Warum und auf welcher Grundlage werden Ihre Daten verarbeitet?

Personenbezogene Daten, also alle Informationen, die sich in irgendeiner Weise auf Individuen beziehen lassen, dürfen nur erhoben, gespeichert, übermittelt und auf sonstige Weise verarbeitet werden, wenn es hierfür entweder eine gesetzliche Erlaubnis oder eine Einwilligung der betroffenen  Person gibt. Es gilt das Prinzip: Wenn es nicht erlaubt ist, ist es verboten! Darüber hinaus gilt als "Dreh- und Angelpunkt" des Datenschutzrechts, dass die Datenverarbeitung stets einem ganz bestimmten, im Vorhinein festgelegten Zweck dienen muss. Daher möchten wir nachfolgend die Zwecke und Rechtsgrundlagen der Datenverarbeitungsprozesse erläutern, die auf diesen Webseiten stattfinden.

Datenverarbeitungsprozess „Webpräsenz“

Eine Webseite aufzurufen funktioniert in etwa so: Der Browser des Endgerätes einer Nutzerin, z. B. Firefox (der wohl datenschutzfreundlichste Browser derzeit) sendet als „http-Client“ die eingegebene Adresse (z. B. www.uni-jena.de) als „http-Request“ an die Computer des Providers, z. B. Deutsche Telekom, O2-Telefonica, die sog. „http-Server“, auf denen die Webseite gespeichert ist. Im Falle des Netzes an der FSU gelangt der http-Request übrigens nicht an Externe, da die Server vom Universitätsrechenzentrum bereitgestellt werden. Der http-Server schickt dann die Webseite bzw. die einzelnen Dateien, aus denen die Webseite besteht (z. B. Layout, Texte, Bilder) an den http-Client. Bei der Sendung eines http-Requests wird die IP-Adresse eines Endgerätes an den http-Server mitgeschickt. Eine IP-Adresse ist eine 32-stellige Zahl, die Endgeräten zugewiesen wird, die an das Internet angebunden sind. Sie macht das jeweilige Endgerät adressierbar und damit über das Internet erreichbar. Die IP-Adresse ist so etwas wie die Postanschrift in der virtuellen Welt, sie „klebt“ sozusagen auf Datenpaketen, wie die Anschrift auf dem Postpaket.           

Warum muss dabei Datenschutz beachtet werden? Weil die IP-Adresse ein personenbezogenes Datum ist! Die IP-Adresse ist ein personenbezogenes Datum, weil sie vom Service-Provider einer natürlichen Person zugeordnet werden kann. Im Falle des Netzes an der FSU liegt der Fall klar: Um eine Kennung beim Rechenzentrum zu erhalten, muss man seinen Namen angeben. Der http-Request eines bestimmten Endgerätes im Netz der FSU kann damit stets einer bestimmten Person zugeordnet werden. Bei sonstigen Providern hat dieser stets Kenntnis, dass einer bestimmten natürlichen Person, seinem Vertragspartner, eine bestimmte IP-Adresse in einem bestimmten Zeitpunkt zugewiesen wurde. Die FSU hat nun jedenfalls theoretisch die Möglichkeit, diese natürliche Person herauszufinden, nämlich durch Auskunftsrechte im Falle von Angriffen auf die Webseite. Damit ist die IP-Adresse – egal ob diese von der FSU oder von externen Providern vergeben wurde – ein personenbezogenes Datum.

Der Zweck der Datenverarbeitung liegt vor diesem Hintergrund auf der Hand: das Anzeigen der Webseite erfordert die Verarbeitung der IP-Adresse. Ohne IP-Adresse keine Webseite! Die Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. f) DSGVO: Danach ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern dieses Interesse die Interessen der betroffenen Person überwiegt. Das berechtigte Interesse der FSU besteht darin, Personen die Webseite anzeigen zu können. Die jeweilige Person verfolgt, wie man an Ihrem http-Request sehen kann, das gleiche Interesse.

Datenverarbeitungsprozess „Google Maps“

Wir nutzen auf unseren Seiten den Geodienst Google Maps. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (im Folgenden: Google). Hierbei werden Karteninhalte von Servern von Google in den USA aufgerufen bzw. die IP-Adresse an Google übermittelt und dabei offengelegt. Es ist uns nicht bekannt, jedoch wahrscheinlich, dass Google diesen Server-Request protokolliert und weiter verwertet. Für die Datenverarbeitung bei Google gelten die erwähnten Datenschutzhinweise von Google. Leider ergibt sich hieraus nicht zweifelsfrei, was Google mit den IP-Adressen macht. Sorry liebe/r User/in!

