Datenschutzerklärung für den GitLab-Dienst an der TU Chemnitz
Diese Datenschutzerklärung klärt Sie in Ergänzung zu den auch insoweit zu beachtenden allgemeinen Hinweisen über die Datenverarbeitung durch die Technische Universität Chemnitz über Art, Umfang und Zweck der Verarbeitung von personenbezogenen Daten im Rahmen des GitLab-Dienstes auf. Aus Gründen der besseren Lesbarkeit wird in dieser Datenschutzerklärung auf die Verwendung geschlechtsspezifischer Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichwohl für alle Geschlechter.
I. Name und Kontaktdaten des Verantwortlichen
Der Verantwortliche im Sinne der EU-Datenschutzgrundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Technische Universität Chemnitz
vertreten durch den Rektor
Prof. Dr. Gerd Strohmeier
Straße der Nationen 62
09111 Chemnitz
E-Mail: rektor@tu-chemnitz.de
Telefon: +49 371 531-10000
Telefax: +49 371 531-10009
Web: www.tu-chemnitz.de
II. Kontaktdaten des Datenschutzbeauftragten
Der Datenschutzbeauftragte der Technischen Universität Chemnitz ist:
Gernot Kirchner
Datenschutzbeauftragter der TU Chemnitz
Straße der Nationen 62
09111 Chemnitz
E-Mail: datenschutzbeauftragter@tu-chemnitz.de
Telefon: +49 371 531-12030
Telefax: +49 371 531-12039
Web: www.tu-chemnitz.de/rektorat/dsb/
III. Technische Umsetzung des Dienstes
Die technische Umsetzung des GitLab-Dienstes erfolgt intern durch das Universitätsrechenzentrum (URZ) der Technischen Universität Chemnitz, welches über folgende E-Mail-Adresse zu erreichen ist: support@hrz.tu-chemnitz.de
IV. Bereitstellung der GitLab Webschnittstelle
1. Beschreibung und Umfang der Datenverarbeitung
Ergänzend zur Datenverarbeitung im Rahmen der Bereitstellung der Website und Erstellung von Logfiles verarbeiten wir folgende Daten für die GitLab Webschnittstelle:
- GitLab Session Cookie,
- Name, Benutzerkennung (im Folgenden EPPN) und E-Mail-Adresse angemeldeter Nutzer*.
- Angaben Ihrer Hochschule über die Gültigkeit Ihres Accounts. Ihre Hochschule teilt uns mit, bis zu welchem Zeitpunkt wir Ihnen Zugang zum GitLab-Dienst gewähren sollen und bis wann von Ihnen bereitgestellte Daten nicht gelöscht werden sollen*.
Die genannten Daten (außer die mit * markierten) werden zudem temporär – das heißt lediglich vorübergehend – in den Logfiles unserer Systeme gespeichert.
2. Rechtsgrundlage für die Datenverarbeitung
Das Universitätsrechenzentrum ist berechtigt, personenbezogene Daten eines Benutzers mit oder ohne Hilfe automatisierter Verfahren zu verarbeiten, d.h. beispielsweise zu erheben, zu erfassen, zu ordnen, zu speichern, abzufragen oder zu löschen, sofern und soweit die Verarbeitung für die Erfüllung des öffentlich-rechtlichen Benutzungsverhältnisses mit dem Benutzer – u.a. zur Bereitstellung des GitLab-Dienstes – erforderlich ist.
Grundlage für die Verarbeitung personenbezogener Daten durch das Universitätsrechenzentrum ist Art. 6 Abs. 1 S. 1 lit. e) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung - DSGVO) i.V.m. §§ 14, 92 Abs. 3 SächsHSFG i.V.m. der Benutzungsordnung des Universitätsrechenzentrums (URZ) der Technischen Universität Chemnitz.
Rechtsgrundlage für die Erhebung und vorübergehenden Speicherung der Daten in den Logfiles ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Wahrung eines berechtigten Interesses). Zudem erlaubt auch Art. 6 Abs. 1 S. 1 lit. c) DSGVO i. V. m. § 100 TKG eine Datenspeicherung.
