Person
I. VERANTWORTLICHE*R
Verantwortlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO), anderer nationaler Datenschutzgesetze (insbesondere des Thüringer Datenschutzgesetzes – ThürDSG) sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Hochschule für Musik FRANZ LISZT Weimar
Platz der Demokratie 2/3
99423 Weimar
Tel. 03643 | 555 0
E-Mail: praesident(at)hfm-weimar.de
Internetpräsenz: www.hfm-weimar.de
Die Hochschule für Musik FRANZ LISZT Weimar ist eine Körperschaft des öffentlichen Rechts und wird durch den Präsidenten/die Präsidentin gesetzlich vertreten.
II. DATENSCHUTZBEAUFTRAGTE*R
Hochschule für Musik FRANZ LISZT Weimar
Justiziariat | Datenschutz
Platz der Demokratie 2/3
99423 Weimar
Tel.: 03643 | 555 191
E-Mail: datenschutz(at)hfm-weimar.de
III. ALLGEMEINES ZUR DATENVERARBEITUNG
1. Umfang der Datenverarbeitung
Personenbezogene Daten der Nutzer*innen werden grundsätzlich nur verarbeitet, soweit dies zur Bereitstellung einer funktionsfähigen Internetpräsenz sowie zur Nutzung der dort zur Verfügung gestellten Inhalte und Leistungen erforderlich ist oder die nutzende Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Eine Ausnahme gilt in solchen Fällen, in denen die vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Personenbezogene Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zwecke der Vertragsabwicklung oder zu Abrechnungszwecken erforderlich ist oder der/die Vertragspartner*in zuvor eingewilligt hat.
Davon unberührt bleibt die Nutzung der IT-Infrastruktur und -systeme anderer Thüringer Hochschulen im Rahmen der Kooperationsvereinbarung der Thüringer Hochschulen für IT-Dienste, die durch eine entsprechende Rahmenvereinbarung zur Auftragsdatenvereinbarung ergänzt wird.
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Rechtsgrundlage der jeweiligen Verarbeitung personenbezogener Daten bestimmt sich nach deren Zweck.
Grundsätzlich dient jede Verarbeitung personenbezogener Daten durch die Hochschule der Erfüllung der ihr gesetzlich, insbesondere mit § 5 Thüringer Hochschulgesetz (ThürHG) zugewiesenen Aufgaben. Soweit die jeweilige Datenverarbeitung durch § 11 ThürHG und der darauf basierenden Thüringer Hochschul-Datenverarbeitungsverordnung (ThürHDatVO) erfasst ist, dient Art. 6 Abs. 1 lit. e DSGVO als Rechtsgrundlage.
Werden personenbezogene Daten von Beschäftigten der Hochschule verarbeitet, ist § 27 ThürDSG i.V.m. § 79 ThürBG die Rechtsgrundlage der Datenverarbeitung.
Soweit für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person eingeholt wird, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
3. Speicherdauer und Datenlöschung
Die personenbezogenen Daten der betroffenen Person werden gelöscht, sobald der Zweck der Speicherung entfällt.
Ist aufgrund technischer Gegebenheiten oder anderer Anforderungen eine Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich, werden die personenbezogenen Daten gesperrt oder anderweitig in der Verarbeitung beschränkt.
Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen die Verantwortliche unterliegt, vorgesehen ist.
Eine Löschung, Sperrung oder Einschränkung der Verarbeitung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
IV. BEREITSTELLUNG DER INTERNETPRÄSENZ | ERSTELLUNG VON LOG-DATEIEN
1. Umfang der Datenverarbeitung
Bei jedem Aufruf der Internetpräsenz der Hochschule werden automatisiert folgende Daten und Informationen vom Computersystem des aufrufenden Rechners erfasst und in sog. Log-Dateien gespeichert:
- Informationen über den Browsertyp und die verwendete Version,
- das Betriebssystem der nutzenden Person,
- die IP-Adresse der nutzenden Person,
- Datum und Uhrzeit des Zugriffs,
- Internetseite, von der das System der nutzenden Person auf die Internetseiten der Hochschule gelangt,
- Internetseiten, die vom System der nutzenden Person über die Internetseiten der Hochschule aufgerufen werden.
Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten der nutzenden Person findet nicht statt.
Bei der Realisierung dieses Internetauftritts wirkt folgender externer Dienstleister mit:
JUSTORANGE – resch media services, Jena (Beratung, Designentwicklung, technische Realisierung des TYPO3-Templates, Wartung und Pflege).
