Datenschutz

Name und Anschrift des Datenschutzbeauftragten

Datenschutzbeauftragter FAU
Klaus Hoogestraat

Postanschrift

Datenschutzbeauftragter FAU
c/o ITM Gesellschaft für IT-Management mbH
Bürgerstraße 81
01127 Dresden

Daten zur schnellen digitalen Kontaktaufnahme

Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einem funktionsfähigen Webauftrittes sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unserer Universität unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Erfüllung der gesetzlichen Aufgaben unserer Universität erforderlich, bildet Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 und 5 BayDSG die Rechtsgrundlage für die Verarbeitung. Viele unserer Aufgaben ergeben sich aus Art. 2 und 3 BayHIG.

Datenlöschung und Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zur Erfüllung unserer gesetzlichen Aufgaben bzw. der jeweiligen Verarbeitungstätigkeit erforderlich ist. In der Regel bewahren wir personenbezogene Daten 10 Jahre lang nach der Entstehung auf. Eine Übergabe an staatliche Archive bleibt dazu unberührt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.
Folgende Daten werden hierbei erhoben:

  • die Adresse (URL) der Webseite, von der aus die Datei angefordert wurde
  • der Name der aufgerufenen Datei
  • das Datum und die Uhrzeit der Anforderung
  • die übertragene Datenmenge
  • der Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
  • die Beschreibung des verwendeten Webbrowsertyps bzw. des verwendeten Betriebssystems
  • die anonymisierte IP-Adresse des anfordernden Rechners.

Die gespeicherten Daten werden ausschließlich zu technischen oder statistischen Zwecken benötigt; ein Abgleich mit anderen Datenbeständen oder gar eine Weitergabe an Dritte, auch in Auszügen, findet nicht statt. Die Daten werden in den Logfiles unseres Systems gespeichert. Nicht hiervon betroffen sind die IP-Adressen des Nutzers oder andere Daten, die die Zuordnung der Daten zu einem Nutzer ermöglichen: Vor der Speicherung wird jeder Datensatz durch Veränderung der IP-Adresse anonymisiert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. lit. f DSGVO.

Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung des Webauftrittes an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.
Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit des Webauftrittes sicherzustellen. Zudem dienen uns die Daten zur Optimierung des Webauftrittes und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung des Webauftrittes ist dies der Fall, wenn die jeweilige Sitzung beendet ist.
Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung des Webauftrittes und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

Beschreibung und Umfang der Datenverarbeitung

Unsere Webseite verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer einen Webauftritt auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen des Webauftrittes ermöglicht.

Wir setzen Cookies ein, um unseren Webauftritt nutzerfreundlicher zu gestalten. Einige Elemente unserer Internetseite erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann.
In den Cookies werden dabei folgende Daten gespeichert und übermittelt:

  • Log-In-Informationen (im Falle von angemeldeten Redakteuren und Autoren)
  • Bevorzugte Auswahl der Suchmaschine (bei Nutzung der Suchfunktion)

Die auf diese Weise erhobenen Daten der Nutzer werden durch technische Vorkehrungen pseudonymisiert. Daher ist eine Zuordnung der Daten zum aufrufenden Nutzer nicht mehr möglich. Die Daten werden nicht gemeinsam mit sonstigen personenbezogenen Daten der Nutzer gespeichert.

Die genannten Cookies sind zum Betrieb der Webseite notwendig und können daher nicht abgeschaltet werden. Sie werden nur in den oben angegebenen Situationen gesetzt.
Sollten in einzelnen Seiten des Webauftritts Verfahren enthalten sein, die weitere Cookies benötigen, welche nicht betriebsbedingt notwendig sind, wird auf diese gesondert hingewiesen. Diese Verfahren werden, so solche Verfahren zum Einsatz kommen, in den folgenden Kapiteln dieser Datenschutzerklärung aufgeführt.

Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. lit. f DSGVO.

Zweck der Datenverarbeitung

Die Verwendung der Analyse-Cookies erfolgt zu dem Zweck, die Qualität unseren Webauftritt und ihre Inhalte zu verbessern. Durch die Analyse-Cookies erfahren wir, wie der Webauftritt genutzt wird und können so unser Angebot stetig optimieren.

Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an unserer Seite übermittelt. Daher haben Sie als Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Sie können die Übertragung von Cookies deaktivieren oder einschränken, indem Sie die Cookie-Einstellungen in Ihrem Webbrowser ändern oder auf den unten stehenden Link Cookie-Einstellungen klicken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unseren Webauftritt deaktiviert, können möglicherweise nicht mehr alle Funktionen des Webauftrittes vollumfänglich genutzt werden.

