1. Überblick zum Datenschutz
1.1. Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit personenbezogenen Daten passiert, wenn Sie das EVH-Portal nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
1.2. Datenerfassung im EVH-Portal, Datenspeicherung
Die Datenverarbeitung im EVH-Portal erfolgt durch das Deutsche Zentrum für Infektionsforschung (DZIF) und den Partnern im EVH-Projekt. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur verantwortlichen Stelle“ in dieser Datenschutzerklärung entnehmen. Daten werden beispielsweise dadurch erhoben, indem diese von den Nutzer:innen im EVH-Portal eingegeben werden. Daten werden automatisch bei der Nutzung des EVH-Portals durch IT-Systeme des DZIF erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie das EVH-Portal betreten. Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung des EVH-Portals zu gewährleisten. Alle Daten werden auf einem Server im Geltungsbereich der EU-DSGVO gespeichert. Wir berücksichtigen bei der Datenweitergabe an externe Dienstleister das Grundprinzip der Datensparsamkeit. Auskunft über Daten, Sperrung oder Löschung von Daten kann der Betroffene schriftlich über die E-Mail-Adresse datenschutz@dzif.de beantragen. Sollte ein widerrechtlicher Zugriff auf die Daten unseres Servers erkannt werden, so wird dies umgehend an den Datenschutzbeauftragten des DZIF gemeldet werden. Der/die Betroffene wird über den Fremdzugriff informiert.
Das EVH-Portal nutzt für die Verarbeitung von personenbezogenen Daten verschiedene Dienste. Je nach Dienst kann die Speicherdauer der Daten variieren. Die konkrete Speicherdauer für den entsprechenden Dienst ist der jeweiligen Datenschutzerklärung zu entnehmen.
1.3. Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem das Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Unter Ziff. 3.7., 3.8. und 3.9. sind nähere Angaben zu Betroffenenrechten zu finden.
2. Auftragsverarbeitung und Hosting
2.1. Auftragsverarbeiter
| Externer Dienstleister | Sitz und Anschrift | Zwecke der Verarbeitung | Datenkategorien |
|---|---|---|---|
| Hetzner | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany | Hoster | s. die Auflistung der Datenkategorien unten |
| Brevo | Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Germany | E-Mails an die Nutzer:innen der Plattform werden zukünftig über die vom Dienstleister bereitgestellte Infrastruktur verschickt | E-Mail-Adresse, Vor- und Nachname |
2.2. Externes Hosting
Für die Webseite werden Server der Firma Hetzner genutzt.
3. Allgemeine Hinweise und Pflichtinformationen
3.1. Datenschutz
Das DZIF/die EVH-Projektpartner behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wenn Sie das EVH-Portal nutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen (siehe Ziff. 6 der Datenschutzerklärung). Sie erläutert auch, wie und zu welchem Zweck das geschieht. Wir weisen darauf hin, dass die Datenübertragung im Internet Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
3.2. Hinweise zur verantwortlichen Stelle im Rahmen der Verarbeitung von personenbezogenen Daten
Die verantwortliche Stelle für die Datenverarbeitung im EVH-Portal ist:
Deutsches Zentrum für Infektionsforschung e. V.
Inhoffenstr. 7
38124 Braunschweig
Telefon: 0049531 6181 1152
E-Mail: datenschutz@dzif.de
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
3.3. Speicherdauer der Daten
Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben personenbezogene Daten im EVH-Portal, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.
3.4. Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung im EVH-Portal
Die Datenverarbeitung basiert zum einen auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO, insofern es sich bei der Nutzung des EVH-Portals um Mitarbeitende am EVH-Projekt und dessen Partnern handelt.
3.5. Externer Datenschutzbeauftragter
Als externer Datenschutzbeauftragter benannt ist die
BREDEX GmbH | Lindentwete 1 | 38100 Braunschweig
Telefon: 0531-243300
E-Mail: edsb@bredex.de
3.6. Datenweitergabe an Drittstaaten; Drittstaatentransfer
Das DZIF/EVH-Projekt nutzt Tools, die Daten in der EU bzw. im EWR verarbeiten. Es ist jedoch nicht auszuschließen, dass Daten bei der Nutzung des EVH-Portals in datenschutzrechtlich nicht sicheren Drittstaaten verarbeitet werden.
3.7. Widerruf im Falle einer Einwilligung zur Datenverarbeitung
Sie können die Datenverarbeitung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Bei einem Widerruf besteht nicht mehr die Möglichkeit, das EVH-Portal zu nutzen.
3.8. Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
3.9. Weitere Betroffenenrechte
3.9.1. Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
3.9.2. Auskunft, Berichtigung und Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.
3.9.3. Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen. Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
4. Datenerfassung im EVH-Portal
Die Datenerfassung im EVH-Portal erfolgt durch Verwendung nachstehender Dienste im DZIF/EVH-Projekt.
