Datenschutzhinweise nach der DSGVO
1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz‐Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen lautet:
Hochschule für Wirtschaft und Recht Berlin (HWR Berlin)
vertreten durch den Präsidenten Jens Hermsdorf
Badensche Straße 52
10825 Berlin
E-Mail: praesident(at)hwr-berlin.de
2 Name und Anschrift des behördlichen Datenschutzbeauftragten
Klaus Hoogestraat (ITM Management & Consulting GmbH)
Badensche Str. 52
10825 Berlin
datenschutz@hwr-berlin.de
3 Datenverarbeitung im Verfahren Shibboleth (SingleSignOn)
3.1 Beschreibung der Datenverarbeitung
Die Infrastruktur zur Authentifizierung und Autorisierung des Deutschen Forschungsnetzes (DFN-AAI) dient dem Zusammenschluss von Hochschulen und privater Informationsanbieter. Den Teilnehmern dieser Föderation wird auf Grundlage einer technischen Infrastruktur ermöglicht, den lokal in ihren Einrichtungen registrierten Nutzern Ressourcen der gesamten Föderation kontrolliert zur Verfügung zu stellen, ohne dass die Nutzer an allen Einrichtungen einen Nutzeraccount haben.
Die technische Realisierung basiert auf Shibboleth, eine vom Internet2-Konsortium entwickelte Software, die eine verteilte Authentifizierung und Autorisierung für Webanwendungen und Webservices ermöglicht. Das Konzept von Shibboleth sieht u. A. vor, dass sich ein Nutzer nur einmal pro Browser-Session bei seiner Heimateinrichtung, z. B. der Hochschule, wo dieser immatrikuliert ist, authentifizieren muss, um ortsunabhängig auf Dienste oder lizensierte Inhalte verschiedener Anbieter zugreifen zu können (sog. föderiertes Single-Sign-On).
Bei den Service Providern handelt es sich sowohl um öffentliche Stellen als auch um nichtöffentliche Stellen in Deutschland und im Ausland.
Wenn ein Nutzer eine über die Föderation zugänglich Ressource anfordert, leitet der Service Provider den Nutzer an einen Dienst (Discovery Service) weiter, wo der Nutzer den Identity Provider seiner Heimateinrichtung auswählt und nachfolgend den Service Provider zurückgeleitet wird, damit dieser die Information über den zur ausgewählten Heimatorganisation gehörigen Identity Provider zwischenspeichern und für weitere Anfragen verwenden kann. Der Serviceprovider antwortet mit einem an den Identity Provider gerichteten Authentication Request.
Der Identity Provider an der Heimateinrichtung prüft, ob der Nutzer bereits eine ShibbolethSession hat, also schon authentifiziert ist. Ist dies nicht der Fall, wird die Authentifizierung eingeleitet, z.B. dem Nutzer ein Formular zur Eingabe von Benutzerkennwort und Passwort angezeigt. Ist der Benutzer authentifziert, wird je eine SAML-Authentifizierungs- und Attribut-Assertion für den Service Provider ausgestellt.
Der SP prüft nun anhand der Assertions, ob der Benutzer Zugriff hat, und gibt entsprechend die ursprünglich angeforderte Ressource zurück. Der Service Provider kann nicht auf die Authentifikationsdaten der HWR zugreifen.
Um den Benutzer zu authentifizieren, müssen je nach angefordertem Dienst Metadaten an diesen gesendet werden. Diese Übermittlung erfolgt derzeit per Einwilligung des Nutzers. Hierzu wird dem Nutzer ein Formular zur Einwilligung mit einer eigenen Datenschutzerklärung bereitgestellt. Die Einwilligung ist nicht Teil dieser Datenschutzerklärung.
3.2 Zwecke der Verarbeitung im Verfahren Shibboleth
Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:
- Bereitstellung eines SingleSignOn zur Anmeldung und Nutzung interner und externer Dienste und Ressourcen, für die Statusgruppen der Studierenden, Mitarbeiter und des Lehrkörpers über einen zentralen Login.
- Überprüfung der Zugangsberechtigung für angebundene Online-Dienste
3.3 Derzeit eingebundene Dienste
INTERNE Dienste:
- HWR Cloud
- Planungstool
- Collaboard
- BITE (Einwilligungsbedürftig)
EXTERN Dienste:
- DFNconf – Konferenzplattform des Deutschen Forschungsnetzes
- Abstimmung DFN
- DATEV (Einwilligungsbedürftig)
- ISIS TU Berlin (Einwilligungsbedürftig)
- HAWKI
3.4 Rechtsgrundlage für die Verarbeitung
INTERNE Dienste:
- für Studierende Art. 6 (1) lit. e DSGVO i.V.m § 6 (1) 2 BerlHG.
- für alle anderen Mitglieder der HWR Art. 6 (1) lit. e DSGVO i.V.m § 6 (1) 2-10 und 12 BerlHG.
