Wir freuen uns über Ihren Besuch auf unserer Website. Datenschutz und Datensicherheit haben bei uns oberste Priorität, deshalb und um unserer Informationspflicht Ihnen gegenüber gerecht zu werden, erfahren Sie nachfolgend, inwiefern wir personenbezogene Daten verarbeiten, das heißt solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Weiteren „betroffene Person“) beziehen. Im Folgenden werden Sie als Nutzer unserer Angebote im Einzelnen unter anderem über Art, Umfang und Zweck der von uns vorgenommenen Datenverarbeitung (z. B. Datenerhebung, -speicherung etc.) beispielsweise während Ihres Besuchs auf unserer Website informiert. Sollten Sie Fragen bezüglich der Datenschutzerklärung der Technischen Universität Chemnitz haben oder von den Ihnen gewährten Rechten Gebrauch machen wollen, können Sie sich an unseren Datenschutzbeauftragten (Kontaktdaten s. u.) wenden.
Aus Gründen der besseren Lesbarkeit wird im Folgenden in der Regel das generische Maskulinum verwendet. Sämtliche Personenbezeichnungen gelten selbstverständlich für alle Geschlechter.
Inhalt
- I. Name und Kontaktdaten des Verantwortlichen
- II. Kontaktdaten des Datenschutzbeauftragten
- III. Technische Umsetzung der Website
- IV. Allgemeines zur Datenverarbeitung
- V. Bereitstellung der Website und Erstellung von Logfiles
- VI. Newsletter
- VII. Kontaktaufnahme
- VIII. Verwendung von Cookies
- IX. Nutzung von externen Webangeboten
- X. Authentifizierung und Autorisierung (Web-Trust-Center) – Single Sign On (SSO)
- XI. Rechte der betroffenen Person
- XII. Aktualität/Änderung dieser Datenschutzerklärung
I. Name und Kontaktdaten des Verantwortlichen
Der Verantwortliche im Sinne der EU-Datenschutzgrundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Technische Universität Chemnitz
vertreten durch den Rektor: Prof. Dr. Gerd Strohmeier
Straße der Nationen 62
09111 Chemnitz, Deutschland
E-Mail: rektor@tu-chemnitz.de
Telefon: +49 371 531-10000
Telefax: +49 371 531-10009
Web: https://www.tu-chemnitz.de/
II. Kontaktdaten des Datenschutzbeauftragten
Der Datenschutzbeauftragte der Technischen Universität Chemnitz ist:
Gernot Kirchner
Straße der Nationen 62
09111 Chemnitz
E-Mail: datenschutzbeauftragter@tu-chemnitz.de
Telefon: +49 371 531-12030
Telefax: +49 371 531-12039
Web: https://www.tu-chemnitz.de/rektorat/dsb/
III. Technische Umsetzung der Website
Die technische Umsetzung der Website erfolgt intern durch das Universitätsrechenzentrum (URZ) der Technischen Universität Chemnitz, welches über folgende E-Mail-Adresse zu erreichen ist: webmaster@tu-chemnitz.de
Die Betreuung der einzelnen Webauftritte erfolgt durch verschiedene Webmaster. Den jeweiligen Webmaster können Sie über die Kontaktdaten in der Fußzeile der Webseite – links neben dem Aktualisierungsdatum – erreichen.
IV. Allgemeines zur Datenverarbeitung
1. Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer – das heißt auch von Ihnen – grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen (u. a. Veranstaltungsanmeldungen, Evaluationen, Öffentlichkeitsarbeit etc.) erforderlich ist.
Betroffen sein können davon u. a. Bestandsdaten (z. B. Namen, Adressen), Kontaktdaten (z. B. E-Mail-Adressen, Telefonnummern, Wohnanschriften), Inhaltsdaten (z. B. Texteingaben, Fotografien, Videos, Kommentare), Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen).
Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach deren vorheriger Einwilligung. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und/oder die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 S. 1 lit. a) DSGVO als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages mit der betroffenen Person als Vertragspartei erforderlich sind, dient Art. 6 Abs. 1 S. 1 lit. b) DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Technische Universität Chemnitz unterliegt, dient Art. 6 Abs. 1 S. 1 lit. c) DSGVO als Rechtsgrundlage. Eine Speicherung personenbezogener Daten kann danach beispielsweise erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen die Technische Universität Chemnitz unterliegt, vorgesehen wurde.
Für den Fall, dass lebenswichtige Interessen von der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 S. 1 lit. d) DSGVO als Rechtsgrundlage.
Art. 6 Abs. 1 S. 1 lit. e) DSGVO wird als Rechtsgrundlage für die Datenverarbeitung herangezogen, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses der Technische Universität Chemnitz oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen unserem zuvor genannten berechtigten Interesse nicht, so dient Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage für die Verarbeitung. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gilt zwar gemäß Art. 6 Abs. 1 S. 2 DSGVO nicht für von Behörden in Erfüllung ihrer Aufgaben vorgenommene Datenverarbeitungen. Davon umfasst sind dem Wortlaut entsprechend aber nur kraft Gesetzes übertragene Aufgaben, insbes. im Rahmen der Eingriffs- und Leistungsverwaltung. Sofern daher Behörden im Gleichordnungsverhältnis, d. h. privatrechtlich, tätig werden, ist eine Anwendung von Art. 6 Abs. 1 S. 1 lit. f) DSGVO nicht ausgeschlossen. Davon betroffen ist insbesondere die Öffentlichkeitsarbeit der Technischen Universität Chemnitz.
3. Speicherdauer (Datenlöschung)
Die von uns verarbeiteten personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Datenverarbeitung (u. a. Speicherung) entfällt, d. h. die Verarbeitung für die Zweckbestimmung nicht mehr erforderlich ist und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Erfolgt beispielsweise die Datenverarbeitung aufgrund einer rechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 S. 1 lit. c) DSGVO, werden die personenbezogenen Daten gesperrt oder gelöscht, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft. Beispielsweise zu nennen ist eine verpflichtende Aufbewahrung für 10 Jahre von Handelsbüchern, Inventaren, Lageberichten, Buchungsbelegen etc. gemäß §§ 147 Abs. 1 AO, 257 Abs. 1 Nr. 1 und 4, Abs. 4 HGB sowie für 6 Jahre für empfangene und abgesandte Handelsbriefe gemäß § 257 Abs. 1 Nr. 2 und 3, Abs. 4 HGB. In diesen Fällen werden die Daten nicht gelöscht, sondern die Datenverarbeitung lediglich eingeschränkt, d. h. die Daten gesperrt und nicht für anderweitige Zwecke verwendet.
Eine Löschung Ihrer Daten erfolgt auch dann nicht, wenn eine Erforderlichkeit zur weiteren Speicherung der Daten beispielsweise für einen Vertragsabschluss oder eine Vertragserfüllung besteht und damit eine anderweitige Rechtsgrundlage für die Datenverarbeitung (z. B. Art. 6 Abs. 1 S. 1 lit. b) DSGVO) existiert.
4. Gesetzliche/vertragliche Vorschriften zur Bereitstellung von personenbezogenen Daten und Folgen der Nichtbereitstellung
Wir informieren Sie, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist oder sich auch aus vertraglichen Regelungen ergeben kann. So ist es regelmäßig bei einem Vertragsschluss erforderlich, dass uns die betroffene Person personenbezogene Daten zur Verfügung stellt, die im Anschluss durch uns weiterverarbeitet werden müssen. Dies betrifft zum Beispiel die Pflicht zur Bereitstellung personenbezogener Daten im Rahmen eines Vertragsabschlusses. Das Nichtbereitstellen der personenbezogenen Daten hätte andernfalls zur Folge, dass der Vertrag mit der betroffenen Person nicht abgeschlossen werden könnte.
Vor einer Bereitstellung personenbezogener Daten durch die betroffene Person im oben genannten Sinn können Sie sich sehr gerne an uns wenden, bevorzugt an unseren oben genannten Datenschutzbeauftragten. Wir klären Sie dann im jeweiligen konkreten Einzelfall darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich/vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist. Ebenso klären wir Sie darüber auf, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten in diesem Falle hätte.
5. Weitergabe der personenbezogenen Daten an Dritte
Die Verarbeitung personenbezogener Daten erfolgt nur durch die nachfolgend genannten nat./jur. Personen: Technische Universität Chemnitz. Davon umfasst sind auch solche Personen, die unter der unmittelbaren Verantwortung der Technischen Universität Chemnitz befugt sind, die personenbezogenen Daten zu verarbeiten, z. B. Mitarbeitende der Technischen Universität Chemnitz. Eine Weitergabe der personenbezogenen Daten an Dritte – d. h. natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, mit Ausnahme der betroffenen Person, des Verantwortlichen und gegebenenfalls vorhandener Auftragsverarbeiter – erfolgt dagegen grundsätzlich nicht, es sei denn, es besteht hierzu eine rechtliche Verpflichtung, der die Technische Universität Chemnitz unterliegt (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden).
V. Bereitstellung der Website und Erstellung von Logfiles
1. Beschreibung und Umfang der Datenverarbeitung
Bei jedem Aufruf unserer Website erfassen unsere Serversysteme automatisiert Daten und Informationen vom Computersystem des Nutzers/aufrufenden Rechners, das heißt auch Ihres Computers.
Grundsätzlich handelt es sich dabei um folgende Daten:
- IP-Adresse des aufrufenden Rechners,
- Hostname des abgefragten Webservers,
- Angabe, welches Dokument abgefragt wird,
- genutzter Verschlüsselungsstandard und -Algorithmus,
- ggf. getätigte Formulareingaben*,
- ggf. gültige Cookies*.
Folgende Daten können je nach Konfiguration Ihres Browser zusätzlich übertragen werden:
- Browsername und -version sowie Betriebssystem des Nutzers,
- zu bevorzugende Sprache des Inhalts,
- mögliche Datenkomprimierungsverfahren,
- Webseite, von der das System des Nutzers auf das abgefragte Dokument gelangt ist (sog. Referrer-URL bzw. „Referer“ im HTTP-Standard).
Die genannten Daten (außer die mit * markierten) werden zudem temporär – das heißt lediglich vorübergehend – in den Logfiles unserer Systeme gespeichert. In den Logfiles werden dazu noch folgende Angaben aufgenommen:
- ggf. authentifizierter Nutzer (nach Login im Web-Trust-Center oder über anwendungsspezifisches Verfahren),
- Datum und Uhrzeit des Zugriffs,
- Abfragestatus, -dauer und übertragene Datenmenge.
Eine Speicherung oder Zusammenführung dieser Daten mit weiteren personenbezogenen Daten des Nutzers findet nicht statt.
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erhebung und vorübergehenden Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Wahrung eines berechtigten Interesses). Zudem erlaubt auch Art. 6 Abs. 1 S. 1 lit. c) DSGVO i. V. m. § 12 TTDSG eine Datenspeicherung.
3. Zweck der Datenverarbeitung
Die vorübergehende Speicherung unter anderem der IP-Adresse durch das System ist notwendig, um eine Auslieferung unserer Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.
Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit unseres Webauftritts für Sie sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Webseiten und zur Beibehaltung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang in keinem Fall statt.
In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen insoweit nicht. Die Datenspeicherung zur Abwehr von Störungen der Telekommunikationsanlage ist zudem ausdrücklich durch Art. 6 Abs. 1 S. 1 lit. c) DSGVO i. V. m. § 12 TTDSG gestattet.
4. Sicherheit der Datenverarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat die Technische Universität Chemnitz geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten getroffen, um ein dem Risiko angemessenes Schutzniveau beim Bereitstellen des Webseitenangebotes zu gewährleisten.
Zu diesem Zwecke forcieren unsere Webserver Transportverschlüsselung per HTTP Strict Transport Security (HSTS). Das können Sie anhand des verwendeten Übermittlungsprotokolls „Hypertext Transfer Protocol Secure“ (in Ihrer Adresszeile: https://
) sowie beispielsweise am Schloss-Symbol in Ihrer Browserzeile erkennen. Derzeit wird als Mindeststandard TLS 1.2 vorausgesetzt. Durch die Unterstützung auch älterer Verschlüsselungsstandards stellen wir sicher, dass ein möglichst großer Besucherkreis unser Webseitenangebot nutzen kann. Als unsicher geltende Verschlüsselungsalgorithmen sind und werden deaktiviert.
5. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Sie beenden die Sitzung, indem Sie Ihren Browser vollständig schließen, das heißt nicht lediglich nur die betreffende Registerkarte beenden.
Im Falle der Speicherung der Daten in Logfiles erfolgt die Löschung/Anonymisierung nach einem halben Jahr. Eine darüber hinausgehende Speicherung in nichtanonymisierter Form findet, auf relevante Daten reduziert, nur zur Erfüllung von Ermittlungsanfragen statt. Ferner ist eine darüber hinausgehende Speicherung möglich. In diesem Fall werden die IP-Adressen der Nutzer allerdings gelöscht oder verfremdet/anonymisiert, so dass eine Zuordnung des aufrufenden Clients unter keinen Umständen mehr möglich ist.
6. Widerspruchs- und Beseitigungsmöglichkeit
Im Falle der Verarbeitung Sie betreffender personenbezogener Daten aufgrund von Art. 6 Abs. 1 S. 1 lit. e) (öffentliches Interesse bzw. öffentliche Gewalt) bzw. lit. f) DSGVO (berechtigtes Interesse) haben Sie gemäß Art. 21 DSGVO ein jederzeitiges Widerspruchsrecht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (siehe auch unter Widerspruchsrecht).
Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist allerdings – wie oben beschrieben – für den Betrieb des Webauftrittes der Technischen Universität Chemnitz zwingend erforderlich. Sollten Sie daher Ihr Widerspruchsrecht ausüben, ungeachtet dessen aber weiterhin unsere Website aufrufen, so liegen zwingende schutzwürdige Gründe für die Datenverarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person – von Ihnen – überwiegen und damit die Möglichkeit des Widerspruchs im Ergebnis beschränken, so dass gemäß Art. 21 Abs. 1 S. 2 DSGVO Ihre personenbezogenen Daten auch weiterhin verarbeitet werden können.
VI. Newsletter
1. Beschreibung und Umfang der Datenverarbeitung
Auf unserer Internetseite besteht zum Teil die Möglichkeit einen kostenfreien Newsletter zu abonnieren. Dabei werden bei der Anmeldung zum Newsletter die Daten aus der Eingabemaske an uns übermittelt. Dies umfasst neben der E-Mail-Adresse möglicherweise auch Ihren Namen (freiwillig), um eine personalisierte Ansprache im Newsletter zu ermöglichen.
Zudem werden die im Rahmen der Bereitstellung der Website und der Erstellung von Logfiles o. g. Daten bei der Anmeldung zu einem Newsletter sowie im Rahmen der Bereitstellung des Newsletters erhoben.
Für die Verarbeitung der Daten wird im Rahmen des Anmeldevorgangs Ihre Einwilligung auf freiwilliger Basis eingeholt und auf die Datenschutzerklärung verwiesen. Die Einwilligung erfolgt in Form einer eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Im Falle des Newsletterversandes wird hierfür ein sogenanntes doppeltes Opt-In-Verfahren eingesetzt, um die Nachweisbarkeit der Einwilligungserklärung (Protokollierung des Anmelde-/Bestätigungszeitpunktes sowie der IP-Adresse) sicherstellen zu können. Hierfür ist zunächst eine Anmeldung über unsere Website (erstes Opt-In) sowie eine zusätzliche Bestätigung über den Bestätigungslink in der aufgrund der Anmeldung eingehenden E-Mail (zweites Opt-In) erforderlich. Dasselbe Verfahren wird bei Änderungen Ihrer gespeicherten Daten in Bezug auf die Newsletterbestellung eingesetzt.
Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Versand des Newsletters erfolgt nur durch die Personen, die unter der unmittelbaren Verantwortung der den Newsletter anbietenden Struktureinheit der Technischen Universität Chemnitz befugt sind, die personenbezogenen Daten zu verarbeiten, z. B. Mitarbeitende der Professur XY der Technischen Universität Chemnitz. Eine Weitergabe der personenbezogenen Daten an Dritte – d. h. natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, mit Ausnahme der betroffenen Person, des Verantwortlichen und gegebenenfalls vorhandener Auftragsverarbeiter – erfolgt dagegen grundsätzlich nicht, es sei denn, es besteht hierzu eine rechtliche Verpflichtung, der die Technische Universität Chemnitz unterliegt (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden).
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletter durch den Nutzer ist eine ausdrückliche Einwilligung des Nutzers gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG. Die Protokollierung Ihrer Einwilligung beruht auf Art. 6 Abs. 1 S. 1 lit. c) DSGVO, namentlich um unserer rechtlichen Verpflichtung zur Protokollierung der Einwilligung nachkommen zu können, Art. 7 Abs. 1 DSGVO.
Abweichend von der obenstehenden ausdrücklichen Einwilligungserklärung dient § 7 Abs. 3 UWG i. V. m. Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage für die Datenverarbeitung im Rahmen des Versandes unseres elektronischen Newsletters, da die zur Wahrung unserer berechtigten Interessen am Direktmarketing (vgl. 47. Erwägungsgrund der DSGVO) erforderlich ist. Ein Überwiegen Ihrer Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, ist in diesen Fällen nicht feststellbar. Voraussetzung hierfür ist, dass die Technische Universität Chemnitz im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von Ihnen Ihre elektronische Postadresse erhalten hat, die Technische Universität Chemnitz die Adresse ausschließlich zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, Sie der Verwendung nicht widersprochen haben und Sie bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen worden sind, dass Sie der Verwendung jederzeit widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
3. Zweck der Datenverarbeitung
Die Erhebung der E-Mail-Adresse des Nutzers dient dazu, den Newsletter zuzustellen. Die konkreten Inhalte der Newsletter entnehmen Sie bitte der Beschreibung im Rahmen des Anmeldevorganges. Die Erhebung sonstiger personenbezogener Daten im Rahmen des Anmeldevorgangs dient dazu, einen Missbrauch der Dienste oder der verwendeten E-Mail-Adresse zu verhindern.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Die E-Mail-Adresse des Nutzers wird demnach solange gespeichert, wie das Abonnement des Newsletters aktiv ist, das heißt Sie insbesondere Ihre Einwilligungserklärung nicht widerrufen haben oder im Fall von § 7 Abs. 3 UWG solange Sie der Datenverarbeitung zur Direktwerbung nicht widersprochen haben. Abweichungen sind möglich, sofern andere Rechtsgrundlagen eine fortwährende Speicherung erlauben, u. a. in Bezug auf die Protokolldaten zur Abwehr von Ansprüchen bezogen auf die vormals erteilte Einwilligungserklärung (i. d. R. beträgt die Speicherdauer in diesem Falle drei Jahre).
In Bezug auf die Dauer der Speicherung der sonstigen im Rahmen des Anmeldevorgangs erhobenen personenbezogenen Daten kann auf die Speicherdauer im Zusammenhang mit der Bereitstellung der Website und Erstellung von Logfiles verwiesen werden.
5. Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit
Die Einwilligung in die Datenverarbeitung zum Newsletterversand ist freiwillig und kann jederzeit widerrufen und damit das Abonnement des Newsletters gekündigt werden. Um Ihren Widerruf auszuüben, senden Sie uns bitte eine entsprechende E-Mail ausgehend von dem für den Newsletterversand eingetragenen E-Mailpostfach mit dem Betreff „Widerruf Newsletter“ an den Webmaster für den jeweiligen Newsletter (Kontaktdaten in der Fußzeile der Webseite mit dem Newsletteranmeldeformular – links neben dem Aktualisierungsdatum), alternativ an den Datenschutzbeauftragten der Technischen Universität Chemnitz oder klicken Sie einfach auf den Abmelde-/Austragenlink, der in jedem Newsletter beigefügt ist. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung jedoch nicht berührt.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen (Art. 21 DSGVO, § 7 Abs. 3 UWG). Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Sie wurden ausdrücklich und spätestens zum Zeitpunkt der ersten Kommunikation mit Ihnen auf das soeben benannte Widerspruchsrecht in einer verständlichen und von anderen Informationen getrennten Form hingewiesen. Nähere Informationen zu Ihrem Widerspruchsrecht finden Sie untenstehend.
VII. Kontaktaufnahme
1. Beschreibung und Umfang der Datenverarbeitung
Nimmt ein Nutzer die Möglichkeit wahr, mit uns in Kontakt zu treten, u. a. über die bereitgestellten E-Mail-Adressen, via Telefon oder sozialer Medien, so werden die zur Verfügung gestellten personenbezogenen Daten im Rahmen der Kontaktaufnahme an uns übermittelt und gegebenenfalls gespeichert. Auf unserer Internetseite ist hierfür teilweise auch ein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann.
Zur Bearbeitung der Kontaktaufnahme über ein Kontaktformular sind verpflichtend in der Eingabemaske anzugeben:
- Ihre E-Mail-Adresse,
- Ihre Anfrage,
- Ggf. weitere Pflichtfelder: z. B. Bestätigung der Datenschutzerklärung.
Zum Zeitpunkt der Absendung der Nachricht werden diese Pflichtangaben sowie weitere Angaben aus dem Kontaktformular sowie die bereits unter „Bereitstellung der Website und Erstellung von Logfiles“ aufgezählten Daten übertragen und möglicherweise in einer Datenbank abgespeichert oder per E-Mail an den Urheber des Kontaktformulars versandt.
Weitere Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Kontaktaufnahme per Kontaktformular erteilt Ihnen der Verantwortliche des jeweiligen Kontaktformulars vor bzw. im Zusammenhang mit der Absendung des jeweiligen Kontaktformulars.
