Datenschutzerklärung des Rechenzentrums

Datenschutzerklärung zu den Diensten des Rechenzentrums Welche Daten werden gespeichert Welche Fristen zur endgültigen Löschung der gespeicherten Daten sind definiert

Datenschutz­erklärung des Rechenzentrums

Diese Erklärung ergänzt die Allgemeine Datenschutzerklärung der Universität um die Erklärung zu den speziellen Diensten des Rechenzentrums.

Datum Änderung
12.09.2012 Erstfassung
11.02.2013 Erweiterung um Zentrales Personen­management (ZPM)
Cookie-Nutzung verdeutlicht
12.04.2013 Auswertung sicherheits­relevanter Vorfälle
24.06.2013 Reduzierung der Aufbewahrungsfristen für Verbindungsdaten auf 14 Tage

Allgemeines

Auf einigen Systemen werden personenbezogene Daten verarbeitet. Dies gilt insbesondere für alle Systeme, welche zum Zweck des Zugangsschutzes eine Authentifizierung (in der Regel mit Kennung und Passwort) erfordern. Die dazu erforderlichen Daten werden in der Nutzerverwaltung des Rechenzentrums erhoben und zentral gespeichert. Jeder Nutzer kann seine über ihn gespeicherten Daten dort selbst einsehen.

Die Daten werden nicht an Dritte weiter gegeben. Lediglich für nachweislich dienstlich veranlasste Aufgaben werden Daten in einer für die Erledigung der Aufgaben erforderlichen Qualität (z.B. Mailadressen von Studenten einer Vertiefungsrichtung für eine Praktikumsplanung) an berechtigte Personen innerhalb der Universität weiter gegeben. Eine Weitergabe an Personen außerhalb der Universität ist ausgeschlossen.

Die angegebenen Aufbewahrungsfristen werden dadurch erreicht, dass die Daten nach Ablauf automatisch gelöscht oder überschrieben werden, es sei denn ein Missbrauch der Dienste hat stattgefunden und eine disziplinar-, zivil- oder strafrechtliche Verfolgung ist erforderlich. Bei begründetem Verdacht auf Missbrauch der Dienste können die in verschiedenen Logquellen vorhandenen Daten auch in ihrem zeitlichen Zusammenhang ausgewertet werden, um beispielsweise Erkenntnisse über den gesamten Vorgang oder den Verursacher zu ermitteln.

Web-Dienste

Für alle Webangebote des Rechenzentrums werden in einem zentralen Web-Log insbesondere die folgenden Daten gespeichert.

  • Name und Pfad der abgerufenen Seite bzw. Datei
  • die übertragene Datenmenge
  • Datum und Uhrzeit des Abrufs
  • IP-Adresse des anfordernden Rechners
  • bei authentifizierten Nutzern die dazu genutzte Kennung

Die gespeicherten Daten werden ausschließlich zu technischen oder statistischen Zwecken ausgewertet, z.B. um Fehler rechtzeitig entdecken und beheben zu können sowie die Leistungsfähigkeit der Server zu optimieren. Diese Auswertung erfolgt vollständig anonym.

Die erfassten Daten werden 14 Tage aufbewahrt. Ausnahme dabei bildet der uniinterne Dienst Campus-Management/LSF. Aus Gründen der Nachvollziehbarkeit von prüfungsrelevanten Vorgängen werden die Verbindungsdaten 9 Monate aufbewahrt.

Die webbasierten Dienste nutzen unter Umständen zur Authentifzierung und Sitzungsverfolgung aus technischen Gründen Cookies nach der Anmeldung bzw. zur Sicherstellung von Funktionen wie z.B. Sprachumschaltung des Webauftritts. Es werden damit keine Personeninformationen hinterlegt und Cookies werden nicht weitergegeben.

Zentrales Personenmanagement (ZPM)

Die Daten zu den dort abgelegten Personen werden aus Gründen der Nachvollziehbarkeit von Änderungen sowie zur postalischen Erreichbarkeit nach Ausscheiden aus der Universität für weitere 9 Monate aufbewahrt. Danach werden diese Daten vollständig anonymisiert abgelegt, um Systemabläude nachträglich nachvollziehen und verbessern zu können.

Mail-Dienste

Der gesamte ein- und ausgehende Mail-Verkehr der Universität wird über die zentralen Mailrelays abgewickelt. Dabei werden in einem zentralen Mail-Log insbesondere die folgenden Daten gespeichert:

  • Datum und Uhrzeit der Kommunikation
  • Mail-Adressen des Absenders sowie der beabsichtigten Empfänger
  • Betreffzeile der Mail
  • IP-Adresse des Absenders der Mail
  • Informationen über die ordnungsgemäße Zustellung der Mail

Die erfassten Daten werden aus Gründen der Nachweisbarkeit einer erfolgten Zustellung 4 Monate aufbewahrt.

Datennetz

Bei der Nutzung des Datennetzes der Universität über die Infrastruktur des Rechenzentrums (WLAN-Accesspoints, VPN-Server, Firewall, Switches, etc.) werden zusätzliche relevante Daten gespeichert, insbesondere:

  • Datum und Uhrzeit der Kommunikation
  • IP- und/oder MAC-Adressen der beteiligten Kommunikationspartner
  • Benutzerkennung bei authentifizierenden Diensten

Die erfassten Daten werden 14 Tage aufbewahrt. Diese Frist ergibt sich aus der Notwendigkeit zur Bearbeitung sicherheitskritischer Vorfälle.

Sicherheitsrelevante Vorfälle

Bei sicherheitsrelevanten Vorfällen (Angriffe auf unsere Systeme, Schadsoftware im Datennetz) werden je nach der zur Erkennung eingesetzten Hard- oder Software anonymisierte Analysedaten zum Vorfall (gefundene Schadsoftware, Adressen angreifender Systeme) automatisiert an ausgewählte Sicherheitsdienstleister gesendet. Mögliche Adressen interner Systeme werden vor der Übertragung entfernt bzw. unumkehrbar anonymisiert.