Information zur Datenverarbeitung für die Handelspartnerausschreibung von Veeam-Leistungen ab 2021

Verantwortliche

  • Friedrich-Alexander-Universität Erlangen-Nürnberg
  • Julius-Maximilians-Universität Würzburg
  • Ludwigs-Maximilians-Universität München
  • Otto-Friedrich-Universität Bamberg
  • Technische Universität München
  • Universität Augsburg
  • Universität Bayreuth
  • Universität Passau
  • Universität Regensburg
  • Hochschule für angewandte Wissenschaften Coburg
  • Hochschule für angewandte Wissenschaften Hof
  • Hochschule für angewandte Wissenschaften Kempten
  • Hochschule für angewandte Wissenschaften Landshut
  • Hochschule für angewandte Wissenschaften München
  • Hochschule für angewandte Wissenschaften Neu-Ulm
  • Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt
  • Hochschule für den öffentlichen Dienst in Bayern
  • Katholische Stiftungshochschule München
  • Ostbayerische Technische Hochschule Regensburg
  • Technische Hochschule Aschaffenburg
  • Technische Hochschule Ingolstadt
  • Technische Hochschule Nürnberg Georg Simon Ohm
  • Technische Hochschule Rosenheim
  • Akademie der Bildenden Künste Nürnberg
  • Bayerische Staatsbibliothek
  • Katholische Universität Eichstätt-Ingolstadt
  • Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften
  • Universität der Bundeswehr München
  • Klinikum der Universität München
  • Klinikum rechts der Isar der Technischen Universität München
  • Universitätsklinikum Augsburg
  • Universitätsklinikum Erlangen
  • Universitätsklinikum Regensburg
  • Universitätsklinikum Würzburg

Gemeinsame Zwecke und Art der Verarbeitung 

Ausschreibung und Bewirtschaftung der Beitritte der bayerischen Hochschulen, Universitäten. Universitätsklinika und Einrichtungen zum Veeam Rahmenvertrag geplant für den Zeitraum 01.12.2021 – 31.08.2025. 

Eingesetzte Mittel 

Abhängig vom Projektstand werden folgende Mittel eingesetzt:

  • Besprechungslösungen (wie Zoom, Cisco WebEx oder Jitsi Meet) der teilnehmenden Einrichtungen für Besprechungen und Abstimmungen
  • E-Vergabe-Plattform der Julius-Maximilians-Universität Würzburg
  • Mailinglisten der Friedrich-Alexander-Universität Erlangen-Nürnberg
  • Microsoft Teams der Julius-Maximilians-Universität Würzburg für die Vertragsbetreuenden
  • Online-Umfrage-Lösungen der Universität Augsburg
  • Threema Education der Julius-Maximilians-Universität Würzburg
  • Webseite der Rechenzentren der bayerischen Universitäten und Hochschulen
  • WebShop4All der Julius-Maximilians-Universität Würzburg

Kategorien von Empfängern 

Empfänger können Bieter und Auftragnehmer, Unterauftragsverarbeiter der Auftragnehmer, Hersteller und deren Unterauftragsverarbeiter sowie teilnehmende Einrichtungen und deren Unterauftragsverarbeiter sein.

Rechte der Betroffenen 

Die Ausgestaltung der Umsetzung verantwortet die teilnehmende Einrichtung, zu denen Betroffene ihren größten Bezugspunkt haben. Letzteres ist insbesondere dann der Fall, wenn die teilnehmende Einrichtung die konkrete Datenverarbeitung gegenüber dem Betroffenen veranlasst und/oder durchführt.

Informations- und Dokumentationspflichten 

Soweit nicht Auftragnehmer, Hersteller oder deren Auftragsverarbeiter die Informationspflichten gegenüber den Betroffenen in Servicefällen erfüllen, verantwortet diese jeweils die teilnehmende Einrichtung, zu denen Betroffene ihren größten Bezugspunkt haben. Für gemeinsam genutzte Plattformen setzt der Anbieter diese um, sofern dies nicht durch die teilnehmende Einrichtung bei Bestellungen über WebShop4All als Verantwortlichen zu leisten ist.

Die Datenschutzdokumentation wird gemeinsam verantwortet, federführend jeweils von den Verantwortlichen, die das Mittel bereitstellten.

Datenschutzdesign und Datensicherheit 

Die Konzeption für „Privacy by design“, datenschutzfreundliche Voreinstellungen und die Umsetzung der Datensicherheit (u.a. Artt. 5, 24, 25, 32, 35 und 36 DSGVO, Abschnitt 4 TMG), setzt jede teilnehmende Einrichtung für seine Betroffenen um, soweit dies nicht dem Anbieter der Plattform, dem Auftragnehmer oder dem Hersteller obliegt.

Sicherheitsvorfälle und Datenschutzverletzungen 

Die Parteien melden eigenverantwortlich Datenschutzverletzungen an die jeweils für sie zuständige Datenschutzaufsichtsbehörde und benachrichtigen unter den Voraussetzungen des Art. 34 DSGVO auch eigenständig die Betroffenen. Sicherheitsvorfälle und Datenschutzverletzung sind stets auch der Stabsstelle Informationssicherheit der bayerischen staatlichen Hochschulen und Universitäten zu melden. Diese unterstützt bedarfsgerecht bei Meldung, Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen sowie ggf. erforderlichen Benachrichtigungen an Betroffene.

Anlaufstelle für Betroffene 

Die Betroffenen können sich an jede teilnehmende Einrichtung wenden. Die angefragte teilnehmende Einrichtung ist verpflichtet, die Anfrage des Betroffenen unverzüglich an die zuständige teilnehmende Einrichtung weiterzuleiten.

Ergänzend dient die Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen als Anlaufstelle für Betroffene. 

Haftung 

Unbeschadet der Regelungen dieses Vertrages haften die teilnehmenden Einrichtungen für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind. Ist eine Zuordnung der Haftungsanteile nicht möglich, wird die Haftung anteilig nach Auftragsvolumen gebildet.

Sonstiges 

Jeder Verantwortliche ist berechtigt Auftragsverarbeiter einzusetzen. Vor der Beauftragung ist die Anlaufstelle zu informieren. Als federführende Aufsichtsbehörden wird der Bayerische Landesbeauftragte für den Datenschutz festgelegt. Rechtsgrundlage der Verarbeitung ist regelmäßig Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (Art. 16 BayHSchG, § 4 VgV sowie die BayHO) sowie die Verträge und Vergaben (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden in der Regel 10 Jahre nach dem Entstehen gelöscht. Das Archivrecht bleibt unberührt. Diese Vereinbarung wird ergänzt um die tatsächlichen teilnehmenden Einrichtungen und Betroffenenrechte unter https://www.rechenzentren-bayern.de/ veröffentlicht.

Rechte der Betroffenen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
  • Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
  • Soweit die Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, haben Sie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
  • Wenn Sie Ihre personenbezogenen Daten nicht bereitstellen, kann eine gemeinsame Bewirtschaftung der Vertrages insoweit erschwert oder unmöglich werden.
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.