Für die Verarbeitung der Daten wird im Rahmen des Absendevorgangs Ihre Einwilligung eingeholt und auf die Datenschutzerklärung verwiesen. Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation, das heißt insbesondere zur Bearbeitung Ihrer Kontaktanfrage, verwendet. Zusätzlich können Ihre personenbezogenen Daten in einem Customer-Relationship-Management-System (CRM-System) oder einer anderweitigen Datenbank gespeichert werden.
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer sonstigen Kontaktaufnahme (u. a. via E-Mail, Telefon etc.) übermittelt werden, ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse). Zielt die Kontaktaufnahme auf den Abschluss eines Vertrages ab, so ist Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. b) DSGVO.
3. Zweck der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten aus der Kommunikation dient uns allein zur Bearbeitung Ihrer Kontaktaufnahme. Regelmäßig liegt hierin auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet ohne Ihre Einwilligung nicht statt.
Die sonstigen während des Absendevorgangs des Kontaktformulars verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Kommunikation mit uns ist dies in der Regel dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist. Darüber hinausgehend können anderweitige Verarbeitungszwecke eine längere Verarbeitung rechtfertigen, u. a. die Speicherung in einem Customer-Relationship-Management-System (CRM-System) zur fortlaufenden Kontaktpflege, Speicherung aufgrund prüfungsrechtlicher Relevanz etc.
Die Daten werden ebenfalls gelöscht, wenn Sie Ihr Löschungsrecht geltend machen oder Ihre Einwilligung widerrufen, sofern die Datenverarbeitung auf einer Einwilligung beruht. Vorstehend Gesagtes gilt nur, sofern keine zwingenden gesetzlichen Bestimmungen auch zukünftig eine Datenverarbeitung rechtfertigen. In diesen Fällen gelten die gesetzlichen Löschungs-/Aufbewahrungsfristen.
Im Falle der Speicherung der während des Absendevorgangs des Kontaktformulars zusätzlich erhobenen personenbezogenen Daten in Logfiles erfolgt die Löschung/Anonymisierung nach einem halben Jahr. Eine darüber hinausgehende Speicherung in nichtanonymisierter Form findet, auf relevante Daten reduziert, nur zur Erfüllung von Ermittlungsanfragen statt. Ferner ist eine darüber hinausgehende Speicherung möglich. In diesem Fall werden die IP-Adressen der Nutzer allerdings gelöscht oder verfremdet/anonymisiert, so dass eine Zuordnung des aufrufenden Clients unter keinen Umständen mehr möglich ist.
5. Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit
Die gegebenenfalls erfolgte Einwilligung ist freiwillig, d. h. frei von Zwang und Druck, und kann jederzeit insgesamt oder getrennt und ohne unangemessene Nachteile mit Wirkung für die Zukunft widerrufen werden. Um Ihren Widerruf auszuüben, senden Sie uns bitte beispielsweise eine E-Mail an die E-Mail-Adresse unseres Datenschutzbeauftragten. Durch den Widerruf der Einwilligung und der damit erfolgten Löschung aller personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung jedoch nicht berührt.
Erfolgt die Datenverarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 S. 1 lit. e) DSGVO) oder aufgrund eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO haben Sie gemäß Art. 21 DSGVO ein jederzeitiges Widerspruchsrecht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (siehe auch unter Widerspruchsrecht). Die Technische Universität Chemnitz verarbeitet die personenbezogenen Daten in diesem Falle nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten von Ihnen als betroffene Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Im Falle eines Widerrufes oder Widerspruches kann die Konversation mit Ihnen nicht fortgeführt werden, da in der Regel alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, gelöscht werden.
VIII. Verwendung von Cookies
1. Beschreibung und Umfang der Datenverarbeitung
Unsere Website verwendet ggf. Cookies. Bei Cookies handelt es sich um textuelle Informationen, die in Ihrem Browser gespeichert werden, um nutzerbezogene Angaben auch zu einem späteren Zeitpunkt noch wie gewünscht verarbeiten zu können. Ruft ein Nutzer eine bestimmte Webseite auf, so kann vom Webserver ein Cookie mitgeschickt werden. Dieser Cookie enthält neben der zu speichernden Information noch den Gültigkeitsbereich (Webserver und Pfadangabe) und die Gültigkeitsdauer. Diese Information wird beim Aufruf von Adressen im Gültigkeitsbereich vom Browser an den entsprechenden Webserver mitgeschickt. Die DSGVO behandelt ohne weitere Unterscheidung jegliche Cookie-Informationen als personenbezogene Daten, vgl. 30. Erwägungsgrund der DSGVO.
Zum näheren Verständnis der Arbeitsweise von Cookies muss allerdings unterschieden werden zwischen verschiedenen Arten von Cookies. In Bezug auf die „Lebensdauer“ von Cookies werden sog. Sitzungscookies (temporäre Cookies, Session-Cookies, transiente Cookies) und sog. persistente/permanente Cookies – z. T. auch als Dauercookies bezeichnet – unterschieden. Die Erstgenannten werden mit Schließen des Browsers automatisch gelöscht, die Letztgenannten bleiben auf dem Endgerät des Benutzers für die gesetzte Zeitdauer erhalten. Darüber hinausgehend unterscheidet man aufgrund der Zugehörigkeit der Cookies zu einem bestimmten Server zwischen sog. First-Party-Cookies und sog. Third-Party-Cookies. Die Erstgenannten werden von dem Webserver gesetzt, von dem auch die besuchte Seite abgerufen wird. Die Letztgenannten werden dagegen von einem anderen Webserver, von dem Inhalte auf der besuchten Seite genutzt bzw. eingebunden werden, gesetzt und sind für die Verwendung unseres Webangebots irrelevant.
2. Rechtsgrundlage für die Datenverarbeitung
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies – insbes. permanenten Cookies, ganz gleich ob es sich um First-Party oder Third-Party-Cookies handelt – ist grundsätzlich Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung der betroffenen Person).
Beim Aufruf unserer Website werden die Nutzer durch ein Pop-up (sog. Cookie-Overlay) über die Verwendung von Cookies zu Analysezwecken informiert und erhalten einen Verweis auf diese Datenschutzerklärung. Zugleich werden sie aufgefordert, ihre Einwilligung zur Verwendung von Cookies in dem oben beschriebenen Umfang in Form einer eindeutig bestätigenden Handlung zu geben, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Opt-In). Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von sog. First-Party-Cookies, die als technisch erforderliche Sitzungscookies ausgestaltet sind, ist dagegen Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigte Interessen). Als Betreiber dieser Website haben wir ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und reibungslosen Bereitstellung unserer Dienste. Dies gilt beispielsweise, um von Ihnen ausgewählte Funktionen (z. B. Spracheinstellung, Anmeldestatus etc.) zur Verfügung stellen zu können.
3. Zweck der Datenverarbeitung
Der Zweck der Verwendung technisch notwendiger Sitzungscookies ist, die Nutzung von Webseiten für die Nutzer zu vereinfachen. Einige Funktionen unserer Internetseite können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird. Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden dabei jedoch nicht zur Erstellung von Nutzerprofilen verwendet, auch wenn sie das Verhalten der betroffenen Person nachvollziehbar machen könnten. Sollten Sie deshalb der Verwendung dieser Cookies widersprochen haben, so steht Ihnen die Nutzung unserer Website in Zukunft möglicherweise nur eingeschränkt oder beispielsweise erst nach einer Neuanmeldung wieder vollumfänglich zur Verfügung.
4. Dauer der Speicherung, Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit
Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an unsere Seite übermittelt. Daher haben Sie als Nutzer auch die volle Kontrolle über die Verwendung bzw. Speicherung von Cookies. Die Speicherdauer der Cookies, d. h. bevor diese automatisch gelöscht werden, ist dabei abhängig von den jeweiligen Voreinstellungen des Cookies. Nähere Informationen zur Speicherdauer können Sie deshalb der nachfolgenden Tabelle entnehmen.
Werden Cookies für unsere Website jedoch z. B. aufgrund der fehlenden/widerrufenen Einwilligung oder entsprechenden Browservoreinstellungen deaktiviert oder später gelöscht, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden, so dass eine eingeschränkte Funktionalität unserer Website die Folge sein kann.
a) Widerrufsmöglichkeit
Die Einwilligung in die Verwendung von Cookies ist freiwillig und kann jederzeit widerrufen werden. Um Ihren Widerruf auszuüben, senden Sie uns bitte eine entsprechende E-Mail oder löschen Sie die Cookies selbständig in Ihrem Browser oder via Cookie-Übersicht unter https://www.tu-chemnitz.de/tu/datenschutz_cookies.html. Eine hilfreiche Anleitung zum Löschen von Cookies in den verschiedenen Browsern erhalten Sie z. B. von der Verbraucherzentrale NRW e. V. (https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-im-browser-einstellen-11996). Durch den Widerruf der Einwilligung und der damit erfolgten Löschung bereits gespeicherter Cookies wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung jedoch nicht berührt.
b) Widerspruchsmöglichkeit
Verwenden wir Cookies aufgrund von Art. 6 Abs. 1 S. 1 lit. e) (öffentliches Interesse oder in Ausübung öffentlicher Gewalt) oder lit. f) DSGVO (berechtigter Interessen) haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Um Ihren Widerspruch auszuüben, senden Sie bitte eine entsprechende E-Mail an den Webmaster der jeweiligen Webseite (Kontaktdaten in der Fußzeile der Webseite – links neben dem Aktualisierungsdatum), alternativ an den Datenschutzbeauftragten der Technischen Universität Chemnitz oder löschen Sie die Cookies selbständig in Ihrem Browser. Eine hilfreiche Anleitung zum Löschen von Cookies in den verschiedenen Browsern erhalten Sie z. B. von der Verbraucherzentrale NRW e. V. (https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-im-browser-einstellen-11996). Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden. Näheres hierzu lesen Sie sogleich unter „Allgemeine Beseitigungsmöglichkeit“.
c) Allgemeine Beseitigungsmöglichkeit
Zusätzlich können Sie in Ihrem Browser das Speichern von Cookies überwachen und reglementieren, so dass Sie beispielsweise das automatische Löschen aller Cookies am Sitzungsende (Schließen des Browsers) oder das generelle Blockieren von Cookies jeglicher Art definieren können. Mit dem Senden des „Do-Not-Track“-Flags („Nicht-folgen“-Wunsch) werden keinerlei Profildaten auf Seiten erhoben, die ein lokales Tracking durchführen. Diese Einstellungen finden grundsätzlich aber nur browser-/gerätespezifisch Anwendung, so dass Sie diese für alle Ihre Endgeräte vornehmen müssen. Bitte beachten Sie zudem, dass das Blockieren jeglicher Cookies zum teilweisen Verlust des vollständigen Funktionsumfanges unseres Webangebotes führen kann.
Zusätzlich gibt es bei verschiedenen Dienstleistern die Möglichkeit, einen generellen Widerspruch gegen den Einsatz von Cookies zu Marketingzwecken im Internet einzulegen: http://www.aboutads.info/choices/ (USA) bzw. https://www.youronlinechoices.com/ (EU). Wir möchten ausdrücklich darauf hinweisen, dass ein solcher Cookieeinsatz für nutzerbasierte Online-Werbung durch die Technische Universität Chemnitz selbst nicht stattfindet, jedoch unter anderem für untenstehende externe Webangebote nicht ausgeschlossen werden kann.
