Datenschutz

TÜV Zertifizierung und Audits

Seit 2017 wird die App jährlich durch den TÜV Süd überprüft. Die jährlich durchgeführten Audits und Softwaretests umfassen die Bereiche Funktionalität nach ISO/IEC 25051:2014, Datensicherheit nach PPP13011B:2018, Qualitätssicherung nach ISO 9001 sowie Datenschutz nach den gesetzlichen Anforderungen der EU-Datenschutzgrundverordnung - DSGVO sowie des IT-Grundschutz Kompendiums des BSI. Neben dem Zertifikat für Qualität und Funktionalität fertigt der TÜV ebenfalls ein Gutachten für Datenschutz und Datensicherheit an. Das letzte Audit des TÜV Süd fand im März 2023 statt.

Verarbeitung der Daten

Grundsätzlich lassen sich die Anwendungsbereiche, wie die App Informationen verarbeitet, in drei Kategorien einteilen. Diese werden hier anhand der verschiedenen Module kurz beschrieben:

Kategorie 1: Web Scraping (Noten, Bibliothek, Mensa)

Diese Daten werden, ohne Bereitstellung einer Schnittstelle, mittels Web Scraping direkt von den Webseiten der Hochschule abgerufen. Dazu gibt der Server der UniNow GmbH die für die Automatisierung notwendigen Schritte vor und die App führt diese Schritte aus (vereinfacht: Gehe zur Webseite, Fülle das Formular aus, Klicke den Button usw.). Alle Anfragen an das Campus-Management-System werden direkt von der App, d.h. vom Endgerät der Nutzerin bzw. des Nutzers aus durchgeführt. Dadurch wird gewährleistet, dass die Zugangsdaten ausschließlich zur Seite der Hochschule gesendet und zu keinem Zeitpunkt zu den Servern der UniNow GmbH geschickt werden. Der reine HTML-Code wird dann für die Verarbeitung vom mobilen Endgerät an die Server der UniNow GmbH geschickt und dort so auf- bzw. verarbeitet, dass die App diese in einem standardisierten Format anzeigen kann. Bei dieser Verarbeitung werden keine personenbezogenen Daten persistent gespeichert, sondern befinden sich ausschließlich im Arbeitsspeicher zum Zeitpunkt der Verarbeitung. Die Verarbeitung des reinen HTML-Codes auf den Server der UniNow GmbH gewährleistet u.a. schnelle Updates, sollten sich die Webseiten ändern. Andernfalls wäre ein App-Update jedesmal notwendig, welches durch Prüfung der Store-Betreiber zu langen Ausfallzeiten führen würde. Da die Verarbeitung des HTML-Codes eine Einwilligung gemäß DSGVO Art. 7 notwendig macht, wird diese Einwilligung vor der Nutzung des Moduls in der App durch Opt-In eingeholt.

Da es sich bei den Mensa Daten um öffentliche Daten handelt und diese keine Zugangsdaten erfordern, wird hier das Web Scraping auf den Servern der UniNow GmbH direkt durchgeführt, um unnötige Datenlast auf den mobilen Endgeräten zu verhindern.

Kategorie 2: API (Mail)

Das Mail Modul kann die Daten direkt über standardisierte Schnittstellen abrufen (API). Hierfür ruft die App direkt die Mails über IMAP, SMTP oder Microsoft Exchange API ab. Eine Kommunikation mit den Servern der UniNow GmbH findet nicht statt.

Grundsätzlich wäre es denkbar, zukünftig im Rahmen der Kooperation die Kategorie 1 ebenfalls in Kategorie 2 umzustellen, sofern die Universität/Hochschule Schnittstellen dafür zur Verfügung stellen kann.

Kategorie 3: Von UniNow angebotene Services (Erweiterungen, wie z.B. To-Dos, Kalender, News Feed)

Diese Kategorie enthält die Module, die direkt von der UniNow GmbH zur Verfügung gestellt werden. Hierbei gibt es einen direkten Austausch zwischen Endgerät und den Servern der UniNow GmbH. Eine zusätzliche Einwilligungserklärung ist dementsprechend nicht notwendig, da die Nutzung durch die Nutzungsbedingungen bereits abgedeckt sind.

