Datenschutz - HedgeDoc

# Datenschutz ## Präambel "pad.otc.coscine.dev" ist eine webbasierte Plattform zum kollaborativen Erstellen von Notizen. Der Service wird durch die RWTH Aachen bereitgestellt und soll bei der Projektkoordination unterstützen. ## Verantwortlicher für die Datenverarbeitung Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist: Rektor der RWTH Aachen University Templergraben 55 52062 Aachen (Hausanschrift) 52056 Aachen (Postanschrift) Telefon: +49 241 80 1 Telefax: +49 241 80 92312 E-Mail: rektorat@rwth-aachen.de Website: http://www.rwth-aachen.de/rektorat ## Verantwortlicher für den Betrieb Erreichbarkeit des Verantwortlichen für den technischen Betrieb: Direktor des IT Centers IT Center der RWTH Aachen Seffenter Weg 23 52074 Aachen Telefon: +49 241 80 24680 E-Mail: servicedesk@itc.rwth-aachen.de Website: http://www.itc.rwth-aachen.de ## Datenschutzbeauftragte Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten: Datenschutzbeauftragte der RWTH Aachen University Templergraben 83 52062 Aachen (Hausanschrift) 52056 Aachen (Postanschrift) Deutschland Telefon: +49 241 80 94114 E-Mail: <dsb@rwth-aachen.de> Website: http://www.rwth-aachen.de/datenschutz ## Zuständige Aufsichtsbehörde Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2-4 40213 Düsseldorf Telefon: +49 211 38424-0 E-Mail: poststelle@ldi.nrw.de Website: https://www.ldi.nrw.de/ ## Allgemeines zur Datenverarbeitung Die RWTH Aachen verarbeitet personenbezogene Daten der Nutzenden der Seite grundsätzlich nur, soweit dies zur Bereitstellung eines funktionsfähigen Service sowie der Inhalte und Leistungen oder für den Zweck der Anwendung erforderlich ist. Die Verarbeitung personenbezogener Daten der Nutzenden erfolgt zur Erfüllung der Aufgaben der RWTH oder nach Einwilligung der Nutzenden. ## Bereitstellung der Website und Erstellung von Logfiles ### Beschreibung und Umfang der Datenverarbeitung Bei jedem Aufruf der Webseite werden automatisiert Daten und Informationen über das Computersystem des aufrufenden Rechners erfasst. Folgende Daten werden hierbei erhoben: - Informationen über den Browsertyp und die verwendete Version - Betriebssystem der Nutzenden - Internet-Service-Provider der Nutzenden - IP-Adresse der Nutzenden - Name, URL und übertragene Datenmenge der abgerufenen Datei - HTTP-Statuscode (angeforderte Datei übertragen, nicht gefunden etc.) - Datum und Uhrzeit des Zugriffs - Websites, von denen das System der Nutzenden auf die Internetseite gelangt - Websites, die vom System der Nutzenden über die Website aufgerufen werden Die Daten werden in den Logfiles des Systems gespeichert und nach sieben Tagen gelöscht. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten der Nutzenden findet nicht statt. Der Service fördert gemäß § 3 Abs. 6 HG NRW die regionale, europäische und internationale Zusammenarbeit, insbesondere im Hochschulbereich, und den Austausch zwischen deutschen und ausländischen Hochschulen. Durch die Nutzung werden persönliche Daten über die Nutzenden gespeichert. Gemäß der Europäischen Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Datenschutzgesetz NRW (DSG NRW) sind wir verpflichtet darzulegen, welche Arten von personenbezogenen Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wer Zugriff auf die Daten hat und welche Rechte die Nutzenden in Bezug auf die Verarbeitung der Daten haben. ### Rechtsgrundlage für die Datenverarbeitung Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. e), Abs. 3 DSGVO i.V.m. § 3 Abs. 1 DSG NRW. ### Zweck der Datenverarbeitung Die Daten dienen zur Optimierung der Webseite und zur Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt. ### Dauer der Speicherung Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Normalerweise ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzenden gelöscht oder verfremdet, so dass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist. ### Widerspruchs- und Beseitigungsmöglichkeit Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit. #### Login-Daten Zur Kontrolle des