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Internetseiten an den Rechner der nutzenden Person zu ermöglichen. Hierfür muss die IP-Adresse der nutzenden Person für die Dauer der Sitzung gespeichert bleiben.
Die Speicherung in Log-Dateien erfolgt, um die Funktionsfähigkeit der Internetseiten sicherzustellen. Zudem dienen die Daten der Sicherstellung der Sicherheit der informationstechnischen Systeme der Hochschule. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.
Aufgrund der vorstehenden berechtigten Interessen an der Verarbeitung der benannten Daten ist Rechtsgrundlage für die vorübergehende Speicherung der Daten und die Erstellung von Log-Dateien Art. 6 Abs. 1 lit. f DSGVO.
3. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Die zur Bereitstellung der Internetpräsenz verarbeiteten Daten werden gelöscht, wenn die jeweilige Sitzung beendet ist. Die in Log-Dateien gespeicherten Daten werden nach spätestens sieben Tagen gelöscht.
Da die Erfassung der Daten zur Bereitstellung der Internetseiten und die Speicherung der Daten in Log-Dateien für den Betrieb der Internetseite zwingend erforderlich ist, besteht keine Widerspruchsmöglichkeit.
V. VERWENDUNG VON COOKIES
1. Umfang der Datenverarbeitung
Die Internetpräsenz der Hochschule verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem der nutzenden Person gespeichert werden. Wird eine Internetseite aufgerufen, so kann ein Cookie auf dem Betriebssystem des genutzten Computersystems gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht.
Cookies werden eingesetzt, um die Internetpräsenz nutzerfreundlicher zu gestalten und die erwartungsgemäße Funktion der Internetseiten zu gewährleisten. Einige Elemente der Internetpräsenz erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann.
Auf den Internetseiten der Hochschule werden sogenannte Session-Cookies (temporäre Cookies) verwendet. Diese Art von Cookies wird ausschließlich für die Dauer der Nutzung der Internetseiten gespeichert. Session-Cookies dienen ausschließlich dazu, Sie zu identifizieren, solange Sie auf den Internetseiten eingeloggt sind. Nach Beendigung jeder Sitzung werden die Session-Cookies gelöscht. Eine darüberhinausgehende Verwendung findet nicht statt.
In den Cookies werden folgende Daten gespeichert und übermittelt:
- Log-In-Informationen,
- Benutzereinstellung zum Opt-Out aus dem Webanalyseverfahren durch Matomo (ehemals PIWIK).
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Zweck der Verwendung technisch notwendiger Cookies ist es, die Nutzung von Internetseiten für die Nutzer*innen zu vereinfachen. In der Regel werden Cookies nur als Reaktion auf von Ihnen getätigte Aktionen gesetzt, wie etwa dem Festlegen von Datenschutzeinstellungen, dem Anmelden oder dem Ausfüllen von Formularen. Die Internetseiten der Hochschule können prinzipiell ohne Verwendung von Cookies genutzt werden. Einige Funktionen können allerdings ohne den Einsatz von Cookies nicht angeboten werden. Für diese, unter Nr. 1 genannten Anwendungen ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird. Die durch technisch notwendige Cookies erhobenen Daten werden nicht zur Erstellung von Nutzungsprofilen verwendet.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO.
3. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Cookies werden auf dem Rechner der nutzenden Person gespeichert und von diesem an die Internetseite der Hochschule übermittelt. Daher haben Sie als nutzende Person auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für die Internetpräsenz der Hochschule deaktiviert, können möglicherweise nicht mehr alle Funktionen der Internetseiten vollumfänglich genutzt werden.
VI. REGISTRIERUNG — INTERNATIONALE WETTBEWERBE, WEIMARER MEISTERKURSE, PINNWAND, ALUMNI-DATENBANK
1. Umfang der Datenverarbeitung
Auf einigen Internetseiten bietet die Hochschule die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Art und Umfang der erhobenen Daten bestimmen sich nach dem Zweck der Datenerhebung, der durch die entsprechenden Ausschreibungs-, Teilnahme- bzw. Nutzungsbedingungen bestimmt ist. Die einzelnen Bedingungen können bei der jeweiligen Registrierung abgerufen werden oder sie werden der nutzenden Person anderweitig zur Verfügung gestellt.
Die Daten werden in eine Eingabemaske eingegeben, an die Hochschule übermittelt und gespeichert.
Im Zeitpunkt der Registrierung werden zudem folgende Daten (Log-Daten) gespeichert:
- die IP-Adresse der nutzenden Person
- Datum und Uhrzeit der Registrierung
Alternativ ist eine Kontaktaufnahme über die für die jeweilige Registrierung bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten der nutzenden Person gespeichert.
