Visual Universitätsmedizin Mainz

Datenschutzerklärung PAM (Fernzugriff)

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Langenbeckstraße 1
55131 Mainz
Telefon: +49 (0) 6131 17-0
Webseite: www.unimedizin-mainz.de

Kontaktdaten des betrieblichen Datenschutzbeauftragten:
Der Datenschutzbeauftragte
Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Langenbeckstraße 1
55131 Mainz
Telefon: +49 (0) 6131 17-0
E-Mail: datenschutz@unimedizin-mainz.de

Zu welchem Zweck und mit welcher Rechtsgrundlage werden welche Daten verarbeitet?

Als Betreiber einer Kritischen Infrastruktur unterliegt die Universitätsmedizin Mainz sowohl  IT-sicherheitsrechtlichen Anforderungen  als auch dem Datenschutzrecht. Danach ist die Universitätsmedizin Mainz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten, Prozesse und Daten zu treffen. Nach Artikel 32 DS-GVO muss die Universitätsmedizin die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten. Die Umsetzung der Sicherheitsmaßnahmen muss dabei nach dem Stand der Technik erfolgen.

Um den geforderten Stand der Technik zu erfüllen, werden die Sicherheitsvorgaben des BSI sowie auch der Branchenspezifischen Sicherheitsstandards der DKG herangezogen.

Um den gesetzlichen Anforderungen gerecht zu werden, kommt in der Universitätsmedizin unter anderem ein Privileged Access Management System zum Einsatz. Die Verarbeitung von personenbezogenen Daten ist gem. Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung von rechtlichen Verpflichtungen erforderlich, denen die Universitätsmedizin unterliegt. Zur Vermeidung bzw. Vorbeugung von Missbrauch, Fehlkonfigurationen (die bspw. zu einem IT-Ausfall führen könnten), Spionage und Sabotage werden alle über das System initiierten Fernzugriffssitzungen vollständig aufgezeichnet. Gleichzeitig werden regelbasierte, automatisierte Terminierungen von Fernzugriffssitzungen veranlasst, sobald unerwünschtes Verhalten oder schadhafte Eingaben festgestellt bzw. erkannt werden.

Wie lange werden die Daten gespeichert?

Zur Erfüllung der obigen Pflichten werden die Aufzeichnungen i.d.R. für zwei Jahre aufbewahrt. Aus berechtigten Sicherheitsgründen kann die Speicherdauer anlassbezogen verlängert werden.

Welche Datenschutzrechte haben Sie?

Nach Maßgabe von Art. 15 DS-GVO haben Sie bei Vorliegen der relevanten Voraussetzungen das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten einschließlich eventueller Empfänger und der geplanten Speicherdauer zu erhalten. Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen gemäß Art. 16 DS-GVO ein Recht auf Berichtigung zu. Liegen die gesetzlichen Voraussetzungen vor und sprechen keine anderen Rechtsgründe dagegen, können Sie die Löschung oder Einschränkung der Verarbeitung oder die Bereitstellung in einem maschinenlesbaren Format (Datenübertragbarkeit) verlangen (Art. 17, 18, 20, DS-GVO). Die Erfassung der Daten ist für die Absicherung bei der Bereitstellung des Zugriffs zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit gem. Art. 21 DS-GVO.

Außerdem haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde Ihrer Wahl einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Telefon 06131 89200
E-Mail: poststelle@datenschutz.rlp.de

An welche Empfängerkategorien können Daten weitergegeben werden?

Beim Betrieb unserer IT-Systeme kann eine Einbeziehung von externen Dienstleistern erfolgen, die im Rahmen der Auftragsverarbeitung personenbezogene Daten für die Universitätsmedizin Mainz verarbeiten (Dienstleister im Rahmen der Auftragsverarbeitung). Darüber hinaus kann anlassbezogen eine Übermittlung an Behörden, insbesondere Aufsichts-, Ermittlungs- und Strafverfolgungsbehörden erfolgen. Zudem können Daten an die Medizinisches Versorgungszentrum Mainz GmbH (MVZ) im Rahmen der Auftragsverarbeitung durch die UM weitergeleitet werden.