Datenschutz-Hinweise gem. Art. 13 ff. DSGVO

1.         Verantwortlicher

Für die Erhebung und Verarbeitung Ihrer personenbezogenen ist die Hochschule für Künste Bremen, Am Speicher XI 8, 28217 Bremen, Telefon: 0421 9595 1000, Homepage: www.hfk-bremen.de (nachfolgend: HfK), verantwortlich.

 

2.         Allgemeine Datenverarbeitung

Wenn Sie die Microsoft-Dienste, welche seitens der HfK bereitgestellt werden, nutzen, werden je nach Art und Umfang der Nutzung über Ihre Benutzerkontodaten hinaus personenbezogene Daten verarbeitet, die Sie selbst in Ihrer täglichen Arbeit oder in der Zusammenarbeit mit anderen verwenden. Beispiele: Sie nutzen Ihr persönliches Namenskürzel für die Benennung von Dateien. Sie tauschen sich mit Teamkollegen zu Ihren Abwesenheitszeiten aus. 

In Ihrem Konto bzw. bei der Nutzung der Microsoft-Dienste können Sie teilweise weitere völlig freiwillige Angaben zu Ihrer Person treffen, müssen dies aber nicht. Beispielsweise können Sie in Ihrem Konto ein Profilbild nutzen oder Ihren Status (Verfügbar/Beschäftigt/Bin gleich zurück) für andere Nutzende sichtbar machen. 

 

Wenn Sie Daten bzw. Dateien bearbeiten, werden Sie teilweise als letzter Bearbeitende angezeigt (Zuletzt bearbeitet durch …). Daneben werden Ihre personenbezogenen Daten möglicherweise zum Inhalt von Dokumenten, Dateien, Datenbanken oder Seiten jeweils zu den Zwecken, zu denen diese Inhalte erstellt werden, verarbeitet. 

Für die Bereitstellung sowie technische und betriebliche Unterstützung und Verbesserungen der MicrosoftDienste werden technische Informationen zu Ihren Geräten, Ihrem Netzwerk bzw. Ihrer Internetverbindung, wie z.B. IP-Adresse, MAC-Adresse, andere Geräte-IDs (UDID), Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung, verarbeitet. 

 

3.         Ihr Benutzerkonto für Microsoft 

Als Beschäftigte/r bzw. Bedienstete/r oder Studierende/r der HfK erhalten Sie ein individuelles Benutzerkonto zur Nutzung der Microsoft-Dienste. Hierzu werden in der Regel folgende personenbezogenen Daten von Ihnen verarbeitet: 

Name, Benutzername, E-Mail oder Telefonnummer.

 

4.         Speziellere Datenverarbeitungen für Cloud-Dienste

In den folgenden Cloud-Diensten werden Ihre personenbezogenen Daten darüber hinaus in der hier beschriebenen Weise verarbeitet. 

 

4.1.      Datenverarbeitung Exchange Online

Exchange Online stellt die gehostete Cloud-Lösung von Microsoft Exchange Server dar und ermöglicht den Benutzenden einen Zugriff auf E-Mail, Kalender, Kontakte und Aufgabenverwaltung per Webbrowser, Microsoft Outlook oder mit Mobilgeräten. Die Cloud-Lösung dient der zentralen Ablage und Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer und ermöglicht so die effiziente Zusammenarbeit innerhalb der Hochschule.

 

4.2.      Datenverarbeitung Microsoft Teams

Microsoft Teams dient dem Austausch via Online-Meetings in öffentlichen und privaten Gruppen sowie als Kollaborationsplattform (z.B. Erstellung von Gruppen, Austausch via Chat, Ablage von Dokumenten uvm.). 

Wenn Sie an einem Online-Meeting teilnehmen, werden Audio und Videosignale verschlüsselt an die anderen Konferenzteilnehmer übermittelt. Es steht Ihnen frei, während des Online-Meetings die Chat-, Frage- oder Umfragefunktionen zu nutzen. Ihre Kamera und Ihr Mikrofon können Sie während des Online-Meetings selbst ein- und ausschalten. Noch vor Beitritt in den Konferenzraum können Sie Ihren Namen eingeben und wählen, ob Sie mit ein- oder ausgeschalteter Kamera bzw. Mikrofon eintreten. 

