Gegeben ist eine Campus App (von Studenten erstellt) einer Hochschule, die Daten aus dem Portal der Hochschule mit öffentlich zugänglichen Daten (Busfahrpläne, etc.) für Studierende bereitstellt. Die verarbeiteten Daten sind
aus dem Portal personenbezogen,
öffentliche Daten sind es nicht,
die User credentials werden im Browser des mobilen Geräts gespeichert und
zudem fallen Server-Logs an.
2 und 4 wären “Standardgeschäft” und soweit klar.
Bei 1 hänge ich an der Frage der passenden Rechtsgrundlage. Die Datenschutzerklärung der Hochschule suggeriert, dass eine Einwilligung erforderlich wäre. Wobei ich mir das nicht so recht vorstellen kann, aber darum geht es m.E. nicht. Aus Sicht der App werden nur die User credentials (oben 3) gespeichert und die Übertragung der Daten aus dem Portal nur initiiert. Eine Verarbeitung nach Art 4 trifft aber trotzdem zu. Es könnte Vertragserfüllung oder Berechtigtes Interesse passen? Oder doch die Einwilligung?
Zu 3: ist eigentlich die gleiche Frage wie zu 1. Es ist nur eine Komforteigenschaft dass die Zugangsdaten im Browser des Geräts gespeichert werden. Dort wird sie länger gespeichert als die Sessions am Portal dauert. Also ist die Verarbeitung zu bejahen. Da dies auch im Interesse des Betroffenen liegt sollte Berechtigtes Interesse doch passen?
Ich bitte um weitere Meinungen zu meinem Gedankengang.
Server Logs würde ich über berechtigtes Interesse lösen.
Ist das Portal notwendig um den Vertrag mit den Studierenden zu erfüllen bzw. das Studium durchzuführen. Das sehe ich eher nicht, deswegen scheiden meiner Meinung nach das Interesse und der Vertrag aus. Daher eher Einwilligung.
Aber welche Datenarten sind es überhaupt…
Zugangsdaten länger zu speichern wie die Session halte ich für schwierig aus Sicht der TOMs - man denke an Fälle wo das Smartphone gestohlen wird etc. Da dies ein Sicherheitsfeature ist würde ich auf jedenFall die Einwilligung nehmen - auch wenn das kritisch ist: https://www.sbs-legal.de/blog/dsgvo-einwilligung-in-niedrigere-tom-moeglich
Da aber die Sessions notwendig sind um die App zu nutzen wäre ich beim berechtigten Interesse oder eben Vertragserfüllung.
Daten aus dem Portal (alle personenbezogen) werden in der App angezeigt. Ansonsten reine Durchleitung, kein Speichern. Tendiere dazu die zu erwähnen (denn Verarbeitung nach Art 4 ist gegeben) und Vertragserfüllung - gemeint ist zwischen App-Entwickler und App-User - zu verwenden.
User Credentials: guter Einwand oben. Danke für den Tipp. Rede mal mit den Entwicklern, ob die da einen automatischen Lock oder ähnlich in der App machen können.
Server Logs: das übliche, wie IP, Timestamp, URL. Klassischer Fall von berechtigtem Interesse.