3. Zweck der Datenverarbeitung
Sie können den GitLab-Dienst anonym nutzen, um auf von anderen Nutzern des Dienstes veröffentlichte Informationen zuzugreifen. In diesem Fall wird von den in Punkt 1 aufgezählten Daten das GitLab-Session-Cookie sowie die Daten zur Bereitstellung der Webseite verarbeitet. Wenn Sie sich am GitLab-Dienst anmelden, werden zusätzlich dazu Name, EPPN und E-Mail-Adresse von der Heimathochschule übertragen, nachdem Sie sich bei Ihrer Heimathochschule authentifiziert haben. Heimathochschule ist diejenige Hochschule, die den Account ausgestellt hat, mit dem der GitLab-Dienst genutzt wird. Nachdem Sie den Benutzungsbedingungen des GitLab-Dienstes zugestimmt haben, wird im GitLab-Dienst ein Account angelegt.
Nachdem Ihr Account im GitLab-Dienst angelegt wurde, übertragen wir Ihren EPPN asynchron an Ihre Heimathochschule zusammen mit der Information, dass Sie im GitLab-Dienst einen Account haben. Ihre Heimathochschule übermittelt uns anschließend asynchron Angaben über die Gültigkeit Ihres Accounts sowie den Löschzeitpunkt Ihres Accounts. Wir synchronisieren diese Daten bei Änderung mit Ihrer Heimathochschule.
Die von der Heimathochschule gemachten Angaben über die Gültigkeit der Accounts nutzen wir, um den Zugang für Nutzer zu sperren, deren Account an der Heimathochschule abgelaufen ist. Den übermittelten Löschzeitpunkt nutzen wir, um die Daten von Benutzern zu löschen, deren Account abgelaufen ist. Die Steuerung dieser Zeitpunkte obliegt ausschließlich der Heimathochschule.
Die E-Mail-Adresse angemeldeter Nutzer wird hauptsächlich dazu genutzt, damit sich Nutzer Benachrichtigungen über Aktivitäten im GitLab-Dienst informieren lassen können. Außerdem nutzen wir diese E-Mail-Adresse, um mit Nutzern im Fall von technischen Problemen zu kommunizieren. Wenn die E-Mail-Adresse mit der E-Mail des Autors im Git-Commit übereinstimmt, nutzt GitLab diese zur Verknüpfung zum zugehörigen Account im GitLab-Dienst.
4. Dauer der Speicherung
Ergänzend zur Dauer der Speicherung im Rahmen der Bereitstellung der Website und Erstellung von Logfiles gilt für den GitLab-Dienst:
Name, EPPN und E-Mail-Adresse von Benutzern werden automatisch gelöscht, sobald das Löschdatum erreicht wurde, das von der Heimathochschule übermittelt wurde.
V. Bereitstellung der GitLab-API und des Zugangs per Git-Protokoll
1. Beschreibung und Umfang der Datenverarbeitung
Ergänzend zur Datenverarbeitung im Rahmen der Bereitstellung der Website und Erstellung von Logfiles verarbeiten wir folgende Daten für die GitLab API und den Zugang per Git-Protokoll:
- ggf. hochgeladene Git-Commits, die personenbezogene Daten wie Name und E-Mail-Adresse des Autors enthalten können,
- ggf. per GitLab-API übertragene Inhalte,
- SSH Authentifizierungsschlüssel
- API Token zur Authentifizierung
Sie können die GitLab-API und den Zugang per Git-Protokoll erst dann nutzen, wenn Sie sich über die Webschnittstelle angemeldet haben. Zur Nutzung des Zugangs per API müssen Sie sich ein API-Token in der Weboberfläche erstellen. Für die Nutzung des Git-Protokolls ist es notwendig, einen oder mehrere öffentliche SSH-Schlüssel in GitLab zu speichern.
2. Rechtsgrundlage für die Datenverarbeitung
Das Universitätsrechenzentrum ist berechtigt, personenbezogene Daten eines Benutzers mit oder ohne Hilfe automatisierter Verfahren zu verarbeiten, d.h. beispielsweise zu erheben, zu erfassen, zu ordnen, zu speichern, abzufragen oder zu löschen, sofern und soweit die Verarbeitung für die Erfüllung des öffentlich-rechtlichen Benutzungsverhältnisses mit dem Benutzer – u.a. zur Bereitstellung des GitLab-Dienstes – erforderlich ist.
