1. Verantwortlicher

Verantwortlich für die Verarbeitung im Sinne der Datenschutzgesetze, insbesondere der Datenschutzgrundverordnung (DSGVO), ist die:

Hochschule für Musik und Theater München
Arcisstraße 12
80333 München
Tel: 089/289-03
E-Mail: kanzler@hmtm.de

Die Hochschule für Musik und Theater München ist eine Körperschaft des Öffentlichen Rechts und staatliche Einrichtung. Sie wird durch die Präsidentin Prof. Lydia Grün gesetzlich vertreten.

2. Kontaktdaten des Datenschutzbeauftragten

Gasteig HP8 Standort Gasteig
Hans-Preißinger-Str. 6
81379 München
Tel: 089/480984508
E-Mail: datenschutz@hmtm.de 

3. Betroffenenrechte

3.1. Allgemein

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG). 
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). 
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 lit. b DSGVO). 
  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). 
  • Liegt eine internationale Übermittlung von personenbezogen Daten ohne Grundlage eines Angemessenheitsbeschlusses der EU-Kommission vor, haben Sie das Recht eine Kopie der vertraglichen Garantien auf Anfrage bei uns erhalten.
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.

Über Ihr Widerrufsrecht und Ihr Widerspruchsrecht informieren wir Sie gesondert.

3.2. Widerrufsrecht

Soweit die Verarbeitung auf Grundlage einer Einwilligung erfolgt, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt

3.3. Widerspruchsrecht

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). 
Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Sollte von den oben genannten Rechten Gebrauch gemacht werden, prüft die öffentliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

4. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. 

Bei Fragen können sich Interessierte vertrauensvoll an den Datenschutzbeauftragen wenden. 

5. Zwecke und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Zweck der Verarbeitung personenbezogener Daten ist der Betrieb des Cloudspeicherdienstes Nextcloud als Hilfsmittel für die Lehre, Forschung, Verwaltung und Studium zur Erfüllung der Hochschulaufgaben gemäß Art. 2 BayHIG. Der Dienst ermöglicht es nach Anmeldung dienstliche Daten zu speichern und mit teilnehmenden Personen zu teilen.

5.1. Sichtbarkeit

  • Mit der Anmeldung werden Ihr Name, Ihre Hochschul-Kennung, Ihre Hochschul-E-Mail-Adresse und Ihr Status (falls aktiviert) anderen Nutzern angezeigt werden.
  • Ihre gespeicherten Daten sind nur für Sie persönlich einsehbar. Wenn Sie Daten mit anderen Teilen, sind diese ebenfalls für diese Personen sichtbar.
  • Ihr Online-Status ist sichtbar für alle User, außer Sie setzen ihn unsichtbar.

5.2. Rechtsgrundlagen

Die Rechtsgrundlagen für die Datenverarbeitung lauten:

  • Für die Statistik: Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG 
  • Für die Lehre: Art. 6 Abs. 1 lit. e DSGVO i.V.m Art. 4 BayDSG 
  • Für Beschäftigte und Bedienstete: Art. 6 Abs. 1 lit. b, c DSGVO i.V.m. Art. 88 DSGVO i.V.m. Art. 103, Art. 145 Abs. 2 BayBG
  • Im Übrigen: Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG 

6. Kategorien der personenbezogenen Daten

Je nach Art und Umfang der Nutzung der Cloudspeicherdienstes Nextcloud kann es zu einer Verarbeitung folgender personenbezogener Daten kommen.

