Datenschutzerklärung des Leibniz-Rechenzentrums der Bayerischen Akademie der Wissenschaften (LRZ)

Präambel

Wenn Sie Dienste des Leibniz-Rechenzentrums der Bayerischen Akademie der Wissenschaften (LRZ) verwenden, vertrauen Sie uns Daten an, mit denen Sie identifiziert werden können. Solche Daten nennt man personenbezogene Daten. Die EU-Datenschutz-Grundverordnung (DSGVO) enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 DSGVO). In dieser Datenschutzerklärung erfahren Sie, welche Daten von uns erfasst werden, zu welchen Zwecken wir die Daten erfassen und was wir mit den erfassten Daten tun. Unsere Datenschutzerklärung gilt für alle Dienste, die von uns als Verantwortlicher angeboten und von Ihnen genutzt werden können.

Das LRZ ist der IT-Dienstleister für die Münchner Universitäten und Hochschulen sowie weiterer wissenschaftsnaher Organisationen und Einrichtungen und ist somit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig. Wenn Sie also Mitarbeiter oder Student einer Einrichtung sind, die ihre IT-Dienstleistungen vom LRZ bezieht, so ist die verantwortliche Stelle für die Verarbeitung Ihrer personenbezogenen Daten die jeweilige Einrichtung. Die Informationspflichten der DSGVO bei Erhebung von personenbezogenen Daten (Art. 13ff DSGVO) betreffen dabei nur die jeweilige verantwortliche Stelle, nicht jedoch den Auftragsverarbeiter. Das LRZ empfiehlt Mitarbeitern und Studierenden der genannten Einrichtungen, ihre Rechte nach der DSGVO direkt bei ihren Einrichtungen geltend zu machen. Dabei unterstützt das LRZ Einrichtungen, denen sie IT-Dienstleistungen zur Verfügung stellt, bei der Erfüllung ihrer aus der DSGVO resultierenden Pflichten. Sollte uns eine Auskunftsersuchen einer Person erreichen, deren Daten wir nur als Auftragsverarbeiter verarbeiten, werden wir dieses Auskunftsersuchen an die jeweilige verantwortliche Stelle weiterleiten.

Wir haben uns um eine möglichst einfache und verständliche Darstellung bemüht. Einige Fachbegriffe lassen sich allerdings nicht vermeiden.

Name und Anschrift der für die Verarbeitung verantwortlichen Stelle

Verantwortlicher im Sinne der EU-Datenschutz-Grundverordnung (DSGVO), sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer datenschutzrechtlicher Bestimmungen ist das

Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften
Boltzmannstraße 1
85748 Garching b. München
Deutschland

Tel. 089-35831-8000
E-Mail:leitung@lrz.de

Kontaktdaten des Datenschutzbeauftragten

Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften
Der Datenschutzbeauftragte
Boltzmannstraße 1
85748 Garching b. München
Deutschland

Tel. 089-35831-8738
E-Mail: datenschutz@lrz.de

Welche Daten wir über Sie verarbeiten und Zwecke der Datenverarbeitung

Wir erfassen Informationen auf folgende Arten:

