Datenschutzerklärung

Die Universitätsmedizin Mainz stellt für die Mitarbeitenden der Universitätsmedizin die Kommunikationsplattform „UMessenger“ auf privaten hochmobilen Endgeräten zur Verfügung. Diese soll die Attraktivität der Universitätsmedizin fördern und einer besseren Erreichbarkeit der Mitarbeitenden untereinander dienen. Der „UMessenger“ ist eine abgesicherte, interne Kommunikationsplattform und wird ausschließlich für die dienstliche Nutzung bereitgestellt. Alle übertragenen Kommunikationsinhalte werden Ende-zu-Ende verschlüsselt, so dass der IT-Dienstleister IBM oder Dritte aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht einsehen können.

Die Nutzung der Kommunikationsplattform ist für Mitarbeitenden der Universitätsmedizin freiwillig und bedarf daher einer Einwilligung im Sinne von Art. 7 DSGVO. Die Benutzer erhalten durch Nutzung der Kommunikationsplattform ausschließlich einen rechtlichen und / oder wirtschaftlichen Vorteil. Bei Nichtnutzung oder späterem Widerruf der Einwilligung entstehen dem Mitarbeitenden der Universitätsmedizin keine dienstlichen Nachteile. Der Mitarbeitende kann dann lediglich nicht (mehr) die Kommunikationsplattform nutzen und verliert den Zugang zu allen bisher übertragenen und empfangenen Inhalten.

Zur Gewährleistung der Funktionalität erfordert die Nutzung der Kommunikationsplattform „UMessenger“ die Angabe personenbezogener Daten. Soweit die Verarbeitung personenbezogener Daten erforderlich ist, erfolgt diese nach den Vorgaben der Europäischen Datenschutzgrundverordnung (Art 5. DSGVO), des Bundesdatenschutzgesetzes (BDSG) und anderer einschlägiger Gesetze (z.B. StGB).

1. Verarbeitungszweck

Die Verarbeitung der personenbezogenen Daten bei Nutzung der UMessenger App auf privaten Endgeräten erfolgt gemäß Art. 13 Abs. 1 lit. c DSGVO zum Zweck

• der Bereitstellung der Kommunikationsplattform (z.B. Direktkommunikation zu anderen Chatpartnern, Gruppenkommunikation)
• der Personalisierung (z.B. Anzeige des Namens der Chatpartner)
• der Bekanntgabe von Ereignissen (s.g. Events)

2. Rechtsgrundlage der Verarbeitung

Die Nutzung der UM-Messenger App und damit die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage der Einwilligung der Nutzer gemäß Art. 6 Abs. 1 lit. a, 7 DSGVO. Die Benutzer werden vor der erstmaligen Verwendung der UMessenger App um ihre Einwilligung zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. a, 7 DSGVO gebeten.

Benutzer der UMessenger App haben jederzeit das Recht, Ihre Einwilligung nach Art. 7 Abs. 3 DSGVO zu widerrufen und damit die weitere Nutzung der Kommunikationsplattform zu beenden, ohne, dass Ihnen hierdurch dienstliche Nachteile entstehen. Mit dem Widerruf werden Benutzer von der Teilnahme an der Nutzung der Kommunikationsplattform ausgeschlossen. Die der Universitätsmedizin Mainz und dem IT-Dienstleister IBM zugänglichen personenbezogenen Daten des Benutzers werden in der Kommunikationsplattform gelöscht. Hiervon ausgenommen sind Daten, welche der Benutzer anderen Benutzern selbstständig zugänglich gemacht hat, z.B. in Chatinhalten, Dateianhängen.

3. Was sind personenbezogene Daten?

Personenbezogene Daten sind gemäß Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung) identifiziert werden kann.

4. Datenverarbeitung

aa) Endgeräte

Der Nutzer ist verantwortlich, dass er bei seiner Nutzung der UMessenger App die gesetzlichen und dienstlichen Vorgaben einhält.

Folgende Daten werden im privaten Speicher der App auf den Endgeräten gespeichert:

Stammdaten des Benutzers

• Anzeigename (Vorname, Nachname)
• Profilbild
• Benutzerkennung
• Privater Schlüssel des Nutzers
• Öffentliche Schlüssel der Chatpartner

Nutzdaten / Kommunikationsinhalte

• Nachrichteninhalt
• Zeitstempel der Kurznachricht
• Dateianhänge
• Kontotyp (Berechtigung in Bezug auf Chat-Raum)
• Chat-Raum-Namen, Themen und Profilbilder
• Gruppen- bzw. Chat-Raum-Mitgliedschaften des Benutzers

Endgerätespezifische Daten

• Name und Version der Smartphone-App
• Name und Version des Smartphone-Betriebssystems
• Modell des Smartphones

Stammdaten des Benutzers:

b) Apple App Store / Google PlayStore

Die Unimedizin Mainz erhält über den Einsatz des Google-Play-Store / Apple App Store Informationen zu Downloadzahlen (wie viele Downloads insgesamt und pro Nutzer), zu den Regionen aus denen der Download erfolgt und der verwendeten Endgeräteplattform (z.B.: Tablet oder Smartphone, Versionen von App und Betriebssystem). Die übersandten Informationen wertet die Unimedizin Mainz pseudonymisiert aus, um zur begleitenden Erfolgskontrolle ihrer Leistungserbringung berichten zu können.

c) Nutzungsdaten

Nutzungsdaten die in der App anfallen, werden als Speicherstand auf dem Endgerät des Anwenders abgelegt und damit möglicherweise auf den privaten Systemen der Nutzer gespeichert.

