Information zur Datenverarbeitung für die Handelspartnerausschreibung zum Microsoft Enrollment for Education Solutions ab 2021

Verantwortliche

  • Universität Augsburg
  • Otto-Friedrich-Universität Bamberg
  • Universität Bayreuth
  • Friedrich-Alexander-Universität Erlangen-Nürnberg
  • Ludwigs-Maximilians-Universität München
  • Technische Universität München
  • Universität Passau
  • Julius-Maximilians-Universität Würzburg
  • Universität Regensburg
  • Technische Universität Nürnberg
  • Ostbayerische Technische Hochschule Amberg-Weiden
  • Hochschule für angewandte Wissenschaften Ansbach
  • Technische Hochschule Aschaffenburg
  • Hochschule für angewandte Wissenschaften Augsburg
  • Hochschule für angewandte Wissenschaften Coburg
  • Technische Hochschule Deggendorf
  • Hochschule für angewandte Wissenschaften Hof
  • Technische Hochschule Ingolstadt
  • Hochschule für angewandte Wissenschaften Kempten
  • Hochschule für angewandte Wissenschaften Landshut
  • Hochschule für angewandte Wissenschaften München
  • Hochschule für angewandte Wissenschaften Neu-Ulm
  • Technische Hochschule Nürnberg Georg Simon Ohm
  • Hochschule für Musik Nürnberg
  • Hochschule für Musik Würzburg
  • Ostbayerische Technische Hochschule Regensburg
  • Technische Hochschule Rosenheim
  • Hochschule für angewandte Wissenschaften Weihenstephan-Triesdorf
  • Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt
  • Katholische Stiftungshochschule für angewandte Wissenschaften München
  • Evangelische Hochschule für angewandte Wissenschaften – Evangelische Fachhochschule Nürnberg
  • Katholische Universität Eichstätt-Ingolstadt
  • Universität der Bundeswehr München
  • Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften
  • Akademie der Bildenden Künste München

Datenschutzbeauftragte der Verantwortlichen

Diese können Sie über die Anlaufstelle für Betroffene erreichen. Eine vertrauliche und pseudonyme Kommunikation ist über Threema möglich.

Gemeinsame Zwecke und Art der Verarbeitung

Ausschreibung und Bewirtschaftung der bayernweit hochschulübergreifenden Handelspartnerausschreibung zum Microsoft Enrollment for Education Solutions für den Zeitraum ab 01. Mai 2021.

Eingesetzte Mittel

Abhängig vom Projektstand werden folgende Mittel eingesetzt:

  • Besprechungslösungen (wie Zoom, Cisco WebEx oder Jitsi Meet) der teilnehmenden Einrichtungen für Besprechungen und Abstimmungen
  • E-Vergabe-Plattform der Julius-Maximilians-Universität Würzburg
  • Mailinglisten der Friedrich-Alexander-Universität Erlangen-Nürnberg
  • Microsoft Teams der Julius-Maximilians-Universität Würzburg für die Vertragsbetreuenden
  • Threema Education der Julius-Maximilians-Universität Würzburg
  • Webseite der Rechenzentren der bayerischen Universitäten und Hochschulen, betrieben von der Friedrich-Alexander-Universität Erlangen-Nürnberg
  • WebShop4All der Julius-Maximilians-Universität Würzburg

Kategorien von Empfängern

Empfänger sind Bieter und Auftragnehmer, Unterauftragsverarbeiter der Auftragnehmer, Hersteller und deren Unterauftragsverarbeiter sowie die teilnehmenden Einrichtungen und deren Unterauftragsverarbeiter.

Rechte der Betroffenen

Die Ausgestaltung der Umsetzung verantwortet die teilnehmende Einrichtung, zu denen Betroffene ihren größten Bezugspunkt haben. Letzteres ist insbesondere dann der Fall, wenn die teilnehmende Einrichtung die konkrete Datenverarbeitung gegenüber dem Betroffenen veranlasst oder durchführt.

Informations- und Dokumentationspflichten

Soweit Auftragsnehmer und Hersteller und deren Unterauftragsverarbeiter haben die Informationspflichten gegenüber den Betroffenen in Servicefällen zu erfüllen, um übrigen die teilnehmende Einrichtung, zu dem der Betroffene ihren größten Bezugspunkt hat. Für gemeinsam genutzte Plattformen setzt der Anbieter diese um, sofern dies nicht durch die teilnehmende Einrichtung bei Bestellungen über WebShop4All als Verantwortlichen zu leisten ist.

Datenschutzdesign und Datensicherheit

Die Konzeption für „Privacy by design“, datenschutzfreundliche Voreinstellungen und die Umsetzung der Datensicherheit (u.a. Artt. 5, 24, 25, 32, 35 und 36 DSGVO, Abschnitt 4 TMG),  setzt die teilnehmende Einrichtung für seine Betroffenen um, soweit dies nicht dem Anbieter der Plattform, dem Auftragnehmer oder dem Hersteller obliegt.

Sicherheitsvorfälle und Datenschutzverletzungen

Die teilnehmenden Einrichtungen melden eigenverantwortlich Datenschutzverletzungen an die jeweils für sie zuständige Datenschutzaufsichtsbehörde und benachrichtigen unter den Voraussetzungen des Art. 34 DSGVO auch eigenständig die Betroffenen. Zudem sind Sicherheitsvorfälle und Datenschutzverletzungen auch der Stabsstelle Informationssicherheit der bayerischen staatlichen Hochschulen und Universitäten zu melden. Diese unterstützt bedarfsgerecht bei Meldung,  Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen sowie  ggf. erforderlichen Benachrichtigungen an Betroffene.

Anlaufstelle für Betroffene 

Die Betroffenen können sich an jede teilnehmende Einrichtung wenden. Die angefragte teilnehmende Einrichtung ist verpflichtet, die Anfrage des Betroffenen unverzüglich an die zuständige teilnehmende Einrichtung weiterzuleiten.

Ergänzend dient die Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen als Anlaufstelle für Betroffene. 

Haftung

Unbeschadet der Regelungen dieses Vertrages haften die teilnehmenden Einrichtungen für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind. Ist eine Zuordnung der Haftungsanteile nicht möglich, wird die Haftung anteilig nach dem Auftragsvolumen gebildet.

Sonstiges

Jeder Verantwortliche ist berechtigt Auftragsverarbeiter einzusetzen. Vor der Beauftragung ist die Anlaufstelle zu informieren. Als federführende Aufsichtsbehörde wird der Bayerische Landesbeauftragte für den Datenschutz festgelegt. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (Art. 16 BayHSchG, § 4 VgV sowie die BayHO) sowie die Verträge und Vergaben (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden in der Regel 10 Jahre nach dem Entstehen gelöscht. Das Archivrecht bleibt unberührt. Diese Vereinbarung wird ergänzt um die tatsächlichen teilnehmenden Einrichtungen und Betroffenenrechte unter https://www.rechenzentren-bayern.de/ veröffentlicht.

Rechte der Betroffenen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
  • Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.