5. Verwendung von Cookies im Einzelnen
Im Einzelnen werden zum Abrufen unseres Webangebotes u. a. die folgenden Cookies verwendet:
Cookie-Name | Kategorie | Gültigkeitsdauer | Erläuterung |
---|---|---|---|
csrftoken_[…] | Sicherheit | 1 Jahr | Formularschutz für Django-basierte Webanwendung |
_saml_sp | Authentifizierung nur auf wtc.tu-chemnitz.de | 10 Tage | SP-Kennung für Web-Trust-Center |
_redirection_state | Authentifizierung nur auf wtc.tu-chemnitz.de | 100 Tage | Weiterleitungsstatus für Web-Trust-Center |
_saml_idp | Authentifizierung nur auf wtc.tu-chemnitz.de | 100 Tage | IdP-Kennung für Web-Trust-Center |
sessionid_[…] | Anwendung | 14 Tage | Sitzungskennung für Django-basierte Webanwendung |
tuc_lang | Nutzerpräferenz | 14 Tage | gewünschte Dokumentsprache – wird gesetzt, wenn auf Webseite Sprachwechsel gewählt wird |
captcha_autosubmit | Nutzerpräferenz nur auf wtc.tu-chemnitz.de | 7 Tage | Opt-In für reCAPTCHA-Anzeige/-Hinweis (Datenübertragung an Google) |
tuc_accepted_search | Nutzerpräferenz für externe Suchmaschine | dauerhaft | Speicherung Opt-In für die externe Suchmaschine |
tuc_accepted_[…] | Nutzerpräferenz | 7 Tage | Speicherung Opt-In für Einbindung externer Webangebote |
_redirect_user_idp | Authentifizierung nur auf wtc.tu-chemnitz.de | Sitzung | IdP-Auswahl für Web-Trust-Center |
_shibsession_[…] | Authentifizierung | Sitzung | Sitzungskennung nach Anmeldung mit Single Sign On (Web-Trust-Center) |
PHPSESSID | Anwendung | Sitzung | Sitzungskennung für PHP-basierte Webanwendung |
ShibAuthToken | Authentifizierung nur auf wtc.tu-chemnitz.de | Sitzung | Authentifizierungskennung beim IdP für Web-Trust-Center |
ShibSessionID | Authentifizierung nur auf wtc.tu-chemnitz.de | Sitzung | Sitzungskennung beim IdP für Web-Trust-Center |
WTC_AUTHENTICATED | Authentifizierung | Sitzung | Login-Kennung eines authentifizierten Nutzers |
IX. Nutzung von externen Webangeboten
1. Beschreibung und Umfang der Datenverarbeitung
a) Social Media
Kommunikation verändert sich; und mit ihr verändern sich auch die Kommunikationswege und -möglichkeiten, Zielgruppen zu erreichen. Seit einigen Jahren hat es sich die Technische Universität Chemnitz daher zur Aufgabe gemacht, interne und externe Zielgruppen wie Studierende, Mitarbeiterinnen und Mitarbeiter, Angehörige, Alumni und Alumnae, Studieninteressierte und Interessierte an Wissenschaft, Forschung, Campus- und Hochschulentwicklung auch über Soziale Medien (Social Media) zu erreichen und zu informieren.
b) Sicherheit unserer informationstechnischen Systeme
Zugleich verwenden wir externe Webangebote, um eine hinreichende Sicherheit unserer informationstechnischen Systeme sicherstellen zu können. Aus diesem Grund wird im Web-Trust-Center (WTC) getestet, ob Sie ein Mensch sind, d. h. die Eingabe der Daten von einer natürlichen Person erfolgt oder missbräuchlich zum Beispiel durch eine automatisierte Eingabe einer Maschine. Dafür setzen wir die Lösung reCAPTCHA von Google in der „invisible“-Variante ein, so dass Sie bei häufiger Nutzung keine Rätsel mehr lösen müssen.
c) Nutzerfreundliche Websitegestaltung
Ferner bieten wir auf unserer Website die Suchdienste Duck Duck Go, Ecosia, Google sowie Startpage.com zum Durchsuchen unserer Webangebote an. Mit deren Verwendung gewährleisten wir eine größtmöglich strukturierte und umfassende Suche im Sinne der Nutzer- und Bedienerfreundlichkeit unserer Website, die mittels einer eigenständigen Suche derzeit nicht verhältnismäßig gewährleistet werden könnte. Wir sind jedoch auch weiterhin bemüht, in Zukunft vergleichbare Alternativsuchen zu finden und Ihnen anbieten zu können.
Ebenso binden wir auf unserer Website verschiedene externe Kartendienste (Google Maps und OpenStreetMap) ein, u. a. um die Wegbeschreibung (inkl. Routenplanung) zur Kontaktaufnahme möglichst nutzer- und bedienerfreundlich zu gestalten. Hierfür stehen derzeit unter Beachtung eines verhältnismäßigen Aufwandes leider keine vergleichbaren Angebote zur Verfügung, wobei auch dies von uns fortlaufend evaluiert und neu bewertet wird.
Über das Studentenwerk Chemnitz-Zwickau können auf unserer Webseite direkt Abbildungen zu Speiseplänen der unterschiedlichen Standorte eingebunden werden.
d) Einbindung multimedialer Inhalte – Videocampus Sachsen
Für die Einbindung multimedialer Inhalte (speziell Videos) wird die Plattform Videocampus Sachsen (https://videocampus.sachsen.de/) genutzt. Diese Plattform wird von der BPS Bildungsportal Sachsen GmbH im Rahmen eines mit der TU Chemnitz abgeschlossenen Auftragsverarbeitungsvertrages nach Art. 28 DSGVO betrieben, so dass keine Datenübermittlung an Dritte im datenschutzrechtlichen Sinne stattfindet.
e) Externe Datenverarbeitungsvorgänge
Im Zusammenhang Ihres Besuches unserer externen Web-/Social-Media-Angebote werden verschiedene personenbezogene Daten von uns, aber primär auch von den externen Anbietern verarbeitet. Nähere Informationen hierzu können Sie den Datenschutzbestimmungen der jeweiligen Anbieter entnehmen:
- BPS Bildungsportal Sachsen GmbH (Bahnhofstraße 6, 09111 Chemnitz): https://www.bps-system.de/datenschutz/;
- Deezer (Deezer Limited Company, 12 rue d’Athènes 75009 Paris, Frankreich): https://www.deezer.com/legal/personal-datas;
- Duck Duck Go (Duck Duck Go Inc., 190 Country Lane Phoenixville, PA 19460 United States): https://duckduckgo.com/privacy;
- Ecosia (Ecosia GmbH, Gerichtstraße 23, 13347 Berlin): https://info.ecosia.org/privacy;
- Facebook (Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland): https://www.facebook.com/about/privacy/;
- Google (Maps)/YouTube (Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA): https://policies.google.com/privacy bzw. https://www.youtube.com/t/privacy_guidelines;
- Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA): https://privacycenter.instagram.com/policy/;
- iTunes, Apple Podcast (Apple Inc., One Apple Park Way, Cupertino, California, USA, 95014): https://www.apple.com/legal/privacy/de-ww/;
- LinkedIn (LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Irland): https://www.linkedin.com/legal/privacy-policy;
- OpenStreetMap (Openstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom): https://wiki.osmfoundation.org/wiki/Privacy_Policy;
- Spotify (Spotify AB, Regeringsgatan 19, 11153 Stockholm, Schweden): https://www.spotify.com/de/legal/privacy-policy/plain/ und https://www.spotify.com/de/legal/cookies-policy/plain/ sowie https://www.spotify.com/de/privacy;
- Startpage.com (Startpage B. V., Wilhelmina van Pruisenweg 104, 2595 AN Den Haag, The Netherlands): https://www.startpage.com/en/search/privacy-policy.html;
- Studentenwerk Chemnitz-Zwickau, (Studentenwerk Chemnitz-Zwickau, Thüringer Weg 3, 09126 Chemnitz, Deutschland): https://www.swcz.de/datenschutz;
- Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA): https://twitter.com/de/privacy;
- Wakelet (Wakelet Limited, 76 Quay Street, Manchester, M3 4PR, United Kingdom): https://wakelet.com/privacy.html;
- Xing (XING AG, Dammtorstraße 29–32, 20354 Hamburg, Deutschland): https://privacy.xing.com/de/datenschutzerklaerung.
2. Rechtsgrundlage für die Datenverarbeitung
a) Social Media
Zur Presse- und Öffentlichkeitsarbeit der Technischen Universität Chemnitz gehört es, möglichst viele Zielgruppen passgenau zu erreichen, so dass die Nutzung verschiedener Kommunikationswege und -möglichkeiten und insbesondere auch neuerer Kommunikationskanäle (Social Media) unabdingbar ist. Genau hierin liegen auch unsere berechtigten Interessen, um Ihre personenbezogenen Daten in diesem Zusammenhang verarbeiten zu dürfen, Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
Die Plattform Videocampus Sachsen dient der ressourcenschonenden und barrierearmen Einbindung von Videoinhalten; darin liegt unser berechtigtes Interesse zur Verarbeitung Ihrer personenbezogenen Daten nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
b) Sicherheit unserer informationstechnischen Systeme
Wie bereits beschrieben, sichert die darüber hinausgehende Einbindung des externen reCAPTCHA-Dienstes von Google die Sicherheit unserer informationstechnischen Systeme und dient damit der Wahrung des darin liegenden berechtigten Interesses, Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
c) Einwilligungserklärung
Im Falle dessen, dass Sie zuvor gegenüber uns oder einem der o. g. externen Anbieter eine Einwilligung in die Datenverarbeitung erklären mussten, z. B. mittels vorheriger Zustimmung zu einem Webtracking durch Bestätigung eines Popups oder bei Weiterleitung auf unsere externen Suchanbieter oder Kartendienste, erfolgt die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a) DSGVO, namentlich aufgrund Ihrer Einwilligung.
3. Zweck der Datenverarbeitung
a) Social Media
Die Verarbeitung der personenbezogenen Daten aus der Kommunikation über externe Web-/Social-Media-Angebote dient uns allein zur Bearbeitung Ihrer Kontaktaufnahme zur Technischen Universität Chemnitz. Regelmäßig liegt hierin unabhängig von einer erteilten Einwilligung auch ein berechtigtes Interesse an der Verarbeitung der Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Eine proaktive Kontaktaufnahme unsererseits über Social Media erfolgt in der Regel nicht. Ausnahmen können Nachfragen unsererseits zu Kommentaren unter Beiträgen bzw. deren Beantwortung oder die Bitte um Feedback sein.
