Datenschutzerklärung für Sophos und GLPI
Informationspflicht nach Art. 13 DS-GVO zur Softwarelösung Endpoint-Security
Für welche Zwecke sollen personenbezogene Daten verarbeitet werden?
Die Datenverarbeitung wird zum Zwecke der Gefahrenabwehr für die informationstechnischen Systeme der TU Dresden i.S.d. § 1 Sächsisches Informationssicherheitsgesetz (SächsISichG) durchgeführt. Weiterhin werden von Beschäftigten, die als Administrator:in im System tätig sind, zum Zwecke der sicheren Systemadministration Audit-Daten verarbeitet.
Wer ist für die Datenverarbeitung verantwortlich und an wen können sich Betroffene wenden?
TUD-CERT
Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).
Zertifikat der DFN-PKI für verschlüsselte E-Mails.
Besuchsadresse:
Tillich-Bau, 16/18 Helmholtzstraße 6/8
01062 Dresden
Postadresse:
Technische Universität Dresden TUD-CERT
01062 Dresden
Öffnungszeiten:
- Montag bis Freitag:
- 08:00 - 16:00
Herr Jens Syckor
Der Datenschutzbeauftragte
Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).
Zertifikat der DFN-PKI für verschlüsselte E-Mails.
Auf welcher Rechtsgrundlage erfolgt die Verarbeitung personenbezogener Daten?
Rechtsgrundlage zum Zwecke der Gefahrenabwehr ist Art. 6 Abs. 1 UAbs. 1 lit. e, Abs. 3 DSGVO i.V.m. §§ 12,13 SächsISichG.
Rechtsgrundlage zum Zwecke der sicheren Systemadministration ist Art. 6 UAbs. 1 lit. e, Abs. 3 DSGVO i.V.m. § 3 Abs. 1 SächsDSDG.
Rechtsgrundlage zum Versand von systemrelevanten Informationen ist § 11 Abs. 1 SächsDSDG.
Welche personenbezogenen Daten werden verarbeitet?
Es werden Protokolldaten i.S.d. § 3 Abs. 9 SächsISichG verarbeitet. Diese enthalten folgende Daten, die personenbezogen sein können: Benutzernamen, IP-Adressen, MAC-Adressen, Prozessnamen, Applikationsnamen, Browser Addons, File Hashes, Dateipfade, Hostnamen, Ports, URLs, System-Events und -Logs sowie Maschinen-Ids.
Als Audit-Daten werden der Benutzername des Administrators / der Administratorin und die zugehörigen Log-Daten, z.B. Anpassungen von Systemeinstellungen, sowie die Zeitangabe verarbeitet.
Zum Zwecke des Versands von systemrelevanten Informationen an das zuständige IT-Personal wird deren E-Mail-Adresse verarbeitet.
Wie werden die personenbezogenen Daten verarbeitet und wie lange werden sie gespeichert?
Die personenbezogenen Protokolldaten dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für 90 Tage, gespeichert werden, sofern die Voraussetzungen gemäß § 13 Abs. 2 S.1 Nr. 1 bzw. 2 SächsISichG vorliegen. Die Speicherung im Zeitraum von bis zu 90 Tagen erfolgt ausschließlich auf dem Endgerät bzw. dem Server. Ausgewählte Protokolldaten aus diesem lokalen Datenspeicher, die zur Gefahrenabwehr erforderlich sind, werden im Sophos Data Lake in Sophos Central für maximal 90 Tage gespeichert.
Audit-Daten werden in Sophos Central für 90 Tage gespeichert.
Die E-Mail-Adressen des IT-Personals werden solange verarbeitet, wie der Systemzugang für diesen Personenkreis aufgrund deren Tätigkeit erforderlich ist.
Werden Auftragsverarbeiter eingesetzt bzw. werden personenbezogene Daten in Drittstaaten übermittelt?
Die TU Dresden setzt zum Zwecke der Datenverarbeitung den Auftragsverarbeiter Sophos ein. Die Speicherung der Daten erfolgt dabei ausschließlich in der EU. Lediglich im Rahmen von technischen Support kann es zur Übermittlung von personenbezogenen Daten in das Vereinigte Königreich bzw. an Sophos Affiliates (Büros von Sophos weltweit) kommen. Dies erfolgt jedoch nur nach expliziter Freigabe durch die TU Dresden im Einzelfall.
Hinweise zum Recht auf Widerspruch gemäß Art. 21 Abs. 1 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Welche Rechte haben Betroffene grundsätzlich?
Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, jederzeit Auskunft über die zu Ihrer Person verarbeiteten Daten sowie die möglichen Empfänger:innen dieser Daten zu verlangen. Ihnen steht eine Antwort innerhalb einer Frist von einem Monat nach Eingang des Auskunftsersuchens zu.
Recht auf Berichtigung, Löschung und Einschränkung (Art. 16-18 DSGVO)
Sie können jederzeit gegenüber der TU Dresden die Berichtigung oder Löschung Ihrer personenbezogenen Daten oder die Einschränkung der Verarbeitung verlangen.
Beschwerderecht (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO oder sonstiges Datenschutzrecht verstößt, können Sie sich an eine Datenschutz-Aufsichtsbehörde wenden. Die für die TU Dresden zuständige Aufsichtsbehörde ist die
Sächsische Datenschutz- und Transparenzbeauftragte
Frau Dr. Juliane Hundert
Devrientstraße 5
01067 Dresden
Tel.: +49 (0) 351 85471 101
E-Mail:
Web: www.datenschutz.sachsen.de
Sie können Ihre Beschwerde aber auch an jede andere Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes eines mutmaßlichen Verstoßes einlegen.
Hinweis: Zur Inanspruchnahme der Rechte genügt eine Mitteilung in Textform (Brief, E-Mail) an den Verantwortlichen (s.o.). Die Inanspruchnahme der Rechte entfaltet jedoch nur eine Wirkung, wenn durch die verarbeiteten Daten eine Identifizierung Ihrer Person möglich ist.