Auf dieser Seite finden Sie die Datenschutzerklärung (gem. Art. 13 DS-GVO) im Rahmen der Nutzung von Cisco Secure Endpoint als Antivirenschutz auf Clients und Servern.

1. Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Rektor der RWTH Aachen University
Templergraben 55
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Telefon: +49 241 80 1
Telefax: +49 241 80 92312   
E-Mail: rektorat@rwth-aachen.de
Website: www.rwth-aachen.de/rektorat

Für die Umsetzung des zentralen Managements der Cisco Instanz:

RWTH Aachen University
IT Center
Leitung der Einrichtung Prof. Dr. rer. nat. Matthias Müller
Seffenter Weg 23
52074 Aachen

E-Mail: servicedesk@itc.rwth-aachen.de
Webseite: www.itc.rwth-aachen.de

2. Name und Anschrift der Datenschutzbeauftragten

Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:

Stabsstelle Datenschutz der RWTH Aachen University:
Templergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
Telefon: +49 241 80 94114
E-Mail: dsb@rwth-aachen.de

3. Allgemeines zur Datenverarbeitung 

a) Gegenstand und Zweck der Verarbeitung personenbezogener Daten 

Einsatz der cloudbasierten Security Lösung Cisco Secure Endpoint an der RWTH. Hierbei kommen Mechanismen/Produkte zur Erkennung und Abwehr von Sicherheitsrisiken auf Computern und im Netzwerk (Viren, Exploits, schädliche Webseiten, potenziell gefährlich Software) zum Einsatz. Die verarbeiteten Daten sind notwendig für die entsprechenden Analysetätigkeiten, sowie für die Authentifizierung von Administrierenden an der Verwaltungsplattform. Die Software kann dadurch auf dienstlichen Endgeräten sowie Servern verwendet werden.

b) Empfänger der Daten

Die erhobenen Daten können von einem Einrichtungsadministrator für Geräte und Benutzer seiner Einrichtung in Form von Protokolleinträgen, einem Dashboard, das aktive „Alarme“ (kritische Ereignisse, die Aufmerksamkeit erfordern) anzeigt, sowie spezifischen Berichten auf Basis des Protokolls eingesehen werden. Hierzu zählen insbesondere Berichte zu

• Virenfunden und deren technischem Kontext (in Zusammenhang mit dem kritischen Prozess registrierte Datei- und Registryzugriffe, Netzwerkverbindungen)
• angeschlossene Geräte
• Zusammenfassungen nutzer-/gerätespezifischer Ereignisse.

Administratoren des IT Centers, die für die Administration der zentralen Cisco Instanz ("Multi-Org Console") und die Verwaltung der Lizenzen zuständig sind, haben technisch ebenfalls Zugriff auf die Sub-Instanzen der Einrichtungen und damit auch auf die enthaltenen Daten.

Um die Funktionalität von Cisco Secure Endpoint nutzen zu können, werden Daten an Cisco sowie deren Unterauftragsnehmer laut DPA zur Analyse übertragen. Basis dieser Datenübertragung ist ein Auftragsdatenverarbeitungsvertrag zwischen der RWTH und Cisco sowie der Angemessenheitsbeschluss zur Datenübertragung zwischen EU und USA. Cisco ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Die Übertragung geschieht entweder automatisch durch die Software, oder z.B. im Rahmen einer manuellen Übermittlung einer zu prüfenden Datei („Sample“). Eine Auflistung der konkreten Daten finden Sie in der folgenden Liste:

(1) Im Default aktiviert, kann manuell deaktiviert werden
(2) Im Default deaktiviert, manueller „opt-in“ durch den Nutzenden möglich z.B. beim Übertragen von Dateien („samples“) zur Prüfung

Darüber hinaus hat die Firma Axians als Rahmenvertragspartner für den Lizenzvertrag mit Cisco Zugriff auf die Multi-Org Console der RWTH, um die von der RWTH gekauften Lizenzen dort hineinzubuchen.

c) Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten 

Die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit dem Antivirenschutz von Cisco Secure Endpoint bildet Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m § 58 Abs 1 DSG NRW.

d) Datenlöschung und Speicherdauer

• Accountdaten der Einrichtungsadministratoren (Daten Nr 1-3): Die Löschung erfolgt auf Anfrage bei Cisco.
• Protokolldaten (Daten Nr 4-5,7): Bis zu 30 Tage.
• Dateiinhalte (6)*: Bis zu 24 Monate.
• Verhaltensdaten (8) **:Bis zu 24 Monate.
• Benutzerfeedback (9): Bis zu 24 Monate

* Die Dateiinhalte können nur vom Einrichtungsadministrator eingesehen werden.
** Daten können durch Anfrage bei Cisco gelöscht werden.

4. Rechte der betroffenen Person 

Werden personenbezogene Daten von dem/der Betroffenen verarbeitet, stehen ihm/ihr folgende Rechte gegenüber dem Verantwortlichen zu.

Der/ die Betroffene hat gemäß Artikel 15 ff. DS-GVO dem Verantwortlichen gegenüber unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch hat er/sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde, wenn der/die Betroffene der Ansicht ist, dass die Verarbeitung der ihn/sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Wenn die Verarbeitung auf einer Einwilligung des/der Betroffenen beruht (vgl. Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DSGVO), hat er/sie ferner das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; dieser entfaltet seine Wirkung erst für die Zukunft.

Zur Ausübung der vorgenannten Rechte sendet der/ die Betroffene eine E-Mail an servicedesk@itc.rwth-aachen.de.