Darüber hinausgehend werden Ihre personenbezogenen Daten in der Regel von den o. g. externen Anbietern auch für Marktforschungszwecke und Werbeangebote verarbeitet. Regelmäßig verarbeiten die o. g. externen Anbieter personenbezogene Daten, indem Ihr Verhalten als Nutzer der Angebote beobachtet wird. Mit anderen Worten werden in einer Vielzahl von Fällen Ihre Internetaktivitäten bei der Nutzung nachvollzogen, um nachfolgend die gewonnenen Daten mittels verschiedenster Techniken so zu verarbeiten, dass dadurch von Ihnen ein Nutzerprofil erstellt werden kann. Dieses wiederum bildet regelmäßig die Grundlage für Sie betreffende zukünftige Entscheidungen oder wird dazu genutzt, anhand dessen Ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten zu analysieren oder vorhersagen zu können, vgl. 24. Erwägungsgrund der DSGVO. Die gewonnenen Ergebnisse können dann beispielsweise – auch von der Technischen Universität Chemnitz – dazu eingesetzt werden, Ihnen individualisierte Online-Werbeanzeigen zu präsentieren, in Abhängigkeit von den ermittelten bzw. vorhergesagten persönlichen Interessen. Darüber hinausgehend kann nicht ausgeschlossen werden, dass durch die o. g. externen Anbieter weitere Daten über die verwendeten Geräte gespeichert und verarbeitet werden, insbesondere wenn Sie im Rahmen der jeweiligen (Social-Media-)Plattform einen Account betreiben und als registrierter Nutzer eingeloggt sind. Details hierzu können Sie den oben verlinkten Datenschutzbestimmungen der externen Anbieter entnehmen.
b) Sicherheit unserer informationstechnischen Systeme
Für den reCAPTCHA-Test im WTC wird nach Ihrer Zustimmung ein JavaScript-Code von externen (Google-)Servern geladen, d. h. auch Ihre IP-Adresse sowie gegebenenfalls weitere personenbezogene Daten an Google übermittelt. Ihr Login-Kennzeichen oder andere dem URZ bekannte Daten von Ihnen werden dabei nicht übertragen. Dieser zusätzliche Sicherheitsschritt verhindert allerdings unter anderem das Durchprobieren Ihrer Login-Daten sowie das computergestützte Anmelden und dient damit zugleich unserem darin begründeten berechtigten Interesse an der Verarbeitung Ihrer Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
c) Nutzerfreundliche Websitegestaltung
Die Datenverarbeitung im Zusammenhang mit der Einbindung der externen Suchanbieter/Kartendienste auf unserer Website hat ausschließlich den Zweck, Ihnen die Durchsuchbarkeit unserer Webangebote sowie die Weg- und Routenplanung so effizient und nutzerfreundlich wie möglich zu gestalten. Regelmäßig liegt hierin unabhängig von einer erteilten Einwilligung auch ein berechtigtes Interesse an der Verarbeitung der Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
d) Einbindung multimedialer Inhalte – Videocampus Sachsen
Ein berechtigtes Interesse an der Verarbeitung von Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO liegt auch beim Abruf von Video- und Webinhalten von der Plattform Videocampus Sachsen vor.
e) Gemeinsame Verantwortlichkeit
Verantwortlich für die dahingehende Datenverarbeitung im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union sowie sonstiger datenschutzrechtlicher Bestimmungen ist damit in diesem Falle primär der externe Dienstanbieter. Detaillierte Informationen zu den Zwecken der Datenverarbeitungen durch die o. g. externen Anbieter entnehmen Sie deshalb bitte den o. g. Verlinkungen auf die Datenschutzerklärungen der externen Anbieter.
4. Empfänger / Kategorien von Empfängern
Die Verarbeitung der personenbezogenen Daten erfolgt im Zusammenhang mit der Nutzung von externen Webangeboten (u. a. Social Media, Suchdienste etc.) grundsätzlich nur durch die nachfolgend genannten nat./jur. Personen: Technische Universität Chemnitz, insbes. Mitarbeitende des Universitätsrechenzentrums sowie der Pressestelle und Crossmedia-Redaktion. In Abhängigkeit des von Ihnen gewählten/genutzten externen Angebotes erfolgt zudem eine Verarbeitung Ihrer personenbezogenen Daten durch die o. g. externen Anbieter.
Eine Weitergabe der personenbezogenen Daten durch uns an andere – hier nicht benannte – Dritte erfolgt nicht, ebenso wenig wie eine Übermittlung an ein anderes EU-Land bzw. an ein Drittland oder an eine internationale Organisation, sofern nicht nachfolgend etwas Abweichendes bezeichnet.
5. Übermittlung an ein Drittland
Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf nur vorgenommen werden, wenn unter anderem die Europäische Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf in diesem Falle keiner besonderen Genehmigung. In Bezug auf die oben genannten Unternehmen wird derzeit ein angemessenes Schutzniveau aufgrund des US-EU Privacy Shields sichergestellt. Danach wird ein solches Schutzniveau bei allen Unternehmen zunächst vermutet, die sich nach den Vorgaben des US-EU Privacy Shields zertifizieren haben lassen:
- Facebook Ireland Limited (USA, Kalifornien, San Jose): https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active#participation;
- Google Ireland Limited (USA, Kalifornien, Mountain View): https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active#participation;
- Instagram Inc. / Facebook Inc. (USA, Kalifornien, San Jose): https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active#participation;
- LinkedIn Corporation (USA, Kalifornien, Sunnyvale): https://www.privacyshield.gov/participant?id=a2zt0000000L0UZAA0&status=Active;
- Twitter International Company (USA, Kalifornien, San Francisco): https://www.privacyshield.gov/participant?id=a2zt0000000TORzAAO&status=Active#participation.
Betreffend die Übermittlung personenbezogener Daten nach Großbritannien (Openstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom sowie Wakelet Limited 76 Quay Street, Manchester, M3 4PR, United Kingdom) hat die Kommission beschlossen, dass das betreffende Drittland ein angemessenes Schutzniveau bietet (Angemessenheitsbeschluss: https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_en.pdf).
Die Voraussetzungen von Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) sind damit für die genannten Übermittlungsvorgänge an ein Drittland gewahrt. Die Übermittlung personenbezogener Daten an die o. g. externen Anbieter und damit an Drittländer ist deshalb zulässig, da der Verantwortliche und der Auftragsverarbeiter die in Art. 44 ff. DSGVO niedergelegten Bedingungen und auch die sonstigen Bestimmungen der DSGVO einhalten. Damit ist sichergestellt, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Rein vorsorglich weisen wir Sie aber darauf hin, dass eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation aufgrund des US-EU Privacy Shields derzeit z. T. kritisch gesehen wird. Gemäß Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist eine Datenübermittlung dennoch – auch ohne Zertifizierung nach den Vorgaben des US-EU Privacy Shields – zulässig, wenn Sie vorher ausdrücklich in die vorgeschlagene Datenübermittlung eingewilligt haben, nachdem Sie über die für Sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet worden sind. Diese Risiken bestehen insbesondere darin, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation kein angemessenes Datenschutzniveau bietet. Für Sie nachteilige Auswirkungen kann dies insbesondere in den nachfolgend genannten Punkten haben:
- die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
- die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
- die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
6. Dauer der Speicherung
Personenbezogene Daten, die von uns in diesem Zusammenhang verarbeitet werden, werden gelöscht, sobald sie für die Erreichung der o. g. Zwecke ihrer Erhebung nicht mehr erforderlich sind. Näheres zur Datenlöschung bei den o. g. externen Anbietern können Sie wiederum den oben verlinkten Datenschutzerklärungen der externen Anbieter entnehmen.
7. Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit
Eine im Zusammenhang mit der Nutzung von externen Webangeboten gegebenenfalls erteilte Einwilligung ist freiwillig, d. h. frei von Zwang und Druck, hat folglich keinerlei Relevanz für Ihre Teilnahme an Angeboten der TUC, und kann jederzeit insgesamt oder getrennt und ohne unangemessene Nachteile mit Wirkung für die Zukunft widerrufen werden. Um Ihren Widerruf betreffend der von der Technischen Universität Chemnitz genutzten Social-Media-Kanälen auszuüben, senden Sie uns bitte eine E-Mail an pressestelle@tu-chemnitz.de oder nutzen Sie die Cookie-Übersicht unter https://www.tu-chemnitz.de/tu/datenschutz_cookies.html. Bitte beachten Sie jedoch, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird.
Werden Ihre personenbezogenen Daten aufgrund von Art. 6 Abs. 1 S. 1 lit. e) (öffentliches Interesse oder in Ausübung öffentlicher Gewalt) oder lit. f) DSGVO (berechtigter Interessen) verarbeitet, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Um Ihren Widerspruch in Bezug auf die genutzten externen Anbieter auszuüben, folgen Sie bitte den nachfolgend verlinkten Opt-Out-Möglichkeiten:
- Deezer (Deezer Limited Company, 12 rue d’Athènes 75009 Paris, Frankreich): https://www.deezer.com/legal/personal-datas;
- Duck Duck Go (Duck Duck Go Inc., 190 Country Lane Phoenixville, PA 19460 United States): https://duckduckgo.com/privacy;
- Ecosia (Ecosia GmbH, Gerichtstraße 23, 13347 Berlin): https://info.ecosia.org/privacy;
- Facebook (Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland): https://www.facebook.com/about/privacy/;
- Google (Maps)/YouTube (Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA): https://policies.google.com/privacy bzw. https://www.youtube.com/t/privacy_guidelines;
- Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA): https://privacycenter.instagram.com/policy/;
- iTunes, Apple Podcast (Apple Inc., One Apple Park Way, Cupertino, California, USA, 95014): https://www.apple.com/legal/privacy/de-ww/;
- LinkedIn (LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Irland): https://www.linkedin.com/legal/privacy-policy;
- OpenStreetMap (Openstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom): https://wiki.osmfoundation.org/wiki/Privacy_Policy;
- Spotify (Spotify AB, Regeringsgatan 19, 11153 Stockholm, Schweden): https://www.spotify.com/de/legal/privacy-policy/plain/ und https://www.spotify.com/de/legal/cookies-policy/plain/ sowie https://www.spotify.com/de/privacy;
- Startpage.com (Startpage B. V., Wilhelmina van Pruisenweg 104, 2595 AN Den Haag, The Netherlands): https://www.startpage.com/en/search/privacy-policy.html;
- Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA): https://twitter.com/de/privacy;
- Wakelet (Wakelet Limited, 76 Quay Street, Manchester, M3 4PR, United Kingdom): https://wakelet.com/privacy.html;
- Xing (XING AG, Dammtorstraße 29–32, 20354 Hamburg, Deutschland): https://privacy.xing.com/de/datenschutzerklaerung.
