Datenschutzerklärung zur Nutzung der Schul-ID Hessen

Stand: 17.08.2022

Mit der folgenden Datenschutzerklärung klären wir Sie darüber auf, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten“ bezeichnet) zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung der Schul-ID Hessen auf Basis von Microsoft Azure verarbeitet werden.

Das Hessische Kultusministerium bedient sich der Hessischen Zentrale für Datenverarbeitung (www.hzd.hessen.deÖffnet sich in einem neuen Fenster) als technischem Dienstleister in unserem Auftrag. Es wurden angemessene technische und organisatorische Maßnahmen getroffen um Ihre personenbezogenen Daten gegen Verlust, Zerstörung, Manipulation und unautorisierten Zugriff zu schützen. Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Inhaltsübersicht

  1. Verantwortlicher
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Übersicht der Verarbeitungen
  4. Speicherung von Daten
  5. Rechte der betroffenen Personen
  6. Änderung und Aktualisierung der Datenschutzerklärung

 

1. Verantwortlicher

Hessisches Kultusministerium
Luisenplatz 10
65185 Wiesbaden
Telefon: +49 611 / 368-0
poststelle.hkm@kultus.hessen.de

2. Kontaktdaten des Datenschutzbeauftragten

Die behördliche Datenschutzbeauftragte des Hessischen Kultusministeriums erreichen Sie über folgende Kontaktdaten: Hessisches Kultusministerium, Datenschutzbeauftragte, Luisenplatz 10, 65185 Wiesbaden, E-Mail: datenschutzbeauftragter.hkm@kultus.hessen.de.

3. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Verarbeitung Ihrer Daten

Wir verarbeiten Ihre personenbezogenen Daten zu den in dieser Datenschutzerklärung genannten Zwecken. Ihre personenbezogenen Daten werden von uns grundsätzlich nur dann an Dritte gegeben, soweit dies zur Vertragserfüllung erforderlich ist, wir ein berechtigtes Interesse an der Verarbeitung haben, Ihre Einwilligung hierfür vorliegt oder dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Sofern wir Dritte mit der Verarbeitung von Daten auf Grundlage eines sogenannten Vertrags zur Auftragsverarbeitung beauftragen, geschieht dies bei innereuropäischen Vertragspartnern immer auf Grundlage des Art. 28 DSGVO.

In diesem Zuge besteht ebenfalls die Möglichkeit, dass personenbezogene Daten auch an Empfänger übermittelt werden, bei denen eine Weitergabe Ihrer Daten an Standorte außerhalb der EU/ des EWR erfolgen kann. In diesem Fall stellen wir vor der Weitergabe sicher, dass beim Empfänger entweder ein angemessenes Datenschutzniveau besteht (z. B. aufgrund einer Angemessenheitsentscheidung der EU-Kommission für das jeweilige Land gemäß Art. 45 DSGVO oder die Vereinbarung sogenannter EU-Standardvertragsklauseln der Europäischen Kommission mit dem Empfänger gemäß Art. 46 DSGVO) oder eine ausdrückliche Einwilligung unserer Nutzer vorliegt.

Arten der personenbezogenen Daten

Wir verarbeiten die folgenden personenbezogenen Daten zu den hier angegebenen Zwecken:

Benutzerregistrierung und Login bei Schülern und Eltern

  • Schul-ID Hessen (Benutzername),
  • Object-ID (technischer Identifier),
  • Passwort,
  • Datum und Uhrzeit der Erstellung des Kontos,
  • Datum und Uhrzeit der erstmaligen Anmeldung,
  • Datum und Uhrzeit der letzten Kennwortänderung,
  • zugewiesene Lizenz,
  • zugordnete Berechtigungsgruppen.

Benutzerregistrierung und Login bei schulischem Personal

  • Name,
  • Vorname,
  • Schul-ID Hessen (Benutzername),
  • Object-ID (technischer Identifier),
  • Dienstliche E-Mail-Adresse,
  • Dienststellennummer,
  • Datum und Uhrzeit der Erstellung des Kontos,
  • Datum und Uhrzeit der erstmaligen Anmeldung,
  • Datum und Uhrzeit der letzten Kennwortänderung,
  • Protokollierung der Zustimmung zur Datenschutzerklärung bzw. mit Datum und Uhrzeit,
  • zugewiesene Lizenz,
  • zugordnete Berechtigungsgruppen.

Multi-Faktor-Authentifizierung (MFA) bei schulischem Personal

Für die Nutzung der Microsoft Authenticator App:

  • Name des registrierten Geräts, Betriebssystem und Version, Geräteobjekt-ID, Status, Datum und Uhrzeit der Einrichtung,

Für die Nutzung der Authentifizierung per Authenticator-App (TOTP):

  • Software-Auth-Token,

Für die Nutzung der Authentifizierung per SMS oder Anruf:

  • Telefonnummer, Datum und Uhrzeit der letzten Verwendung – Hinweis: die Daten werden zur Bereitstellung des Dienstes derzeit in die USA übermittelt,

Für die Nutzung eines Sicherheitsschlüssels (FIDO-Token):

  • Anzeigename des Sicherheitsschlüssels, ID, AAGUID, Modell, Registrierungsdatum und Uhrzeit, Status.