4.1. EVH SSO
Die Nutzer:innenaccounts, Gruppen, Gruppenmitgliedschaften und globale Rollen werden in Keycloak als zentralem Login verwaltet, sogenannter Single Sign On Login (SSO). Über den SSO können alle angeschlossenen Dienste eine Authentifizierung der im SSO gespeicherten Benutzer:innenaccounts durchführen. Es werden globale Rollen im EVH definiert, die unabhängig von einem konkreten Service und einer konkreten Zuordnung zu einem Standort gegeben sind. Die konkrete Zuordnung zu einem Projekt oder Standort erfolgt über im SSO hinterlegte Gruppenmitgliedschaften. Die genannten Informationen werden gespeichert. Nutzer:innen werden über das Admin-Interface freigeschaltet. Wenn Nutzer:innen freigeschaltet werden, erhalten sie Zugriff zu den verschiedenen Diensten des EVH-Portals, welche im Folgenden näher beschrieben sind. Nutzer:innen können über das Gruppen-Interface selbständig Anträge auf Gruppen-Mitgliedschaft stellen. Diese Anträge werden von den Gruppen-Administratoren bearbeitet. Durch die Gruppenzugehörigkeit erhalten Nutzer:innen automatisch Zugang zu den Gruppen-spezifischen Inhalten (Cloud-Ordnern, Chat-Gruppen, Mailing-Liste etc.).
4.2. EVH Cloud
Als Cloud-Lösung wird die Open-Source Software Nextcloud selber gehostet und verwaltet. Hier können Dokumente und Dateien ausgetauscht und kollaborativ daran gearbeitet werden. Dabei werden neben Datei-Metadaten (Informationen über hochgeladene Dateien, Ordnerstruktur und Berechtigungen) auch Protokolldaten (Aktivitäten wie Anmeldenamen, Anmeldedatum, Anmeldeuhrzeit, Dateiänderungen und Zugriffsversuche) erfasst und gespeichert, um die Sicherheit und Integrität des Systems zu gewährleisten. Bei dem Bearbeitungsverlauf im „Zusammenarbeitsmoduls“, also wenn mehrere Nutzer:innen an Dokumenten arbeiten, werden Änderungen, Kommentare und Bearbeitungshistorien erfasst, um die Zusammenarbeit zu ermöglichen und zu sichern.
4.3. E-Mail
Die E-Mail-Adressen werden zum Zwecke der internen Kommunikation verwendet. Dies geschieht beispielsweise durch den Versand eines Newsletters oder technischer Benachrichtigungen.
4.4. Open Researcher and Contributor ID (ORCID)
Die in der Registrierung abgefragte ORCID (https://orcid.org/) wird genutzt, um Informationen zur wissenschaftlichen Arbeit (Publikationen und Poster) der Nutzer:innen abzufragen und diese intern im EVH-Portal anzuzeigen. Diese Informationen sind nur für im EVH-Portal eingeloggte Nutzer:innen verfügbar. Eine Weitergabe der ORCID an Dritte ist ausgeschlossen. Die über die ORCID abgefragten Daten sind öffentlich verfügbare Information, welche in ORCID selbst (https://orcid.org/), auf PubMed (https://pubmed.ncbi.nlm.nih.gov/) oder Web of Science (https://www.webofscience.com/) zu finden sind. Diese Information wurden über deren öffentliche Entwicklungsschnittstellen und Webseiten extrahiert. Folgende Informationen zu den Publikationen tragen wir zusammen:
- Titel
- Abstract
- Publikationsdatum
- Autor:in/Co-Autor:innen
- Kategorisierungen (z. B. MESH-Terms)
- Verlinkungen
- Affiliations Ein Verfügbarmachen der o. g. Informationen an externe Dienstleister oder eine Veröffentlichung (bspw. eine öffentliche Team-Seite) ist nicht vorgesehen und bedarf der expliziten Zustimmung der Nutzer:in.
5. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Datenverarbeitung basiert auf dem berechtigten Interesse nach Art. 6 Abs. 1 insofern es sich bei der Nutzung des EVH-Portals um Mitarbeitende am EVH-Projekt und dessen Partnern handelt.
6. Personengruppen und Datenkategorien
6.1. Personengruppen
Betroffene Personengruppen bei der Datenverarbeitung sind Mitarbeitende am EVH-Projekt und dessen Partnern.
6.2. Datenkategorien
Bei der Datenverarbeitung werden folgende personenbezogene Daten erhoben und gespeichert:
- User ID
- Nutzer:innenname/Anmeldename
- Rolle(n) und Gruppenzugehörigkeiten
- Informationen über wissenschaftliche Tätigkeiten (Projekt-, Arbeitsgruppen- und Institutionszugehörigkeit, Funktion in Projekten, Publikationen (optional), ORCID (optional) usw.)
- Speicherung von Zugangsdaten und Gruppenzugehörigkeit, bspw. Mitglied(er) und/oder Manager:in
- E-Mail-Adresse (nur geschäftlich)
- Vorname
- Nachname
- Anrede (optional)
- Profilbild (optional)
- Credentials (Zugangsberechtigung, Anmelde-Name und Passwort)
- User-Profile (akademischer Titel (optional), Funktion usw.)
- Dateiablage, Kalender und Funktionen zum Management von Projekten
- Kommunikation auf und über die Plattform (Mailinglisten, Kontaktlisten, Chat und Diskussionsforen)
- Kollaboration über geteilte Dateien und Ordner
- Speicherung von Zugangsdaten und Gruppenzugehörigkeit
- Zugriffe auf die Website (verkürzte IP-Adresse, Zeitstempel, aufgerufene Seite im Webauftritt, Art des Clients, Clientversion und Minimaleinstellungen z. B. Bildschirmauflösung)