Zugriffs auf Coscine ist eine Authentifizierung notwendig. Diese erfolgt bei Anmeldung am System über verschiedene Single-Sign-On Authentifizierungsdienste. In Coscine werden dabei grundsätzlich zwei Zugangswege unterschieden: - Auf Basis der Identity Föderation für Bildungseinrichtungen [EDUGAIN](https://edugain.org/). - Auf Basis von weiteren, ggfs. kommerziellen, Authentifizierungsanbietern. Coscine übernimmt dabei die vom Authentifizierungsdienst übermittelten Informationen. Konten bei unterschiedlichen Authentifizierungsanbietern können von Nutzenden unter einer Coscine-User-ID zusammengeführt werden. Für die Verbindung mit externen Services speichert Coscine die User-ID dieser Services. Diese sind in Anhang A beschrieben. ### Dateneinsicht Die Einsicht in personenbezogene Daten hängt von der jeweiligen Rolle im System ab. Im Kontext eines Projekts sind Nutzendenprofildaten aller Projektmitglieder (Personen mit den Rollen Gast, Mitglied und Owner) für alle anderen Projektmitglieder einsehbar. Um Mitglieder zu Projekten hinzuzufügen, können Projektowner in der Nutzendenverwaltung nach Vor- und Nachnamen sowie E-Mailadresse von bestehenden Nutzenden der Plattform suchen. Die Suche erfordert, dass mindestens drei Buchstaben übereinstimmen bevor Suchergebnisse angezeigt werden und liefert maximal 10 Ergebnisse. Details dazu sind im Rechte- und Rollenkonzept festgehalten, das auf Anfrage an <servicedesk@rwth-aachen.de> eingesehen werden kann. Ausschließlich Nutzende selbst haben zur Unterstützung der guten wissenschaftlichen Praxis die Möglichkeit, die sie betreffenden Provenienzdaten vollständig einzusehen und herunterzuladen. ### Dauer der Speicherung Art. 5 Abs. 1 lit. e) DSGVO schreibt vor, dass für die verarbeiteten personenbezogenen Daten eine an die Erfüllung des jeweiligen Zwecks gebundene Speicherfrist anzugeben ist, nach deren Ablauf die Daten zu löschen sind. #### Login-Daten Die für die Authentifizierung benötigten Daten werden mit dem Ausloggen, dem Ende der Coscine-Session, nach 24 Stunden Inaktivität oder mit dem Beenden der Browsersession gelöscht. #### Nutzendenprofildaten Nutzendenprofildaten bleiben in Coscine erhalten, bis sie gelöscht werden. Voraussetzung für die Löschung ist, dass Nutzende kein Mitglied in einem Projekt sind. Systemseitig werden Profildaten gelöscht, wenn Nutzende kein Mitglied in einem Projekt sind und der letzte Login ein Jahr zurückliegt. #### Nutzungsdaten Nutzungsdaten werden nach 14 Tagen gelöscht. #### Forschungsdaten und zugehörige Metadaten Forschungsdaten im Speichersystem Research Data Storage (RDS) bzw. DataStorage.nrw und in Coscine gespeicherte zugehörige Metadaten sowie Referenzen auf Forschungsdaten können nach dem Ende des Projekts, dem sie zugeordnet sind, für 10 Jahre vorgehalten werden. Nutzende haben selbstständig die Möglichkeit, Daten früher zu löschen. Von gelöschten Projekten und Ressourcen bleibt ein vollständig anonymisierter und minimaler Metadatensatz, ein sog. Tombstone, erhalten. Dieser beinhaltet: - PID - Titel - Datum der Erstellung - Datum der Löschung - Organisationszuordnung #### Provenienzdaten Provenienzdaten von Nutzenden werden anonymisiert, wenn das Nutzendenprofil gelöscht wird und gelöscht, wenn das zugehörige Projekt gelöscht wird. ### Datenweitergabe Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet. Datenweitergabe zum Zweck der Verbindung mit Drittsystemen wird explizit nur direkt durch die Nutzenden veranlasst und autorisiert. Drittanwendungen, die über die API von Coscine angeschlossen werden, können maximal die Daten erhalten, die auch über die Weboberfläche zur Verfügung stehen. Vor der Inbetriebnahme sind diese Anwendungen gesondert datenschutzrechtlich zu betrachten. ### Datenübermittlung in Drittstaaten Eine Datenübermittlung in Drittstaaten seitens Coscine findet nicht statt. Nutzende haben jedoch die Möglichkeit, externe Systeme (z.B. Cloudspeicher) mit Coscine zu verknüpfen, um Funktionen dieser Systeme im Kontext von Coscine zu nutzen. Es kann nicht