Datenschutz - Sandbox Bewerbung

Einwilligungserklärung
zur Verarbeitung von personenbezogenen Daten
durch die Hochschule der Medien

Ich willige ein, dass meine folgenden personenbezogenen Daten

Vor- und Nachname, Titel, Geschlecht, Status der Beschäftigung, Hochschulangehörigkeit, Studiengang, E-Mail-Adresse, Telefonnummer, Adresse, Firmenname, BRanche, Kurzbeschreibung der Geschäftsidee, Status der Geschäftsidee, Anzahl der Teammitglieder, Art der Neugründung, Beratungsbedarf, Erhaltene Förderungen, Expertise, Social Media Handle, Gründungsjahr, Playpark Zugang, Rolle, Schlagworte, Notizen

durch die Hochschule der Medien verarbeitet werden.

Zweck der Verarbeitung und Rechtsgrundlagen

Zweck der Verarbeitung ist die Adressverwaltung der Partner, Studierenden und Lieferanten sowie die Anmeldung zu Beratungen und Events des Startup Centers der Hochschule der Medien, des Accelerators „Sandbox“ sowie des Kooperationsprojekts „Startup Campus 0711“.

Rechtsgrundlage für die Verarbeitung meiner personenbezogenen Daten ist meine informierte und freiwillige Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a der Datenschutzgrundverordnung (DSGVO).

 

Verzeichnis von Verarbeitungstätigkeiten

gem. Artikel 30 Abs. 1 DSGVO

mit denen personenbezogene Daten verarbeitet werden[1]

Angaben zum Verantwortlichen

Name             Prof. Dr. Alexander Roos, Rektor der Hochschule der Medien        

Straße            Nobelstraße 10                             

Postleitzahl     70569                                                    Ort  Stuttgart

Telefon           0711 8923-2004

E-Mail-Adresse  roos@hdm-stuttgart.de                          Internet-Adresse  www.hdm-stuttgart.de

Angaben zum ggf. gemeinsam mit diesem Verantwortlichen

Name            Prof. Dr. Bettina Schwarzer, Prorektor           

Straße           Nobelstraße 10                              

Postleitzahl     70569                                                    Ort  Stuttgart

Telefon           0711 8923-2001

E-Mail-Adresse  schwarzer@hdm-stuttgart.de                         

Angaben zum Vertreter des Verantwortlichen

Name             Nicole Kuhn, Kanzlerin         

Straße            Nobelstraße 10                             

Postleitzahl     70569                                                    Ort  Stuttgart

Telefon           0711 8923-2016

E-Mail-Adresse  kanzlerin@hdm-stuttgart.de                                                                                      

Angaben zur Person des Datenschutzbeauftragten

Name             Lisa Lingner         

Straße            Nobelstraße 10                              

Postleitzahl     70569                                                    Ort  Stuttgart

Telefon           0711 8923-2057

E-Mail-Adresse  lingner@hdm-stuttgart.de                                                                                      

 

Verarbeitungstätigkeit: Adressverwaltung, Beratungs- und Eventanmeldung

Benennung des Verfahrens: Customer-Relationship-Management, CAS genesisWorld mit Event Management Erweiterung

Datum der Einführung: 01.08.2022

Datum der letzten Änderung:

Verantwortliche Fachabteilung

Ansprechpartner, Telefon

E-Mail-Adresse

(Art. 30 Abs. 1 S. 2 lit a)

Startup Center

Hartmut Rösch

0711 8923- 2118

roesch@hdm-stuttgart.de

Zwecke der Verarbeitung[2]

(Art. 30 Abs. 1 S. 2 lit b)

Adressverwaltung der Partner, Studierenden und Lieferanten, Beratungs- und Eventanmeldung

Beschreibung der Kategorien betroffener Personen[3]

(Art. 30 Abs. 1 S. 2 lit. c)

 Beschäftigte

 Interessenten

 Lieferanten

 Kunden

 Studenten

 Partner

Beschreibung der Kategorien von personenbezogenen Daten[4]

(Art. 30 Abs. 1 S. 2 lit. c)

 Kundendaten

 Identifikations- und Adressdaten

 

Besondere Kategorien personenbezogener Daten (Art. 9)[5]:

   

 

 

Kategorien von Empfängern, gegenüber denen die personen- bezogenen Daten offen gelegt worden sind oder noch werden[6]

(Art. 30 Abs. 1 S. 2 lit. d)

 intern (Zugriffsberechtigte)

Abteilung/Funktion

Startup Center der HdM/ Nutzung der Anwendung

Campus-IT/ techn. Administration

 extern

Empfängerkategorie

 

 Drittland oder internationale Organisation (Kategorie)

 

ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine inter- nationale Organisation (Art. 30 Abs. 1 S. 2 lit. e)

 Datenübermittlung findet nicht statt und ist auch nicht geplant

 Datenübermittlung findet wie folgt statt:

Nennung der konkreten Datenempfänger

 Drittland oder internationale Organisation (Name)

Sofern es sich um eine in Art. 49 Abs. 1 Unterabs. 2 genannte Datenübermittlung handelt.