Möchten Sie den reCAPTCHA-Test im Web-Trust-Center (WTC) nicht nutzen, so können Sie die Sicherheitseinstellungen für das WTC über das IdM-Portal konfigurieren, womit es Ihnen erlaubt ist, die Art des Logins für nahezu alle webbasierten Anwendungen zu ändern, die das URZ der Technischen Universität Chemnitz anbietet. Standardmäßig voreingestellt ist der reCAPTCHA-Test aus Gründen der Sicherheit unserer informationstechnischen Systeme für externe WTC-Logins, d. h. für solche die nicht aus dem Campusnetz oder über VPN durchgeführt werden. Wünschen Sie daher beispielsweise aus datenschutzrechtlichen Gesichtspunkten keine Verwendung des reCAPTCHA-Tests im Falle eines externen WTC-Logins, so müssten Sie zuvor eine VPN-Verbindung herstellen. Nähere Informationen hierzu finden Sie auf dem Webauftritt des URZs: https://www.tu-chemnitz.de/urz/network/access/vpn.html. Im Übrigen, d. h. für Fälle eines internen WTC-Logins aus dem Campusnetz (Intranet) oder über VPN ist der reCAPTCHA-Test standardmäßig deaktiviert.
Bitte beachten Sie in diesem Zusammenhang auch die o. g. Hinweise zur Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit in Bezug auf den Einsatz von Cookies auf unserer Website bzw. auf den Angeboten der genutzten externen Dienste.
8. Einbinden und Darstellen externer Inhalte auf unserer Website
Auf unseren Webseiten werden zum Teil externe Inhalte (z. B. Videos über YouTube, Graphiken, Karten etc.) von o. g. Drittanbietern eingebunden und dargestellt, u. a. von Facebook, Google, Twitter, YouTube, Xing etc. Auch in diesem Zusammenhang ist uns der Schutz Ihrer Daten wichtig. Deshalb erfolgt die Einbindung derartiger Dienste regelmäßig über die nach dem aktuellen Stand der Technik datenschutzkonforme Lösung aus dem c´t-Projekt Shariff (https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html) bzw. ähnlichen technischen Verfahrensweisen.
Damit stellen wir sicher, dass beim Aufrufen unserer Website keinerlei (personenbezogene) Daten an die externen Anbieter übertragen werden. Andernfalls würde die Einbindung derartiger externer Inhalte direkt beim Besuchen der Website zum Verbindungsaufbau mit dem externen Server führen und damit auch zur Übermittlung Ihrer (personenbezogenen) Daten, u. a. Ihrer IP-Adresse, Ihres verwendeten Browsertyps und Ihres Betriebssystems, der Webseiten, von denen Ihr System auf die externen eingebetteten Angebotsseiten gelangt, Ihrer Besuchszeit etc., an denselben, so dass Ihre Aktivitäten im Internet vom externen Anbieter protokolliert und für statistische oder Marketingzwecke nachverfolgt werden können. Diese automatische und ohne Ihr Zutun im Hintergrund hergestellte Verbindung zu den externen Servern wird durch die o. g. Lösungen zunächst unterbunden. Sie können damit selbst im Rahmen einer Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO entscheiden, ob Sie Daten an die externen Server, die sich gegebenenfalls im außereuropäischen Ausland (z. B. USA, siehe oben) befinden, übertragen. Eine einmal erteilte Einwilligung wird sodann – wenn dies von Ihnen gewünscht und ausdrücklich angewählt wird – in einem technisch erforderlichen Cookie für eine Laufzeit von sieben, bei der Suchmaschinenauswahl von 90 Tagen gespeichert.
Erst indem Sie aktiv, eigenverantwortlich und freiwillig, d. h. frei von Zwang und Druck, auf den („Shariff“) Button zur Herstellung der Verbindung zum externen Server klicken, übermitteln Sie (personenbezogene) Daten, u. a. Ihre IP-Adresse, an den externen Server. Aus diesem Grunde haben wir keinerlei Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge bei dem externen Serviceanbieter, so dass wir auch keinerlei Auskunft über den Zweck und Umfang der Datenverarbeitung oder der Speicherdauer/Löschung geben können. Auch an dieser Stelle möchten wir Sie daher zunächst auf die o. g. Datenschutzerklärungen, Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeiten etc. der von uns genutzten o. g. externen Anbieter verweisen.
Für die Einbindung von Facebook (Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) verwenden wir sog. Facebook Social Plug-Ins. Näheres zur Darstellung derartiger Plug-Ins können Sie unter folgendem Link abrufen: https://developers.facebook.com/docs/plugins/. Ein direkter Verbindungsaufbau mit dem Server von Facebook findet – wie oben beschrieben – allerdings nicht statt, sondern verlangt Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Erst im Anschluss werden aufgrund der Einbindung des Plug-Ins sowie einer gegebenenfalls durch Sie vorgenommenen Interaktion mit dem Plug-In (z. B. Klicken, um einen Beitrag zu liken) Informationen/personenbezogene Daten von Ihnen an Facebook übertragen, dort weiterverarbeitet/gespeichert und – sofern Sie ein registrierter und eingeloggter Facebook-Nutzer sind – auch mit Ihrem Facebook-Account verbunden. Erteilen Sie Ihre Einwilligung im oben genannten Sinne, obgleich Sie kein registrierter Facebook-Nutzer sind, werden dennoch personenbezogene Daten an Facebook übertragen und u. a. dort Ihre IP-Adresse verarbeitet/gespeichert. Nähere Informationen hierzu entnehmen Sie bitte den oben verlinkten Datenschutzbestimmungen von Facebook.
Um als registrierter Facebook-Nutzer die oben beschriebene Datenübermittlung und Verknüpfung mit Ihrem Facebook-Account zu vermeiden, loggen Sie sich bitte aus und löschen Sie Ihre Cookies. Weitere Informationen hierzu entnehmen Sie bitte den obigen Ausführungen zur Verwendung von Cookies sowie zu den vorhandenen Widerrufs-/Widerspruchs und allgemeinen Beseitigungsmöglichkeiten.
Das oben zur Einbindung von Facebook Gesagte betrifft im Übrigen in entsprechender Form auch – nicht abschließend – die Einbindungen von Inhalten von Google (Maps)/YouTube, Twitter, Instagram, Xing, LinkedIn, Wakelet.
9. Gemeinsame Verantwortlichkeit, Art. 26 DSGVO
Es soll an dieser Stelle ungeachtet der voranstehenden Ausführungen darauf hingewiesen werden, dass der EuGH – das höchste europäische Gericht – am 5. Juni 2018 die gemeinsame Verantwortung von Facebook und Facebook-Fanpage-Betreibern für die Einhaltung des Datenschutzes gegenüber den Nutzenden der Fanpage bejaht hat (Az.: C-210/16). Die unabhängigen Datenschutzbehörden des Bundes und der Länder haben am 6. Juni 2018 (https://www.saechsdsb.de/100-datenschutzkonferenzen/umlaufentschliessungen/575-die-zeit-der-verantwortungslosigkeit-ist-vorbei-eugh-bestaetigt-gemeinsame-verantwortung-von-facebook-und-fanpage-betreibern) deshalb darauf hingewiesen, „dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht“, ohne diesen Handlungsbedarf allerdings weiter, beispielsweise im Hinblick auf das sofortige Abschalten bestehender Facebook-Fanpages oder das Ergänzen/Vorschalten einer eigenen/gesonderten Datenschutzerklärung, zu konkretisieren. Dies ist am 5. September 2018 im Beschluss der DSK zu Facebook-Fanpages (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf) geschehen, der im Ergebnis acht Prüfkriterien einführt, die beim Betreiben einer Facebook-Fanpage beachtet werden müssen und auf die nachfolgend aus Transparenzgründen kurz eingegangen werden soll, auch wenn in einer neueren Positionierung der DSK vom 1. April 2019 (https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf) ein datenschutzkonformes Betreiben einer Facebook-Fanpage erneut kritisch gesehen wurde und das Bundesverwaltungsgericht mit Urteil vom 11. September 2019 (BVerwG 6 C 15.18) bestätigt hat, dass eine aufsichtsbehördliche „Deaktivierungsanordnung ein verhältnismäßiges Mittel“ darstellt, wenn „sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig“ erweisen (https://www.bverwg.de/pm/2019/62):
- Durch die Seiten-Insights-Ergänzung von Facebook wurde festgelegt, in welcher Art und Weise welche Verpflichtungen aus der DSGVO erfüllt werden, Art. 26 Abs. 1 DSGVO.
- Die Seiten-Insights-Ergänzung stellt grundsätzlich eine wirksame Grundlage in Bezug auf die Informationspflichten nach Art. 13 und 14 DSGVO dar, auch wenn Art. 14 DSGVO dort nicht explizit erwähnt wird, insoweit aber nur von „u. a.“ – d. h. von einer beispielhaften – Aufzählung gesprochen wird. Problematischer ist dagegen, dass diese Verpflichtungen etc. nur für die Verarbeitung von Insights-Daten übernommen werden, im Übrigen also weiterhin eine gewisse Rechtsunsicherheit vorhanden sein dürfte, wie sich die Verantwortlichkeiten im Übrigen verteilen lassen.
- Die Vereinbarung wird betroffenen Personen online zur Verfügung gestellt: https://www.facebook.com/legal/terms/page_controller_addendum.
- Von Seiten des neben Facebook agierenden Verantwortlichen (z. B. Technische Universität Chemnitz) kann allerdings derzeit aufgrund der Seiten-Insights-Ergänzung nicht sichergestellt werden, dass die Betroffenenrechte durch Facebook erfüllt werden. Konkrete Angaben hierzu sind in der Seiten-Insights-Ergänzung nicht vorhanden.
- Wir haben für unsere Facebook-Fanpage im Rahmen einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) u. a. geklärt, ob eine hinreichende Rechtsgrundlage für die Verarbeitung von Insights-Daten vorhanden ist und eine eigene Datenschutzerklärung für das Betreiben der Facebook-Fanpage zur Verfügung gestellt.
- Facebook selbst klärt in seiner Datenschutzerklärung grundsätzlich umfassend auf, welche personenbezogenen Daten, insbesondere über Cookies, IP-Adressen etc., gespeichert werden. Ob dies vollständig ist und ob die Angaben richtig sind, kann allerdings nicht nachgeprüft werden. Dass auch Nicht-Facebook-Nutzer „unbemerkt“ registriert werden, ist datenschutzrechtlich allerdings bedenklich, weshalb nochmals ausdrücklich auf o. g. Information hingewiesen werden soll.
- Die konkreten Verwendungszwecke der einzelnen Facebook-Cookies kann nur z. T. geklärt und nachgewiesen werden, da Facebook selbst hierüber nur begrenzt Auskunft gibt.
- Auch wenn in der Seiten-Insights-Ergänzung eine Vereinbarung i. S. d. Art. 26 DSGVO gesehen werden kann, bleiben die Vereinbarungen zur Erfüllung der Verpflichtungen leider derzeit sehr unbestimmt, da diese nur vollumfänglich auf Facebook übertragen werden.
- Die LinkedIn Corporation bzw. LinkedIn Ireland Unlimited Company stellt vor dem Hintergrund der EuGH-Rechtsprechung ein „Page Insights Joint Controller Addendum“ (https://legal.linkedin.com/pages-joint-controller-addendum) zur Verfügung.
