Zwecke und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Zweck der Verarbeitung personenbezogener Daten ist der Betrieb des Cloudspeicherdienstes Nextcloud als Hilfsmittel für die Lehre, Forschung, Verwaltung und Studium zur Erfüllung der Hochschulaufgaben gemäß Art. 2 BayHIG. Der Dienst ermöglicht es nach Anmeldung dienstliche Daten zu speichern und mit teilnehmenden Personen zu teilen.
Sichtbarkeit
- Mit der Anmeldung werden Ihr Name, Ihre Hochschul-Kennung, Ihre Hochschul-E-Mail-Adresse und Ihr Status (falls aktiviert) anderen Nutzern angezeigt werden.
- Ihre gespeicherten Daten sind nur für Sie persönlich einsehbar. Wenn Sie Daten mit anderen Teilen, sind diese ebenfalls für diese Personen sichtbar.
- Ihr Online-Status ist sichtbar für alle User, außer Sie setzen ihn unsichtbar.
Rechtsgrundlagen
Die Rechtsgrundlagen für die Datenverarbeitung lauten:
- Für die Statistik: Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG
- Für die Lehre: Art. 6 Abs. 1 lit. e DSGVO i.V.m Art. 4 BayDSG
- Für Beschäftigte und Bedienstete: Art. 6 Abs. 1 lit. b, c DSGVO i.V.m. Art. 88 DSGVO i.V.m. Art. 103, Art. 145 Abs. 2 BayBG
- Im Übrigen: Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG
Kategorien der personenbezogenen Daten
Je nach Art und Umfang der Nutzung der Cloudspeicherdienstes Nextcloud kann es zu einer Verarbeitung folgender personenbezogener Daten kommen.
- Allgemein
- Aktivitäten (Aktionen, die im System durchgeführt werden z.B. Upload von Dateien)
- Bei der Anmeldung:
- Benutzerkennung, Passwort
- E-Mail-Adresse
- Zeitstempel des Logins
- Beim Upload von Dateien und Dokumenten
- Inhaltsdaten (alles was Sie auf die Nextcloud hochladen)
- Zeitpunkt des Uploads
- kumulierte Dateigröße der Dateien in Ihrem Verzeichnis & Speicherplatzkontingent
- Datum und Uhrzeit der Anforderung
- Bei der gemeinsamen Bearbeitung von Dokumenten (Optional)
- Zeitpunkt der Bearbeitung
- Nutzerkennung der Bearbeitenden
- alle an den Dokumenten durchgeführten Änderungen mit Zeitstempeln sowie gemachte Kommentare und sonst hinzugefügte Informationen
- Bei der Individualisierung (Optional*)
- Profilbild
- Telefonnummer
- Postadresse
- Webseite
- Sprache
*Sie können selbst festlegen, welche Personengruppen Ihre individuellen Profilangaben einsehen können sollen. Standardmäßig ist die Sichtbarkeit von Profilbild, E-Mail-Adresse und Name auf lokale Benutzer und vertrauenswürdige Server eingestellt.
Speicherung von Cookies
Der Cloudspeicherdienst Nextcloud speichert nur Cookies, die für das ordnungsgemäße Funktionieren des Dienstes selber erforderlich sind. Alle Cookies kommen direkt von dem von der hochschule betriebenen Cloudserver, es werden keine Cookies von Drittanbietern an Ihr System gesendet.
Durch den Cloudspeicherdienst (basierend auf Nextcloud) gespeicherte Cookies:
- Session-Cookies: Sitzungs-ID, Secret Token (wird zur Entschlüsselung der Sitzung auf dem Server verwendet)
- SameSite-Cookies: Es werden keine nutzerbezogenen Daten gespeichert, alle SameSite-Cookies sind für alle Nutzer auf allen Instanzen gleich.
Remember-me-Cookies: Benutzerkennung (user-ID), ursprüngliche Sitzungs-ID, Erinnerungs-Token SameSite-Cookies werden verwendet, um festzustellen, wie eine Anfrage den Cloudspeicherdienst-Server erreicht. Sie werden verwendet, um CSRF-Angriffe zu verhindern. In diesen Cookies werden keine identifizierbaren Informationen gespeichert. Die übrigen Cookies werden ausschließlich dazu verwendet, den Benutzer im System zu identifizieren. Weitere Cookies fallen ggf. noch bei der Nutzung einer Single-Sign-On-Lösung an. Diese sind nur notwendig, um die User gegenüber dem System zu authentifizieren.
Kategorien der betroffenen Personen
Es werden die personenbezogenen Daten von den Nutzenden und den in der Kommunikation erwähnten weiteren Personen verarbeitet.
Empfänger der personenbezogenen Daten
Personenbezogene Daten, die im Zusammenhang mit der Nutzung von Nextcloud verarbeitet werden, werden im Verbund Kunsthochschule Bayern im Rahmen der gemeinsamen Verantwortlichkeit weitergegeben.
Übermittlung von personenbezogenen Daten an ein Drittland
Eine Übermittlung Ihrer personenbezogenen Daten an ein Drittland oder eine internationale Organisation findet nicht statt.
Dauer der Speicherung der personenbezogenen Daten
Wir löschen Ihre Daten gem. Art. 17 Abs. 1 lit. a DSGVO, sofern wir sie nicht mehr für die Zwecke, für die wir sie erhoben oder auf sonstige Weise verarbeitet haben, benötigen.
Die Nutzerkonten von Beschäftigten und Studierenden (insbesondere die Nutzerdaten, Kontaktdaten, technische Inhalte) werden durch 365-tägiges Inaktiv-Sein gelöscht.
Unabhängig davon kann das Nutzerkonto selbst jederzeit im System gelöscht werden. In allen Fällen wird jeweils werden alle vom Nutzer gespeicherten Nutzdaten gelöscht. Vor dem Ausscheiden muss sichergestellt werden, dass noch relevante geteilte Dateien auf andere Nutzer übertragen werden, da diese sonst automatisch mit dem Account des Besitzers gelöscht werden.