Datenschutzinformation zur Webanwendung mfa.hhu.de

Mit dieser Datenschutzinformation kommt die Heinrich-Heine-Universität Düsseldorf (im Folgenden HHU) für die Webanwendung mfa.hhu.de ihrer Informationspflicht gemäß Artikel 13 und Artikel 14 der Datenschutzgrundverordnung (im Folgenden DSGVO) nach.

Hinsichtlich der verwendeten Begriffe „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Dritter“ etc., wird auf die Definitionen in Artikel 4 der DSGVO verwiesen.

Mit dieser Webanwendung wird die Zuweisung von zweiten Faktoren zu HHU-Kennungen verwaltet und die Ausgabe der USB-Hardware-Token organisiert.

1. Kontaktdaten

Verantwortlich für die Verarbeitung und Nutzung von personenbezogenen Daten ist die HHU, eine vom Land NRW getragene, rechtfähige Körperschaft des Öffentlichen Rechts. Sie wird durch die Rektorin Prof. Dr. Anja Steinbeck vertreten.

1.1. Kontaktdaten des Verantwortlichen

Heinrich-Heine-Universität Düsseldorf
Universitätsstr. 1
40225 Düsseldorf
Tel.: +49 (0)211 81-10000
Web: www.hhu.de

1.2. Ansprechpartner für die Verarbeitung

Zentrum für Informations- und Medientechnologie (ZIM)
Universitätsstr. 1
40225 Düsseldorf
Tel: +49 (0)211 81-13900
E-Mail: zim@hhu.de
Web: www.zim.hhu.de

1.3. Kontaktdaten der Datenschutzbeauftragten

Die behördliche Datenschutzbeauftragte der HHU erreichen Sie postalisch unter oben angegebener Adresse des Verantwortlichen oder wie folgt:

Die Datenschutzbeauftragte
Tel.: +49 (0)211 81-13060
E-Mail: datenschutz@hhu.de
www.hhu.de/datenschutz

2. Bereitstellung der Webanwendung

2.1 Beschreibung und Umfang der Datenverarbeitung

Bei jedem Zugriff auf Inhalte der Webanwendung werden dort vorübergehend Daten gespeichert, die möglicherweise eine Identifizierung zulassen. Folgende Daten werden hierbei erhoben:

  • Informationen über den Browsertyp und die verwendete Version des Nutzenden
  • Das Betriebssystem der Nutzenden
  • Die IP-Adresse der Nutzenden
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das System der Nutzenden auf unsere Internetseite gelangt

Die Daten werden ebenfalls in Logfiles gespeichert.

2.2 Zwecke der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Inhalte an den Rechner der Nutzenden zu ermöglichen. Hierfür muss die IP-Adresse der Nutzenden für die Dauer der Sitzung gespeichert bleiben.

Die Speicherung der Daten in Logfiles erfolgt, um die Webanwendung zu optimieren, die Funktionsfähigkeit der Webanwendung sicherzustellen und um die Sicherheit unserer informationstechnischen Systeme zu gewährleisten.

2.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und die Speicherung der Daten in Logfiles ist Art. 6 Abs. 1 lit. e, Abs. 3 DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW, § 3 HSG NRW und Art. 32 Abs. 1 DS-GVO.

2.4 Dauer der Speicherung

Die Daten, die für die Auslieferung der Inhalte der Webanwendung erforderlich sind, werden gelöscht, wenn die jeweilige Sitzung beendet ist.

Die für die Optimierung der Webanwendung gespeicherten Daten werden täglich anonymisiert.

Die für die Funktionsfähigkeit der Webanwendung in Logfiles gespeicherten Daten werden nach spätestens 30 Tagen gelöscht.

Die zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme gespeicherten Daten werden an das zentrale Logging weitergeleitet und dort spätestens nach 180 Tagen gelöscht.

3. Verwendung von Cookies

3.1 Beschreibung und Umfang der Datenverarbeitung

In der Webanwendung werden die folgenden Daten in Cookies gespeichert und übermittelt:

  1. Sitzungseinstellungen (Session Cookie)
  2. CSRF Cookie

Es werden ausschließlich technisch notwendige Cookies verwendet.

3.2 Zwecke der Datenverarbeitung

Einige Funktionen der Webanwendung können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser des Nutzenden auch nach einem Seitenwechsel wiedererkannt wird. Außerdem werden technisch notwendige Cookies eingesetzt, um die Sicherheit unserer informationstechnischen Systeme zu gewährleisten.

3.3 Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten mit Hilfe von Cookies ist Art. 6 Abs. 1 lit. e, Abs. 3 DS-GVO in Verbindung mit § 3 DSG NRW, § 3 HSG NRW, § 25 Abs. 2 Nr. 1 TDDDG und Art 32 Abs. 1 DS-GVO.

3.4 Dauer der Speicherung

Das Session Cookie wird mit Beendigung der Sitzung gelöscht.

Das CSRF Cookie wird nach 1 Jahr gelöscht.

4. Anmeldung

4.1 Beschreibung und Umfang der Datenverarbeitung

Diese Webanwendung bietet Nutzenden der HHU die Möglichkeit, sich unter Angabe der HHU-Kennung anzumelden.