Der Zweck dieser Datenverarbeitung ist es, den Nutzer_innen zu erklären, wo sie uns in der wirklichen Welt finden. Die Rechtsgrundlage für diesen Datenverarbeitungsprozess ist Art. 6 Abs. 1 lit. f) DSGVO. Unser berechtigtes Interesse an der Nutzung von Google Maps ist es, die FSU optimal zu präsentieren.

Datenverarbeitungsprozess „Matomo“

Auf den Seiten der FSU kommt das Webanalyse-Werkzeug Matomo, ehemals Piwik zum Einsatz. Matomo ist ein Open-Source-Projekt, d. h. es gibt keinen kommerziellen Anbieter, sondern eine offene Entwicklergemeinde, die diese Technik kostenlos zur Verfügung stellt. Matomo wird auf den FSU-Servern gespeichert bzw. gehostet. Daher kommt es beim Besuch der FSU-Seiten nicht zum Aufruf fremder Server, allein wegen Matomo. Gegenüber dem Marktführer bei der Webanalysetechnik, Google Analytics, ist Matomo schon aus diesem Grund wesentlich datenschutzfreundlicher.

Matomo funktioniert in etwa so: Beim Aufruf der FSU-Webseiten wird ein Matomo-/Piwik-Cookie in Ihrem Browser gespeichert, der diesen fortan repräsentiert und mit Hilfe dessen der Browser eindeutig identifiziert werden kann. Die Matomo-Software ist in der Lage, die http-Requests des jeweiligen Browsers nachzuvollziehen, man sagt auch: zu „tracken“. Es kann also nachvollzogen werden, welche Unterseiten Sie sich angesehen haben, wie lange und ggf. welche weiteren Aktionen Sie auf den Seiten durchgeführt haben. Wichtig zu wissen ist, dass Ihre vollständige IP-Adresse nur kurz, in sog. Logfiles gespeichert wird. Bei dem Auslesen dieser Logfiles wird die IP-Adresse um die letzten zwei Stellen gekürzt, so dass ab diesem Zeitpunkt keine Identifizierung von Ihnen als Individuum mehr möglich ist.

Warum nutzen wir Matomo? Manchmal ist es für die Redakteure wichtig zu sehen, welche ihrer Angebote gut und welche schlecht angenommen werden bzw. welche Seiten gelesen werden und welche nicht. Das hilft ihnen, ihre Angebote zukünftig besser zu gestalten, so dass mehr gelesen wird. Dies ist dann gleichzeitig auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO.

Ganz wichtig: Nach der DSGVO ist bei Datenverarbeitungen auf Grundlage von überwiegenden Interessen die Person (theoretisch) berechtigt, aus besonderen persönlichen Gründen Widerspruch gegen die Datenverarbeitung einzulegen. Wenn Sie nicht möchten, dass Ihr Verhalten auf unseren Seiten getrackt wird bzw. von uns nachvollzogen wird, dann können Sie nachfolgend die Webanalyse ausschalten. Sie machen damit gleichzeitig von Ihrem Widerspruchsrecht Gebrauch (übrigens ohne, dass eine Prüfung der besonderen persönlichen Gründe erfolgt).

Datenverarbeitungsprozess „Registrierungsfunktionen“

Auf unseren Seiten haben Sie die Möglichkeit, sich zu registrieren und geschützte Bereiche anzeigen zu lassen. Wenn Sie an der FSU studieren, nennt sich dieser Bereich „Friedolin“, für Mitarbeiter gibt es den „HanFRIED“. Daneben bestehen noch diverse andere geschützte Bereiche an den Fakultäten und in der Verwaltung, die je nach URZ-Kennung weitere Inhalte enthalten. Wenn Sie sich registrieren, wird neben Ihrer IP-Adresse auch Ihre Kennung an die FSU-Server übermittelt.

Der Zweck der Registrierungsfunktionen ist es, Ihnen als Student_in oder als Verwaltungsmitarbeiter_in Informationen geben zu können, die Ihnen nur in dieser Funktion zur Verfügung stehen sollen.