Sofern wir Online-Meetings (z.B. für Schulungszwecke) aufzeichnen möchten, werden wir Ihnen dies im Vorfeld mitteilen und Sie, sofern erforderlich, um Ihre Zustimmung bitten. Beim Start einer Aufzeichnung erhalten alle Teilnehmenden des Meetings hierüber eine systemseitige Benachrichtigung. Sofern Sie mit der Aufzeichnung nicht einverstanden sind, können Sie jederzeit das Meeting verlassen oder Ihre Kamera oder Mikrofon deaktivieren. Ihre Zustimmung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Informieren Sie hierüber bitte unmittelbar den Moderator des jeweiligen Online-Meetings. 

 

4.3.      Datenverarbeitung für weitere angebundene Cloud-Dienste

Die HfK betreibt weitere an die Microsoft Cloud angebundene Cloud-Dienste, z.B. SharePoint Online als zentrale interne Kommunikationsplattform. Sofern Sie diese Cloud-Dienste nutzen, werden neben Ihrem Namen bzw. Namenskürzel ggf. auch weitere personenbezogene Daten von Ihnen verarbeitet, die Sie hierbei angeben oder dort hochladen.  

 

5.         Datenverarbeitung im Rahmen von Logfiles

Zur Gewährleistung der IT-Sicherheit der Microsoft-Dienste und zur Nachverfolgung von missbräuchlichen Aktivitäten und IT-Angriffen erfolgt eine Protokollierung von Datenzugriffen und Anmeldungen in LogFiles. Die Log-Files sind ausschließlich den Administratoren zugänglich und werden nur für die genannten Zwecke verarbeitet. 

Die folgenden Daten können von IT-Administratoren eingesehen werden:

•           Angaben zur Anmeldung (z.B. IP-Adresse, Benutzername).

•           Geräte-/Hardwaredaten (z.B. Gerätemodell, Betriebssystem).

•           Hardwareinventurinformationen (z.B. Seriennummer, WLAN-MAC-Adresse).

•           Zeitpunkt des Logins und Logouts zu Sicherheitszwecken.

•           Administrator- und Kontoinformationen (z.B. Vor- und Nachname des Administratorbenutzers, EMail-Adresse des Kontobesitzers).

Bei der Nutzung mobiler Endgeräte können von IT-Administratoren zudem eingesehen werden:

•           App-Bestand und App-Namen (z.B. App-Version, Installationspfad).

•           Mandanten-IDs von Drittanbietern (z. B. die Apple-ID).

•           Verwaltete Anwendungsinformationen (z.B. Intune-Geräteverwaltungs-ID, Azure Active DirectoryGeräte-ID).

Ein Zugriff auf Geolokalisierungsdaten bei mobilen Endgeräten erfolgt ausschließlich bei Verlust des Endgerätes, um den Standort zu ermitteln. Der Zugriff erfolgt für keine anderen Zwecke. 

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von Microsoft Cloud-Diensten finden Sie unter: https://privacy.microsoft.com/de-de/privacystatement.

 

6.         Rechtsgrundlagen für die Datenverarbeitung

Sofern Sie Microsoft Dienste als Beschäftigte/r oder Bedienstete/r der HfK nutzen, erfolgt die Datenverarbeitung auf Grundlage von 

•           § 12 BremDSGVOAG i.V.m §§ 85, 92 BremBG, soweit diese für Zwecke des Dienstverhältnisses erforderlich ist.

•           Art. 6 Abs. 1 lit. b DSGVO, Art. 88 DSGVO, § 26 BDSG., soweit diese für Zwecke des Arbeitsverhältnisses erforderlich ist.

•           Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 Abs. 1 BremDSGVOAG i. V. m § 4 BremHG, soweit diese zur Erfüllung der der HfK durch Rechtsvorschrift übertragenen Aufgaben (Bildungsauftrag, Lehre, Forschung) erforderlich ist.

Sofern die Microsoft Dienste im Rahmen der Lehre genutzt werden, erfolgt die Datenverarbeitung auf Grundlage von 

•           § 3 Abs. 2 Satz 2 BremDSGVOAG, sofern und soweit diese zu Aus-, Fortbildungs- und Prüfungszwecken erfolgt und nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

•           Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 Abs. 1 BremDSGVOAG iVm § 4 BremHG, sofern und soweit diese zur Erfüllung der der HfK durch Rechtsvorschrift übertragenen Aufgaben (Bildungsauftrag, Lehre, Forschung) erforderlich ist.

Sofern Sie als externe Teilnehmer/in, an einem Online-Meeting teilnehmen, erfolgt die Datenverarbeitung auf Grundlage von 

•           Art. 6 Abs. 1 S. 1. lit. b DSGVO, sofern die Teilnahme am Online-Meeting zur Erfüllung eines mit Ihnen geschlossenen Vertrags erforderlich ist. Entsprechendes gilt, wenn die Durchführung des Online-Meetings zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen.

