Datenschutzhinweise für die Nutzung von Sophos Intercept X an der Technischen Universität Hamburg (TUHH)
"Sophos Intercept X" ist ein Service der Sophos Group plc, die ihren Sitz in England hat. Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von InterceptX informieren.
Hinweise zur privaten "Sophos Home" Version befinden sich weiter unten auf dieser Webseite.
Zweck der Verarbeitung
Wir nutzen das Tool InterceptX, um die IT-Sicherheit auf Endgeräten zu verbessern und deren Kompromittierung durch Schadcode/Malware zu detektieren (nachfolgend: Virenschutz).
Diese Maßnahme entspricht der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), siehe OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen im IT-Grundschutz Kompendium des BSI.
Verantwortlicher
Verantwortlicher für die Datenverarbeitung, die im unmittelbaren Zusammenhang mit dem Einsatz von InterceptX steht, ist die TUHH.
Welche Daten werden verarbeitet?
Bei der Nutzung von InterceptX werden verschiedene Datenarten verarbeitet, da ein Virenschutz das gesamte Endgerät auf Malware/Schadcode überwacht.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Zugriffs- und Logdaten | IP-Adressen, Geräte- und Hardwareinformationen einschließlich MAC-Adressen und Geräte-ID |
Prozesse | Bei denen Befehlszeichen aufgezeichnet werden, die auch TUHH-Benutzernamen und API-Schlüssel enthalten |
Systemdaten | Ports, Datei-Hashes, Host-Namen |
Protokolldaten | Systemereignisse, Log |
Benutzername | Bei älteren Benutzernamen durch ersten Buchstaben des Vornamens sowie Nachnamens personenbeziehbar |
Dateipfade | Pfad- oder Dateinamen können personenbeziehbar sein |
Anwendungen | Betriebssysteme, Browsertyp, -sprache und -erweiterungen, Medien- und Java-Anwendungen |
Umfang der Verarbeitung
Lokale Prüfung
Die erste Prüfung erfolgt lokal auf dem durch InterceptX geschützten Endgerät. Virenfunde werden an die Cloud-Instanz der TUHH bei "Sophos Central" gemeldet.
Cloud-Console
Endgeräte werden in in der Cloud-Plattform Sophos Central durch Administratoren der TUHH verwaltet. Neben den allgemeinen Informationen der Endgeräte laufen hier Virenfunde auf.
Rechtsgrundlagen der Datenverarbeitung
Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf den dienstlichen Endgeräten der TUHH für den oben genannten Zweck ist Artikel 6 Absatz 1 Buchstabe e DSGVO in Verbindung mit Artikel 88 DSGVO in Verbindung mit § 10 Absatz 1 HmbDSG und der Informationssicherheitsleitlinie der TU Hamburg in der jeweils aktuellen Fassung.
Empfänger / Weitergabe von Daten
Die personenbezogenen Daten bei der Nutzung durch InterceptX werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind bzw. eine gesetzliche Pflicht zur Offenlegung besteht.
Durch die Verwendung der Cloud-Plattform erhält Sophos notwendigerweise Kenntnis von den o.g. Daten. Hierfür wurde ein Auftragsverarbeitungsvertrag geschlossen.
Weitere Empfänger: Sophos bedient sich weiterer Unterauftragsnehmer für die Bereitstellung der Cloud-Infrastruktur. Hier existieren technische und organisatorische Maßnahmen, umd die Daten zu schützen.
Datenverarbeitung außerhalb der Europäischen Union
InterceptX ist ein Dienst, der von einem Anbieter aus England erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit in einem Drittland statt. England als Teil von Großbritannien verfügt über einen Angemessenheitsbeschluss und somit ein vergleichbares Datenschutzniveau wie in der EU.
Datenschutzbeauftragter
Die aktuellen Kontaktdaten des Datenschutzbeauftragten finden Sie auf dieser Webseite der TUHH.
https://www.tuhh.de/tuhh/datenschutz.html
Ihre Rechte als Betroffene/r
Hinsichtlich der oben angegeben Angaben zur Verarbeitung stehen Ihnen folgende Rechte zu: Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.
Bei einer Auskunftsanfrage, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Darüber hinaus verarbeitete Angaben, die z.B. aufgrund einer privaten Nutzung und damit verbundenen Registrierung bei Sophos verarbeitet werden, wenden Sie sich mit Ihrem Ersuchen bitte an das Datenschutz-Team von Sophos unter dataprotection@sophos.com oder schreiben Sie an folgende Adresse:
Sophos Limited, The Pentagon, Abingdon Science Park, Abingdon, Oxon, OX14 3YP, United Kingdom
Sie können Ihre Anfragen zu InterceptX an das Rechenzentrum unter servicedesk@tuhh.de richten.
Löschung von Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Daten, die für den oben genannten Zweck verarbeitet werden, werden 30 Tage nach dem letzten Kontakt eines IT-Systems zur Cloud Console gelöscht, Protokolldaten (Systemereignisse, Log) 90 Tage nach Wegfall der Erforderlichkeit.
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
https://datenschutz-hamburg.de/
Sophos Home (private Nutzung)
Eine private Nutzung der Version Sophos Home (Premium) ist möglich. Bei einer privaten Nutzung der Software gehen Sie selbst ein Vertragsverhältnis mit dem Unternehmen Sophos ein, welches somit Verantwortlicher für die Verarbeitung personenbezogener Daten sowie Ansprechpartner für die Ausübung Ihrer Betroffenenrechte im Sinne der DSGVO ist.
Bitte beachten Sie, dass das RZ keinen Support für die Version Sophos Home (Premium) übernimmt. Weitere Informationen und Anleitungen finden Sie hier.