Sprungmarken

Datenschutzhinweise zur Nextcloud

Auf Grundlage der europäischen Datenschutzgrundverordnung (EU-DSGVO) wurden die folgende Datenschutzbestimmungen für die Cloudspeicher-Anwendung Nextcloud des Medienzentrums Wiesbaden erstellt.

Datenschutzhinweise zur Nextcloud

  1. Verantwortliche & Datenschutzbeauftragte

Verantwortlich für die Datenverarbeitung ist das

Medienzentrum Wiesbaden e.V.
Hochstättenstraße 6-10
65183 Wiesbaden

Telefon: 0611 16658-41
Telefax: 0611 31-3929
E-Mail: kontaktmdz-wide

vertreten durch den Vorstand.

Unsere Datenschutzbeauftrage, Frau Rechtsanwältin Dufeu, ist unter datenschutzmdz-wide erreichbar.

  1. Zweck der Datenverarbeitung & Rechtsgrundlage

Der Verantwortliche betreibt einen zentralen Cloudspeicherdienst (Nextcloud) einschließlich darin eingebundener Zusatzanwendungen.

Die Verarbeitung von Ihren Daten erfolgt zu folgenden Zwecken:

  • Durchführung, Vor- und Nachbereitung von Unterricht einschließlich der dazu nötigen Kommunikation
  • Verwaltung von Rechten und Rollen der Benutzer entsprechend der Funktion (Schüler, Lehrkraft etc.) und der Zugehörigkeit zu Klassen und Gruppen
  • Technische Bereitstellung von für die Verwaltung und Nutzung der Nextcloud erforderlichen Diensten
  • Sicherheit und Funktionalität dieser Dienste

Die Verarbeitung von personenbezogenen Daten erfolgt in der Regel auf Grundlage der freiwilligen Einwilligung der Betroffenen (Art. 6 Abs. 1 a DSGVO). Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist, die Verarbeitung der Daten auf gesetzlichen Vorschriften (Art. 6 Abs. 1 c DSGVO) beruht, beispielsweise Dokumentations- und Aufbewahrungspflichten einer Schule oder aufgrund einer Interessenabwägung, Art. 6 Abs.1 f DSGVO.

  1. Bereitstellung des Dienstes und Erstellung von Logfiles

Für die Bereitstellung und Nutzung der Nextcloud sind folgende Arten von Daten erforderlich bzw. entstehen durch die Nutzung:

  • Benutzerdaten (z.B. Anmeldenamen, Passwort, Rolle, Gruppenzugehörigkeit)
  • Vom Benutzer erzeugte Inhalts- und Kommunikationsdaten (z.B. Dokumente, Audioaufnahmen und Nachrichten)
  • Technische Nutzungsdaten (z.B. erzeugte Dateien, Versionen, Fehlermeldungen)
  • automatische geführte Log-Daten (z.B. Zugriffszeitpunkt)
  1. Verwendung von Cookies

Es werden ausschließlich Cookies eingesetzt, um die sichere Nutzung der Website für die Nutzer/innen zu vereinfachen bzw. zu ermöglichen. Es werden keine Cookies von Drittanbietern genutzt.

  1. Benutzerauthentifizierung

Diese Nextcloud Instanz benutzt zur Benutzerauthentifizierung (Login) die Datenbasis des hessischen Schulportals, das von der Hessischen Lehrkräfteakademie betrieben wird.

Wenn Nutzende sich in der Nextcloud einloggen, wird eine Abfrage der Zugangsdaten an die Server des Schulportals übermittelt. Bei erfolgreichem Login wird eine Schattenkopie der Benutzerdaten auf dem Server der Nextcloud gespeichert. Somit erzeugen Benutzerinnen und Benutzer ihren Nextcloud-Zugang durch das erstmalige Einloggen selbstständig.

Für Schulen ohne Anbindung an das Schulportal Hessen werden für jeden Nutzer Anmeldedaten von der Schule erstellt und dem Verantwortlichen mitgeteilt, damit dieser die entsprechenden Benutzerdaten in der Nextcloud erzeugen kann.

  1. Zugriff auf Daten und Weitergabe personenbezogener Daten an Dritte

Innerhalb des Medienzentrums Wiesbaden haben alle Administrator*innen der Nextcloud Zugriff auf alle Daten aller Personen.

