"Sophos Intercept X" ist ein Service der Sophos Group plc, die ihren Sitz in England hat. Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von InterceptX informieren.

Hinweise zur privaten "Sophos Home" Version befinden sich weiter unten auf dieser Webseite.

Wir nutzen das Tool InterceptX, um die IT-Sicherheit auf Endgeräten zu verbessern und deren Kompromittierung durch Schadcode/Malware zu detektieren (nachfolgend: Virenschutz).

Diese Maßnahme entspricht der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), siehe OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen im IT-Grundschutz Kompendium des BSI.

Verantwortlicher für die Datenverarbeitung, die im unmittelbaren Zusammenhang mit dem Einsatz von InterceptX steht, ist die TUHH.

Bei der Nutzung von InterceptX werden verschiedene Datenarten verarbeitet, da ein Virenschutz das gesamte Endgerät auf Malware/Schadcode überwacht.

Lokale Prüfung
Die erste Prüfung erfolgt lokal auf dem durch InterceptX geschützten Endgerät. Virenfunde werden an die Cloud-Instanz der TUHH bei "Sophos Central" gemeldet.

Cloud-Console
Endgeräte werden in in der Cloud-Plattform Sophos Central durch Administratoren der TUHH verwaltet. Neben den allgemeinen Informationen der Endgeräte laufen hier Virenfunde auf.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf den dienstlichen Endgeräten der TUHH für den oben genannten Zweck ist Artikel 6 Absatz 1 Buchstabe e DSGVO in Verbindung mit Artikel 88 DSGVO in Verbindung mit § 10 Absatz 1 HmbDSG und der Informationssicherheitsleitlinie der TU Hamburg in der jeweils aktuellen Fassung.

Die personenbezogenen Daten bei der Nutzung durch InterceptX werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind bzw. eine gesetzliche Pflicht zur Offenlegung besteht.

Durch die Verwendung der Cloud-Plattform erhält Sophos notwendigerweise Kenntnis von den o.g. Daten. Hierfür wurde ein Auftragsverarbeitungsvertrag geschlossen.

Weitere Empfänger: Sophos bedient sich weiterer Unterauftragsnehmer für die Bereitstellung der Cloud-Infrastruktur. Hier existieren technische und organisatorische Maßnahmen, umd die Daten zu schützen.

InterceptX ist ein Dienst, der von einem Anbieter aus England erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit in einem Drittland statt. England als Teil von Großbritannien verfügt über einen Angemessenheitsbeschluss und somit ein vergleichbares Datenschutzniveau wie in der EU.

Die aktuellen Kontaktdaten des Datenschutzbeauftragten finden Sie auf dieser Webseite der TUHH.
https://www.tuhh.de/tuhh/datenschutz.html

Hinsichtlich der oben angegeben Angaben zur Verarbeitung stehen Ihnen folgende Rechte zu: Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.
Bei einer Auskunftsanfrage, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.

Darüber hinaus verarbeitete Angaben, die z.B. aufgrund einer privaten Nutzung und damit verbundenen Registrierung bei Sophos verarbeitet werden, wenden Sie sich mit Ihrem Ersuchen bitte an das Datenschutz-Team von Sophos unter dataprotection@sophos.com oder schreiben Sie an folgende Adresse:

Sophos Limited, The Pentagon, Abingdon Science Park, Abingdon, Oxon, OX14 3YP, United Kingdom

Sie können Ihre Anfragen zu InterceptX an das Rechenzentrum unter servicedesk@tuhh.de richten.

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Daten, die für den oben genannten Zweck verarbeitet werden, werden 30 Tage nach dem letzten Kontakt eines IT-Systems zur Cloud Console gelöscht, Protokolldaten (Systemereignisse, Log) 90 Tage nach Wegfall der Erforderlichkeit.

Sie haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
https://datenschutz-hamburg.de/