 

Mindestens eine der o.g. Angaben durch den Nutzer ist zur Nutzung der Schul-ID Hessen erforderlich, weitere Angaben sind optional.

Self-Service bei schulischem Personal (Kennwortrücksetzung)

Für die Nutzung der Microsoft Authenticator App:

  • Name des registrierten Geräts, Betriebssystem und Version, Geräteobjekt-ID, Status Datum und Uhrzeit der Einrichtung,

Für die Nutzung der Authentifizierung per Authenticator-App (TOTP):

  • Software-Auth-Token,

Für die Nutzung der Authentifizierung per SMS oder Anruf:

  • Telefonnummer, Datum und Uhrzeit der letzten Verwendung - Hinweis: die Daten werden zur Bereitstellung des Dienstes derzeit in die USA übermittelt,

Für die Nutzung eines Sicherheitsschlüssels (FIDO-Token):

  • Anzeigename des Sicherheitsschlüssels, ID, AAGUID, Modell, Registrierungsdatum und Uhrzeit, Status,

Für die Nutzung eines E-Mail-Adresse:

  • E-Mail-Adresse,

Für die Nutzung einer Sicherheitsfrage:

  • Sicherheitsfragen und Antworten.

Die o.g. Angaben durch den Nutzer sind optional und zur Nutzung des Verfahrens nicht erforderlich.

 

Log-Dateien / Telemetriedaten

Bei jeder Nutzung des Internets werden von Ihrem Internet-Browser bzw. Ihrem mobilen Gerät automatisch bestimmte Informationen übermittelt und von uns in sogenannten Log-Dateien gespeichert.

Die Log-Dateien werden von uns ausschließlich zur Ermittlung von Störungen und aus Sicherheitsgründen (z. B. zur Aufklärung von Angriffsversuchen) für einen kurzen Zeitraum gespeichert und danach gelöscht. Log-Dateien, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind von der Löschung, bis zur endgültigen Klärung des jeweiligen Vorfalls, ausgenommen und können im Einzelfall an Ermittlungsbehörden weitergegeben werden.

In den Log-Dateien werden insbesondere folgende Informationen gespeichert:

  • Datum und Uhrzeit der Aktivität,
  • Standort, näherungsweise basierend auf IP-Adresse (z. B. Hessen, DE),
  • Betriebssystem (z. B. Windows 11),
  • Browser (z. B. Microsoft Edge),
  • IP-Adresse,
  • Aufgerufene App / Service (z. B. E-Mail-Konto),
  • Benutzername,
  • Status der Aktivität (z. B. „Erfolgreiche Anmeldung“).

Zwecke der Datenverarbeitung

Ihre Daten werden für die folgenden Zwecke erhoben und verarbeitet:

  • Anmeldung an Systemen,
  • Administration der Benutzerkonten,
  • Beseitigung von Störungen im Rahmen des Supports,
  • Durchführung der Multi-Faktor-Authentifizierung.

Unser Dienstleister Microsoft erhebt und verarbeitet Ihre personenbezogenen Daten in Form von Telemetriedaten für die folgenden Zwecke:

  • Bereitstellung des Service, einschließlich des technischen Supports
  • Fehlerbehebung
  • Laufende Verbesserung der genutzten Services

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten für die Nutzung der Schul-ID Hessen für schulisches Personal und Eltern aufgrund ihrer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO).

Weitere Informationen zum Widerruf Ihrer Einwilligung und den Folgen finden Sie im Punkt „Rechte der betroffenen Personen“.

Für Schülerinnen und Schüler erfolgt die Datenverarbeitung zur rechtmäßigen Erfüllung des Bildungs- und Erziehungsauftrages (Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 83a HSchG).

Sofern die o. g. Daten nicht durch die Nutzung des Dienstes entstehen (Log-Dateien) oder durch Ihre eigene Angabe in unseren Systemen generiert werden (Sicherheitsinformationen), stammen diese für schulisches Personal aus dem Personalverwaltungssystem des Landes Hessen (Verarbeitung der Daten auf Basis von Art. 88 DSGVO i.V.m. § 23 HDSIG) oder für Eltern (Einwilligung Art. 6 Abs. 1 lit. a) DSGVO) und für Schülerinnen und Schüler (§ 83a HSchG) aus dem Schulverwaltungssystem des Landes Hessen.