ausgeschlossen werden, dass solche Anwendungen in Drittstaaten betrieben werden. In diesem Fall müssen die Nutzenden die Datenübermittlung an das externe System explizit freigeben. Abhängig vom externen System werden dazu nur die jeweils erforderlichen Daten übermittelt (z.B. Login- bzw. Autorisierungsdaten). Welche Daten übertragen werden, unterscheidet sich je nach Anwendung. Eine Liste von Anwendungen und den jeweils übertragenen Daten findet sich in Anhang A. ### Technische und organisatorische Maßnahmen zur Wahrung von Integrität und Vertraulichkeit Gemäß Art. 32 DSGVO werden verschiedene Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten in Coscine zu gewährleisten. Der Zugriff auf personenbezogene Daten innerhalb der Anwendung erfolgt über Benutzendenkontrolle (User-ID und Passwort, sowie ggfs, einen zweiten Faktor). Der Zugriff auf den Server ist sowohl durch Benutzendenkontrolle als auch durch Firewall-Regelungen auf bestimmte Arbeitsplätze beschränkt. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern. Die gesamten Maßnahmen sind in einem gesonderten Dokument im Detail beschrieben. Sie sind entsprechend Art. 32 DSGVO getroffen. ## Bereitstellung des Service ## Beschreibung und Umfang der Datenverarbeitung Für die Erbringung des Service werden die nachfolgend spezifizierten Kategorien personenbezogener Daten von Nutzenden verarbeitet. ### Login-Daten Zur Kontrolle des Zugriffs auf den Service ist eine Authentifizierung notwendig. Diese erfolgt bei Anmeldung am System über Single-Sign-On Authentifizierungsdienste auf Basis von, ggfs. kommerziellen, Authentifizierungsanbietern. Der Service übernimmt dabei die vom Authentifizierungsdienst übermittelten Informationen. ### Nutzendenprofildaten Im Nutzendenprofil sind der Vor- und Nachname der Person gespeichert, so wie diese vom Authentifizierungsanbieter übermittelt werden. ## Rechtsgrundlage für die Datenverarbeitung Die Verarbeitung der Daten ist notwendig für die Erbringung des Service gemäß den Nutzungsregeln. Die Verarbeitung der Daten erfolgt auf Basis von Art. 6 Abs. 1 lit. a) und b) DSGVO. ## Zweck der Datenverarbeitung Die Verarbeitung der personenbezogenen Daten erfolgt im Einklang mit Art. 5 Abs. 1 lit. b) und c) DSGVO zweckgebunden und unter der Maßgabe der Datenminimierung. Die Daten können, basierend auf Art. 6 Abs. 1 lit. e), Abs. 3 DSGVO i.V.m. Art. 89 DSGVO i.V.m. § 17 Abs. 1 DSG NRW auch für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke und zu statistischen Zwecken ohne Einwilligung verarbeitet werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Die RWTH Aachen sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 17 Abs. 2 DSG NRW vor. Die Daten werden gemäß § 17 Abs. 3 DSG NRW anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist. Die Daten werden gelöscht, sobald der Forschungs- oder Statistikzweck dies erlaubt. ## Dateneinsicht Die Einsicht in personenbezogene Daten hängt von der interation mit dem System ab. Während der Zusammenarbeit können Kollaborationspartner die Nutzendenprofildaten der anderen Kollaborationspartner. ## Dauer der Speicherung Art. 5 Abs. 1 lit. e) DSGVO schreibt vor, dass für die verarbeiteten personenbezogenen Daten eine an die Erfüllung des jeweiligen Zwecks gebundene Speicherfrist anzugeben ist, nach deren Ablauf die Daten zu löschen sind. Die für die Authentifizierung benötigten Login-Daten werden mit dem Ausloggen oder mit dem Beenden der Browsersession gelöscht. Nutzendenprofildaten bleiben erhalten, bis sie gelöscht werden. Die Löschung kann durch die Nutzenden im Service direkt erfolgen. ## Datenweitergabe Personenbezogene Daten werden vorbehaltlich gesetzlicher Bestimmungen nicht an Dritte weitergegeben oder für andere als die hier genannten Zwecke verwendet. Datenweitergabe zum Zweck der Verbindung mit Drittsystemen wird explizit nur direkt durch die Nutzenden veranlasst und autorisiert. ## Datenübermittlung in Drittstaaten Eine Datenübermittlung in Drittstaaten findet nicht statt. Nutzende haben jedoch die