Personenbezogene Daten werden von der Hochschule an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zwecke der Vertragsabwicklung oder zu Abrechnungszwecken erforderlich ist oder der/die Teilnehmer*in zuvor eingewilligt hat.
Die Gastprofessorinnen und -professoren der Weimarer Meisterkurse erhalten neben den eingesandten Videoaufnahmen auch Name, Vorname und Geburtsdatum der angemeldeten Teilnehmer*innen, um die in den Teilnahmebedingungen vorgesehene Vorauswahl durchführen zu können.
Bei der Realisierung der vorgenannten Dienste wirken folgende externe Dienstleister mit:
- JUSTORANGE – resch media services (Beratung, Designentwicklung, technische Realisierung des TYPO3-Templates, Wartung und Pflege)
- Friedrich-Schiller-Universität Jena (Wartung Alumni-Datenbank)
- Bauhaus Weiterbildungsakademie Weimar e.V., Weimar (Vertragsgestaltung, Finanzen, Teilnehmerbetreuung für Wettbewerbe)
- Novalnet AG, Ismaning (Zahlungsabwicklung/ E-Payment)
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Eine Registrierung ist für das Bereithalten bestimmter Inhalte und Leistungen, zur Erfüllung eines Vertrages mit der nutzenden Person oder zur Durchführung vorvertraglicher Leistungen erforderlich.
Die bei der Anmeldung zum jeweiligen Dienst bzw. Angebot erhobenen personenbezogenen Daten werden zur Gestaltung und Durchführung der Dienste und Angebote, zur Einrichtung und ggf. Abrechnung eines Teilnahmeaccounts bzw. -kontos und zur Beantwortung von Anfragen genutzt.
Rechtsgrundlage für die Verarbeitung der Daten ist für die Wettbewerbe, Meisterkurse und die Alumni-Datenbank Art. 6 Abs.1 lit. e DSGVO; bei Vorliegen einer Einwilligung der nutzenden Person auch Art. 6 Abs. 1 lit. a DSGVO.
Dient die Registrierung (auch) der Erfüllung eines Vertrages, dessen Vertragspartei die nutzende Person ist oder der Durchführung vorvertraglicher Maßnahmen, so ist zusätzliche Rechtsgrundlage für die Verarbeitung der Daten Art. 6 Abs. 1 lit. b DSGVO (Wettbewerbe, Weimarer Meisterkurse, Pinnwand).
Die während der Registrierung verarbeiteten Log-Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit der informationstechnischen Systeme sicherzustellen. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist insoweit Art. 6 Abs. 1 lit. f DSGVO.
3. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Die Daten werden gelöscht, wenn sie für die Durchführung des Vertrages oder vorvertraglicher Maßnahmen nicht mehr erforderlich sind. Auch nach Abschluss des Vertrages kann die Erforderlichkeit einer weiteren Speicherung personenbezogener Daten des/der Vertragspartners/Vertragspartnerin bestehen, um vertraglichen oder gesetzlichen Anforderungen nachzukommen.
Die Log-Daten werden gelöscht, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Log-Dateien ist dies in der Regel nach spätestens sieben Tagen der Fall.
Als Nutzer*in haben Sie jederzeit die Möglichkeit, die Registrierung aufzulösen oder die über Sie gespeicherten Daten abändern zu lassen. Die entsprechende schriftliche Anfrage ist je nach genutztem Dienst an die entsprechende, in den Ausschreibungs-, Teilnahme- bzw. Nutzungsbedingungen genannte E-Mail-Adresse zu richten.
Sind die Daten zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, ist eine vorzeitige Löschung der Daten nur möglich, soweit nicht vertragliche oder gesetzliche Verpflichtungen einer Löschung entgegenstehen.
VII. NEWSLETTER
1. Umfang der Datenverarbeitung
Auf der Internetseite eines Projektes der Hochschule (https://jazzomat.hfm-weimar.de) besteht die Möglichkeit einen kostenfreien Newsletter zu abonnieren. Mit der Anmeldung zum Newsletter wird die in die Eingabemaske eingegebene E-Mail-Adresse an die Hochschule übermittelt.
