Informationspflicht nach Art. 13 DS-GVO zur Softwarelösung Endpoint-Security
Für welche Zwecke sollen personenbezogene Daten verarbeitet werden?
Die Datenverarbeitung wird zum Zwecke der Gefahrenabwehr für die informationstechnischen Systeme der Hochschule für Technik und Wirtschaft i.S.d. § 1 Sächsisches Informationssicherheitsgesetz (SächsISichG) durchgeführt. Weiterhin werden von Beschäftigten, die als Administrator:in im System tätig sind (IT-Personal) zum Zwecke der sicheren Systemadministration Audit-Daten sowie zum Zwecke des Versands von Informationen personenbezogene Daten verarbeitet.
Wer ist für die Datenverarbeitung verantwortlich und an wen können sich Betroffene wenden?
Auf welcher Rechtsgrundlage erfolgt die Verarbeitung personenbezogener Daten?
Rechtsgrundlage zum Zwecke der Gefahrenabwehr ist Art. 6 Abs. 1 UAbs. 1 lit. e, Abs. 3 DSGVO i.V.m. §§ 12,13 SächsISichG.
Rechtsgrundlage zum Zwecke der sicheren Systemadministration ist Art. 6 UAbs. 1 lit. e, Abs. 3 DSGVO i.V.m. § 3 Abs. 1 SächsDSDG.
Rechtsgrundlage zum Versand von systemrelevanten Informationen ist § 11 Abs. 1 SächsDSDG.
Welche personenbezogenen Daten werden verarbeitet?
Es werden Protokolldaten i.S.d. § 3 Abs. 9 SächsISichG verarbeitet. Diese enthalten folgende Daten, die personenbezogen sein können: Benutzernamen, IP-Adressen, MAC-Adressen, Prozessnamen, Applikationsnamen, Browser Addons, File Hashes, Dateipfade, Hostnamen, Ports, URLs, System-Events und -Logs sowie Maschinen-Ids.
Als Audit-Daten werden der Benutzername des Administrators / der Administratorin und die zugehörigen Log-Daten, z.B. Anpassungen von Systemeinstellungen, sowie die Zeitangabe verarbeitet.
Zum Zwecke des Versands von systemrelevanten Informationen an das zuständige IT-Personal wird deren E-Mail-Adresse verarbeitet.
Wie werden die personenbezogenen Daten verarbeitet und wie lange werden sie gespeichert?
Die personenbezogenen Protokolldaten dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für 90 Tage, gespeichert werden, sofern die Voraussetzungen gemäß § 13 Abs. 2 S.1 Nr. 1 bzw. 2 SächsISichG vorliegen. Die Speicherung im Zeitraum von bis zu 90 Tagen erfolgt ausschließlich auf dem Endgerät bzw. dem Server. Ausgewählte Protokolldaten aus diesem lokalen Datenspeicher, die zur Gefahrenabwehr erforderlich sind, werden im Sophos Data Lake in Sophos Central für maximal 90 Tage gespeichert.
Audit-Daten werden in Sophos Central für 90 Tage gespeichert.
Die E-Mail-Adressen des IT-Personals werden solange verarbeitet, wie der Systemzugang für diesen Personenkreis aufgrund deren Tätigkeit erforderlich ist.
Werden Auftragsverarbeiter werden eingesetzt bzw. werden personenbezogene Daten in Drittstaaten übermittelt?
Die HTW-Dresden setzt zum Zwecke der Datenverarbeitung den Auftragsverarbeiter Sophos ein. Die Speicherung der Daten erfolgt dabei ausschließlich in der EU. Lediglich im Rahmen von technischen Support kann es zur Übermittlung von personenbezogenen Daten in das Vereinigte Königreich bzw. an Sophos Affiliates (Büros von Sophos weltweit) kommen. Dies erfolgt jedoch nur nach expliziter Freigabe durch die HTW-Dresden im Einzelfall.
Hinweise zum Recht auf Widerspruch gemäß Art. 21 Abs. 1 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Welche Rechte haben Betroffene grundsätzlich?
Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, jederzeit Auskunft über die zu Ihrer Person verarbeiteten Daten sowie die möglichen Empfänger:innen dieser Daten zu verlangen. Ihnen steht eine Antwort innerhalb einer Frist von einem Monat nach Eingang des Auskunftsersuchens zu.
Recht auf Berichtigung, Löschung und Einschränkung (Art. 16-18 DSGVO)
Sie können jederzeit gegenüber der TU Dresden die Berichtigung oder Löschung Ihrer personenbezogenen Daten oder die Einschränkung der Verarbeitung verlangen.
Beschwerderecht (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO oder sonstiges
Datenschutzrecht verstößt, können Sie sich an eine Datenschutz-Aufsichtsbehörde wenden.
Die für uns zuständige Aufsichtsbehörde ist die
Sächsische Datenschutz- und Transparenzbeauftragte
Frau Dr. Juliane Hundert
Devrientstraße 5
01067 Dresden
Tel.: +49 (0) 351 85471 101
E-Mail: post@sdtb.sachsen.de
Sie können Ihre Beschwerde aber auch an jede andere Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes eines mutmaßlichen Verstoßes einlegen.
Hinweis: Zur Inanspruchnahme der Rechte genügt eine Mitteilung in Textform (Brief, E-Mail) an den Verantwortlichen (s.o.). Die Inanspruchnahme der Rechte entfaltet jedoch nur eine Wirkung, wenn durch die verarbeiteten Daten eine Identifizierung Ihrer Person möglich ist.