Das Medienzentrum Wiesbaden setzt keine Auftragsverarbeiter für den Betrieb der Nextcloud ein und gibt folglich auch keine Daten im Rahmen des technischen Betriebes an Dritte weiter.

Innerhalb der Schule wird der Zugriff auf die Daten im Zusammenhang mit der Nutzung der Nextcloud durch das Rechte- und Rollenkonzept geregelt.

  • Schulleitung - alle Daten aller Personen
  • Schulischer Administrator - alle Daten aller Personen (auf Weisung der Schulleitung)
  • Lehrkräfte - Eigene Daten und Daten von Schülern und Lehrkräften entsprechend ihrer Funktion und Freigaben durch die Personen selbst
  • Schüler - Eigene Daten und Daten von Mitschülern entsprechend Freigaben von Lehrkräften oder Mitschülern

Personen von außerhalb der Schule erhalten nur Zugriff auf Daten, wenn ein Gesetz es ihnen gestattet oder vorschreibt oder wenn eine Einwilligung hierzu vorliegt:

  • Eltern bei Freigabe durch Schüler
  • Eltern und (ehemalige) Schülern (Auskunftsrecht Art. 15 DSGVO)
  • Ermittlungsbehörden im Fall einer Straftat
  1. Dauer der Datenspeicherung

Die Benutzerdaten von Nutzenden werden gespeichert solange dies erforderlich ist. Dies ist zum Beispiel der Fall

  • bei der Nutzung der Nextcloud,
  • bei der Schulzugehörigkeit von Schüler*innen, Lehrkräften oder sonstigen Mitarbeiter*innen,
  • solange der Einwilligung in die Verarbeitung ihrer Daten nicht widersprochen wurde.

(es gilt jeweils das zuerst Zutreffende)

Nach Beendigung der Nutzung der Nextcloud, Verlassen der Schule bzw. Ende des Dienstes an der Schule oder Widerspruch in die Verarbeitung werden die Daten der Nutzenden innerhalb von sechs Wochen aus der Nextcloud gelöscht. Backup-Dateien des Servers der Nextcloud werden nach 6 Monaten gelöscht.

Logfiles werden 14 Tage aufbewahrt und dann automatisch gelöscht.

Ausgenommen von den zuvor genannten Löschfristen sind Daten, für die geltende Rechtsvorschriften längere Aufbewahrungspflichten vorgeben.

Nutzende haben jederzeit die Möglichkeit, von ihnen erzeugten Inhalts- und Kommunikationsdaten eigenständig zu löschen.

Die Speicherfristen von technischen Daten und Cookies entnehmen Sie dem Abschnitt über Cookies.

  1. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene/r im Sinne der DSGVO und es stehen Ihnen bestimmte Rechte gegenüber dem Verantwortlichen zu: Auskunftsrecht, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung, Recht auf Löschung, Recht auf Unterrichtung, Recht auf Datenübertragbarkeit, Widerspruchsrecht, Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung, automatisierte Entscheidung im Einzelfall einschließlich Profiling, Recht auf Beschwerde bei einer Aufsichtsbehörde.

Einige der o.g. Rechte gelten nicht oder nur eingeschränkt, sofern die Datenverarbeitung nicht auf Ihrer freiwilligen Einwilligung, sondern auf einer der anderen o.g. Grundlagen beruht. Dazu gehört unter anderem das Recht auf Löschung, Widerruf der Einwilligung und Einschränkung der Verarbeitung. Auskunfts- und Beschwerderechte gelten aber in jedem Fall.

Kontaktdaten der zuständigen Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Postfach 3163
65021 Wiesbaden

Telefon: +49 611 1408 - 0
Telefax: +49 611 1408 - 900 / 901

  1. Weitere Informationen zum Datenschutz bei Nextcloud

Weitere Informationen findet man unter  https://nextcloud.com/de/gdpr/ und als Nutzer*in der Nextcloud im Bereich der persönlichen Einstellungen unter Datenschutz.

Version 1.2 vom 14.10.2021

Das Dokument wurde erstellt unter Verwendung einer Vorlage von https://datenschutz-schule.info/ (Dirk Thiede). Wir bedanken uns ausdrücklich für die Vorarbeit!