Die folgenden Daten werden dabei verarbeitet:

  1. HHU-Kennung
  2. Die IP-Adresse
  3. Rollen (Studierende:r, Beschäftigte:r, Administrator:in)
  4. Daten der zweiten Faktoren (ID, Name des Faktors)

Folgende Daten werden in einem Nutzer:innen-Profil gespeichert:

  1. HHU-Kennung
  2. Datum und Uhrzeit der Erstanmeldung
  3. Datum und Uhrzeit des letzten Zugriffs

4.2 Zweck der Datenverarbeitung

Die Anmeldung der Nutzenden der HHU an der Webanwendung dient der Identifikation der Nutzenden, der Gewährleistung der Sicherheit der HHU-Kennung und unserer informationstechnischen Systeme.

4.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 3 DS-GVO in Verbindung mit § 3 DSG NRW, § 3 HSG NRW und Art. 32 Abs. 1 DS-GVO.

4.4 Dauer der Speicherung

Die Logdaten zu Anmeldung (Zeitpunkt, Unikennung, IP-Adresse und Rolle) werden nach spätestens 30 Tagen gelöscht.

Die zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme gespeicherten Daten werden an das zentrale Logging weitergeleitet und dort spätestens nach 180 Tagen gelöscht.

5. Zuweisung, Löschung und Ausgabe von zweiten Faktoren

5.1 Beschreibung und Umfang der Datenverarbeitung

Diese Webanwendung bietet Nutzenden die Möglichkeit sich zweite Faktoren für die Mehr-Faktor-Authentifizierung zu erstellen und zu löschen. Folgende Daten werden dazu verarbeitet:

  1. HHU-Kennung
  2. Zuweisung von zweiten Faktoren
  3. Name des zweiten Faktors

Mit dieser Webanwendung wird die Ausgabe von USB-Hardware-Token organisiert. Folgende Daten werden dazu verarbeitet und in einem Nutzer:innen-Profil gespeichert:

  1. Information, ob und ggf. welcher Hardware-Faktor beantragt wurde
  2. Information, ob und ggf. welcher Hardware-Faktor ausgegeben wurde

5.2 Zweck der Datenverarbeitung

Die Zuweisung und Löschung von zweiten Faktoren ermöglicht die Nutzung der Mehr-Faktor-Authentifizierung der HHU.

Die Speicherung der Zuweisung und Löschung von zweiten Faktoren in Logfiles erfolgt um die Funktionsfähigkeit der Webanwendung sicherzustellen und zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme.

Die Ausgabe der USB-Hardware-Token wird gespeichert, um eine mehrfache Ausgabe von USB-Hardware-Token zu vermeiden.

5.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 3 DS-GVO in Verbindung mit § 3 DSG NRW, § 3 HSG NRW und Art 32 Abs. 1 DS-GVO.

5.4 Dauer der Speicherung

Die Logdaten, welche bei Zuweisung oder Löschung anfallen, werden nach spätestens 30 Tagen gelöscht.

Die zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme gespeicherten Daten werden an das zentrale Logging weitergeleitet und dort spätestens nach 180 Tagen gelöscht.

Die Informationen zu der Ausgabe der Yubikeys wird 5 Jahre lang gespeichert.

6. Ihre Rechte als betroffene Person

Sie können als betroffene Person jederzeit die Ihnen durch die DSGVO gewährten Rechte geltend machen:

  • das Recht auf Auskunft, ob und welche Daten von Ihnen verarbeitet werden nach Maßgabe des Art. 15 DS-GVO, § 12 DSG NRW;
  • das Recht, die Berichtigung oder Vervollständigung der Sie betreffenden Daten zu verlangen nach Maßgabe des Art. 16 DS-GVO;
  • das Recht auf Löschung der Sie betreffenden Daten nach Maßgabe des Art. 17 DS-GVO, § 10 DSG NRW;
  • das Recht eine Einschränkung der Verarbeitung der Daten zu verlangen nach Maßgabe des Art. 18 DS-GVO;
  • das Recht auf Datenübertragbarkeit nach Maßgabe des Art. 20 DS-GVO;
  • das Recht auf Widerspruch gegen eine künftige Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DS-GVO, § 14 DSG NRW;
  • das Recht, eine erteilte Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf Ihrer Einwilligung beruht nach Maßgabe Art. 7 Abs. 3 DS-GVO. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Sie haben außerdem das Recht, Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DS-GVO einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Die für die HHU zuständige Aufsichtsbehörde ist die

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Tel.: +49 (0)211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de

Wir wären Ihnen allerdings dankbar, wenn Sie – bevor Sie sich mit Ihrem Anliegen an die Aufsichtsbehörde wenden – mit unserer Datenschutzbeauftragten Kontakt aufnehmen würden, siehe Ziffer 1.3. Wir werden versuchen, Ihrem Anliegen gerecht zu werden.

7. Gültigkeit dieser Datenschutzhinweise

Wir behalten uns das Recht vor, diese Datenschutzinformation abzuändern, um sie gegebenenfalls an Änderungen relevanter Gesetze bzw. Vorschriften anzupassen oder Ihren Bedürfnissen besser gerecht zu werden. Diese Datenschutzinformation gilt in der jeweils zuletzt durch die HHU veröffentlichten Fassung.

Stand: 29.09.2025