Dokumentation geeigneter Garantien

Fristen für die Löschung der verschiedenen Datenkategorien[7]

(Art. 30 Abs. 1 S. 2 lit. f)

 

Einmal pro Jahr wird geprüft, ob die vorhandenen Daten noch genutzt werden müssen, spätestens nach 10 Jahren werden die Daten gelöscht.

Technische und organisatorische Maßnahmen (TOM)[8]

gemäß Art. 32 Abs.1 DSGVO (Art. 30 Abs. 1 S. 2 lit. g)

Die Daten sind auf Servern im Rechenzentrum der HdM abgespeichert, hier werden auch Backups durchgeführt. Nur berechtigte Personen können über ihren persönlichen Account auf die Daten zugreifen. Dadurch sind die Zugangskontrolle, die Datenträger-kontrolle, die Speicherkontrolle, die Benutzerkontrolle, die Zugriffskontrolle, die Übertragungskontrolle, die Eingabekontrolle, die Transportkontrolle, die Wieder-herstellbarkeit, die Zuverlässigkeit, die Datenintegrität und die Verfügbarkeitskontrolle gewährleistet. Die Auftragskontrolle trifft nicht zu.

Es wurde eine Risikoanalyse durchgeführt:

 Ja

 Nein

Folgende Maßnahmen wurden ergriffen um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

 

 

   

Ort, Datum

Name Verantwortlicher

Unterschrift Verantwortlicher

 

 

Hinweise

 

(1)   Was sind personenbezogene Daten:

       Im Sinne der DS-GVO (Art. 4 Nr. 1) umfasst der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

       Dazu gehören z. B. Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Einkommen, Kfz-Kennzeichen, Konto-Nummer, Versicherungs- oder Personal-Nummer, Beruf. Auch pseudonymisierte Daten wie z. B. eine IP-Adresse oder Personalnummer, aus denen die betroffene Person indirekt bestimmbar wird, gelten als personenbezogene Daten.

(2)   Hier bitte Aufgaben und Ziele der einzelnen Prozesse beschreiben. Z.B. Personalmanagement, Fuhrparkmanagement, Marketing und Vertrieb, Kundenbetreuung,…

(3)   Gemeint sind die Personengruppen, deren Daten in dem jeweiligen Verfahren verarbeitet werden. Zum Beispiel: Mitarbeiter, Kunden, Arbeitnehmer, Schuldner, Interessenten.

(4)   Beispiele für Kategorien von personenbezogenen Daten sind: Personaldaten, Kundendaten, Identifikations- und Adressdaten, Vertragsstammdaten, Kontokorrentdaten, IT-Nutzungsdaten, Bewegungsdaten….

(4a) Besondere Kategorien personenbezogener Daten sind: Personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten und biometrische Daten die sich zur eindeutigen Identifizierung einer natürlichen Person eignen, sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

(5)   Es empfiehlt sich eine Benennung der natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen, die Daten planmäßig erhalten sollen. Unabhängig davon, ob es sich um eine aktive Übertragung oder einen Direktzugriff des Empfängers auf die Verarbeitung handelt. Dies können interne und externe Stellen, sowie Dienstleister im Rahmen der Auftragsverarbeitung sein. Zum Beispiel: Interne Empfänger innerhalb derselben juristischen Person oder Externe Empfänger und Dritte (jeder andere Empfänger, auch andere Gesellschaften des Konzerns)

(6)   In der Regel richtet sich die Löschung nach dem Zweck der Datenerhebung und –Nutzung. Zu Löschen ist grundsätzlich unverzüglich nach Erfüllung des Zwecks. Ausnahmen ergeben sich insbesondere aus spezialgesetzlichen Aufbewahrungspflichten, z.B. aus dem Steuerrecht oder sonstigen branchenspezifischen Rechtsvorschriften. Ggf. Beschreibung, ob und nach welchen Regeln die Daten gelöscht werden. Oder ggf. Nennung vorgesehener Fristen für die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Daten.

 

(7)   Im Fall einer automatisierten Verarbeitung müssen nach einer Risikobewertung (Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, sind die getroffenen technischen und organisatorischen Maßnahmen dazu geeignet, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten) Maßnahmen ergriffen werden, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

       Ein Zweck nach Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

 

[1] s. Hinweis 1

[2] s. Hinweis 2

[3] s. Hinweis 3

[4] s. Hinweis 4

[5] s. Hinweis 4a

[6] s. Hinweis 5

[7] s. Hinweis 6

[8] s. Hinweis 7