Zudem werden folgende Daten (Log-Daten) bei der Anmeldung erhoben und gespeichert:
- IP-Adresse des aufrufenden Rechners
- Datum und Uhrzeit der Registrierung
Es erfolgt im Zusammenhang mit der Datenverarbeitung für den Versand des Newsletters eine Weitergabe der Daten an den damit beauftragten externen Dienstleister:
MailChimp (The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000 Atlanta, GA 30308 USA)
Mailchimp hat sich verpflichtet, sämtliche Daten aus dem EU-Ausland gemäß den sogenannten EU-Standardvertragsklauseln zu übertragen und zu verarbeiten. Dieser gültige Datenexportmechanismus gilt gemäß dem Nachtrag zur Datenverarbeitung von Mailchimp automatisch als Bestandteil der Nutzungsbedingungen.
Datenschutzinformationen des eingesetzten Dienstleisters:
https://mailchimp.com/legal/privacy/
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Erhebung der E-Mail-Adresse der nutzenden Person dient dazu, den Newsletter zuzustellen.
Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletters durch die nutzende Person ist bei Vorliegen einer Einwilligung Art. 6 Abs. 1 lit. a DSGVO.
Die während der Registrierung verarbeiteten Log-Daten dienen dazu, einen Missbrauch der Dienste oder der verwendeten E-Mail-Adresse zu verhindern.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist insoweit Art. 6 Abs. 1 lit. f DSGVO.
3. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Die E-Mail-Adresse der nutzenden Person wird so lange gespeichert, wie das Abonnement des Newsletters aktiv ist.
Die Log-Daten werden gelöscht, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Log-Dateien ist dies in der Regel nach spätestens sieben Tagen der Fall.
Das Abonnement des Newsletters kann durch die nutzende Person jederzeit gekündigt werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link. Hierdurch wird ebenfalls ein Widerruf der Einwilligung in die Speicherung der während des Anmeldevorgangs erhobenen personenbezogenen Daten ermöglicht.
VIII. WEBANALYSE DURCH MATOMO
1. Umfang der Datenverarbeitung
Die Hochschule nutzt auf ihrer Internetpräsenz das Open-Source-Software-Tool Matomo (ehemals PIWIK) zur Analyse des Surfverhaltens der Nutzer*innen. Die Software setzt ein Cookie auf dem Rechner der Nutzer*innen. Werden einzelne Seiten der Internetpräsenz aufgerufen, so werden folgende Daten gespeichert:
- zwei Bytes der IP-Adresse des aufrufenden Systems der nutzenden Person,
- der Zeitpunkt des Aufrufes der Internetseite,
- die aufgerufene Seite (Seitentitel und URL),
- die Internetseite, von der der/die Nutzer*in auf die aufgerufene Seite gelangt ist (Referrer),
- die Unterseiten, die von der aufgerufenen Internetseite aus aufgerufen werden,
- die Verweildauer auf der Internetseite,
- die Häufigkeit des Aufrufs der Internetseite,
- die benutzte Bildschirm-Auflösung,
- die Uhrzeit in der lokalen Zeitzone der nutzenden Person,
- Dateien, die zum Download angeklickt werden,
- die Seitengenerierungszeit,
- der Ort der nutzenden Person (Land, Region, Stadt, annähernder Längen- und Breitengrad),
- Spracheinstellungen des verwendeten Browsers,
- Betriebssystem, Browser-Version, Endgerät (wie Desktop, Tablet, Smartphone, TV, Fahrzeug, Konsole, etc.).
Quelle: https://matomo.org/faq/general/faq_18254/
Die Software ist so eingestellt, dass die IP-Adressen nicht vollständig gespeichert werden, sondern 2 Bytes der IP-Adresse maskiert werden (Bsp.: 192.168.xxx.xxx). Auf diese Weise ist eine Zuordnung der gekürzten IP-Adresse zum aufrufenden Rechner nicht mehr möglich.
2. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten der Nutzer*innen ermöglicht eine Analyse des Surfverhaltens. Die Hochschule ist durch die Auswertung der gewonnenen Daten in der Lage, Informationen über die Nutzung der einzelnen Komponenten der Internetseiten zusammenzustellen. Dies hilft dabei, die Internetpräsenz und deren Nutzerfreundlichkeit stetig zu verbessern.
In diesen Zwecken liegt das berechtigte Interesse in der Verarbeitung der Daten, so dass Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. f DSGVO ist. Durch die Anonymisierung der IP-Adresse wird dem Interesse der Nutzer*innen am Schutz ihrer personenbezogener Daten hinreichend Rechnung getragen.
3. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Die Daten werden gelöscht, sobald sie für Aufzeichnungszwecke nicht mehr benötigt werden. Dies ist in der Regel nach sieben Tagen der Fall.
Allgemeine Informationen zur Nutzung, Speicherung und Löschung von Cookies können dem Punkt V. Verwendung von Cookies entnommen werden.
