Rechtliche Informationen

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist die:
Philipps-Universität Marburg
Der Präsident
Prof. Dr. Thomas Nauss
Biegenstraße 10
35037 Marburg
Tel.: +49 6421 28-20
Fax: +49 6421 28-22500
Internet: https://www.uni-marburg.de
E-Mail: info@uni-marburg.de

2. Behördlicher Datenschutzbeauftragter

Philipps-Universität Marburg
Behördlicher Datenschutzbeauftragter
Dr. Rainer Viergutz
Biegenstraße 10
35037 Marburg
Tel.: +49 6421 28-23525
E-Mail: datenschutz@uni-marburg.de

3. Zweck der Datenverarbeitung

Die Website CO.RA.PAN dient ausschließlich wissenschaftlichen und didaktischen Zwecken im Rahmen des Projekts CO.RA.PAN. Wir verarbeiten keine personenbezogenen Daten der Besucher für Marketing-, Analyse- oder Tracking-Zwecke.

4. Speicherung und Löschung von Daten

Es werden keine personenbezogenen Daten (z.B. Name, E-Mail-Adresse, IP-Adresse) von Besuchern in Datenbanken, Protokolldateien oder ähnlichen Systemen gespeichert. Darüber hinaus werden keine individualisierten Nutzungsprofile erstellt.

5. Verwendung von JWT (JSON Web Token) zur Authentifizierung

Auf dieser Website wird für die Zugriffskontrolle und Sitzungsverwaltung ein sogenannter JWT-Token (JSON Web Token) genutzt. Dieser Token wird bei erfolgreicher Anmeldung als Cookie in Ihrem Browser gespeichert. Dabei gelten folgende Grundsätze:

  • Art der Daten: Das Token enthält ausschließlich eine Angabe zur Benutzergruppe (z.B. „admin“, „guest“ usw.) sowie ein automatisches Ablaufdatum („exp“). Personenbezogene Daten wie Name, E-Mail-Adresse oder IP-Adresse werden nicht erfasst.
  • Speicherort: Das JWT wird als Cookie ("jwt_token") in Ihrem Browser abgelegt. Es ist mit dem HttpOnly- und Secure-Flag versehen, wodurch es nur über HTTPS übertragen und nicht per JavaScript ausgelesen werden kann.
  • Zweck: Der Token ist für die technische Bereitstellung geschützter Inhalte erforderlich, um zu prüfen, ob ein Benutzer bzw. eine Benutzergruppe die entsprechenden Zugriffsrechte besitzt.
  • Ablauf/Löschung: Der Token verfällt automatisch nach einer Stunde (Standard-Sessiondauer). Schließen Sie den Browser, kann das Cookie zudem ungültig werden, wenn Ihr Browser für das automatische Löschen von Cookies konfiguriert ist.
  • Refresh-Token (Session-Erneuerung): Zusätzlich verwendet die Anwendung ein lang laufendes, HttpOnly refreshToken-Cookie, welches nur über HTTPS übertragen werden kann (Secure + HttpOnly + SameSite policies) und ausschließlich dem Zweck dient, kurze Access-Tokens automatisch zu erneuern. Dieses Cookie enthält keine Klartext-Personenangaben.
  • Keine Weitergabe: Es erfolgt keine Übermittlung dieser Daten an Dritte. Eine Profilbildung oder Auswertung personenbezogener Informationen findet nicht statt.

6. Rechte der betroffenen Personen

Betroffene Personen haben folgende Rechte gemäß der Datenschutz-Grundverordnung (DSGVO):

  • Auskunft über die gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung oder Einschränkung der Verarbeitung von Daten
  • Widerspruch gegen die Datenverarbeitung
  • Übertragbarkeit der Daten
  • Beschwerde bei einer Datenschutzaufsichtsbehörde

Für weitere Fragen wenden Sie sich bitte an den oben genannten Verantwortlichen.

7. Auth-bezogene Daten & App‑Funktionen

Im Rahmen von Benutzerkonten verarbeitet die Anwendung die folgenden Daten zur Authentifizierung, Autorisierung und Auditing: user_id, username, email, password_hash (gesichert, nicht im Klartext), role, is_active, must_reset_password, created_at, updated_at, last_login_at, login_failed_count, locked_until, deleted_at, deletion_requested_at sowie verschlüsselte/geshashte Token-Metadaten (Refresh-/Reset-Token-Hashes).

Betroffene Nutzer können folgende Funktionen in der Anwendung nutzen: GET /auth/account/data-export zur Datenübertragung und POST /auth/account/delete zum Anfordern der Löschung (Soft-Delete). Diese Endpunkte sind unter dem jeweiligen Nutzerkonto erreichbar und erfordern Authentifizierung.

8. Kontakt zur Datenschutzaufsicht

Sollten Sie der Meinung sein, dass Ihre Daten nicht datenschutzkonform verarbeitet werden, können Sie sich an die Datenschutzaufsichtsbehörde wenden:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
Tel.: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de