ServiceProviderManager
1. Name und Anschrift des Verantwortlichen
Rektor der RWTH Aachen University
Templergraben 5552062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Telefon: +49 241 80 1
Telefax: +49 241 80 92312
E-Mail:rektorat@rwth-aachen.de
Website:www.rwth-aachen.de/rektorat
Für die Umsetzung des ServiceProviderManager:
RWTH Aachen UniversityIT Center
Seffenterweg 23
52074 Aachen
2. Name und Anschrift der Datenschutzbeauftragten
Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:
Stabsstelle Datenschutz der RWTH Aachen UniversityTemplergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
Telefon: +49 241 80 94114
E-Mail:dsb@rwth-aachen.de
3. Allgemeines zur Datenverarbeitung
a) Gegenstand und Zweck der Verarbeitung personenbezogener Daten
Der ServiceProviderManager (SPM) ist das zentrale Werkzeug zur Verwaltung der lokalen RWTH-Services, die an den RWTH IdentityProvider (IdP) angebunden sind und sich über RWTH Single Sign-On authentifizieren. Er richtet sich gleichermaßen an technische Administratoren und an fachlich oder organisatorisch Verantwortliche.
b) Empfänger der Daten
Die Daten werden grundsätzlich innerhalb der RWTH Aachen verarbeitet.
Zugriff erhalten:
- Administratoren der jeweiligen Systeme (IAM-Team, IT-ServiceDesk)
- organisatorisch zuständige Fachbereiche welche den SPM zur Verfügung stellen
c) Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten
Für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit dem PasswordReset ist die Rechtsgrundlage hierfür Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DSGVO i.V.m. § 3 Abs. 1 DSG NRW.
So können hier beispielsweise folgende Daten anfallen:
- Anonymisierte globale ID
- Rollen und Gruppen
- Zugehörigkeit
- Vorname
- Nachname
für den Login
- Metadaten (u.a. Logfiles, Zeitstempel, IP-Adresse)
d) Datenlöschung und Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Ablauf der gesetzlichen Fristen werden die Daten gelöscht.
4. Bereitstellung der Website und Erstellung von Logfiles
a) Gegenstand und Zweck der Verarbeitung personenbezogener Daten
Bei jedem Aufruf des ServiceProviderManager ist technisch ein Austausch von Informationen zwischen Ihrem Endgerät, beispielsweise Ihrem Computer, Tablet oder Mobiltelefon und Servern erforderlich, um eine Kommunikation zwischen Ihrem Endgerät und dem ServiceProviderManager herzustellen. Bei jedem Zugriff auf das ConnectMe werden zudem Daten über diesen Vorgang vorübergehend in einer Protokolldatei (Logfile) verarbeitet und gespeichert. Im Einzelnen fallen folgende Daten an:
- Die IP-Adresse des Nutzers
- Datum und Uhrzeit des Zugriffs / Anmeldung
- Erkennungsdaten des verwendeten Browser- und Betriebssysteminformationen
Die Protokolldaten werden für einen ordnungsgemäßen Betrieb des ServiceProviderManager, das heißt zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern verarbeitet.
Darüber hinaus werden die Protokolldaten zur technischen Sicherheit, insbesondere zum Schutz vor und zur Abwehr von Cyberangriffen verarbeitet.
b) Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Die vorübergehende Speicherung der Daten zur technischen Kommunikation und der Protokolldateien erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 DS-GVO i.V.m. § 3 Abs. 1 DSG NRW i.V.m. §3 HG NRW.
c) Datenlöschung und Speicherdauer
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Normalerweise ist dies nach spätestens zehn Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
5. Rechte der betroffenen Person
Werden personenbezogene Daten von dem/der Betroffenen verarbeitet, stehen ihm/ihr folgende Rechte gegenüber dem Verantwortlichen zu.
Der/ die Betroffene hat gemäß Artikel 15 ff. DS-GVO dem Verantwortlichen gegenüber unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit . Auch hat er/sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde ( https://www.ldi.nrw.de/kontakt ), wenn der/die Betroffene der Ansicht ist, dass die Verarbeitung der ihn/sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Wenn die Verarbeitung auf einer Einwilligung des/der Betroffenen beruht (vgl. Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DSGVO), hat er/sie ferner das Recht, die Einwilligung jederzeit zu Beschwerde , ohne dass die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; dieser entfaltet seine Wirkung erst für die Zukunft.
Zur Ausübung der vorgenannten Rechte sendet der/ die Betroffene eine E-Mail an servicedesk@itc.rwth-aachen.de