Datenschutzerklärung

Informationen zur Datenverarbeitung nach Artikel 13 DSGVO

Im Folgenden möchten wir über die Datenverarbeitung im Rahmen der Bereitstellung der Software Jira & Confluence für Mitarbeiterinnen und Mitarbeiter des Programms BayernCloud Schule (ByCS) an den nutzungsberechtigten Dienststellen und externen Partnern informieren:

In den Abschnitten A und B informieren wir über die Datenverarbeitungen im Zusammenhang mit dem Betrieb der Webseiten jira.bycs-itsm.de und confluence.bycs-itsm.de, die auch ohne Login aufgerufen werden können. Im Abschnitt C informieren wir über die zusätzliche Datenverarbeitung in Jira und Confluence während und nach dem Login.

A) Allgemeine Informationen

Name und Kontaktdaten des Verantwortlichen

„Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist das

Staatsinstitut für Schulqualität und Bildungsforschung

Schellingstraße 155

80797 München

Telefon: 089/2170-2101

E-Mail: kontakt@isb.bayern.de

Kontaktdaten der bzw. des Datenschutzbeauftragten

Sie erreichen unsere/n Datenschutzbeauftragte/n unter:

Behördliche Datenschutzbeauftragte des Staatsinstituts für Schulqualität und Bildungsforschung

- persönlich -

Schellingstraße 155

80797 München

Telefon: 089 2170-2851

E-Mail: datenschutz@isb.bayern.de

Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ergibt sich, soweit nichts anderes angegeben ist, aus Artikel 4 Absatz 1 des Bayerischen Datenschutzgesetzes (BayDSG) i. V. m. Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) der Datenschutz-Grundverordnung (DSGVO). Demnach ist es uns erlaubt, die zur Erfüllung einer uns obliegenden Aufgabe erforderlichen Daten zu verarbeiten.

Für die Verarbeitung von Beschäftigtendaten ist Rechtsgrundlage Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. den Rechtsgrundlagen des jeweiligen Beschäftigungsverhältnisses.

Zwecke der Verarbeitung personenbezogener Daten

Die Bereitstellung einer Einstiegsseite zu den Anwendungen Jira & Confluence dient der Erfüllung der uns vom Gesetzgeber zugewiesenen öffentlichen Aufgaben.

Empfänger von personenbezogenen Daten

Der technische Betrieb unserer Datenverarbeitungssysteme erfolgt durch die

Scolution GmbH & Co. KG

Gaildorfer Straße 12

74523 Schwäbisch Hall

Die Scolution GmbH & Co. KG bedient sich, beispielsweise zur Bereitstellung von Rechenzentrum-Services, „weiterer Auftragsverarbeiter“ im Sinne des Artikel 28 DSGVO. Alle Auftragsverarbeiter haben ihren Sitz in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum; die Datenverarbeitung erfolgt ausschließlich in Mitgliedstaaten der Europäischen Union bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.

Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.

Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet werden und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.

Dauer der Speicherung der personenbezogenen Daten

Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist (siehe insbes. unter B) „Protokollierung“).

Ihre Rechte

Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu:

• Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Artikel 15 DSGVO).
• Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Artikel 16 DSGVO).
• Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Artikel 17 und 18 DSGVO).
• Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Artikel 20 DSGVO).
• Falls Sie in die Verarbeitung eingewilligt haben und die Verarbeitung auf dieser Einwilligung beruht, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
• Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) oder f) DSGVO erfolgt (Artikel 21 Absatz 1 Satz 1 DSGVO).

Beschwerderecht bei der Aufsichtsbehörde

Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:

Postanschrift: Postfach 22 12 19, 80502 München

Adresse: Wagmüllerstraße 18, 80538 München

Tel: 089 212672-0

Fax: 089 212672-50

E-Mail: poststelle@datenschutz-bayern.de

Internet: https://www.datenschutz-bayern.de/

Weitere Informationen

Für nähere Informationen zur Verarbeitung Ihrer Daten und zu Ihren Rechten können Sie uns unter den oben genannten Kontaktdaten erreichen.

B) Beim allgemeinen Aufruf der Seite verarbeitete Daten

Protokollierung

Wenn Sie die o.g. Internetseiten aufrufen, übermitteln Sie über Ihren Internetbrowser Daten an unseren Server. Die folgenden Daten werden während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Endgerät und unserem Server aufgezeichnet:

• Datum und Uhrzeit der Anforderung
• Name der angeforderten Datei
• Seite, von der aus die Datei angefordert wurde
• Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
• verwendete Webbrowser und verwendetes Betriebssystem
• vollständige IP-Adresse des anfordernden Rechners
• Benutzername des angemeldeten Nutzerkontos (sofern nach dem Aufruf der Webseite ein Login erfolgt)
• übertragene Datenmenge

Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden diese Daten von uns gespeichert.

Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht. Im Falle einer laufenden Missbrauchsermittlung wird die Löschung ausgesetzt.

Cookies

Zur korrekten technischen Bereitstellung der Webseiten verwenden wir Cookies. Cookies sind kleine Textdateien, die auf dem von Ihnen verwendeten Gerät gespeichert werden, um Ihnen den Besuch der Webseite und die Inanspruchnahme der darüber angebotenen Dienste zu ermöglichen.

Bei der Nutzung von Jira und Confluence werden von uns zum einen sogenannte Session-Cookies maximal für die Dauer der aktuellen Session gespeichert. Die Lebensdauer von Session-Cookies endet mit der Beendigung der aktuellen Session entweder durch Schließen des Browserfensters oder ggfs. mittels eines zusätzlich eingestellten Timeouts. Mit Hilfe der Session-Cookies können Nutzende für die Dauer der aktuellen Sitzung vom jeweiligen Teilanwendung wiedererkannt werden.