  • Allgemein
    • Aktivitäten (Aktionen, die im System durchgeführt werden z.B. Upload von Dateien)
  • Bei der Anmeldung:
    • Benutzerkennung, Passwort
    • E-Mail-Adresse
    • Zeitstempel des Logins
  • Beim Upload von Dateien und Dokumenten
    • Inhaltsdaten (alles was Sie auf die Nextcloud hochladen)
    • Zeitpunkt des Uploads
    • kumulierte Dateigröße der Dateien in Ihrem Verzeichnis & Speicherplatzkontingent
    • Datum und Uhrzeit der Anforderung
  • Bei der gemeinsamen Bearbeitung von Dokumenten (Optional)
    • Zeitpunkt der Bearbeitung
    • Nutzerkennung der Bearbeitenden
    • alle an den Dokumenten durchgeführten Änderungen mit Zeitstempeln sowie gemachte Kommentare und sonst hinzugefügte Informationen
  • Bei der Individualisierung (Optional*)
    • Profilbild
    • Telefonnummer
    • Postadresse
    • Webseite
    • Sprache

*Sie können selbst festlegen, welche Personengruppen Ihre individuellen Profilangaben einsehen können sollen. Standardmäßig ist die Sichtbarkeit von Profilbild, E-Mail-Adresse und Name auf lokale Benutzer und vertrauenswürdige Server eingestellt. 

7. Speicherung von Cookies

Der Cloudspeicherdienst Nextcloud speichert nur Cookies, die für das ordnungsgemäße Funktionieren des Dienstes selber erforderlich sind. Alle Cookies kommen direkt von dem von der hochschule betriebenen Cloudserver, es werden keine Cookies von Drittanbietern an Ihr System gesendet.
Durch den Cloudspeicherdienst (basierend auf Nextcloud) gespeicherte Cookies:

  • Session-Cookies: Sitzungs-ID, Secret Token (wird zur Entschlüsselung der Sitzung auf dem Server verwendet)
  • SameSite-Cookies: Es werden keine nutzerbezogenen Daten gespeichert, alle SameSite-Cookies sind für alle Nutzer auf allen Instanzen gleich.

Remember-me-Cookies: Benutzerkennung (user-ID), ursprüngliche Sitzungs-ID, Erinnerungs-Token SameSite-Cookies werden verwendet, um festzustellen, wie eine Anfrage den Cloudspeicherdienst-Server erreicht. Sie werden verwendet, um CSRF-Angriffe zu verhindern. In diesen Cookies werden keine identifizierbaren Informationen gespeichert. Die übrigen Cookies werden ausschließlich dazu verwendet, den Benutzer im System zu identifizieren. Weitere Cookies fallen ggf. noch bei der Nutzung einer Single-Sign-On-Lösung an. Diese sind nur notwendig, um die User gegenüber dem System zu authentifizieren.

8. Kategorien der betroffenen Personen

Es werden die personenbezogenen Daten von den Nutzenden und den in der Kommunikation erwähnten weiteren Personen verarbeitet.

9. Empfänger der personenbezogenen Daten

Personenbezogene Daten, die im Zusammenhang mit der Nutzung von Nextcloud verarbeitet werden, werden im Verbund Kunsthochschule Bayern im Rahmen der gemeinsamen Verantwortlichkeit weitergegeben.

10. Übermittlung von personenbezogenen Daten an ein Drittland

Eine Übermittlung Ihrer personenbezogenen Daten an ein Drittland oder eine internationale Organisation findet nicht statt.

11. Dauer der Speicherung der personenbezogenen Daten

Wir löschen Ihre Daten gem. Art. 17 Abs. 1 lit. a DSGVO, sofern wir sie nicht mehr für die Zwecke, für die wir sie erhoben oder auf sonstige Weise verarbeitet haben, benötigen. 

Die Nutzerkonten von Beschäftigten und Studierenden (insbesondere die Nutzerdaten, Kontaktdaten, technische Inhalte) werden durch 365-tägiges Inaktiv-Sein gelöscht.
Unabhängig davon kann das Nutzerkonto selbst jederzeit im System gelöscht werden. In allen Fällen wird jeweils werden alle vom Nutzer gespeicherten Nutzdaten gelöscht. Vor dem Ausscheiden muss sichergestellt werden, dass noch relevante geteilte Dateien auf andere Nutzer übertragen werden, da diese sonst automatisch mit dem Account des Besitzers gelöscht werden.

  • Keine Stichwörter