Cookie-Einstellungen

Beschreibung und Umfang der Datenverarbeitung

Auf unserer Internetseite sind Kontaktformulare vorhanden, welche für die elektronische Kontaktaufnahme genutzt werden können. Nimmt ein Nutzer diese Möglichkeit wahr, so werden die in der Eingabemaske eingegebenen Daten an uns übermittelt und gespeichert.
Die konkreten Datensätze werden bei den jeweiligen Kontaktformularen aufgeführt und erklärt. Sofern sich Abweichungen oder Ergänzungen von den hier aufgeführten Grundlagen und Zweck und Dauer der Speicherung ergeben, werden diese bei den jeweiligen Kontaktformularen angegeben.

Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 und 5 BayDSG zur Erfüllung der Aufgaben aus § 5 TMG, Art. 3 Abs. 1 BayEGovG und § 2 BayBITV Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.

Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hierin auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.
Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen.

Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.

Widerspruchsmöglichkeit

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Bereitstellungspflicht

Soweit die für die Vertragserfüllung erforderliche personenbezogene Daten nicht angeben ist diese uns nicht möglich.

Ergänzungen zum GitLab-Dienst

Was ist GitLab?

GitLab ist eine Webanwendung zur Versionsverwaltung für Softwareprojekte auf Git-Basis. GitLab bietet u.a. ein Issue-Tracking-System, ein System für Continuous Integration und Continuous Delivery (CI/CD) sowie eine Container-Registry. Dieser Server ist für Mitarbeiter und Studenten des Lehrstuhls Informatik 2 vorgesehen.

Verarbeitete Daten

GitLab verarbeitet drei Oberkategorien von Daten. Die personenbezogenen Daten, die im Gitlab vorkommen, sind im Folgenden in Kategorien aufgeführt zusammen mit der Herkunft des jeweiligen Datums, dem Zweck, zu dem das Datum erhoben oder verwendet wird und ob und an wen das Datum weitergegeben wird.

Benutzer

Jeder Benutzer im GitLab besteht aus einem Datensatz, der wie folgt aussieht:

Erkennung und Verhinderung von Missbrauch, Sicherheitsproblemen

Kategorie Herkunft Zweck Weitergabe
Vorname, Nachname, Benutzerkennung, Email, Passwort, kryptographische Schlüssel Benutzerangaben Anzeige, Identifikation, Kontakt öffentliche oder private Anzeige auf Projekt- und Profilseiten, Einbettung in git commits und repositories
Zeitpunkt und IP-Addresse der aktuellen und letzten Anmeldung intern keine  
Logdaten des Webservers: IP-Addresse, Zeitpunkt, URL und Status intern   keine
Gruppen- und Projektzugehörigkeit Benutzerangaben Verwaltung von Sichtbarkeit und Berechtigungen, Darstellung von Kollaborationsbeziehungen öffentliche oder private Anzeige auf Projekt- und Profilseiten
API-Schlüssel intern optional, Zugriff auf Gitlab-interne Daten durch externe Dienste bis auf Widerruf nur durch den jeweiligen Benutzer

Ein Benutzerdatensatz wird mit der ersten Anmeldung eines Benutzers erstellt und kann durch den Benutzer selbsttätig gelöscht werden. Benutzer die länger als ein Jahr inaktiv waren, werden von uns gelöscht werden.

Gruppen

Mitglieder der FAU können eigene Gruppen und Projekte anlegen und gemeinsam mit externen Nutzern an einem Softwareprojekt arbeiten. Benutzer und Projekte können in Gruppen zusammengefasst werden. Diese Gruppen umfassen folgende Daten:

Kategorie Herkunft Zweck Weitergabe
Gruppenmitglieder, Projekte Benutzerangaben Gruppierung, Rechteverwaltung, Anzeige öffentliche oder private Anzeige auf Projekt- und Profilseiten, Einbettung in git commits und repositories
belegter Speicherplatz intern Resourcenverwaltung, Verhinderung von Missbrauch keine

Besitzer ist, wer eine Gruppe anlegt oder von einem Besitzer dazu gemacht wird. Die Sichtbarkeit, privat, intern oder öffentlich, kann vom Besitzer der Gruppe festgelegt werden. Dieser kann auch die Gruppe löschen.

Projekte

Projekte in Gitlab bestehen meist aus der Dokumentation und dem Programmcode der Benutzer. Neben einem Issue-Tracking-System kann hier auch Continuous Integration und Continuous Delivery (CI/CD) und eine Container-Registry genutzt werden.

