Datenschutzinformation

1. Verantwortliche und Datenschutzbeauftragte

Verantwortliche für die Datenverarbeitung im Sinne der DS-GVO (Art. 4 Nr. 7) sowie anderer datenschutzrechtlicher Bestimmungen sind:

Das Karlsruher Institut für Technologie ist Körperschaft des öffentlichen Rechts. Es wird vertreten durch die/den jeweilige/n Präsident/in. Die Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@kit.edu oder der Postadresse mit dem Zusatz "Die Datenschutzbeauftragte".

2. Nutzung des Dienstes

Nachfolgend gehen wir auf den Umfang und Zweck im Zusammenhang mit der Nutzung des Dienstes ein.

2.1 Anmeldeinformationen: Die Nutzung des Dienstes erfordert eine Anmeldung über das föderierte Identitätsmanagement bwIDM (https://www.bwidm.de/index.php). Damit erfolgt die Anmeldung nicht beim Dienst direkt, sondern bei der jeweiligen Heimatorganisation der Nutzenden. Nach jeder Anmeldung bei bwIDM übermittelt bwIDM uns folgende Daten:

• Name zur persönlichen Identifikation und Ansprache
• E-Mail-Adresse zur Kontaktaufnahme in besonderen Fällen (z.B. Service-Ausfälle)
• Hochschulzugehörigkeit zur internen statistischen Datenerhebung und zur Bestimmung der Verfügbarkeit von Funktionalitäten
• bwIDM-Benutzername zur Zuordnung des Hochschulkontos zum JupyterHub-Konto
• Gruppenzugehörigkeit und Rolle im bwIDM zur Ableitung der Rolle im JupyterHub
• JupyterHub-Benutzername zur Identifizierung des JupyterHub-Kontos und dessen Zuteilung technischer Ressourcen und Rechenprofile

2.2 Dienstkonto: Mit der ersten Anmeldung erhält man einen JupyterHub-Account, der technisch notwendig ist, um den Dienst nutzen zu können. Hierzu gehört das persönliche Nutzerverzeichnis auf Dateisystem-Ebene. Dort können Nutzende - entlang der Nutzungsbedingungen - Dateien (z.B. Jupyter-Notebooks, Bilder, Rohdaten, usw.) hochladen, erstellen und bearbeiten. Auch können Dateien von externen Webdiensten (z.B. externe KI-Sprachmodelle) bezogen und dorthin wieder gesendet werden.

2.3 Eigene Profile: Nutzende mit der Rolle "Lecturer" können eigene Profile anlegen. Ein eigenes Profil kann genutzt werden, um Dateien mit Studierenden zu teilen. Zudem können weitere Funktionen wie Abgaben, automatische Korrekturen und Gruppenarbeit verwendet werden.

3. Aufruf der Webseite und Server Log Files

Umfang und Zweck: Bei der bloß informatorischen Nutzung der Webseite, wenn Sie sich also nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser nach den von Ihnen vorgenommenen Einstellungen an unseren Server übermittelt.

• Die IP-Adresse des Nutzenden
• Datum und Uhrzeit der Anfrage/ des Zugriffs
• Angeforderte Seite bzw. URL
• Zugriffsstatus/HTTP-Statuscode
• jeweils übertragene Datenmenge
• Webseiten, von denen das System des Nutzenden auf unsere Internetseite gelangt, falls der Browser des Nutzenden dies aktiv übermittelt
• Informationen über den Browsertyp und die verwendete Version
• Das Betriebssystem des Nutzenden
• Informationen zum Verschlüsselungsprotokoll und verwendetem -algorithmus

Die Daten dienen der technischen Optimierung der Webseite und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Die IP-Adresse ist für den Betrieb bzw. der Auslieferung der Webseite notwendig, wird verkürzt in die Logfiles geschrieben und ist nach dem Request nicht mehr als Ganzes verfügbar. Ein direkter Rückschluss auf einzelne Personen ist uns anhand dieser Daten nicht möglich. In anonymisierter Form werden die Daten zu statistischen Zwecken verarbeitet; ein Abgleich mit anderen Datenbeständen findet nicht statt.
Wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung vorliegen, behalten wir uns vor, unverkürzte IP-Adressen zu erfassen und zu speichern.

4. Cookies und lokaler Browserspeicher

Umfang und Zweck, inkl. Speicherdauer: zusätzlich zu den zuvor genannten Daten werden bei der Nutzung unserer Webseite Cookies auf Ihrem Rechner gespeichert. Cookies sind kleine Textdateien, die von dem von Ihnen verwendeten Browser bei Ihnen gespeichert werden und durch welche uns (dem Server unserer Webseite) bestimmte Informationen zufließen.