Wir weisen Sie deshalb darauf hin, dass wir die untenstehenden Rechte der betroffenen Personen möglicherweise ohne Unterstützung der o. g. externen Anbieter nicht bzw. nicht vollständig erfüllen können. Wie bereits ausgeführt, erfolgt die Datenverarbeitung größtenteils ausschließlich in der Verantwortung der externen Anbieter, so dass auch nur diese Zugriff auf die entsprechenden Informationen und personenbezogenen Daten haben. Wir empfehlen Ihnen daher, sofern derartige personenbezogene Daten betroffen sind, Ihre Rechte aus den datenschutzrechtlichen Bestimmungen direkt bei den o. g. externen Anbietern geltend zu machen. Ungeachtet dessen und der Einzelheiten der Vereinbarung gemäß Art. 26 Abs. 1 DSGVO sind wir uns darüber bewusst, dass Sie als betroffene Person auch das Recht haben, Ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend zu machen, so dass Sie sich selbstverständlich auch jederzeit an uns wenden können.
X. Authentifizierung und Autorisierung (Web-Trust-Center) – Single Sign On (SSO)
1. Beschreibung, Umfang und Zweck der Datenverarbeitung
Als zentrale Authentifizierungsplattform setzt die TU Chemnitz einen eigenen Identity Provider (IdP) ein. Dieser autorisiert und authentifiziert verschlüsselt über das SAML-Protokoll (Security Assertion Markup Language) gegenüber bekannten lokalen Diensten (Diensteanbieter / Service Provider) – Webserver und Web-Applikationen (Identitäts- und Zugangskontrolle). Die Menge der beteiligten Systeme wird als Web-Trust-Center bezeichnet. Sie müssen sich darin nur einmal lokal mit Ihrem URZ-Nutzerkürzel und Ihrem Passwort anmelden und können dann zugriffsbeschränkte Inhalte aufrufen bzw. webbasierte Anwendungen oder sonstige Diensteanbieter nutzen („Single Sign On“).
Die Authentifizierung und anschließende Autorisierung samt Attributübermittlung erfolgt ausschließlich zur Ermöglichung des Zugriffs auf nicht öffentliche Inhalte sowie zur Bereitstellung von webbasierten, personalisierten Diensten.
Der IdP kann – durch die Teilnahme an Föderationen (Föderiertes Identitätsmanagement) – auch zur Authentifizierung und Autorisierung von betroffenen Personen der TU Chemnitz für nationale (DFN-AAI) und internationale (eduGAIN) Webdienste genutzt werden. Die Infrastruktur für die Authentifizierung und Autorisierung im Rahmen der DFN-AAI wird vom Verein zur Förderung eines Deutschen Forschungsnetzes (DFN) als Vertrauens- und Vermittlungsstelle technisch sowie vertragsrechtlich verwaltet und softwareseitig mittels SAML-konformer Software realisiert. Weitere Informationen zum Datenschutz im Rahmen der DFN-AAI finden Sie auf der Webseite des DFN unter https://doku.tid.dfn.de/de:aai:dataprotection. Damit wird ermöglicht, sich als Mitglied bzw. Angehöriger der TU Chemnitz gegenüber anderen teilnehmenden Einrichtungen (bspw. Hochschulen) im Rahmen der DFN-AAI ausschließlich über den lokalen IdP der TU Chemnitz zu authentifizieren und zu autorisieren, ohne eine gesonderte Anmeldung außerhalb des IdP der TU Chemnitz durchführen bzw. das URZ-Nutzerkürzel und das Passwort an die Diensteanbieter übertragen zu müssen. Hierfür ist es gegebenenfalls erforderlich („Discovery Service“), bei Dienstenutzung im Rahmen der DFN-AAI die TU Chemnitz als Heimatorganisation auszuwählen, um auf den IdP der TU Chemnitz weitergeleitet zu werden.
Die Kommunikation zwischen IdP und Service Providern erfolgt ausschließlich nach dem aktuellen Stand der Technik verschlüsselt. Die dafür verwendete Public-Key-Kryptografie basiert auf Zertifikaten ausgewählter Certificate Authoritys.
a) Lokale Dienste an der TU Chemnitz
Für Autorisierungsentscheidungen und die Weiterverarbeitung von Daten überträgt der IdP verschlüsselt folgende Attribute an Server der TU Chemnitz:
Attribut(e) | Technische(r) Name(n) | Beispiel(e) |
---|---|---|
Vorname und Nachname | givenName, sn, cn | Otto, Normalverbraucher, Otto Normalverbraucher |
E-Mail-Adresse | mail, emailAddress | otto.normalverbraucher@hrz.tu-chemnitz.de |
Telefonnummer (wenn dienstlich vergeben) | telephoneNumber | 35555 |
URZ-Nutzerkürzel | eduPersonPrincipalName, eduPersonUnscopedPrincipalName | otto@tu-chemnitz.de, otto |
Berechtigungen(en) | eduPersonEntitlement | urn:mace:dir:entitlement:common-lib-terms |
Organisation, Strukturzugehörigkeit(en) und -nummer(n) | o, ou, ouNumber | TU Chemnitz, Philosophische Fakultät, 270000 |
Art(en) der Organisationszugehörigkeit | eduPersonAffiliation, eduPersonScopedAffiliation | member/student, member/student@tu-chemnitz.de |
IdM-Gruppen-Zugehörigkeit | afsgroup, idmgroup | urz:sw_tu-studenten, grp:test_phil |
b) Nationale und internationale Anbieter (Service Provider)
Für Autorisierungsentscheidungen und die Weiterverarbeitung von Daten erfragen auch externe Service Provider Attribute. Eine Übersicht der Attribute für alle Anwendungen können Sie der Webseite des DFN unter https://doku.tid.dfn.de/de:attributes entnehmen. Der IdP überträgt verschlüsselt eine Auswahl folgender Attribute des authentifizierten Nutzers an die anfragenden externen Service Provider:
Attribut(e) | technische(r) Name(n) | Beispiel(e) |
---|---|---|
Vorname und Nachname | givenName, sn, cn/displayName | Otto, Normalverbraucher, Otto Normalverbraucher |
E-Mail-Adresse | otto.normalverbraucher@hrz.tu-chemnitz.de | |
URZ-Nutzerkürzel und persistentes Pseudonym | eduPersonPrincipalName, Subject-ID/eduPersonUniqueID/eduPersonPersistentID | otto@tu-chemnitz.de, 499[…]1c5@tu-chemnitz.de |
Dienstspezifisches Pseudonym | Pairwise-ID/eduPersonTargetedID | e10[…]5bc@tu-chemnitz.de |
Berechtigungen(en) | eduPersonEntitlement | urn:mace:dir:entitlement:common-lib-terms |
Organisation | o, schacHomeOrganization | TU Chemnitz, tu-chemnitz.de |
Art(en) der Organisationszugehörigkeit | eduPersonAffiliation, eduPersonScopedAffiliation | member/student, member/student@tu-chemnitz.de |
Für die Benutzung föderierter Dienste im Rahmen der DFN-AAI – eine vollständige Liste aller Service Provider im Rahmen der DFN-AAI finden Sie auf der Webseite des DFN unter https://tools.aai.dfn.de/entities/ – findet die Datenübertragung nur mit obligatorischer Nutzerbestätigung/Einwilligung für jeden einzelnen Diensteanbieter statt. Die Nutzung des Dienstes sowie die Einwilligung zur Datenübermittlung sind freiwillig. Die TU Chemnitz trägt die Verantwortung dafür, dass nur die personenbezogenen Daten (Attribute) übermittelt werden können (sog. Attribut-Filterregeln im IdP), die für die Leistungserbringung des Diensteanbieters erforderlich sind. Im Föderationsverzeichnis unter https://www.aai.dfn.de/verzeichnis/ ist aufgelistet, welche Attribute ein Dienst erwartet, wobei regelmäßig bereits die anonyme Identifikation mittels einer einmaligen für den Service Provider nicht auf eine konkrete natürliche Person beziehbaren ID (transientID) hinreichend ist. Anderenfalls wird bevorzugt ein dienstspezifisches Pseudonym verwendet, damit der Dienstanbieter einen Nutzer ohne unmittelbaren Personenbezug wiedererkennen kann.
Die Website der TU Chemnitz kann zur Bereitstellung zugangsbeschränkter Inhalte auch mit der Autorisierung von IdP anderer Einrichtungen innerhalb der DFN-AAI-Föderation aufgerufen werden. Dafür werden folgende Attribute erwartet: Art(en) der Organisationszugehörigkeit (eduPersonScopedAffiliation) und Nutzer-ID (eduPersonPrincipalName).
c) Sonderfall: Lernplattform OPAL (BPS Bildungsportal Sachsen GmbH)
Zur Erfüllung der Aufgaben im Rahmen der Lehre ist die Übermittlung spezieller persönlicher Attribute an die Lernplattform notwendig. Der IdP überträgt verschlüsselt die für den authentifizierten Benutzer verfügbare (Teil-)Menge folgender Attribute:
Attribut(e) | technische(r) Name(n) | Beispiel(e) |
---|---|---|
Vorname und Nachname | givenName, sn | Otto, Normalverbraucher |
Geburtsdatum | schacDateOfBirth | 19121212 |
E-Mail-Adresse | otto.normalverbraucher@hrz.tu-chemnitz.de | |
URZ-Nutzerkürzel und dienstspezifisches Pseudonym | eduPersonPrincipalName, eduPersonTargetedID | otto@tu-chemnitz.de, […]@tu-chemnitz.de |
Berechtigungen(en) | eduPersonEntitlement | urn:mace:dir:entitlement:common-lib-terms |
Organisation, Strukturzugehörigkeit(en) und -nummer(n) | o, ou, eduPersonOrgUnitDN | TU Chemnitz, Philosophische Fakultät, 270000 |
Art(en) der Organisationszugehörigkeit | eduPersonAffiliation, eduPersonScopedAffiliation | member/student, member/student@tu-chemnitz.de |
Studiengang und Fachsemester | dfnEduPersonFieldOfStudyString, fachsemester | Bachelor Romanistik, 8 |
Matrikelnummer und akademischer Titel | schacPersonalUniqueCode, title | 111111111, Dr. |
2. Rechtsgrundlage für die Datenverarbeitung
Die Verarbeitung personenbezogener Daten zur Authentifizierung und Autorisierung erfolgt gemäß § 15 Abs. 1 S. 1 Nr. 1 SächsHSG zum Zwecke des Zugangs zum Studium und der Durchführung des Studiums bzw. gemäß § 11 Abs. 1 SächsDSDG zum Zwecke der Durchführung des Dienst- oder Arbeitsverhältnisses. Näheres bestimmen die Benutzungsordnung des Universitätsrechenzentrums (URZ) der Technischen Universität Chemnitz vom 29. Mai 2002 sowie die Rahmenordnung für die Nutzung der Informations- und Kommunikationsdienste und die Informationssicherheit an der Technischen Universität Chemnitz (IuK-Rahmenordnung) vom 10. Februar 2017.