Die Rechtsgrundlage der Verarbeitung unterscheidet sich, je nachdem, um welchen Bereich es sich handelt. Sind Sie Student_in, dann können Sie nach den jeweiligen Prüfungsordnungen zur Nutzung des Friedolin-Systems verpflichtet sein. Die Datenverarbeitung stützt sich in diesem Fall auf Art. 6 Abs. 1 lit. e) DSGVO: Danach ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Die FSU hat nach dem Thüringer Hochschulgesetz u. a. die Aufgabe, Lehre zu betreiben. Diese gesetzliche und im öffentlichen Interesse liegende Aufgabe wird ihrerseits durch die Prüfungsordnungen konkretisiert. Hat die Registrierungsfunktion demgegenüber eine reine Servicefunktion, wie etwa im Fall von HanFRIED, dann beruht die Nutzung auf Ihrem eigenen freien Entschluss. Die Rechtsgrundlage ist dann Ihre freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, die Sie mit der Registrierung implizit erklären. Ihre Einwilligung können Sie übrigens jederzeit mit Wirkung für die Zukunft widerrufen. Die aufgrund der Einwilligung bis zum Widerruf erfolgte Datenverarbeitung bleibt also rechtmäßig.

Datenverarbeitungsprozess „E-Mail“

Sie finden auf unseren Webseiten verschiedentlich die Möglichkeit der elektronischen Kontaktaufnahme per E-Mail. Wenn Sie uns eine E-Mail schreiben, dann verarbeiten wir neben Ihrer E-Mail-Adresse den eigentlichen Inhalt der Mail sowie die vom Mailserver vorgegebenen Metadaten wie etwa den Zeitpunkt des E-Mail-Versands. Der Zweck dieser Datenverarbeitung besteht darin, mit Ihnen in Kontakt treten zu können und von Ihnen Informationen zu erhalten.

Wie im Falle der Registrierungsfunktion unterscheidet sich die Rechtsgrundlage danach, in welchem Verhältnis Sie zur FSU stehen. Als Student_in oder als wissenschaftliche oder nichtwissenschaftliche Beschäftigte sind Sie verpflichtet, den Datenverarbeitungsprozess E-Mail zu nutzen bzw. zu dulden. So steht es in den Prüfungsordnungen bzw. es ergibt sich aus Ihrem Arbeitsvertrag mit der FSU. In diesen Fällen besteht die Rechtsgrundlage in Art. 6 Abs. 1 lit. e) DSGVO i. V. m. dem Thüringer Hochschulgesetz i. V. m. der jeweiligen Studienordnung (Student_innen) bzw. in Art. 6 Abs. 1 lit. b), § 26 Abs. 1 BDSG (Beschäftigte).

Gehören Sie nicht zum Kreis der genannten Mitglieder und Angehörigen der FSU ist die Rechtsgrundlage der Datenverarbeitung Ihre freiwillige und (nach Lektüre dieser Datenschutzerklärung) informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO. Denn Sie entscheiden ja selbst, ob Sie uns eine E-Mail schreiben oder nicht. Ihre Einwilligung können Sie jederzeit widerrufen. Die aufgrund der Einwilligung bis zum Widerruf erfolgte Verarbeitung bleibt wie gesagt rechtmäßig.

Datenverarbeitungsprozess "You Tube"

Auf manchen unserer Webseiten sind Videos eingebunden, um unsere Aktivitäten anschaulich und ansprechend zu präsentieren. Da ein lokales Hosting von Videos nicht leistungsfähig genug ist, nutzen wir die Möglichkeit von externen Video-Anbietern wie YouTube, einem Dienst von Google. Durch die Einbindung der Videos kommt es – technisch bedingt – zu Aufrufen der Server von Google. Für die damit verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes müssen wir auf die Datenschutzhinweise von Google verweisen.

Die Rechtsgrundlage für diesen Datenverarbeitungsprozess ist Art. 6 Abs. 1 lit. f) DSGVO. Unser berechtigtes Interesse an der Nutzung von You Tube ist es, Besuchern unserer Webseiten unsere Leistungen und Aktivitäten zu präsentieren.

Wir bemühen uns, You Tube im sog. Zwei-Klick-Modus einzubinden. Das bedeutet, dass es erst dann zu Serveraufrufen von Google kommt, wenn Sie die entsprechende Schaltfläche durch einen Klick aktiviert haben. Wenn das Video auf der entsprechenden Seite auf diese Art eingebunden ist, besteht die Rechtsgrundlage der Datenverarbeitung in Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO, die Sie mit dem Anklicken der Schaltfläche konkludent erklären.