  • Daten, die Sie uns selbst mitteilen
    • Zur Nutzung vieler unserer Dienste müssen Sie eine Kennung (https://www.lrz.de/services/kennung/) besitzen. Zur Erstellung dieser Kennung bitten wir Sie bzw. den für Sie zuständigen Master-User oder sogenannten Teil-Admin Ihrer Einrichtung um die Angabe Sie betreffender personenbezogener Daten. Dies sind Ihr Name, Ihre E-Mail-Adresse, Ihre Telefonnummer, die Organisation oder das Institut, dem Sie angehören oder das Projekt, für das Sie tätig sind. Die über Sie bei uns gespeicherten Informationen können Sie in unserem ID-Portal (https://idportal.lrz.de) jederzeit einsehen. Dort finden Sie auch Informationen zu den für Sie zuständigen LRZ-Betreuern, Master-Usern und Ihren IT-Dienste-Berechtigungen.
    • Die Aufnahme von Störungsmeldungen bzw. Service-Requests erfolgt in der Regel über unseren Service-Desk (https://servicedesk.lrz.de). Nach erfolgreicher Anmeldung mit Ihrer Kennung werden Ihre im ID-Portal hinterlegten Kontaktdaten (E-Mail-Adresse, Telefon-Nr. etc.) ausgelesen und auch in unserem Ticket-System hinterlegt. Sie können uns außerdem zusätzlich alternative Kontaktdaten nennen, unter denen wir Sie bei Rückfragen, Statusmitteilungen oder Antworten erreichen können.
    • Neben dem zentralen Service-Desk-Portal gibt es zusätzliche Formulare für die Erstellung von Service-Requests, und zwar z.B. für
      • Einrichtung von LRZ-Webservern, Konferenz-WLANs oder einer Mailman-Mailingliste
      • Einrichtung von Mail-Funktionsadressen, Studenten- und Gastkennungen
      • Anmeldung zu einem unserer Kurse
      • Anfragen über unser Teiladmin-Portal
      • Bestellung von Schriften oder Software sowie dem Druck von Postern
      • Nutzung von Höchstleistungssystemen (SuperMUC, Linux-Cluster) oder nachgelagerter Dienstkomponenten (z.B. zur Visualisierung Ihrer Daten)
      Dabei erheben wir formular-basiert auf den jeweiligen Zweck bezogen personenbezogene Daten von Ihnen wie Name, E-Mail-Adresse, Organisation und Institut, an dem Sie tätig sind, oder das Projekt. Diese Erhebung erfolgt zum Zweck der Prüfung Ihres Antrags und zur Kontaktaufnahme mit Ihnen.
    • Das LRZ verarbeitet die personenbezogenen Daten von Bewerbern zum Zwecke der Abwicklung eines Bewerbungsverfahrens. Schließt das LRZ einen Anstellungsvertrag mit einem Bewerber, werden die übermittelten Daten zum Zwecke der Abwicklung des Beschäftigungsverhältnisses unter Beachtung der gesetzlichen Vorschriften gespeichert. Wird kein Anstellungsvertrag mit dem Bewerber geschlossen, so werden die Bewerbungsunterlagen sechs Monate nach Bekanntgabe der Absageentscheidung gelöscht.
    • Zur Verbesserung unserer Dienste bzw. um Ihre Anforderungen an neue Dienste besser berücksichtigen zu können, führt das LRZ regelmäßig Umfragen zu verschiedenen Themenfeldern durch. Bei einer Umfrage können auch personenbezogene Daten von Ihnen erhoben werden wie Name, E-Mail-Adresse und Organisation und Institut, für das Sie tätig sind. Diese Daten dienen ausschließlich der Kontaktaufnahme mit Ihnen, um Verbesserungen oder Anforderungen an neue Dienste persönlich abklären zu können.
  • Daten, die wir aufgrund Ihrer Nutzung unserer Dienste erhalten
    Wenn Sie einen unserer Dienste (VPN, WLAN, ...) nutzen oder eine unserer Webseiten aufrufen, verarbeiten wir folgende Daten:
    • Protokolldaten
      In Server- und Dienstprotokollen werden die Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, gespeichert. Zu diesen Daten zählen je nach Dienst: Ihre Kennung oder E-Mail-Adresse, die IP-Adresse und MAC-Adresse des Geräts, von dem aus Sie auf unseren Dienst zugegriffen haben, die Dauer der Dienstnutzung, Browser-Typ und Browser-Sprache.
    • Standortbezogene Informationen
      Wenn Sie LRZ-Dienste nutzen, erfassen und verarbeiten wir möglicherweise Informationen über ihren tatsächlichen Standort. Wir verwenden hierfür etwa die von Ihnen verwendete IP-Adresse oder den Namen des von Ihnen genutzten WLAN-Access-Points.

Wir nutzen die im Rahmen unserer Dienste erhobenen Daten zur Bereitstellung von Diensten, zur Entdeckung, Eingrenzung sowie Beseitigung von Störungen, zur Verbesserung unserer Dienste sowie der Entwicklung neuer Dienste als auch zum Schutz des LRZ, der von ihr betriebenen IT-Infrastruktur und unserer Nutzer.