Zudem verwenden wir Cookies, wenn der Benutzer die Option "Remember my login on this computer" auswählt. Diese werden ca. 25 Tage gespeichert und anschließend gelöscht.

In Jira verwenden wir zudem Cookies, die speichern, welcher Suchansichtstyp zuletzt verwendet wurde (d.h. einfache oder erweiterte Suche) und welche allgemeinen Registerkarten zuletzt verwendet wurden (z.B. im Plugin-Manager von Jira) oder welche Erweiterelemente zuletzt geöffnet oder geschlossen wurden.

In Confluence verwenden wir zudem Cookies, die sich die zuletzt vom Benutzer gewählte Registerkarte im Abschnitt "Seiten auflisten" und die zuletzt vom Benutzer gewählte Registerkarte im Abschnitt "Bereich durchsuchen" merken.
Ein weiteres Cookie merkt sich die vom Benutzer auf der Anmeldeseite gewählte Sprache. Dieses Cookie bezieht sich auf eine Funktion, die es einem Benutzer ermöglicht, die Sprache von Confluence von (und einschließlich) der Anmeldeseite zu ändern, wenn die dem Benutzer vor der Anmeldung angezeigte Sprache nicht angemessen ist.

Zudem verfolgt ein Cookie, welche allgemeinen Registerkarten zuletzt verwendet wurden oder welche Erweiterelemente zuletzt geöffnet oder geschlossen wurden. Die zuletzt genannten Cookies werden für ein Jahr ab dem Datum, an dem es gesetzt oder zuletzt aktualisiert wurde, gespeichert.

Die meisten Browser sind so eingestellt, dass sie die Verwendung von Cookies akzeptieren. Sie können Ihren Browser so einstellen, dass Cookies gesetzt oder blockiert werden. Zudem können Sie einstellen, dass alle Cookies am Ende der Sitzung gelöscht werden oder Löschungen einzeln manuell vornehmen. Bitte beachten Sie, dass Ihnen im Fall der Blockierung oder Löschung einiger Cookies die Funktionalitäten dieser Anwendung nur noch eingeschränkt oder nicht mehr zur Verfügung stehen.

Auswertung des Nutzungsverhaltens

Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt.

C) Datenverarbeitungen bei der Verwendung von Jira & Confluence während und nach dem Login

Daten von Nutzerinnen und Nutzern mit Jira- & Confluence-Konto

Zusätzlich zu den im Abschnitt B) genannten Daten werden von Nutzerinnen und Nutzern eines Jira- & Confluence-Nutzerkontos nach dem Login personenbezogene Daten folgender Kategorien verarbeitet:

1. Nutzerdaten (z.B. Name, E-Mail-Adresse, Behörde, Gruppenzugehörigkeiten)
2. Weitere sichtbare Profilinformationen (z.B. Profilbild (optional))
3. Anmeldedaten (z.B. Benutzername, Passwort, 2. Faktor)
4. Inhalte und Änderungsprotokolle an vorgangs- und projektbezogene Daten (Änderungsvermerke mit Namen und Zeitstempel) (z.B. Seiten, Feldinhalte, Kommentare, Erwähnungen, Bearbeitungshistorie)
5. Protokolldaten (Benutzername, IP-Adresse, Aktion, Zeitstempel) bei Aktionen in folgenden Bereichen:
   • Globale Konfiguration und Administration
   • Benutzerverwaltung
   • Berechtigungen
   • Projektbezogene Konfigurationen und Administration
   • Sicherheit (Zeitpunkte der An- und Abmeldung, Zeitpunkt des ersten Logins)

Zwecke der Verarbeitung personenbezogener Daten

Die Datenverarbeitung im Rahmen der Verwendung von Jira & Confluence erfolgt zur Erfüllung, Sicherstellung und Nachvollziehbarkeit des Dienstbetriebes, insbesondere der dienstlichen Kollaboration und Kommunikation.

Die Protokollierung (Ziffer 5) erfolgt zur Überprüfung bzw. Nachverfolgung von Missbrauch.

Interne Empfänger der personenbezogenen Daten

Vom ISB beauftragte Jira- & Confluence-Administratorinnen und -Administratoren, bei denen es sich um Mitarbeiterinnen und Mitarbeitern des ISB handelt, können lesend und schreibend auf alle Stammdaten, Profilinformationen, Inhaltsdaten und Protokolldaten zugreifen (Ziffern 1, 2, 4 und 5).

Das Personal der nutzungsberechtigten Einrichtungen (ISB, StMUK, ALP und IT-DLZ) und das Personal an beauftragten externen Dienstleistern kann untereinander lesend auf die Nutzerdaten und sichtbaren Profilinformationen zugreifen. Das eben genannte Personal kann lesend und schreibend auf allgemeine ticketbezogene Daten und Inhaltsdaten bei gemeinsamer Nutzung von Projekten in Jira bzw. bei gemeinsamer Nutzung von Bereichen in Confluence zugreifen. (Ziffern 1, 2 und 4).

Dauer der Speicherung

Die weiteren sichtbaren Profilinformationen und Anmeldedaten werden spätestens drei Monate ab dem Zeitpunkt, zu dem der Nutzer bzw. die Nutzerin die Dienst- bzw. Beschäftigungsstelle verlassen hat oder nach Beendigung der Zusammenarbeit gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Protokolldaten (Ziffer 5) werden 90 Tage nach der jeweiligen Aktion gelöscht. Im Falle einer laufenden Missbrauchsermittlung wird die Löschung ausgesetzt. Ihre übrigen Daten (Ziffern 1 und 4) werden nicht automatisiert gelöscht, da sie zur Aufgabenerfüllung des ISBs dauerhaft erforderlich sind.