4. Speicherung und Löschung der Daten

Wir speichern die für die Nutzung der Schul-ID Hessen genannten personenbezogenen Daten nur so lange, wie dies zur Erreichung der hier genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen Speicherfristen vorsehen. Nach Ablauf dieser Fristen werden die personenbezogenen Daten entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Die reguläre Speicherdauer für nur temporär benötigte Informationen (Log-Dateien) beträgt 30 Tage. Registrierungs- bzw. anmeldungsbezogene Daten werden für die Dauer der Nutzung der Schul-ID Hessen gespeichert. Wird der Nutzung des Verfahrens widersprochen oder endet die Nutzung auf reguläre Weise, beispielsweise durch Beendigung des Schul- oder Dienstverhältnisses, erfolgt eine Löschung der unter 3. genannten Daten automatisiert nach 30 Tagen. Löschung und Archivierung der Quelldaten aus den Personal- oder Schulverwaltungssystemen (Datenquelle) unterliegen eigener Fristen und sind von dieser Erklärung nicht berührt.

5. Rechte der betroffenen Personen

Im Rahmen der Nutzung der Anwendung haben Sie nach der Datenschutzgrundverordnung und dem Hessischen Datenschutz- und Informationsfreiheitsgesetz verschiedene Rechte, die sich insbesondere aus Art. 15 bis 18, 21 DSGVO, §§ 31 ff. HDSIG ergeben:

Recht auf Auskunft

Sie können nach Art. 15 DSGVO Auskunft über Ihre von uns verarbeiten personenbezogenen Daten verlangen. In Ihrem Auskunftsantrag sollten Sie Ihr Anliegen präzisieren, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern. Bitte beachten Sie, dass Ihr Auskunftsrecht durch die Vorschriften der § 24 Abs. 2, § 26 Abs. 2 und § 33 HDSIG eingeschränkt wird.

Recht auf Berichtigung

Sollten die Sie betreffenden Angaben nicht (mehr) zutreffend sein, können Sie nach Art. 16 DS-GVO eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen.

Recht auf Löschung

Unter den Bedingungen des Art. 17 DSGVO in Verbindung mit § 34 HDSIG können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Ihr Anspruch auf Löschung hängt u.a. davon ab, ob die Sie betreffenden Daten von uns zur Erfüllung unserer gesetzlichen Aufgaben noch benötigt werden.

Recht auf Einschränkung der Verarbeitung

Im Rahmen der Vorgaben des Art. 18 DSGVO haben Sie das Recht, eine Einschränkung der Verarbeitung der Sie betreffenden Daten zu verlangen.

Recht auf Widerspruch

Nach Art. 21 DSGVO haben Sie das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung der Sie betreffenden Daten zu widersprechen. Allerdings können wir dem nicht immer nachkommen, z.B. wenn uns im Sinne von § 35 HDSIG im Rahmen unserer amtlichen Aufgabenerfüllung eine Rechtsvorschrift zur Verarbeitung verpflichtet.

Recht auf Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie dies schriftlich gem. Art. 7 Abs. 3 DSGVO gegenüber dem Hessischen Kultusministerium mitteilen. Als Folge dessen ist der Service für Sie als betroffene Person nicht weiter nutzbar. Hiervon bleibt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf unberührt (vgl. Art 13 Abs.2 lit. c DSGVO).

Recht auf Beschwerde

Wenn Sie der Auffassung sind, dass wir bei der Verarbeitung Ihrer Daten datenschutz-rechtliche Vorschriften nicht beachtet haben, können Sie sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden. Dies ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Tel. 0611 / 1408-0. Allgemeine Informationen zum Datenschutz finden Sie auf den Internetseiten des HBDI unter https://datenschutz.hessen.deÖffnet sich in einem neuen Fenster.

6. Änderung und Aktualisierung der Datenschutzerklärung

Das Hessische Kultusministerium bittet darum, dass Sie sich regelmäßig über den Inhalt der Datenschutzerklärung informieren. Das Hessische Kultusministerium passt die Datenschutzerklärung an, sobald die Änderungen der durchgeführten Datenverarbeitungen dies erforderlich machen.

 

 

Impressum

Die Schul-ID Hessen auf Basis von Microsoft Azure wird zur Verfügung gestellt durch:

Land Hessen
Hessisches Kultusministerium
Luisenplatz 10
65185 Wiesbaden

Das Land Hessen ist eine Körperschaft des öffentlichen Rechts, vertretungsberechtigt ist der hessische Ministerpräsident. Die Umsatzsteueridentifikationsnummer für den Geschäftsbereich des Hessischen Kultusministeriums lautet DE270134985.

Verantwortlich für Umsetzung und Technik:

Hessische Zentrale für Datenverarbeitung (HZD)
Mainzer Straße 29
65185 Wiesbaden
E-Mail: uhd@hzd.hessen.de

 

Schlagworte zum Thema