•           Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 Abs. 1 BremDSGVOAG iVm § 4 BremHG, sofern und soweit die Durchführung von Online-Meetings zur Erfüllung der der HfK durch Rechtsvorschrift übertragenen Aufgaben (Bildungsauftrag, Lehre, Forschung) erforderlich ist.

Sofern Sie bei der Nutzung der Dienste freiwillig Angaben zu Ihrer Person machen oder freiwillig nicht zwingend erforderliche Funktionen nutzen, erfolgt die damit einhergehende Datenverarbeitung auf Grundlage Ihrer widerrufbaren Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a und Art. 7 DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass Verarbeitungen, die vor dem Widerruf erfolgt sind, davon nicht betroffen sind. 

Die Verarbeitung und Auswertung von Log-Dateien und Metadaten gründen sich auf Art. 6 Abs. 1 lit. f DSGVO. 

Die von den Verantwortlichen verfolgten berechtigten Interessen umfassen folgende:

•           Feststellung einer missbräuchlichen Nutzung;

•           IT-Sicherheit und kontinuierliche Verbesserung der Dienste.

           

7.         Weitergabe Ihrer Daten

Wir übermitteln Ihre Daten grundsätzlich nicht an Dritte. Eine Weitergabe erfolgt nur, sofern die Daten gerade zur Weitergabe bestimmt sind, Sie vorher ausdrücklich in die Übermittlung eingewilligt haben oder wir aufgrund gesetzlicher Vorschriften hierzu verpflichtet bzw. berechtigt sind. 

Bei der Verarbeitung Ihrer Daten unterstützt uns die Microsoft Corporation als Dienstleister und Auftragsverarbeiter im Sinne des Art. 28 DSGVO streng weisungsgebunden. Eine Datenverarbeitung außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Es kann jedoch nicht ausgeschlossen werden, dass Ihre Daten auch außerhalb der EU bzw. des EWR verarbeitet bzw. an die Microsoft Corporation übermittelt werden, etwa wenn Sie selbst die Verbindung aus einem Land außerhalb der EU/EWR herstellen. Im Hinblick auf diese Datentransfers in Drittstaaten setzen wir die aktuellen EU-Standardvertragsklauseln ein. 

 

8.         Speicherdauer

Wir verarbeiten Ihre Daten grundsätzlich nur bis zur Erledigung der Zwecke, für die die Daten erhoben wurden. Danach werden Ihre Daten gelöscht, es sei denn die Verarbeitung bzw. Speicherung Ihrer Daten ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Im Übrigen gelten folgende Speicher- bzw. Löschfristen: 

•           Alle Benutzerkontodaten sowie ggf. Mail-Postfächer und Daten in OneDrive for Business werden grundsätzlich nach Beendigung der Bereitstellung des Dienstes gelöscht. Verwenden Sie ein eigenes Microsoft-Konto wird die Verknüpfung mit unseren Cloud-Diensten aufgehoben, wenn die Bereitstellung des Dienstes beendet wird. 

•           Gespeicherte technische Protokolle/technische Diagnoseinformationen werden nach maximal 180 Tagen gelöscht oder anonymisiert.

•           Alle Informationen, Nachrichten und Medien, die in einem Besprechungs-Chat auch während eines Online-Meetings ausgetauscht werden, werden grundsätzlich nach 180 Tagen gelöscht.

•           Aufgezeichnete Online-Meetings werden abhängig vom jeweiligen Aufzeichnungszweck auch längerfristig gespeichert. Die konkrete Speicherdauer wird in Bezug auf die jeweilige Aufzeichnung den Teilnehmern vorab mitgeteilt. 

 

9.         Ihre Rechte als betroffene Person

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit. 

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Um Ihre Rechte geltend zu machen, wenden Sie sich bitte an unsere oben angegebenen Kontaktdaten.  

Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden. 

 

Kontaktdaten des Datenschutzbeauftragten:

Bei der Erfüllung unserer datenschutzrechtlichen Pflichten werden wir von unserem Datenschutzbeauftragten unterstützt. Nennen Sie im Falle einer Anfrage bitte das betreffende Unternehmen. Die Kontaktdaten unseres Datenschutzbeauftragten lauten: datenschutz nord GmbH, Konsul-Smidt-Straße 88, 28217 Bremen, Web: www.datenschutz-nord-gruppe.de, E-Mail: office@datenschutz-nord.de.