Die durch die Dienstnutzung erhobenen Protokolldaten werden teilweise automatisiert und skriptbasiert ausgewertet, um Fehler und Störungen frühzeitig erkennen und beheben zu können. Diese Daten bilden zudem die Grundlage für die Erstellung von Statistiken, etwa bei der Nutzung unserer Storage- oder Compute-Cloud-Dienste.

Wir verwenden den von Ihnen bzw. von dem für Sie zuständigen Master-User oder Teil-Admin angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, deren Nutzung die Eingabe einer Kennung erfordert, zur Kontaktaufnahme mit Ihnen.

Das Security-Team wertet zur Gewährleistung von Netz- und Informationssicherheit Teile der von Ihnen erzeugten Verbindungsdaten (gemäß §100 TKG in Verbindung mit §109a TKG) aus, um Sie selbst oder die für die jeweilige Einrichtung zuständigen Personen über sicherheitsrelevante Auffälligkeiten zu informieren.

Durch diese Vorgehensweise werden folgende gesetzliche Bestimmungen umgesetzt: § 13 Abs. 7 TMG, § 100 Abs. 1 TKG (Ausweitung des Störungsschutzes), Art. 11 Abs. 1 S. 1 BayEGovG, Art. 32 DSGVO.

  • Daten, die Sie aufgrund Ihrer Nutzung unserer Dienste erhalten
    • Cookies
      Ein Cookie ist eine kleine Textdatei, die auf Ihrem Zugangsgerät gespeichert wird, um eine eindeutige Zuordnung bei einer interaktiven Webanwendung zu ermöglichen. Die web-basierten Dienste des LRZ setzen Cookies ausschließlich zu diesem Zweck der eindeutigen Kommunikation ein. Es findet keine weitere Verarbeitung oder Auswertung statt.

Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Das Leibniz-Rechenzentrum ist ein Akademieinstitut, das für die Bayerische Akademie der Wissenschaften und für weitere Einrichtungen des Freistaats Bayern IT-Dienstleistungen erbringt und Forschungs- und Entwicklungsarbeiten durchführt (§ 22 der Satzung der Bayerischen Akademie der Wissenschaften). Die Zusammenarbeit des LRZ mit anderen Hochschulen ist dabei gesetzlich festgeschrieben (§ 16 Abs. 1 S. 2 Bayerisches Hochschulgesetz). Beim LRZ handelt es sich daher um eine öffentliche Stelle im Sinne des BayDSG.

Sofern Sie unsere Dienste aufgrund unseres gesetzlichen Auftrags nutzen, ist dieser gesetzliche Auftrag die Rechtsgrundlage zur Verarbeitung Ihrer personenbezogenen Daten (Art. 6 Abs. 1 lit. e DSGVO).

In anderen Fällen ist ein Vertrag die Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 lit. b DSGVO).

Sofern Daten aufgrund gesetzlicher Bestimmungen verarbeitet werden, ist dies ein Fall des Art. 6 Abs. 1 lit. c DSGVO.

Sofern bei einem Dienst freiwillig personenbezogene Daten angegeben werden können, die für den Betrieb des Dienstes nicht essentiell sind, verarbeiten wir diese personenbezogenen Daten auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Übermittlung personenbezogener Daten in Drittländer oder internationale Organisationen

Eine Übermittlung Ihrer personenbezogenen Daten an andere Einrichtungen findet in der Regel nicht statt. In seltenen Fällen ist das LRZ auf die Unterstützung bei der Eingrenzung und Beseitigung von Störungen an einem Dienst angewiesen und hat hierfür entsprechende Support- und Wartungsverträge mit externen Firmen geschlossen. Die Verarbeitung personenbezogener Daten ist dabei grundsätzlich nicht Teil des Aufgabenbereichs der externen Firmen. Die externen Firmen haben aber potentiell Zugriff auf bestimmte Kategorien von personenbezogenen Daten (IP-Adressen, LRZ-Kennung). Das LRZ muß zur Aufgabenerfüllung der externen Firma dieser mitunter Daten wie z.B. Protokolldaten oder Speicherauszüge, die auch personenbezogene Daten enthalten können, übermitteln. Derlei lässt sich trotz entsprechender Maßnahmen nicht immer vermeiden, da wir ansonsten unsere Dienste nicht in der bekannten Qualität und Verfügbarkeit anbieten könnten. Mittels entsprechender Verträge sind diese externen Firmen verpflichtet, Ihre in der DSGVO und in anderen datenschutzrechtlichen Bestimmungen festgelegten Rechte zu wahren. Dazu gehört u.a., dass die Daten von den externen Firmen nach Abschluss der Support- oder Wartungsarbeiten unverzüglich gelöscht werden. Zum Teil befinden sich Abteilungen dieser externen Firmen in Drittstaaten. Übermittlungen finden aber nur in jene Länder statt, für welche die EU-Kommission entschieden hat, dass sie über ein angemessenes Datenschutzniveau verfügen, oder wir setzen Maßnahmen um, die gewährleisten, dass alle Empfänger ein angemessenes Datenschutzniveau haben. Dazu schließen wir beispielweise Verträge nach den EU-Standarddatenschutzklauseln ab.