Auf den Internetseiten wird die Möglichkeit eines Opt-Out aus dem Analyseverfahren angeboten. Auf diese Weise wird ein Cookie auf Ihrem System gesetzt, der dem System der Hochschule signalisiert, Ihre Daten nicht zu speichern. Wenn Sie den entsprechenden Cookie zwischenzeitlich von Ihrem System löschen oder wenn Sie einen anderen Computer oder Internetbrowser verwenden, so müssen Sie den Opt-Out-Cookie erneut setzen.
Nähere Informationen zu den Privatsphäreeinstellungen der Matomo Software finden Sie unter folgendem Link: https://matomo.org/docs/privacy.https://matomo.hfm-weimar.de/index.php?module=CoreAdminHome&action=optOut&idsite=28&language=de
IX. ONLINE-KONFERENZEN
1. Verantwortliche*r
Grundsätzlich gelten hinsichtlich der Verantwortlichkeit die Ausführungen unter Punkt I. der Datenschutzerklärung.
Soweit die Internetseiten externer Dienstleister aufgerufen werden, ist der jeweilige Anbieter für die Datenverarbeitung verantwortlich. Ein solcher Aufruf ist in der Regel jedoch nur erforderlich, um bei Bedarf eine Software (Client, App) für die Nutzung der Online-Konferenzdienste herunterzuladen. Die Basisfunktionen sind weitgehend auch ohne Download über eine Browser-Version nutzbar.
Mit den Hochschul-Zugangsdaten können derzeit über die Hochschule die Online-Konferenzdienste folgender Anbieter genutzt werden:
Cisco WebEx:
Deutsche Telekom Business Solutions GmbH
Landgrabenweg 151, 53227 Bonn
Online-Datenschutzrichtlinie von Cisco
Datenschutzblätter der einzelnen Dienste
DFNconf:
Verein zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN)
Alexanderplatz 1, 10178 Berlin
https://www.conf.dfn.de/datenschutz/
2. Umfang der Datenverarbeitung
Die Hochschule bietet für ihre Mitglieder und Angehörigen die Möglichkeit, auf Online-Konferenzdienste externer Anbieter zuzugreifen und damit Video- und Telefonkonferenzen, Online-Meetings und/oder Webinare durchzuführen. Der Umfang der erhobenen und verarbeiteten personenbezogenen Daten ergibt sich aus den durch die nutzende Person vor und während der Teilnahme an einer solchen Konferenz selbst getätigten Angaben. Die Benutzerinformationen dienen nur der Servicebereitstellung und der Erbringung der eigentlichen Funktionalität.
Die Voreinstellungen in den jeweiligen Online-Konferenzdiensten werden seitens der Hochschule möglichst datenschutzfreundlich getroffen.
Folgende personenbezogene Daten können Gegenstand der Verarbeitung sein:
Angaben zur Person: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Abteilung (optional)
Um an einer Online-Konferenz teilzunehmen bzw. den Meeting-Raum zu betreten, müssen in der Regel zumindest Angaben zum Namen gemacht werden. Teilweise kann eine Teilnahme auch ohne Verwendung von eindeutig identifizierbaren Daten (Pseudonyme) erfolgen. Ist die nutzende Person beim Betreten der Online-Konferenz mit ihrem ggf. bei dem Anbieter bestehenden Konto eingeloggt, werden die dort hinterlegten Daten verarbeitet.
Konferenz-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/ Hardware-Informationen
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit, ggf. weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts
Text-, Audio- und Videodaten: Es besteht ggf. die Möglichkeit in einer Online-Konferenz die Chat- oder Fragenfunktionen zu nutzen. Insoweit werden die gemachten Texteingaben verarbeitet, um diese anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer der Konferenz die Daten von dem Mikrofon sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera und das Mikrofon können jederzeit selbst abgeschaltet bzw. stummgestellt werden.
Es werden grundsätzlich keine Text-, Audio- und Videodaten verarbeitet, ohne dass die nutzende Person durch die Betätigung der entsprechenden Funktion diese Verarbeitung selbst veranlasst und damit in die Verarbeitung eingewilligt hat.
Bei Aufzeichnungen (optional): Datei aller Video-, Audio- und Präsentationsaufnahmen, Datei aller Audioaufnahmen, Textdatei des Online-Konferenz-Chats
Sollten Online-Konferenzen aufgezeichnet werden, wird den nutzenden Personen dieser Umstand vor Beginn der Aufzeichnung mitgeteilt und – soweit erforderlich – eine Zustimmung dafür eingeholt. Die Tatsache der Aufzeichnung wird zudem während der laufenden Online-Konferenz angezeigt.
