Datenschutzerklärung PAM (Fernzugriff)

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortlicher für die Verarbeitung:

Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Langenbeckstraße 1
55131 Mainz
Telefon: +49 (0) 6131 17-0
Website: www.unimedizin-mainz.de

Kontaktdaten des betrieblichen Datenschutzbeauftragten:

Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Datenschutzbeauftragter
Langenbeckstraße 1
55131 Mainz
Tel. +49 (0) 6131 17-4652
E-Mail

Zu welchem Zweck und mit welcher Rechtsgrundlage werden welche Daten verarbeitet?

Als Betreiber einer Kritischen Infrastruktur unterliegt die Universitätsmedizin Mainz sowohl  IT-sicherheitsrechtlichen Anforderungen als auch dem Datenschutzrecht. Danach ist die Universitätsmedizin Mainz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten, Prozesse und Daten zu treffen. Nach Artikel 32 DSGVO muss die Universitätsmedizin Mainz die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten. Die Umsetzung der Sicherheitsmaßnahmen muss dabei nach dem Stand der Technik erfolgen.

Um den geforderten Stand der Technik zu erfüllen, werden die Sicherheitsvorgaben des BSI sowie auch der Branchenspezifischen Sicherheitsstandards der DKG herangezogen.

Um den gesetzlichen Anforderungen gerecht zu werden, kommt in der Universitätsmedizin Mainz unter anderem ein Privileged Access Management System zum Einsatz. Die Verarbeitung von personenbezogenen Daten ist gem. Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung von rechtlichen Verpflichtungen erforderlich, denen die Universitätsmedizin Mainz unterliegt. Zur Vermeidung bzw. Vorbeugung von Missbrauch, Fehlkonfigurationen (die bspw. zu einem IT-Ausfall führen könnten), Spionage und Sabotage werden alle über das System initiierten Fernzugriffssitzungen vollständig aufgezeichnet. Gleichzeitig werden regelbasierte, automatisierte Terminierungen von Fernzugriffssitzungen veranlasst, sobald unerwünschtes Verhalten oder schadhafte Eingaben festgestellt bzw. erkannt werden.

Wie lange werden die Daten gespeichert?

Zur Erfüllung der obigen Pflichten werden die Aufzeichnungen i.d.R. für zwei Jahre aufbewahrt. Aus berechtigten Sicherheitsgründen kann die Speicherdauer anlassbezogen verlängert werden.

Welche Datenschutzrechte haben Sie?

Nach Maßgabe von Art. 15 DSGVO haben Sie bei Vorliegen der relevanten Voraussetzungen das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten einschließlich eventueller Empfänger und der geplanten Speicherdauer zu erhalten. Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen gemäß Art. 16 DSGVO ein Recht auf Berichtigung zu. Liegen die gesetzlichen Voraussetzungen vor und sprechen keine anderen Rechtsgründe dagegen, können Sie die Löschung oder Einschränkung der Verarbeitung oder die Bereitstellung in einem maschinenlesbaren Format (Datenübertragbarkeit) verlangen (Art. 17, 18, 20, DSGVO). Die Erfassung der Daten ist für die Absicherung bei der Bereitstellung des Zugriffs zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit gem. Art. 21 DSGVO.

Außerdem haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde Ihrer Wahl einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Postfach 30 40
55020 Mainz

Hintere Bleiche 34
55116 Mainz

Telefon: +49 (0) 6131 8920-0
Telefax: +49 (0) 6131 8920-299
E-Mail
Website: www.datenschutz.rlp.de

An welche Empfängerkategorien können Daten weitergegeben werden?

Beim Betrieb unserer IT-Systeme kann eine Einbeziehung von externen Dienstleistern erfolgen, die im Rahmen der Auftragsverarbeitung personenbezogene Daten für die Universitätsmedizin Mainz verarbeiten (Dienstleister im Rahmen der Auftragsverarbeitung). Darüber hinaus kann anlassbezogen eine Übermittlung an Behörden, insbesondere Aufsichts-, Ermittlungs- und Strafverfolgungsbehörden erfolgen. Zudem können Daten an die Medizinisches Versorgungszentrum Mainz GmbH (MVZ) im Rahmen der Auftragsverarbeitung durch die Universitätsmedizin Mainz weitergeleitet werden.

Weiterführende Links

Übersicht Datenschutzinformationen