Dauer der Speicherung und routinemäßige Löschung bzw. Sperrung von personenbezogenen Daten

Das LRZ verarbeitet und speichert personenbezogene Daten nur für den Zeitraum, der zur Erfüllung des jeweiligen Zwecks (z.B. Nutzung eines bestimmten Dienstes) erforderlich ist. Sofern gesetzliche Vorschriften, welche das LRZ anzuwenden hat, anderes vorsehen (z.B. Aufbewahrungsfristen), richtet sich die Speicherdauer danach.

Entfällt der jeweilige Zweck oder läuft eine vom Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.

Ihre Rechte als von einer Verarbeitung betroffenen Person

Wenn wir von Ihnen im Rahmen unserer Dienste personenbezogene Daten als Verantwortlicher verarbeiten, haben Sie nach der DSGVO die im Folgenden dargestellten Rechte. Möchten Sie diese Rechte in Anspruch nehmen, wenden Sie sich bitte über unseren Service-Desk (https://servicedesk.lrz.de) an den Datenschutzbeauftragten des LRZ.

  • Recht auf Auskunft
    Sie haben das Recht, unentgeltlich Auskunft über die gespeicherten personenbezogenen Daten und eine Kopie dieser Daten zu erhalten.
  • Recht auf Berichtigung, Ergänzung und Löschung
    Sie haben das Recht, die Berichtigung, Ergänzung oder die Löschung Ihrer personenbezogenen Daten, die unrichtig sind oder nicht rechtskonform verarbeitet werden, zu verlangen.
  • Recht auf Einschränkung der Verarbeitung
    Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine Voraussetzungen des Art. 18 Abs. 1 DSGVO gegeben ist.
  • Recht auf Datenübertragbarkeit
    Sie haben das Recht auf Datenübertragbarkeit der Sie betreffenden personenbezogenen Daten (Art. 20 DSGVO).
  • Recht auf Widerspruch und Widerruf der Einwilligung
    Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, wenn die Voraussetzungen des Art. 21 DSGVO gegeben sind, oder die für das Verarbeiten zuvor gegebene Einwilligung zu widerrufen.
  • Beschwerderecht
    Der sichere und den datenschutzrechtlichen Anforderungen angemessene Umgang mit Ihren persönlichen Informationen besitzt für das LRZ eine sehr hohe Priorität. Sollten Sie dennoch der Auffassung sein, dass das LRZ bei der Verarbeitung Ihrer personenbezogenen Daten gegen gesetzliche, datenschutzrechtliche Vorschriften verstößt, können Sie sich an eine Aufsichtsbehörde wenden.

Anmerkung zum Schluß

Das LRZ legt großen Wert auf hohe Service-Qualität und Datensicherheit. Wenn Sie Fragen, Anregungen oder Wünsche haben, können Sie sich gerne über unseren Service-Desk (https://servicedesk.lrz.de) an den Datenschutzbeauftragten des LRZ wenden.

Die Aufsichtsbehörde für die öffentlichen Einrichtungen des Freistaats Bayern ist der Bayerische Landesbeauftragte für den Datenschutz, die Sie unter https://www.datenschutz-bayern.de erreichen. Dort finden Sie weitergehende Informationen zum Datenschutz.