Informationen zur Erhebung personenbezogener Daten nach Artikel 13 & 14 Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27. April 2016)

Im Zusammenhang mit dem Betrieb und der Zurverfügungstellung der Anwendung Webex an der RWTH Aachen University werden personenbezogenen Daten erhoben und verarbeitet. Zur Information der Betroffenen wird folgendes veröffentlicht:

I. Verantwortlicher für die Datenverarbeitung

Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Rektor der RWTH Aachen University

Templergraben 55

52062 Aachen (Hausanschrift)

52056 Aachen (Postanschrift)

Telefon: +49 241 80 1

Telefax: +49 241 80 92312   

E-Mail: rektorat@rwth-aachen.de

Website: www.rwth-aachen.de/rektorat

Verantwortliche Stelle für die interne Verarbeitung:

IT Center der RWTH Aachen University

Seffenter Weg 23

52074 Aachen

E-Mail: servicedesk@itc.rwth-aachen.de

Website: www.itc.rwth-aachen.de

II. Datenschutzbeauftragte

Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:

Stabsstelle Datenschutz der RWTH Aachen University

Templergraben 83

52062 Aachen (Hausanschrift)

52056 Aachen (Postanschrift)

Deutschland

Telefon: +49 241 80 94114

E-Mail: dsb@rwth-aachen.de

Website: www.rwth-aachen.de/datenschutz

III. Allgemeines zur Datenverarbeitung

1. Umfang und Art der Verarbeitung personenbezogener Daten

Zweck der Datenverarbeitung

Die RWTH Aachen University bietet ihren Mitgliedern, Angehörigen und externen Nutzer*innen Webex als Dienst an. Es können private Chats mit einzelnen Personen gestartet und sogenannte Bereiche und Teams erstellt werden, in denen mehrere Personen gleichzeitig miteinander kommunizieren und kollaborieren können. Webex bietet Möglichkeiten zum Videotelefonieren über die RWTH-Telefoninfrastruktur sowie über die Webex-Cloud. Darüber hinaus ist auch die Teilnahme an und die Planung von Videokonferenzen und Meetings möglich.

Sichtbarkeit Ihrer Aktivitäten

• Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie im Rahmen der Nutzung von Webex mit anderen Nutzenden kommunizieren.
• Andere Nutzende können Sie im Rahmen des Dienstes suchen und einladen. Dabei können Ihr Name, Vorname, die zugehörige Einrichtung (Organisationskürzel), Ihre E-Mail-Adresse und die dienstliche Rufnummer sichtbar sein.
• Anderen Nutzenden wird, sofern nicht deaktiviert, Ihr Verfügbarkeitsstatus und eine Lesebestätigung von empfangenen Nachrichten angezeigt.

Benutzungsprofil (Daten der Betroffenen)

Mit der Nutzung von Webex werden folgende Informationen von Ihnen als Nutzer*in erhoben:

• Name und Vorname
• Zugehörige Einrichtung (Organisationskürzel)
• RWTH-SSO Kennung
• E-Mail-Adressen
• Dienstliche Rufnummer

Datenkategorien und Betroffene

Folgende Datenkategorien werden bei der Nutzung von Webex verschlüsselt verarbeitet und gespeichert:

• Dokumente und Dateien, die unter Nutzenden ausgetauscht werden
• Nachrichten in Chaträumen
• Gesprächs-, Video- und andere Medieninhalte bei Telefongesprächen

Folgende Datenkategorien werden bei der Nutzung von Webex verarbeitet und gespeichert:

• Personenbezogene Basis- und Kontaktdaten (Vor- und Nachname, E-Mail-Adresse, dienstliche Rufnummer)
• Authentifizierungsdaten (Nutzerkennungen und Pseudonyme Kennungen)
• Log- und administrativ notwendige Protokolldaten
• System-generierte Protokolldaten (z.B. Zugriffs- und Änderungshistorie)

Bei der Nutzung von Webex werden die Daten folgender Betroffenen in genanntem Umfang verarbeitet bzw. gespeichert:

• Personen, die Webex nutzen oder administrieren (alle Kategorien)

