Verantwortliche
Datenschutzbeauftragte der Verantwortlichen
Diese können Sie über die Anlaufstelle für Betroffene erreichen. Eine vertrauliche und pseudonyme Kommunikation ist über Threema möglich.
Gemeinsame Zwecke und Art der Verarbeitung
Ausschreibung und Bewirtschaftung der Beitritte der bayerischen Hochschulen, Universitäten, Universitätsklinika und sonstigen Einrichtungen zum ISMS Rahmenvertrag geplant für den Zeitraum 01.04.2022 – 31.03.2026 (voraussichtlich).
Eingesetzte Mittel
Abhängig vom Projektstand werden folgende Mittel eingesetzt:
- Besprechungslösungen (wie Zoom, Cisco WebEx oder Jitsi Meet) der teilnehmenden Einrichtungen für Besprechungen und Abstimmungen
- E-Vergabe-Plattform der Julius-Maximilians-Universität Würzburg
- Mailinglisten der Friedrich-Alexander-Universität Erlangen-Nürnberg
- Microsoft Teams der Julius-Maximilians-Universität Würzburg für die Vertragsbetreuenden
- Online-Umfrage-Lösungen der Universität Augsburg
- Threema Education der Julius-Maximilians-Universität Würzburg
- Webseite der Rechenzentren der bayerischen Universitäten und Hochschulen
- WebShop4All der Julius-Maximilians-Universität Würzburg
Kategorien von Empfängern
Empfänger können Bieter und Auftragnehmer, Unterauftragsverarbeiter der Auftragnehmer, Hersteller und deren Unterauftragsverarbeiter sowie teilnehmende Einrichtungen und deren Unterauftragsverarbeiter sein.
Rechte der Betroffenen
Die Ausgestaltung der Umsetzung verantwortet die teilnehmende Einrichtung, zu denen Betroffene ihren größten Bezugspunkt haben. Letzteres ist insbesondere dann der Fall, wenn die teilnehmende Einrichtung die konkrete Datenverarbeitung gegenüber dem Betroffenen veranlasst und/oder durchführt.
Informations- und Dokumentationspflichten
Soweit nicht Auftragnehmer, Hersteller oder deren Auftragsverarbeiter die Informationspflichten gegenüber den Betroffenen in Servicefällen erfüllen, verantwortet diese jeweils die teilnehmende Einrichtung, zu denen Betroffene ihren größten Bezugspunkt haben. Für gemeinsam genutzte Plattformen setzt der Anbieter diese um, sofern dies nicht durch die teilnehmende Einrichtung bei Bestellungen über WebShop4All als Verantwortlichen zu leisten ist.
Die Datenschutzdokumentation wird gemeinsam verantwortet, federführend jeweils von den Verantwortlichen, die das Mittel bereitstellten.
Datenschutzdesign und Datensicherheit
Die Konzeption für „Privacy by design“, datenschutzfreundliche Voreinstellungen und die Umsetzung der Datensicherheit (u.a. Artt. 5, 24, 25, 32, 35 und 36 DSGVO, Abschnitt 4 TMG), setzt jede teilnehmende Einrichtung für seine Betroffenen um, soweit dies nicht dem Anbieter der Plattform, dem Auftragnehmer oder dem Hersteller obliegt.
Sicherheitsvorfälle und Datenschutzverletzungen
Die Parteien melden eigenverantwortlich Datenschutzverletzungen an die jeweils für sie zuständige Datenschutzaufsichtsbehörde und benachrichtigen unter den Voraussetzungen des Art. 34 DSGVO auch eigenständig die Betroffenen. Sicherheitsvorfälle und Datenschutzverletzung sind stets auch der Stabsstelle Informationssicherheit der bayerischen staatlichen Hochschulen und Universitäten zu melden. Diese unterstützt bedarfsgerecht bei Meldung, Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen sowie ggf. erforderlichen Benachrichtigungen an Betroffene.
Anlaufstelle für Betroffene
Die Betroffenen können sich an jede teilnehmende Einrichtung wenden. Die angefragte teilnehmende Einrichtung ist verpflichtet, die Anfrage des Betroffenen unverzüglich an die zuständige teilnehmende Einrichtung weiterzuleiten.
Ergänzend dient die Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen als Anlaufstelle für Betroffene.
Haftung
Unbeschadet der Regelungen dieses Vertrages haften die teilnehmenden Einrichtungen für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind. Ist eine Zuordnung der Haftungsanteile nicht möglich, wird die Haftung anteilig nach Auftragsvolumen gebildet.
Sonstiges
Jeder Verantwortliche ist berechtigt Auftragsverarbeiter einzusetzen. Vor der Beauftragung ist die Anlaufstelle zu informieren. Als federführende Aufsichtsbehörden wird der Bayerische Landesbeauftragte für den Datenschutz festgelegt. Rechtsgrundlage der Verarbeitung ist regelmäßig Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (Art. 16 BayHSchG, § 4 VgV sowie die BayHO) sowie die Verträge und Vergaben (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden in der Regel 10 Jahre nach dem Entstehen gelöscht. Das Archivrecht bleibt unberührt. Diese Vereinbarung wird ergänzt um die tatsächlichen teilnehmenden Einrichtungen und Betroffenenrechte unter https://www.rechenzentren-bayern.de/ veröffentlicht.
Rechte der Betroffenen
Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:
- Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
- Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
- Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
- Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
- Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.