Grundlage für die Verarbeitung personenbezogener Daten durch das Universitätsrechenzentrum ist Art. 6 Abs. 1 S. 1 lit. e) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung - DSGVO) i.V.m. §§ 14, 92 Abs. 3 SächsHSFG i.V.m. der Benutzungsordnung des Universitätsrechenzentrums (URZ) der Technischen Universität Chemnitz.
Rechtsgrundlage für die Erhebung und vorübergehenden Speicherung der Daten in den Logfiles ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Wahrung eines berechtigten Interesses). Zudem erlaubt auch Art. 6 Abs. 1 S. 1 lit. c) DSGVO i. V. m. § 100 TKG eine Datenspeicherung.
3. Zweck der Datenverarbeitung
Vom Benutzer bereitgestellte SSH-Schlüssels werden zur Authentifizierung von Git Push und Pull Kommandos genutzt. Es wird der öffentliche Teil der SSH Schlüssel gespeichert. In Logdateien wird der Fingerabdruck des öffentlichen Schlüssels gespeichert. Dies nutzen wir zur Fehlerdiagnose.
API Token zum Zugriff auf die GitLab API werden im Profil des jeweiligen Nutzers gespeichert und dienen als Nachweis der Benutzungsberechtigung für die jeweilige API-Funktion.
Die Speicherung übertragener Inhalte, die durch die GitLab API oder durch Hochladen von Git-Commits übermittelt wurden, stellt eine Kernfunktionalität des Dienstes dar. Git-Commits können personenbezogene Daten wie z.B. E-Mail-Adresse und Name des Autors enthalten. Es ist möglich, Pseudonyme in den Git-Commits zu verwenden. Sollte in Git-Commits dieselbe E-Mail-Adresse verwendet werden, die mit der in einem Benutzerprofil hinterlegten E-Mail-Adresse übereinstimmt, so verknüpft GitLab die entsprechenden Commits mit dem Benutzerprofil.
4. Sicherheit der Datenverarbeitung
Für die Datenübertragung per SSH wird ausschließlich die nach dem Stand der Technik als sicher geltende Version 2 des SSH-Protokolls verwendet.
Für die API gelten die Angaben in Abschnitt V/4. der Datenschutzerklärung der Webseite der TU Chemnitz.
5. Dauer der Speicherung
Ergänzend zur Dauer der Speicherung im Rahmen der Erstellung von Logfiles gilt für den GitLab-Dienst:
Im Benutzerprofil gespeicherte Angaben zu SSH-Schlüsseln und API Token werden zusammen mit dem Nutzerprofil des Nutzers gelöscht, sobald das Löschdatum erreicht wurde, das von der Heimathochschule übermittelt wurde.
Projekte im persönlichen Namespace von Benutzern werden automatisch gelöscht, sobald das Löschdatum erreicht wurde, das von der Heimathochschule übermittelt wurde. Projekte in Gruppen werden gelöscht, sobald diese keine gültigen Benutzer mehr als Besitzer haben.
6. Widerspruchs- und Beseitigungsmöglichkeit
Ergänzend zu den Widerspruchs- und Beseitigungsmöglichkeiten im Rahmen der Bereitstellung der Website und Erstellung von Logfiles weisen wir darauf hin, dass (personenbezogene) Daten, die durch Commits in Repositories übertragen wurden, nachträglich nicht mehr änderbar sind, ohne die Integrität der Repositories zu zerstören (vgl. Art. 17 Abs. 1 lit. a) bzw. lit. c) DSGVO). Dies liegt daran, dass sich im Fall einer Änderung die Commit-IDs der betroffenen Commits sowie aller folgenden Commits ändern würden. Wenn Sie nicht wünschen, dass Ihre unmittelbar personenbezogenen Daten in Git-Repositories gespeichert werden, dann sollten Sie die Möglichkeit der pseudonymen Nutzung wahrnehmen.
Ansprechpartner für Fragen zu personenbezogenen Daten in Git-Repositories sind die jeweiligen Eigentümer bzw. Verwalter der Repositories.