5. Weitergabe personenbezogener Daten an Dritte

 Es erfolgt keine Verwendung Ihrer personenbezogenen Daten über die ausdrücklich festgelegten Zwecke hinaus; beispielsweise zur Datenauswertung zu Werbezwecken oder zur Verhaltens- oder Leistungskontrolle.

 Eine Übermittlung der Daten an Dritte findet nur statt, sofern die Universitätsmedizin rechtlich dazu verpflichtet ist (z.B. bei Gerichts- bzw. Strafverfahren), oder sofern die Weitergabe im Falle von Angriffen auf die Kommunikationstechnik des Bundes zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe in anderen Fällen oder eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht.

 Die Verarbeitung Ihrer personenbezogenen Daten erfolgt grundsätzlich innerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Lediglich im Zusammenhang mit der Bereitstellung der UMessenger App im jeweiligen App Store, bei der Verwendung von Signalisierungsdienste (s.g. Push-Dienste) und bei Nutzung der UMessenger App im Ausland kann es zu einer Übermittlung von Informationen an Empfänger in sogenannten „Drittländer“ kommen. Drittländer sind Länder außerhalb der Europäischen Union oder des Abkommens über den Europäischen Wirtschaftsraum, in denen ohne Weiteres nicht von einem Datenschutzniveau ausgegangen werden kann, das mit dem in der Europäischen Union vergleichbar ist.

 Sofern die übermittelten Informationen auch personenbezogene Daten umfassen, wird vor einer solchen Übermittlung sichergestellt, dass in dem jeweiligen Drittland oder bei dem Empfänger im Drittland das erforderliche angemessene Datenschutzniveau gewährleistet ist. Das kann sich insbesondere aus einem sogenannten „Angemessenheitsbeschluss“ der Europäischen Kommission ergeben, mit dem ein angemessenes Datenschutzniveau für ein bestimmtes Drittland festgestellt wird. Alternativ kann die Datenübermittlung auch auf die mit einem Empfänger vereinbarten sogenannten „EU-Standardvertragsklauseln“ abstützen, wobei im Einzelfall geprüft wird, ob diese unter Berücksichtigung des Rechts des betreffenden Drittlands einen angemessenen Schutz gewährleisten. Bei Bedarf werden zusätzliche Maßnahmen ergriffen, um ein angemessenes Schutzniveau sicherzustellen.

 Der UMessenger greift auf Signalisierungsdienste der Hersteller Apple Inc. und Google LLC zurück. Für die Nutzung dieser so genannten „Push-Dienste“ werden mit den Herstellern personenbezogene Daten geteilt. Dabei kommt es gegebenenfalls auch zu einer Übermittlung von personenbeziehbaren Daten an Empfänger in Drittländern. Zum Schutz der betroffenen Personen werden die übermittelten Daten technisch auf die zwingend notwendigen Parameter App Device Token, UserID Hash, AppID, App Name, Device Name, Push Gateway URL und Event ID beschränkt.

6. Sperr- und Löschfristen

Für die Nutzung der UMessenger-App gelten folgende Sperr- und Löschfristen:

Auf den Servern des IT-Dienstleisters IBM gespeicherte Protokolldaten (z.B. IP-Adresse des verwendeten Endgerätes), werden nach 90 Tagen automatisch gelöscht, insofern nicht andere Löschfristen aufgrund gesetzlicher Vorgaben im Zusammenhang mit Straf- oder Gerichtsverfahren eingehalten werden müssen.

 

Für die Kommunikationsinhalte auf Servern gilt:

• Kurznachrichten werden automatisiert nach 1 Jahr gelöscht
• Dateianhänge werden automatisiert nach 90 Tagen gelöscht

7. Betroffenenrechte

 Als betroffene Person haben Sie grundsätzlich die Rechte auf

• Auskunft (Art. 15 DSGVO),
• Berichtigung (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• das Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).

Alle übertragenen Inhalte werden Ende-zu-Ende verschlüsselt, so dass der IT-Dienstleister IBM oder Dritte aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht einsehen können. Daher ist eine Aushändigung dieser Daten im Rahmen der Ausübung des Auskunftsanspruches gem. Art. 15 Abs. 3 DSGVO nicht möglich. Hiervon nicht erfasst sind Meta-Daten wie Chat-Raum-Namen, Chat-Raum-Profilbilder, Chat-Raum-Themen, Chat-Raum-Mitgliedschaften. Durch Sie erzeugte Inhalte in der Kommunikationsplattform bleiben für andere Empfänger auch dann sichtbar, wenn Sie sich gegen eine weitere Nutzung des UMessenger entschieden haben.

8. Verantwortliche/r

 Datenschutzrechtlich verantwortlich ist nach Art. 4 Nr. 7 DSGVO

Der Vorstand der

UNIVERSITÄTSMEDIZIN der Johannes Gutenberg-Universität Mainz

Langenbeckstraße 1

55131 Mainz

9. Auftragverarbeiter

 Datenschutzrechtlich verantwortlicher Auftragverarbeiter nach Art. 4 Nr. 8 DSGVO ist der IT-Dienstleister

 IBM Services GmbH

10. Datenschutzbeauftragte/r

 Sie können sich mit datenschutzrechtlichen Fragen jederzeit an den Beauftragten für den Datenschutz wenden (Art. 38 Abs. 4 DSGVO). Diesen erreichen Sie wie folgt:

UNIVERSITÄTSMEDIZIN der Johannes Gutenberg-Universität Mainz

Datenschutzbeauftragter

Langenbeckstraße 1

55131 Mainz

Tel.: 06131/17-0

Email:    datenschutz@unimedizin-mainz.de

11. Aufsichtsbehörde als Beschwerdestelle

Sie können Ihr Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO) geltend machen. Die für die Universitätsmedizin Mainz zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz, E-Mail:   poststelle@datenschutz.rlp.de.