Datenschutzerklärung
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 DSGVO über die Verarbeitung personenbezogener Daten im Rahmen des Dienstes entitlements.uni-mannheim.de (HPC-Entitlements-Dienst).
I. Verantwortlicher
Universität Mannheim
L 1, 1 · 68131 Mannheim
Tel.: +49 621 181-1001
E-Mail: rektor@uni-mannheim.de
II. Datenschutzbeauftragter
Jan Morgenstern (Rechtsanwalt, Fachanwalt für IT-Recht)
Johannesstraße 30 · 67346 Speyer
E-Mail: datenschutzbeauftragter@uni-mannheim.de
III. Zweck und Rechtsgrundlage der Verarbeitung
Über diesen Dienst beantragen Beschäftigte und Studierende der Universität Mannheim Zugang zu Hochleistungsrechenressourcen (bwUniCluster). Für den Zugang ist eine exportkontrollrechtliche Unbedenklichkeitserklärung erforderlich (Dual-Use-Güter gemäß AWG/AWV und VO (EU) 2021/821).
a) Antragsverwaltung
Rechtsgrundlage: Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 12 LHG (Aufgabe im öffentlichen Interesse: Bereitstellung von HPC-Ressourcen für Forschung und Lehre).
b) Aufbewahrung der Unbedenklichkeitserklärung
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 22 Abs. 3 AWV, § 17 Abs. 1 AWG (Erfüllung einer rechtlichen Verpflichtung: Aufbewahrung als Nachweis der exportkontrollrechtlichen Prüfung).
c) Exportkontroll-Screening
Bei Antragstellung wird automatisiert geprüft, ob Ihr Name auf internationalen Sanktionslisten geführt wird. Zusätzlich wird Ihre Staatsangehörigkeit einmalig aus dem HIS/Portal2-System der Universität abgerufen und gegen die Embargoliste des BAFA sowie OFAC-Vorgaben geprüft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. AWG, AWV, VO (EU) 2021/821 (Erfüllung einer rechtlichen Verpflichtung: Exportkontrolle).
Hinweis: Die Staatsangehörigkeit wird ausschließlich im Arbeitsspeicher verarbeitet und nicht gespeichert. Es wird nur das Prüfergebnis (unauffällig / auffällig) als boolescher Wert festgehalten. Die Prüfung gegen Sanktionslisten erfolgt lokal auf universitätseigener Infrastruktur — es werden keine personenbezogenen Daten an externe Dienste übermittelt. Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt; auffällige Ergebnisse werden ausschließlich manuell durch die Exportkontrollbeauftragte bewertet.
d) Protokollierung und Nachvollziehbarkeit
Bei jedem Zugriff werden IP-Adresse, eine pseudonymisierte Sitzungskennung (SHA-256-Hash), Browser-Kennung und Zeitstempel in den Serverprotokollen erfasst. Bei Statusänderungen an Ihrem Antrag werden diese Daten zusätzlich in der Änderungshistorie gespeichert, um die Nachvollziehbarkeit sicherheitsrelevanter Vorgänge zu gewährleisten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 12 LHG (Aufgabe im öffentlichen Interesse: Gewährleistung der IT-Sicherheit und Integrität des Dienstes).
IV. Kategorien personenbezogener Daten
| Kategorie | Quelle |
|---|---|
| Uni-ID / Benutzername | bwIDM (Shibboleth) |
| eduPersonPrincipalName (ePPN) | bwIDM (Shibboleth) |
| Vor- und Nachname | bwIDM (Shibboleth) |
| E-Mail-Adresse | bwIDM (Shibboleth) |
| Unterschriebene Unbedenklichkeitserklärung (PDF) | Nutzereingabe |
| Beschreibung des Forschungsvorhabens | Nutzereingabe |
| Antragsstatus und Zeitstempel | System |
| Ergebnis der Exportkontrollprüfung (boolescher Wert) | System (automatisiert) |
| Änderungshistorie (Statuswechsel, Dokumenten-Uploads) | System |
| IP-Adresse | Webserver-Logs, Änderungshistorie |
| Sitzungskennung (pseudonymisiert, gehashter Wert) | System |
| Browser-Kennung (User-Agent) | Webserver-Logs, Änderungshistorie |
| Fehlerberichte (Stacktrace, Anfragedaten bei Systemfehlern) | System (automatisiert) |
Nicht gespeichert: Staatsangehörigkeit (nur transient im Arbeitsspeicher während der Prüfung, siehe Abschnitt III c).