Wenn es für die Zwecke der Aufzeichnung und Nachbereitung von Online-Konferenzen erforderlich sein sollte, können in Ausnahmefällen Chatinhalte, gestellte Fragen und andere Angaben protokolliert werden.
3. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Verarbeitung der im Rahmen der Teilnahme an einer Online-Konferenz erhobenen personenbezogenen Daten erfolgt hauptsächlich um die Organisation und Durchführung der Konferenz zu ermöglichen.
Online-Konferenzdienste dienen insbesondere der Etablierung und Nutzung digitaler Lernformate zur Ergänzung von Präsenzveranstaltungen. Daneben können Aufgaben der Selbstverwaltung durch Besprechungen und Gremiensitzungen per Telefon- und/oder Videokonferenz unterstützt werden.
Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten der nutzenden Personen ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit dem Thüringer Hochschulgesetz. Soweit personenbezogene Daten im Rahmen eines Beschäftigungsverhältnisses an der Hochschule verarbeitet werden, ist § 27 ThürDSG i. V. m. den §§ 79 – 87 Thüringer Beamtengesetz die Rechtsgrundlage der Datenverarbeitung.
Bei einer aktiven Nutzung einiger Funktionen des Online-Konferenzdienstes (Uploads, Chats) sowie einer Aufzeichnung der Konferenzen ist Rechtsgrundlage für die insoweit mit Einwilligung der nutzenden Person erhobenen und gespeicherten Daten Art. 6 Abs. 1 lit. a DSGVO.
4. Weitergabe personenbezogener Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Konferenzen verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben. Die Anbieter der Online-Konferenzen erhalten notwendigerweise Kenntnis von den o. g. Daten, soweit dies im Rahmen des jeweiligen Auftragsverarbeitungsvertrages über die Nutzung der Dienste vorgesehen ist.
Des Weiteren können personenbezogene Daten übermittelt werden an:
- Andere teilnehmende Personen [Namen, Audio- und Videodaten (sofern das Mikrofon und die Kamera aktiviert sind) sowie sonstige freiwillige Angaben].
- Dienstleister des Kommunikationsdienstes und deren Subdienstleister.
- Mit der Durchführung der Online-Konferenzen betraute Abteilungen der Hochschule oder Auftragsverarbeiter und deren Subunternehmer.
- Dienstleister für die technische Unterstützung der Anwendung.
Darüber hinaus erfolgt eine Übermittlung der personenbezogenen Daten an Dritte außerhalb der Hochschule nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder eine Einwilligung dafür vorliegt.
5. Übermittlung der Daten in ein Drittland
Bei der Nutzung von DFNconf findet keine Übermittlung von personenbezogenen Daten in ein Drittland statt.
Cisco Webex ist ein US-Amerikanischer Dienst, sodass personenbezogene Daten (z.B. Account-Daten) zum Teil an Cisco Systems, Inc. oder deren Subunternehmer mit Sitz in einem Drittland übermittelt werden können. Ein Großteil der stattfindenden Verarbeitung läuft allerdings über Server in Deutschland bzw. der Europäischen Union.
Die Hochschule hat mit der Deutschen Telekom als Anbieter von Cisco WebEx einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO und § 19 ThürDSG entspricht. Ein angemessenes Datenschutzniveau ist darüber hinaus durch den Abschluss von sogenannten EU-Standardvertragsklauseln garantiert.
Als ergänzende Schutzmaßnahme wurden die Konfigurationen so vorgenommen, dass für die generelle Durchführung der Online-Konferenzen über Webex und die damit einhergehende Verarbeitung von Audio- und Videodaten nur Rechenzentren in der EU oder dem EWR genutzt werden.
6. Speicherdauer und Datenlöschung | Widerspruchsmöglichkeit
Die personenbezogenen Daten werden gelöscht, sobald der Zweck der Speicherung entfallen ist und gesetzliche Aufbewahrungsfristen oder die Auseinandersetzung mit Rechtsansprüchen eine weitere Speicherung nicht mehr erfordern.
Bei der Nutzung des Dienstes DFNconf ist ein manuelles Löschen durch die Konferenzleitung oder die nutzende Person erforderlich. Eine automatische Löschung der Daten und Aufzeichnungen erfolgt nicht.