Datenverarbeitungsprozess "Eingabe-/Formularfunktion"

Sie werden auf einigen Webseiten aufgefordert, personenbezogene Daten in Eingabe- bzw. Formularfelder einzutragen. Dies gibt unseren Redakteuren die Möglichkeit, z. B. Anmeldungen für Veranstaltungen online abzuwickeln. Sie können sich sicher sein, dass in diesem Rahmen die Zweckbindung bei der Datenverarbeitung beachtet wird, weil die Formulare vor ihrer Einstellung auf den Webseiten von der Datenschutzbeauftragten überprüft werden. 

Die Rechtsgrundlage dieser Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, die Sie mit dem Betätigen des Absende-Buttons konkludent erklären. Wie Sie wissen, können Sie Ihre Einwilligung jederzeit - am Besten per Mail gegenüber der Datenschutzbeauftragten - widerrufen, wobei dies nicht die Rechtmäßigkeit der Datenverarbeitung bis zu Ihrem Widerruf berührt.

Datenverarbeitungsprozess "Kommentar-/Uploadfunktion"

Einige unserer Webseiten enthalten die Funktion, Kommentare zu bestimmten Beiträgen einzugeben und Dateien auf unsere Server hochzuladen. Hierdurch können z. B. wissenschaftliche Repositorien von dem Wissen der Gemeinschaft profitieren und mit ihr in Austausch treten. Hierbei bitten wir zu beachten, dass Sie keine Kommentare bzw. kein Material eingeben dürfen, mit dem Urheber- und/oder Persönlichkeitsrechte Dritter verletzt werden. Die FSU übernimmt keine Haftung für die hochgeladenen Inhalte, solange sie nicht über Rechtsverletzungen informiert wurde.

Die Rechtsgrundlage der Datenverarbeitung ist wiederum Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, die Sie durch das Hochladen der Inhalte erklären und die Sie jederzeit gegenüber der Datenschutzbeauftragten widerrufen können, ohne dass dadurch die Rechtmäßigkeit der Verarbeitung bis zum Widerruf berührt wird. 

Datenverarbeitungsprozess "Newsletter"

Manche Institute und Einrichtungen bieten die Anmeldung zu einem Newsletter an. Mit dem Newsletter werden Sie über Aktivitäten und Neuigkeiten aus dem jeweiligen Bereich informiert. Die Rechtsgrundlage der Datenverarbeitung ist auch hier Ihre informierte Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO, die Sie jederzeit widerrufen können, indem Sie sich vom Newsletter abmelden.

Der Widerruf lässt die Rechtmäßigkeit der Datenverarbeitung bis zum Wider... ja ja, Sie kennen das schon.

Datenverarbeitungsprozess "ReCAPTCHA"

Auf einigen Seiten ist Googles ReCAPTCHA eingebaut. ReCAPTCHA verhindert, dass sich sog. Bots automatisiert auf den Webseiten bewegen und ggf. weitere unerwünschte Aktivitäten entfalten, wie z. B. das Hochladen von Inhalten. Durch die Einbindung des Dienstes kommt es – technisch bedingt – zu Aufrufen der Server von Google. Für die damit verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes müssen wir auf die Datenschutzhinweise von Google verweisen.

Die Rechtsgrundlage für diesen Datenverarbeitungsprozess ist Art. 6 Abs. 1 lit. f) DSGVO. Unser berechtigtes Interesse an der Nutzung von ReCAPTCHA ist es, die Datensicherheit auf unseren Webseiten zu erhöhen.

 

Stefanie Buchmann, Dr.
Datenschutzbeauftragte
Telefon
+49 3641 9-402087
Universitätshauptgebäude, Raum 3.58
Fürstengraben 1
07743 Jena
Diese Seite teilen
Die Uni Jena in den sozialen Medien:
Ausgezeichnet studieren:
  • Logo der Initiative "Total E-Quality"
  • Logo des Best Practice-Club "Familie in der Hochschule"
  • Logo des Projekts "Partnerhochschule des Spitzensports"
  • Qualitätssiegel der Stiftung Akkreditierungsrat - System akkreditiert
Zurück zum Seitenanfang