Wir nutzen sogenannte Session-Cookies (transiente Cookies), die technisch erforderlich sind, um die Webseite funktionsfähig zu gestalten. In den von uns eingesetzten session Cookies werden dabei folgende Daten gespeichert und übermittelt:

• _xsrf
  Speicherdauer: Das Cookie wird mit dem Schließen der Webseite gelöscht.
  Zweck: Durch das Setzen des Cookies werden Cross-Site-Request-Forgery-Angriffe verhindert. Angreifer können somit keine Anfragen im Namen des Nutzenden an die Webseite schicken.
• jupyterhub-session-id
  Speicherdauer: Das Cookie wird mit dem Schließen der Webseite gelöscht.
  Zweck: Der Cookie enthält eine zufällige Zeichenkette und wird benötigt, um den Logout technisch zu realisieren.
• jupyterhub-user-<JupyterHub-Benutzername>-oauth-state
  Speicherdauer: Das Cookie wird nach der Anmeldung über bwIDM gelöscht.
  Zweck: Der Cookie ist technisch notwendig, um sicherzustellen, dass die Anmeldung korrekt abgelaufen ist und nicht durch einen Angreifer abgefangen wurde.

Zudem setzen wir persistente Cookies ein. Persistente Cookies werden genutzt, damit Nutzende auch nach dem Schließen der Seite noch angemeldet sind. Zusätzlich werden sie genutzt, um Interaktionen mit der Webseite zu speichern, sodass die Webseite nicht bei jedem Aufruf bestimmte Elemente erneut anzeigt. In den von uns eingesetzten persistenten Cookies werden dabei folgende Daten gespeichert und übermittelt:

• jupyterhub-hub-login
  Speicherdauer: 30 Tage
  Zweck: Das Cookie wird nach der Anmeldung gesetzt und wird benötigt, um auf die Funktionen der Webseite zugreifen zu können. Wenn das Cookie gelöscht wird, kann die Webseite nicht mehr überprüfen, ob sich der Nutzende über bwIDM angemeldet hat. Das Cookie wird benötigt um sicherzustellen, dass keine unauthentifizierten Personen den Dienst verwenden können.
• jupyterhub-user-<JupyterHub-Benutzername>
  Speicherdauer: 30 Tage
  Zweck: Das Cookie wird nach dem Starten eines Profils von JupyterLab gesetzt. Das Cookie wird zur authentifizierten Kommunikation mit dem JupyterHub verwendet.
• bwj-notifications
  Speicherdauer: ein Jahr
  Zweck: Um die Nutzenden über Neuigkeiten und Änderungen zu informieren, erscheint auf der Webseite eine visuelle Benachrichtigung. Wenn der Nutzende die entsprechenden Seiten aufgerufen hat, erlischt die Benachrichtigung. Damit die Benachrichtig auch nach dem Schließen der Webseite nicht erneut angezeigt wird, speichert das Cookie den Zeitpunkt des letztes Aufrufs der entsprechenden Seite.

Der Browserspeicher wird zur persistenten Speicherung von Anwendungsdaten (z.B. aus JupyterLab) und JupyterHub-Einstellungen verwendet. Dozierende können zudem individuelle Funktionalitäten zur Verfügung stellen, die über die Cookies und den lokalen Browserspeicher verfügen. Einträge, die im lokalen Browserspeicher gespeichert werden, werden nur durch explizites Löschen über den Browser entfernt. In Rahmen der lokalen Browserspeicher werden dabei folgende Daten gespeichert und übermittelt:

• jupyterhub-bs-theme
  Zweck: Der Eintrag speichert die visuelle Präferenz der Webseite (hell oder dunkel).
• @jupyterlab/<…>
  Zweck: JupyterLab speichert den Zustand der Anwendung in diesen Einträgen. Diese Werte sind technisch erforderlich.
• grader:<…>
  Zweck: Die Einträge werden von der Korrektur-Erweiterung verwaltet. Sie speichern den Zustand der Erweiterung. Diese Werte sind technisch erforderlich. Die Korrektur-Erweiterung ist standardmäßig deaktiviert und kann nur von Dozierenden für ihre Profile aktiviert werden.

Tipp: Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Webseite eingeschränkt sein.