Vorbehaltlich anderer interner Richtlinien haben die nutzenden Personen die vollständige Kontrolle darüber, wie lange ihre benutzergenerierten Informationen (z. B. initiierte oder hochgeladene Aufzeichnungen und Dateien) auf der Webex-Plattform gespeichert werden. Derartige Informationen können jederzeit über die „My Webex“ Seite eingesehen und gelöscht werden. Benutzergenerierte Informationen werden automatisch gelöscht, wenn das dafür eingesetzte Nutzerkonto deaktiviert wird. Nach Beendigung oder Ablauf des Dienstes werden die Informationen spätestens innerhalb von 60 Tagen von der Webex-Plattform entfernt. Findet keine Aufzeichnung der Online-Konferenz statt und soll der Besprechungsinhalt nicht beibehalten werden, wird dieser unmittelbar nach Abschluss der Konferenz gelöscht.
Die nutzende Person hat jederzeit die Möglichkeit, sich von dem jeweiligen Dienst abzumelden und die persönlichen Daten oder das gesamtes Profil zu löschen. Sollte die Verarbeitung der personenbezogenen Daten auf einer Einwilligung der nutzenden Person beruhen, so besteht die Möglichkeit diese jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf der Einwilligung ist direkt der Konferenzleitung mitzuteilen, die entweder eine Löschung der Daten im System selbst vornimmt oder dies entsprechend veranlasst.
X. SOCIAL MEDIA
Die Hochschule setzt auf ihren Internetseiten keine Social-Media-Plugins ein. Über externe Links haben Sie lediglich die Möglichkeit, zu den Social-Media-Kanälen der Hochschule zu gelangen. Um eine ungewünschte Übertragung Ihrer Nutzungsdaten an diese Dienste zu verhindern, kommen Sie erst mit einem Klick auf einen Link zu den jeweiligen Diensten. Derzeit wird auf folgende Social-Media-Anbieter verlinkt: YouTube, Facebook und Instagram.
Die Hochschule hat keinen Einfluss darauf, ob und in welchem Umfang, für welche Dauer und zu welchem Zweck die externen Anbieter personenbezogene Daten erheben, wenn Sie deren Seiten besuchen. Es ist jedoch davon auszugehen, dass zumindest IP-Adresse und gerätebezogene Informationen erfasst und genutzt werden.
YouTube
Die Hochschule bindet auf ihren Internetseiten zu Informations- und Werbezwecken Videos von dem hochschuleigenen YouTube-Kanal ein. Diese werden auf den Servern von YouTube gespeichert und von der jeweiligen Internetseite über eine Einbettung abgespielt. Die Einbettung erfolgt mit erweiterten Datenschutzeinstellungen und erfordert eine zusätzliche Aktivierung. Beim Aufruf einer Seite mit eingebundenem YouTube-Video werden keine Daten weitergegeben, da das Video in diesem Moment noch deaktiviert ist. Erst bei der Wiedergabe des Videos durch die separate Aktivierung des angegebenen Links, werden nutzerspezifische Daten in Form von YouTube-Cookies und DoubleClick-Cookies gespeichert und möglicherweise automatisch an YouTube bzw. Google Inc., Amphitheater Parkway, Mountain View, CA 94043, USA übermittelt. Auf diese Datenübertragung sowie Art, Umfang und Verwendungszweck der übermittelten Daten hat die Hochschule keinen Einfluss. Ein Einsatz zu Marktforschungs- und Marketing-Zwecken kann nicht ausgeschlossen werden.
Die bei der Aktivierung der Videos gespeicherten YouTube-Cookies können über die Einstellungsmöglichkeiten Ihres Internetbrowsers gelöscht, deaktiviert und eingeschränkt werden. Möglicherweise können aber dadurch nicht mehr alle Funktionen der Website vollumfänglich genutzt werden.
Da YouTube ein Dienst der Google Inc. ist, erfolgt die Übertragung der nutzerspezifischen Daten unabhängig davon, ob die nutzende Person ein Google Konto hat, über das sie eingeloggt ist, oder ob kein Konto existiert. Sollte die nutzende Person über ein eigenes Google-Konto angemeldet sein, werden ihr diese Daten möglicherweise direkt von Google zugeordnet. Wenn diese Zuordnung zu einem persönlichen Profil nicht gewünscht ist, kann sich die nutzende Person vor dem Abspielen des Videos ausloggen.
Durch die Zustimmung zu den allgemeinen Nutzungsbedingungen von Google wurden gleichzeitig die EU-Standardvertragsklauseln zwischen der Hochschule und dem Anbieter abgeschlossen. Dadurch werden bei der möglichen Übertragung von Daten in Drittländer mit dem EU-Recht vergleichbare Schutzmaßnahmen gewährleistet.