Für die freiwillige Benutzung der lokalen und föderierten Dienste und für die damit im Zusammenhang stehende Datenübermittlung (Übermittlung verschiedener Attribute) außerhalb der zuvor genannten Erforderlichkeit ist dagegen eine freiwillig erteilte Einwilligungserklärung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) erforderlich. Das bedeutet, dass Sie nach erfolgreicher Authentifizierung gegenüber dem IdP der TU Chemnitz zunächst lediglich angezeigt bekommen, welche konkreten personenbezogenen Daten (Attribute) an den Diensteanbieter (Service Provider) übermittelt werden sollen. Erst nachdem Sie der Übermittlung zugestimmt haben (Einwilligung) erfolgt die eigentliche Übermittlung an den Diensteanbieter und damit die eigentliche Autorisierung gegenüber diesem. Als Alternative steht es Ihnen frei, auf die freiwillige Benutzung der lokalen und föderierten Dienste zu verzichten.
3. Empfänger der personenbezogenen Daten
Die Verarbeitung der personenbezogenen Daten erfolgt lokal durch die juristische Person Technische Universität Chemnitz. Eine Weitergabe/Übermittlung der Daten an Dritte erfolgt nicht.
Mit individuell genehmigter, ausdrücklicher und freiwilliger Attributweitergabe an föderierte Dienste (national und international) erfolgt die Verarbeitung jeweils durch die entsprechenden externen Anbieter in der Regel und sofern nicht anderweitig kommuniziert in eigener datenschutzrechtlicher Verantwortlichkeit.
4. Gesetzliche/vertragliche Vorschriften zur Bereitstellung von personenbezogenen Daten und Folgen der Nichtbereitstellung
a) Lokale Dienste an der TU Chemnitz
Ohne die Authentifizierung gegenüber dem IdP können Sie auf zugriffsbeschränkte Inhalte und Dienste nicht zugreifen. Für bestimmte Angebote kann dies aber studien- oder dienstrelevant sein, so dass die Nichtbereitstellung der personenbezogenen Daten zur Konsequenz hätte, dass das Studium bzw. das Dienst-/Arbeitsverhältnis nicht durchgeführt werden könnte. Mitglieder und Angehörige der Hochschule sind in diesem Falle verpflichtet, ihre personenbezogenen Daten anzugeben, soweit dies zur Erfüllung der Aufgaben nach § 15 Abs. 1 SächsHSG bzw. § 11 SächsDSDG erforderlich ist. Darüber hinausgehend ist die Bereitstellung und Benutzung der lokalen Dienste freiwillig, so dass die Nichtbereitstellung Ihrer personenbezogenen Daten im Rahmen der Authentifizierung und Autorisierung keinerlei Konsequenzen für Sie hat.
b) Nationale und internationale Anbieter (Service Provider)
Die Nutzung der Dienste der nationalen oder internationalen Föderationen ist grundsätzlich freiwillig. Die Datenübermittlung erfolgt nur durch persönliche Einwilligung.
c) Sonderfall: Lernplattform OPAL (BPS Bildungsportal Sachsen GmbH)
Der datenschutzkonforme Einsatz der Lernplattform OPAL unterfällt aufgrund der Freiheit der Lehre (§ 4 S. 3 SächsHSG) der verantwortlichen Lehrkraft im konkreten Einzelfall. Die Autorisierung für OPAL erfolgt innerhalb der DFN-AAI-Föderation. Da es zwischen der TU Chemnitz und der BPS Bildungsportal Sachsen GmbH einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO gibt, ist die Lernplattform OPAL den lokalen Diensten gleichgestellt. Es kommt dabei im datenschutzrechtlichen Sinne zu keiner Übermittlung personenbezogener Daten an Dritte. Unabhängig davon ist die BPS Bildungsportal Sachsen GmbH aber Empfänger personenbezogener Daten im Sinne von Art. 4 Nr. 9 DSGVO.
5. Dauer der Speicherung
Die notwendigen personenbezogenen Daten werden zur Anwendungszeit gelesen und übertragen. Der IdP initiiert eine zwölf Stunden gültige Sitzung; in dieser Zeit können Dienste ohne erneute Authentifizierung autorisiert werden. Ihre Attribute sind in dieser Zeit nur im lokalen Arbeitsspeicher vorhanden. Davor und danach halten weder der IdP noch die Service Provider Daten vor. Ausnahme sind Einträge in Logfiles, die im Abschnitt V beschrieben werden.
Für einzelne lokale und föderierte Dienste kann eine längere Speicherung (bspw. für persönliche Einstellungen) notwendig sein. Details finden Sie in den speziellen Datenschutzerklärungen der Diensteanbieter.
6. Widerspruchs-/Widerrufs- und Beseitigungsmöglichkeit
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. e) DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet in diesem Falle die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit insgesamt oder getrennt, ohne Angabe von Gründen und ohne unangemessene Nachteile mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf der Einwilligung ist so einfach wie die Erteilung der Einwilligung möglich. Im Falle des Widerrufs werden sie betreffende personenbezogene Daten unverzüglich gelöscht, sofern es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt (Art. 17 Abs. 1 lit. b) DSGVO).
a) Lokale Dienste an der TU Chemnitz
Ihren Widerspruch bzw. Widerruf richten Sie bitte an die für das jeweilige Verfahren zuständigen Ansprechpartner der TU Chemnitz, welche im konkreten Einzelfall die Authentifizierung und Autorisierung über das Web-Trust-Center einsetzen. Im Zweifel oder bei Rückfragen wenden Sie sich gerne im Voraus an den Datenschutzbeauftragten der TU Chemnitz.
b) Nationale und internationale Anbieter (Service Provider)
Haben Sie der Übermittlung personenbezogener Daten nach der Authentifizierung und Autorisierung über das Web-Trust-Center der TU Chemnitz an einen externen Service Provider zugestimmt und wollen Ihre Einwilligung widerrufen, wenden Sie sich bitte bevorzugt unmittelbar an den entsprechenden externen Diensteanbieter.
Die TU Chemnitz ist gemäß Art.&nbso;19 DSGVO im Falle der Offenlegung von personenbezogenen Daten zwar verpflichtet, allen Empfängern jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung (vgl. Art. 16 bis 18 DSGVO) mitzuteilen. Sie ist jedoch zugleich nicht verpflichtet, zur bloßen Einhaltung dieser Bestimmung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren (Art. 11 Abs. 1 DSGVO). Vor diesem Hintergrund erweist sich die Erfüllung der Mitteilungspflicht aus Art. 19 DSGVO in diesem Zusammenhang für die TU Chemnitz als unmöglich, sofern und soweit Sie zur Ausübung Ihrer Rechte keine zusätzlichen Informationen bereitstellen, da das URZ der TU Chemnitz als Betreiber des Web-Trust-Centers im Sinne der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) gerade nicht speichert, an welche externen Diensteanbieter im Einzelfall personenbeziehbare Daten nach der Authentifizierung übermittelt worden sind.
XI. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie betroffene Person im Sinne der DSGVO, so dass Ihnen die nachfolgenden Rechte gegenüber der Technischen Universität Chemnitz (Verantwortlichen) zustehen. Zur Geltendmachung Ihrer Rechte gegenüber der Technischen Universität Chemnitz oder bei weiteren Rückfragen zum Datenschutz können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden.
Alle Mitteilungen und Maßnahmen gemäß den Art. 15 bis 22 (u. a. Auskunfts-, Berichtigungs-, Löschungs-, Verarbeitungseinschränkungs-, Mitteilungs-, Datenübertragbarkeits-, Widerspruchsrecht) und Art. 34 DSGVO (Benachrichtigungsrecht bei Datenschutzverletzungen) werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche jedoch entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Für diese Fälle hat allerdings die Technische Universität Chemnitz den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
Ergänzend wird darauf hingewiesen, dass Beschränkungen der Rechte der betroffenen Person gemäß §§ 7–10 SächsDSDG existieren. Davon betroffen sind u. a. das Löschungs- und Auskunftsrecht sowie die Informationspflichten gegenüber den betroffenen Personen.
1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von ihm verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei Ihnen, das heißt der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Die Technische Universität Chemnitz als Verantwortliche verarbeitet jedoch naturgemäß eine große Menge von Informationen über betroffene Personen, so dass von Ihnen verlangt wird, dass Sie als betroffene Person im Rahmen der Geltendmachung Ihres Auskunftsrechts präzisieren, auf welche Informationen oder welche Verarbeitungsvorgänge sich Ihr Auskunftsersuchen bezieht, bevor Ihnen Auskunft erteilt wird, vgl. S. 7 des 63. Erwägungsgrundes der DSGVO.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie als betroffene Person zudem das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Recht auf Berichtigung
Sie haben das Recht, von dem Verantwortlichen unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie als betroffene Person zudem das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
3. Recht auf Löschung
a) Löschungspflicht, Art. 17 DSGVO („Recht auf Vergessenwerden“)
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist außerdem verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
b) Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen – den weiteren Verantwortlichen – die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
c) Ausnahmen vom Recht auf Löschung
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und lit. i) sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das oben genannte „Recht auf Vergessenwerden“ voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
4. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
- wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten in dem oben beschriebenen Sinne eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Verarbeitung nach den oben genannten Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
5. Recht auf Unterrichtung
Der Verantwortliche ist Ihnen gegenüber verpflichtet allen Empfängern, denen Ihre personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Art. 16, 17 Abs. 1 und Art. 18 DSGVO mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
6. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (u. a. pdf, csv) zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie insbesondere das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit lässt Art. 17 DSGVO („Recht auf Vergessenwerden“) unberührt. Es gilt im Übrigen nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. e) (öffentliches Interesse oder in Ausübung öffentlicher Gewalt) oder lit. f) DSGVO (berechtigter Interessen) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Der Widerruf der Einwilligung ist so einfach wie die Erteilung der Einwilligung möglich, insbesondere was Formanforderungen betrifft, so dass grundsätzlich eine formlose Mitteilung per E-Mail genügt. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist,
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
- mit Ihrer ausdrücklichen Einwilligung erfolgt.
Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a) oder lit. g) DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden.
Hinsichtlich der zuvor in Pkt. 1 und Pkt. 3 genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um Ihre Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
10. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt.
Zuständige Aufsichtsbehörde im Freistaat Sachsen ist gem. Art. 51 DSGVO i. V. m. §§ 14 ff. SächsDSDG:
Sächsische Datenschutz- und Transparenzbeauftragte
Dr. Juliane Hundert
Devrientstraße 5
01067 Dresden
E-Mail: post@sdtb.sachsen.de
Telefon: +49 351 85471-101
Telefax: +49 351 85471-109
Web: https://www.datenschutz.sachsen.de
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
XII. Aktualität/Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand März 2024.
Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern/zu aktualisieren. Eine gesonderte Zustimmung/Einwilligung Ihrerseits ist hierfür gesetzlich grundsätzlich nicht vorgesehen.
Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Webseite unter https://www.tu-chemnitz.de/tu/datenschutz.html von Ihnen abgerufen, ausgedruckt und gespeichert werden.