Pseudonymisierung: Die Sitzungskennung wird als SHA-256-Hash gespeichert — eine Rückrechnung auf den originalen Sitzungsschlüssel ist nicht möglich.
V. Empfänger personenbezogener Daten
| Empfänger | Daten | Zweck |
|---|---|---|
| Shibboleth Identity Provider (Universitäts-IT) |
Benutzerkennung, Berechtigungsstatus | SAML-Attribut für Cluster-Zugang |
| Administratoren des Dienstes (Universitäts-IT, bwHPC CC) |
Alle Antragsdaten | Antragsprüfung und -verwaltung |
| Exportkontrollbeauftragte (Dez. I) |
Name, Unbedenklichkeitserklärung (bei Auffälligkeit) | Manuelle Prüfung bei Screening-Treffer |
| bwUniCluster-Betreiber (KIT, extern) |
Benutzerkennung, Berechtigungsstatus | Zugangskontrolle zum Cluster (via bwIDM-Föderation) |
| HIS/Portal2 (Universitäts-IT, intern) |
Benutzerkennung → Staatsangehörigkeit (transient) | Exportkontrollprüfung (Embargoliste) |
Die Sanktionslistenprüfung erfolgt vollständig lokal auf universitätseigener Infrastruktur. Die verwendeten Sanktionslisten (OpenSanctions) werden als öffentliche Datensätze heruntergeladen — es werden dabei keine personenbezogenen Daten übermittelt.
V.a Übermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet nicht statt. Die Weitergabe der Benutzerkennung und des Berechtigungsstatus an die bwUniCluster-Betreiber erfolgt innerhalb Deutschlands über die bwIDM-Föderation.
VI. Speicherdauer
| Daten | Frist |
|---|---|
| Unbedenklichkeitserklärung (PDF) | 10 Jahre nach Ende der Berechtigung (§ 22 Abs. 3 AWV, § 17 Abs. 1 AWG i. V. m. § 78 Abs. 3 Nr. 3 StGB) |
| Antragsdaten, Prüfergebnisse, Änderungshistorie | 10 Jahre nach Ende der Berechtigung |
| Webserver-Logs (IP-Adresse, Sitzungskennung, Browser-Kennung) | 7 Tage (systemd journal Rotation) |
| Audit-Trail (IP-Adresse, Sitzungskennung, Browser-Kennung bei Statusänderungen) | 10 Jahre nach Ende der Berechtigung (wie Antragsdaten) |
| Django-Sitzungsdaten | Automatische Löschung nach Sitzungsende bzw. Ablauf (max. 2 Wochen) |
VII. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
hpc-support@mailman.uni-mannheim.de
VIII. Pflicht zur Bereitstellung der Daten
Die Bereitstellung Ihrer personenbezogenen Daten ist für die Beantragung des HPC-Zugangs erforderlich. Ohne die Angabe Ihrer Identitätsdaten (über bwIDM/Shibboleth) und die Einreichung der unterschriebenen Unbedenklichkeitserklärung kann der Antrag nicht bearbeitet und die Berechtigung nicht erteilt werden. Die exportkontrollrechtliche Prüfung ist gesetzlich vorgeschrieben (AWG/AWV).
IX. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO):
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20 · 70173 Stuttgart
Tel.: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de
Stand: März 2026