Vimeo
Darüber hinaus werden auf den Internetseiten der Hochschule Videos eingebunden, welche über den externen Dienstleister Vimeo bereitgestellt werden. Auch hierbei erfolgt bei einem bloßen Aufruf der jeweiligen Webseite noch keine Datenübertragung und die Videos müssen separat gestartet werden. Zudem werden die Videos grundsätzlich in der „Do Not Track“-Variante eingebunden, so dass beim Abspielen personenbezogene Daten nur in minimaler Weise an Vimeo übermittelt werden.
Um ein angemessenes Datenschutzniveau bei der Übermittlung von Daten in die USA zu gewährleisten, hat die Hochschule die EU-Standardvertragsklauseln mit Vimeo in der sogenannten „Controller to Controller“-Variante abgeschlossen. Darüber hinaus hat sich der Anbieter von Vimeo gegenüber der Hochschule verpflichtet, weiterhin die selbst auferlegten Pflichten aus dem ehemaligen Privacy Shield Abkommen einzuhalten.
Trotz der getroffenen Maßnahmen können beim Ansehen von Videos Daten wie z.B. die IP-Adresse und Informationen zum Betriebssystem und Browsertyp an Vimeo übertragen und anschließend verarbeitet und gespeichert werden. Ist die nutzende Person als Mitglied bei Vimeo eingeloggt, kann es darüber hinaus ggf. zu weiteren Datenübertragungen durch gespeicherte (Drittanbieter-) Cookies und einer Zuordnung zu dem persönlichen Benutzerkonto kommen. Die Zuordnung kann verhindert werden, indem sich die nutzende Person vor der Nutzung der Internetseite aus ihrem Vimeo-Benutzerkonto abmeldet und die entsprechenden Cookies von Vimeo löscht.
Issuu
Auf den Internetseiten der Hochschule kommt teilweise eine Flash-Anwendung von Issuu zum Einsatz, mit der die nutzende Person das Hochschulmagazin sowie weitere Publikationen als blätterbares E-Paper lesen kann. Issuu verwendet dabei Cookies und speichert damit personenbezogene Daten, wie die IP-Adresse und Informationen über Zeitpunkt und Dauer der Nutzung. Die Übertragung erfolgt, wenn JavaScript im Browser aktiviert ist. Sie können die Verwendung der Cookies durch eine entsprechende Einstellung in Ihrem Browser verhindern oder einen JavaScript-Blocker installieren.
Bei angemeldetem Nutzerkonto ist es Issuu möglich, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich vor der Nutzung aus Ihrem Issuu-Account ausloggen. Die Hochschule hat keinen Einfluss auf diese Datenübertragung.
Die Nutzung von Issuu erfolgt zur Darstellung blätterbarer E-Paper und somit im Interesse einer angemessenen Präsentation der Inhalte. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Datenschutzinformationen der Anbieter
Weitere Informationen zur Handhabung des Datenschutzes bei den externen Online- und Social-Media-Plattformen können auf den jeweiligen Internetseiten eingesehen werden:
- YouTube LLC, 901 Cherry Ave., San Bruno, CA 94066, USA
https://policies.google.com/privacy?hl=de&gl=de
- Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
https://www.facebook.com/policy.php - Vimeo, Inc., 555 West 18th Street, New York, New York 10011, USA
https://vimeo.com/privacy#data_we_collect_about_you - Instagram LLC, 1601 Willow Rd, Menlo Park CA 94025, USA
https://www.facebook.com/help/instagram/155833707900388/ - Issuu Inc., 131 Lytton Ave, Palo Alto, CA 94301, USA
https://issuu.com/legal/privacy
XI. RECHTE DER BETROFFENEN PERSON
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene/r i.S.d. DSGVO und es stehen Ihnen nach Art. 15 ff. DSGVO Rechte gegenüber der Verantwortlichen zu. Einschränkungen, Änderungen und gegebenenfalls ein Ausschluss dieser Rechte können sich dabei insbesondere aus der Datenschutz-Grundverordnung selbst sowie aus den §§ 21 – 23 ThürDSG ergeben.
- Grundsätzlich können Sie Auskunft darüber verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO).
- Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
- Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen.
- Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie der Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten unter bestimmten Voraussetzungen einem/einer anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO).
- Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeitet die Hochschule in der Folge Ihre personenbezogenen Daten nicht mehr.
- Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde ist:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Besucheranschrift: Häßlerstraße 8 (4. Etage), 99096 Erfurt
Postanschrift: Postfach 90 04 55, 99107 Erfurt
Telefon: 0361 | 57 311 29 00
Fax: 0361 | 57 311 29 04
E-Mail: poststelle(at)datenschutz.thueringen.de