5. Statistiken

Umfang und Zweck: Zur Qualitätssicherung unseres Angebotes erheben wir anonymisierte Statistiken:

• Auslastung der Server (z.B. CPU, RAM, GPUs)
• Anzahl der aktiven Nutzenden (pro Tag, Woche, Monat) sowie Anzahl der aktiven Nutzenden nach Hochschulangehörigkeit gruppiert
• Anzahl der erstellten Profile und Gruppen
• Anfragen an die KI-Toolbox (Antwortzeit, HTTP-Status-Code, Größe der Anfrage)
• Anzahl der ausgeführten Profile, gruppiert nach Profil

Zusätzlich speichern wir pseudonymisierte Statistiken:

• Anteilige Auslastung der Server durch den Nutzenden

6. Empfänger/ Zugriffsberechtigte

Zugriff auf die o.g. Daten erhalten am KIT ausschließlich die dafür zuständigen Beschäftigten des Projektteams "bwJupyter für die Lehre", erreichbar unter support@bwjupyter.de, die alle beim Scientific Computing Center des KIT (SCC) tätig sind. Zudem können Dozierende die Anmeldedaten (siehe 2.1) von Nutzenden einsehen, die dem Profil des Dozierenden beigetreten sind. Zusätzlich können Nutzende nach expliziter Freigabe anhand des JupyterHub-Benutzernamen den Zugriff auf das persönliche bzw. Gruppen-Verzeichnis (siehe 2.2) gestatten.

7. Rechtsgrundlage

Rechtsgrundlage für die Datenverarbeitung bei denen das KIT als verantwortliche Stelle agiert und personenbezogene Daten von KIT-Angehörigen verarbeitet, verarbeitet das KIT die Daten gemäß Art. 6 Abs. 1 lit. e, Abs. 3 lit. b DS-GVO i.V.m. § 4 LDSG bzw. § 20 Abs. 1 KITG i.V.m § 12 Abs. 1 LHG i.Vm. § 12 Abs. 3 LHG und der "Satzung über die Verarbeitung von personenbezogenen Daten durch das Karlsruher Institut für Technologie (KIT) im Rahmen seiner hochschulspezifischen Aufgabenerfüllung". Sofern das KIT als Auftragsverarbeiter gem. Art. 28 DS-GVO agiert und in dieser Funktion für die den Dienst nutzenden Einrichtungen personenbezogene Daten verarbeitet, verarbeitet das KIT die Daten im Auftrag der jeweiligen Einrichtung und gemäß dem abgeschlossenen Vertrag zur Auftragsverarbeitung. Über die Verarbeitung der personenbezogenen Daten informiert in diesem Fall zusätzlich die jeweilige Einrichtung.

8. Speicherdauer

Speicherdauer zur Datenverarbeitung nach Ziff. 2:

• Anmeldeinformation und Dienstkonto: Für die Speicherdauer gelten die folgenden drei Regeln:
  • Wenn das bwIDM-Konto gelöscht wurde (z.B. durch Exmatrikulation), werden die gespeicherten Daten nach drei Monaten gelöscht.
  • Wenn der Nutzende ein Jahr inaktiv war, sich also nicht am Dienst angemeldet hat, werden die gespeicherten Daten nach drei Monaten gelöscht.
  • Auf Anfrage werden die gespeicherten Daten nach 14 Tagen gelöscht.
• Eigene Profile: Bei der Profilerstellung kann ein Ablaufdatum (höchstens 1 Jahr in Zukunft) für das Profil angegeben werden. Anschließend wird das Profil und alle damit verknüpften Daten und Dateien gelöscht.

Speicherdauer Cookies und lokaler Browserspeicher: Die Speicherdauer ist unter Ziff. 4 angegeben.

Speicherdauer Server Log Files: Die personenbezogenen Daten werden solange gespeichert, wie es für die Erreichung des Zweckes ihrer Erhebung erforderlich ist. Nach spätestens 14 Tagen werden die Daten gelöscht.

Die anonymisierten Statistiken werden unbegrenzt gespeichert. Die pseudonymisierten Statistiken werden ein Jahr lang gespeichert.

9. Ihre Rechte

Hinsichtlich der Sie betreffenden personenbezogenen Daten haben Sie gegenüber uns folgende Rechte:

• Recht auf Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a DS-GVO beruht (Artikel 7 Absatz 3 DS-GVO)
• Recht auf Bestätigung, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (Artikel 15 DS-GVO)
• Recht auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Artikel 16 DS-GVO)
• Recht auf unverzügliche Löschung der Sie betreffenden Daten (Artikel 17 DS-GVO)
• Recht auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO)
• Recht auf Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe b beruht (Artikel 20 DS-GVO)
• Recht auf Widerspruch gegen die künftige Verarbeitung der Sie betreffenden Daten, sofern die Daten nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e oder f DS-GVO verarbeitet werden (Artikel 21 DS-GVO)

Sie haben zudem das Recht, sich bei der Aufsichtsbehörde über die Verarbeitung der Sie betreffenden personenbezogenen Daten durch das KIT zu beschweren (Artikel 77 DS-GVO). Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 DS-GVO über das KIT ist gemäß § 25 Absatz 1 LDSG: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/).