Hintergründe de en Datenschutzkonzept Verschlüsselungsdetails Häufig gestellte Fragen Entstehungsgeschichte Impressum Datenschutz Kontakt

Datenschutz

Der Schutz Ihrer Daten ist uns ein wichtiges Anliegen. Wir möchten, dass Sie wissen, wann wir welche Daten speichern und wie wir sie verwenden. Personenbezogene Daten werden in unserem IT-Dienst zur sicheren Nachverfolgung von Infektionsketten, im Folgenden QRONITON-Dienst genannt, nur zum Zweck der Bewältigung der Corona-Krise und nur im technisch notwendigen Umfang erhoben. Wir verarbeiten personenbezogene Daten, die bei der Nutzung des QRONITON-Dienstes erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen. Die Datenverarbeitung unterliegt den geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO), dem Bayerischen Datenschutzgesetz (BayDSG) und dem Telemediengesetz (TMG).

Im Folgenden informieren wir Sie nach Art. 14 DSGVO über die Erhebung personenbezogener Daten im Rahmen der Datenverarbeitung des QRONITON-Dienstes. Technische Hintergründe zum Datenschutzkonzept werden auf einer separaten Seite bereitgestellt. → Weitere Informationen

Unsere Datenschutzerklärung ist wie folgt gegliedert:

(1) Informationen über uns als Verantwortliche
(2) Rechte der Nutzer und Betroffenen
(3) Informationen zur Datenverarbeitung

Informationen über uns als Verantwortliche

Verantwortliche Stelle

Technische Universität München
vertreten durch ihren Präsidenten
80290 München

hier handelnd

der Lehrstuhl für Netzarchitekturen und Netzdienste
Prof. Dr.-Ing. Georg Carle
Boltzmannstr. 3
85748 Garching bei München
Tel. +49 89 289 18030
Fax +49 89 289 18033
Email:

Unser Datenschutzbeauftragter

Der Datenschutzbeauftragte
der Technischen Universität München
Postanschrift: Arcisstr. 21, 80333 München
Telefon: +49 89 289 17052
Email:

Auftragsverarbeitung durch

Leitwert GmbH
vertreten durch den Geschäftsführer
Dr. Johann Schlamp
Donaustr. 17
85049 Ingolstadt
Tel. +49 841 93768493
Email:

Rechte der Nutzer und Betroffenen

Hinsichtlich dieser Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

• Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).

• Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).

• Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).

• Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. Über Ihr Widerspruchsrecht informieren wir Sie gesondert.

Informationen zur Datenverarbeitung

Die Erhebung, Verarbeitung, Nutzung und Übermittlung von personenbezogenen Daten erfolgt jeweils nur in dem Umfang, der für den Verarbeitungszweck erforderlich ist.

Verarbeitungszweck

Der QRONITON-Dienst dient dem Infektionsschutz. Durch Kontaktnachverfolgung bei Veranstaltungen oder bei Aufenthalten in öffentlichen Einrichtungen soll den Gesundheitsbehörden die Nachverfolgung von Infektionsketten erleichtert werden.

Rechtsgrundlage dieser Verarbeitung

Rechtsgrundlage der Erhebung, Speicherung und Übermittlung der Daten ist Art. 6 Abs. 1 Buchstaben c bzw. d DSGVO und Art. 9 Abs. 2 Buchstabe i DSGVO i.V.m. Art. 4 Abs. 1; Art. 5 Abs. 1 S. 1 Nr. 1 BayDSG auf Grundlage von BayIfSMV, IfSG, § 21 SGB VII.

Kategorien und Herkunft der erhobenen Daten

Die den Gesundheitsbehörden im Bedarfsfall zur Nachverfolgung von Infektionsketten zur Verfügung gestellten Daten sind die von den Nutzern des QRONITON-Dienstes eingegebenen Daten:

• Name, Campus-Kennung und Einrichtung
• Telefonnummer
• Postleitzahl
• Geburtsjahr
• Aufenthaltsort, Zeitpunkt und Dauer
• Kontaktintensität

Daten, die zur Diensterbringung anfallen

• Verkehrs- und Logdaten auf Servern
• Standortdaten in ausgedruckten QR-Codes
• Steuerungsdaten im Browser-Cache

Empfänger und Datentransfer

Zugriff auf personenbezogene Daten wird nur Personen folgender Institutionen gewährt, die diese Daten zur Durchführung ihrer Aufgaben im Rahmen des Verarbeitungszwecks benötigen:
• Gesundheitsämter
• Robert Koch Institut
• Forschungseinrichtungen
Rechtsgrundlage für die Zugriffsberechtigung sind §§ 16 Abs. 2 und § 25 Abs. 2 IfSG. Es findet kein Export von personenbezogenen Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes (EWR) statt. Die von der verantwortlichen Stelle eingeschalteten Dienstleister haben ihren Sitz und betreiben ihre IT-Infrastruktur ausschließlich innerhalb des EWR. Dies gilt auch für eine Nutzung von Cloud-basierten IT-Diensten. Mit den Dienstleistern bestehen Verträge, die den Datenschutz- und Datensicherheits-Vorgaben der DSGVO entsprechen. Auch im Falle der Einschaltung von externen Dienstleistern bleiben wir die für die Verarbeitung von personenbezogenen Daten verantwortliche Stelle.

Speicherdauer und Löschung

Kontaktdaten der Nutzer werden mehrfach verschlüsselt. Diese werden beim Auftragsverarbeiter verschlüsselt gespeichert und bleiben bis hin zu konkreten Infektionsfällen unzugänglich. Ausschließlich Kontaktdaten direkt betroffener Nutzer mit akutem Infektionsrisiko werden von der besuchten Einrichtung oder den zuständigen Gesundheitsbehörden entschlüsselt. Kommt es innerhalb von vier Wochen zu keinem Infektionsfall, dann werden die verschlüsselt gespeicherten Daten vier Wochen nach dem Besuch und Ende der Veranstaltung bzw. Nutzung der Einrichtung unwiederbringlich gelöscht.

Impressum | Datenschutz | Kontakt