2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage der Datenverarbeitung

Die Bereitstellung von Webex und die Nutzung durch Mitarbeitende, Studierende und Beschäftigte externer Einrichtungen (mit vertraglicher Grundlage) der RWTH Aachen University erfolgt auf folgender Rechtsgrundlage:

• Datenübermittlung an Cisco zwecks Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO)
• Datenverarbeitung zum Zwecke der Erfüllung von Dienstaufgaben gemäß Art. 6 Abs. 1 S. 1 lit. e), Abs. 3, Art. 88 Abs. 1 DSGVO i.V.m. § 18 Abs. 1 DSG NRW

Ohne die Erhebung und Verarbeitung dieser Daten ist die Nutzung von Webex nicht möglich.

3. Datenlöschung und Speicherdauer

Grundsätzlich werden die Accounts der Mitarbeitenden der RWTH automatisch nach Verlust des entsprechenden Status im IdM, z.B. durch Ausscheiden aus der Hochschule, gelöscht. Es gelten folgende Löschfristen für die in Webex gespeicherten Daten:

• Einzelchats: 3 Jahre
• Gruppenchats: 3 Jahre
• Meetings: 7 Tage

Die persönlichen Daten werden spätestens 7 Tage nach entweder dem Entfall der Erforderlichkeit oder Entzug der Zustimmung durch Nutzende selbst gelöscht.

4. Zugriffsberechtigte Personengruppen oder Personen

Zugriffsberechtigte Personen sind grundsätzlich die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu bestimmten dafür relevanten Daten haben:

• Administrierende haben Vollzugriff zur Verwaltung auf alle Datenkategorien
• Support-Mitarbeitende haben lesenden Zugriff auf Daten im Benutzerverzeichnis zu Supportzwecken, wenn die RWTH Aachen University dies erlaubt bzw. in der Einzelfallprüfung freigibt.

5. Weitere Empfänger der Daten

Personenbezogene Daten werden ausschließlich mit dem Hersteller der Webex Anwendung, Fa. Cisco zum Zweck des Betriebes ausgetauscht. Ihre Daten werden ausschließlich auf Grundlage der oben genannten Rechtsgrundlagen verarbeitet.

Die Datenresidenz bei Webex für die RWTH Aachen University ist die EU, d. h. die Datenverarbeitung finden ausschließlich auf Servern in der EU statt. Es gibt folgende Ausnahmen, bei denen grenzüberschreitende Übertragungen personenbezogener Daten immer noch stattfinden. Diese Ausnahmen sind im Auftragsverarbeitungsvertrag (AVV) mit der Fa. Cisco geregelt:

• wenn sich ein Nutzer/eine Nutzerin sich auf einer Cisco-Plattform registriert (z.B. über https://www.webex.com/ oder https://www.cisco.com/) oder über einen Cisco Dienst registriert, um mehr über Cisco Produkte oder Veranstaltungen zu erfahren.
• wenn ein Nutzer/eine Nutzerin Bestellinformationen (geschäftliche Kontaktinformationen) bereit-stellt
• wenn ein Nutzer/eine Nutzerin mit Nutzenden außerhalb der EU-Region arbeitet
• wenn ein Nutzer/eine Nutzerin technische Unterstützung über das Technical Assistance Center (TAC) von Cisco anfordert (in diesem Fall können die Informationen, die ein Nutzer/eine Nutzerin bei der ersten TAC-Anfrage angibt, außerhalb der Region übertragen werden
• wenn ein Nutzer/eine Nutzerin bestimmte optionale Funktionen aktiviert
• wenn ein Nutzer/eine Nutzerin "Push"-Benachrichtigungen per Mobiltelefon aktiviert (in diesem Fall kann der Mobilfunkanbieter, der mit der iOS- oder Android-Funktionalität verbunden ist, Daten außerhalb der Region übertragen)

Außerdem ist die Fa. Cisco unter dem aktuellen Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework) zertifiziert gemäß Art. 45 Abs. 1 DSGVO.

IV. Betroffenenrechte

Sie haben gemäß Artikel 15 ff. DS-GVO unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der Datenschutz-Aufsichtsbehörde (https://www.ldi.nrw.de/), wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.