Kategorie Herkunft Zweck Weitergabe
Inhalte Benutzerangaben, automatisch erzeugt durch Test- und Buildinfrastruktur Softwareentwicklung öffentliche oder private Anzeige auf Projekt- und Profilseiten, Zugriff über git
belegter Speicherplatz intern Resourcenverwaltung, Verhinderung von Missbrauch keine
Namen und Email-Addressen in Gitlab Benutzerangaben Zuordnung von git commits öffentliche oder private Anzeige auf Projekt- und Profilseiten, Zugriff über git

Mitglieder der FAU können eigene Gruppen und Projekte anlegen und gemeinsam mit externen Nutzern an einem Softwareprojekt arbeiten. Personen, die eine Gruppe oder Projekt anlegen, sind deren Besitzer. Benutzer können von dem Besitzer eines Projektes ebenfalls zu dem Besitzer des jeweiligen Projekts oder Gruppe gemacht werden. Der Gruppen/Projekt-Besitzer können diese jederzeit selbst löschen. Die Sichtbarkeit, privat, intern oder öffentlich, kann vom Besitzer des Projekts festgelegt werden. Für die Inhalte eines Projekts ist dessen Besitzer verantwortlich. Das bedeutet insbesondere auch, dass der Besitzer dafür Sorge zu tragen hat dass die Inhalte des Projekts keine Rechte anderer in unzulässiger Weise verletzen.

Löschung von Daten und Widerruf der Einwilligung zur Verarbeitung von Daten

Ein Nutzer kann durch Löschung seiner Daten und seines Zugangs die Zustimmung zur Verarbeitung dieser Daten widerrufen. Zwölf Monate nach der letzten Anmeldung werden die Daten des Benutzers automatisch von gitos gelöscht. Dies gilt auch für das Löschen von Projekten und Gruppen, die sechs Monate nach Löschung des letzen Mitglieds entfernt werden. Wir weisen darauf hin, dass durch die Zusammenarbeit an Projekten unter Verwendung von gitos jeweils Name und E-Mail-Adresse des Autors jedes Abschnitts im Quellcode ebenso wie der Quellcodeabschnitt selbst unveränderbarer Bestandteil der Historie des Projekts werden. Ebenso kann ein gemeinsames Urheberrecht der Autoren am Quellcode und der Historie vorliegen und die Historie kann der Nachverfolgung urheberrechtlicher Ansprüche dienen. Daher ist es uns im Allgemeinen nicht möglich, die genannten Daten aus Projekten anderer Nutzer zu entfernen. Da wir die Daten für den Falle eines Systemausfalls, für mindestens drei Monate sichern, können für diesen Zeitraum dort noch Daten gelagert sein, welche aus dem Produktivsystem bereits entfernt wurden.

Externe Schnittstellen

Verwendete externe Schnittstellen

GitLab bietet diverse Schnittstellen zum Datenaustausch, von denen einige in Verwendung sind.

Github

  • Verwendung ist freiwillig
  • Login per Github kann vom Benutzer selbst aktiviert werden und ist nur für die Github-Import-Funktion notwendig (passiert nur wenn man den Github-Logo-förmigen Knopf drückt)
  • Bei Nichtverwendung der Github-Integration erhält Github keine Daten über euch
  • Github ist eine externe Firma in einem Drittstaat

Ergänzungen zum Mattermost-Dienst

Was ist Mattermost?

Mattermost ist ein Chat-Dienst für Angestellte des Lehrstuhls Informatik 2.

Verarbeitete Daten

I.W. gelten die unter "Ergänzungen zum GitLab-Dienst" aufgeführten Angaben, wobei Mattermost nur eine Untermenge dieser Daten verarbeitet. Der Dienst benötigt für die Registrierung Name, Nickname und E-Mail-Adresse des Benutzers. Innerhalb von Mattermost sind diese sichtbar. Nachrichten sind für alle Benutzer des jeweiligen Kommunikationskanals sichtbar. Die eingangs erwähnten personenbezogenen Daten sowie die vom Benutzer verfassten Nachrichten werden nicht weitergegeben und nur auf Systemen der FAU gesichert. Neben der Anmeldung über E-Mail-Adresse und Passwort ist auch ein Single-Sign-On (SSO) über den CS2-Gitlab-Dienst möglich (siehe auch hier "Ergänzungen zum GitLab-Dienst").

Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel der Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von http:// auf https:// wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
  • Sie haben das Recht, soweit Sie eine Einwilligung in die Verarbeitung gegeben haben, diese jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.
  • Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
  • Soweit Sie in die Verarbeitung eingewilligt haben oder zur Vertragserfüllung erfolgt und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.