Da die UniNow GmbH Entwickler, Betreiber und Anbieter der App ist, schließt die bzw. der Nutzer:In der App auch einen Nutzungsvertrag mit der UniNow GmbH ab. Die geforderten Einwilligungserklärungen gemäß DSGVO gibt der bzw. die Nutzer:In ebenfalls gegenüber der UniNow GmbH ab. Darüber hinaus ist die UniNow GmbH die verantwortliche Stelle gemäß DSGVO und muss dementsprechend alle Anforderungen, die daraus resultieren (z.B. Auskunfts- und Löschrechte der bzw. des Nutzer:In gewährleisten und umsetzen). Bisher hat keiner unserer Kooperationspartner eine gemeinsame Verantwortung gemäß DSGVO in der Kooperation gesehen, da die App lediglich die Daten der Webseiten anders darstellt bzw. Inhalte der UniNow GmbH dargestellt werden.

Vertraulichkeit

Sämtliche Server der UniNow GmbH werden bei der OVH GmbH mit Sitz in Köln betrieben. In der App werden grundsätzlich keine Frameworks von U.S Unternehmen, wie z.B. Google Analytics oder Facebook SDK verwendet. Weiterhin verzichtet die UniNow GmbH auf die Verarbeitung von sensiblen Daten wie z.B. Handynummern für eine Accounterstellung. Die in diesem Abschnitt beschriebenen Verarbeitungsprozesse sind seit 2017 durch den TÜV Süd zertifiziert. Jährlich wird ein Re-Audit durchgeführt welches die Prozesse und die App hinsichtlich Datenschutz, Datensicherheit, Funktionalität und Qualität überprüft.

Die in der App dargestellten persönlichen Daten werden ausschließlich lokal auf dem Endgerät gespeichert und somit bleiben die persönlichen Daten bei der Person selbst. Die Daten werden auf dem Gerät durch die vom Betriebssystemhersteller zur Verfügung gestellten Standards geschützt (Geräteverschlüsselung, PIN usw.). Die Übertragung von Daten an unsere Server ist durch ein hohes TLS Zertifikat (A+ TLS 1.2) geschützt. Die Server sind durch Firewalls, Zugriffsbeschränkungen usw. geschützt und werden in einem externen Rechenzentrum durch den Anbieter OVH (ISO 27001 Zertifiziert) betrieben und geschützt.

Integrität

Die Daten werden direkt von den Webseiten der Hochschulen abgerufen. Dabei werden lediglich für die mobile Darstellung nicht relevante Inhalte (z.B. Bilder, Farben, etc.) entfernt. Die Daten werden anschließend auf dem mobilen Endgerät angezeigt. Die Gewährleistung findet durch zwei wesentliche Prozesse statt. Zum einen wird jede Woche die App an den Kooperationshochschulen durch von uns geschulte Tester u.a. hinsichtlich Integrität getestet. Dazu vergleichen sie die in der App angezeigten Daten mit den Daten auf den Webseiten der Hochschule. Außerdem wird jährlich ein umfangreiches Re-Audit der App durch den TÜV Süd durchgeführt, der ebenfalls die Integrität überprüft.

Nachweisbarkeit

Im Rahmen der TÜV Zertifizierung 2017 haben wir ein umfangreiches Handbuch angelegt, welches neben allen relevanten Prozessen, Testprotokollen und rechtlichen Dokumenten auch Informationen über Sicherheitsmaßnahmen und Server Architektur gibt. Dieses Handbuch wird von uns monatlich hinsichtlich seiner Aktualität überprüft. Das Handbuch Teil und damit die Sicherheitsmaßnahmen sind ebenfalls Bestandteil des jährlichen Re-Audit durch den TÜV Süd. Außerdem sind unsere sämtlichen Server-Konfigurationen und damit auch Sicherheitseinstellungen dokumentiert und über ein Versionierung Verfahren revisionssicher umgesetzt. Bei Bedarf können Sie das Handbuch bei uns einsehen.

Verantwortlichkeit

Wir treten als Entwickler, Betreiber und als verantwortliche Stelle gemäß DSGVO der App auf. Insofern garantieren wir auch für die Sicherheitsmaßnahmen im Rahmen der gesetzlichen Bestimmungen. Auch im Zusammenhang mit einer Kooperation bleibt die Verantwortung bei der UniNow GmbH, da das entsprechende Vertragsverhältnis zwischen der bzw. dem App-Anwender:In und der UniNow GmbH abgeschlossen wird.

Einfach sicher. Ein Siegel, ein Versprechen!

Safety first!

Datenschutz & Datensicherheit

Haben Sie noch weitere Fragen?