Möglichkeit, externe Systeme (z.B. Cloudspeicher) zu verknüpfen. Es kann nicht ausgeschlossen werden, dass solche Anwendungen in Drittstaaten betrieben werden. ## Technische und organisatorische Maßnahmen zur Wahrung von Integrität und Vertraulichkeit Gemäß Art. 32 DSGVO werden verschiedene Maßnahmen getroffen, um die Integrität und Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Die Kommunikation zwischen der Anwendung und den Servern erfolgt verschlüsselt über eine gesicherte Verbindung (HTTPS), um unbefugte Datenverarbeitung zu verhindern. ## Verwendung von Cookies und LocalStorage ### Beschreibung, Umfang und Zweck der Datenverarbeitung Der Service verwendet Cookies und LocalStorage. Dabei handelt es sich um Daten, die vom Internetbrowser auf dem Computersystem der Nutzenden gespeichert werden. Cookies und LocalStorage enthalten charakteristische Zeichenfolgen (Token), die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht. Cookies werden bei jedem Aufruf der Seite vom Internetbrowser an den Service gesendet. Informationen im LocalStorage werden nur bei Bedarf lokal vom Internetbrowser der Nutzenden verarbeitet. Folgende Informationen werden gespeichert und übermittelt: #### Cookies Cookies identifizieren eingeloggte Nutzende über eine anonyme ID und speichern die Anmeldung für die aktuelle Sitzung . Dies muss erlaubt werden, damit der Login und die Zugriffsberechtigungen weitergegeben werden und während der Sitzung erhalten bleiben können. Das Cookie wird automatisch gelöscht, sobald sich die Nutzenden vom System abmelden oder den Webbrowser schließen. #### LocalStorage LocalStorage speichert Nutzendenpräferenzen im Internetbrowser. Auf Daten im LocalStorage können Dritte nicht zugreifen. Sie werden nicht an Dritte weitergegeben. Im LocalStorage werden Einstellungen, die Nutzende in der Weboberfläche vorgenommen haben sowie Informationen über Zugriffberechtigungen in der aktuellen Sitzung gespeichert. Die personenbeziehbaren Token im LocalStorage werden vom Computersystem der Nutzenden gelöscht, sobald sich diese vom System abmelden. ### Rechtsgrundlage für die Datenverarbeitung Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. e, Abs. 3 DSGVO i.V.m. § 3 Abs. 1 HG NRW. ### Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit Cookies und LocalStorage werden auf dem Rechner der Nutzenden gespeichert und von diesen an die Seite übermittelt. Daher haben Nutzende die volle Kontrolle über die Verwendung von Cookies und LocalStorage. Durch eine Änderung der Einstellungen im Internetbrowser können Nutzende die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Daten können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies und LocalStorage in Coscine deaktiviert, können möglicherweise nicht mehr alle Funktionen des Systems vollumfänglich genutzt werden. ## Rechte der betroffenen Person Werden personenbezogene Daten der Nutzenden verarbeitet, sind diese Betroffene im Sinne der DSGVO und es stehen ihnen folgende Rechte gegenüber dem Verantwortlichen zu: a) Werden personenbezogene Daten verarbeitet, so haben die Betroffenen das Recht Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. (Art. 15 DSGVO) b) Sollten unrichtige personenbezogenen Daten verarbeitet werden, steht den Betroffenen ein Recht auf Berichtigung zu (Art. 16 DSGVO) c) Liegen die gesetzlichen Voraussetzungen vor, so können die Betroffenen die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18, 21 DSGVO) d) Wenn die Betroffenen in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht den Betroffenen gegebenenfalls ein Recht auf Datenübertragbarkeit zu. (Art. 20 DSGVO). e) Beruht die Rechtsgrundlage auf einer Einwilligung, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung bleibt davon unberührt. Sollten die Betroffenen von den genannten Rechten Gebrauch machen, prüft der/die Verantwortliche, ob die gesetzlichen Voraussetzungen hierfür vorliegen. Weiterhin besteht ein Beschwerderecht bei der Datenschutz-Aufsichtsbehörde [(https://www.ldi.nrw.de/)](https://www.ldi.nrw.de/).