EXTERNE Dienste:
Für alle Nutzergruppen (Lehrende, Studierende, Beschäftigte) Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Nutzers. Es besteht weder eine vertragliche noch eine gesetzliche Verpflichtung die Daten bereit zu stellen. Die Einwilligung ist freiwillig. Die Einwilligung zur Übermittlung kann jederzeit widerrufen werden. Der Dienst kann dann jedoch nicht mehr über Shibboleth der HWR genutzt werden, da eine Übermittlung der Metadaten erforderlich ist.
3.5 Arten und Kategorien von personenbezogenen Daten
Wir verarbeiten zu den genannten Zwecken folgende Kategorien und Arten von Daten:
| Datenkategorien | Datenarten | Erforderlich für |
| Stammdaten | Benutzername | Zur eindeutigen Identifikation des Nutzers |
| Name, Vorname | Zur eindeutigen Identifikation des Nutzers | |
| E-Mail-Adresse | Zur eindeutigen Identifikation des Nutzers | |
| Metadaten
|
Affiliation (Gruppenzugehörigkeit des Active Directory) | Zuordnung zu einer Berechtigungsgruppe und Gewährleistung bestimmter Zugriffsrechte |
| Principal Name (eindeutige einrichtungsübergreifende Nutzerkennung UID = Username@Institution) | Zur eindeutigen Identifikation des Nutzers und Zuordnung zu einer Institution
|
|
| Zugangsdaten | Persönliches Passwort in verschlüsselter / gehashter Form | Zur Authentifikation und Anmeldung am Identity Provider |
| Cookiedaten | Session Cookie | Dieses Cookie enthält nur Informationen, die zur Identifizierung der IdP-Sitzung des Benutzers erforderlich sind. Dieses Cookie wird als „Sitzungscookie“ erstellt und entfernt, wenn der Browser solche Cookies entfernt (häufig, wenn der Browser geschlossen ist). |
| Serverlogdaten | IP-Adresse des Clients | Aufzeichnungen zur Fehlerdiagnose und Verfolgung von Sicherheitsvorfällen |
| user-identifier | ||
| userid des Nutzers | ||
| Datum, die Uhrzeit und die Zeitzone des Nutzers |
3.6 Speicherung der Daten und Löschfristen
Die Daten werden ausschließlich in Deutschland bzw. der EU gespeichert.
| Datenkategorien | Löschfristen |
| Stammdaten | 150 Tage nach Exmatrikulation (Studierende)
30 Tage nach Ausscheiden aus dem Dienst (Beschäftigte, Lehrende, Lehrbeauftragte) |
| Metadaten
|
|
| Zugangsdaten | |
| Cookiedaten | a) Solange Browsersession geöffnet
Bei Äktivität 8 Stunden Bei Inaktivität 60 Minuten b) Wenn Browsersession geschlossen wird (Browser wird geschlos-sen, wird das Cookie direkt geschlossen |
| Einwilligungsdaten | 1 Jahr |
| Serverlogdaten | 30 Tage |
4 Allgemeines zur Datenverarbeitung
4.1 Anwendungsbereich
Diese Datenschutzerklärung gilt für die Verarbeitung von personenbezogenen Daten im ITServiceverfahren Shibboleth (SingleSignOn) der HWR Berlin.
4.2 Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.
4.3 Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
Eine Übermittlung von Daten an externe Empfänger erfolgt nicht. Sollte ein angeschlossener Dienst eine Übermittlung an externe Empfänger erfordern, werden wir entweder eine gesonderte Einwilligung von Ihnen einholen oder Sie darüber informieren. Innerhalb der Hochschule (interne Empfänger) können die Daten von den Administratoren der IT-Abteilung verarbeitet werden.
4.4 Übermittlung der Daten in ein Drittland oder eine int. Organisation
Eine Übermittlung von Daten an ein Drittland oder eine internationale Organisation erfolgt nicht. Sollte ein angeschlossener Dienst eine Übermittlung in ein Drittland erfordern, werden wir eine gesonderte Einwilligung von Ihnen einholen oder Sie darüber informieren.
4.5 Rechte der von der Verarbeitung betroffenen Person
Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:
- Informationspflicht bei Erhebung von personenbezogenen Daten nach Art. 13 DSGVO
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 DSGVO
- Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
- Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
- Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder die Verarbeitung nach Art. 6 (1) f DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist nach Art. 21 DSGVO.
- Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.
4.6 Ausübung der Rechte
Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte an den oben genannten Datenschutzbeauftragten oder stellen Sie die Anfrage unter dem Link.[1]
4.7 Beschwerderecht
Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219 10969 Berlin
mailbox@datenschutz-berlin.de
4.8 Datensicherheit
Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.
5 Stand, Änderungen und Geltung der allgemeinen Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 08/2022. Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen. Ergeben sich Änderungen, werden wir eine hierauf angepasste Einwilligung und Datenschutzerklärung versenden.
| Version | Datum | Autor | Änderung / Bemerkung | Klassifizierung |
| 1.0 | 03.07.2020 | IT-DUD Hafner | DSE – Einbindung dfnconf | öffentlich |
| 1.1 | 20.08.2020 | IT-DUD Hafner | DSE Einbindung HWR Cloud | öffentlich |
| 1.2 | 07.01.2022 | IT-DUD Hafner | Überarbeitung | öffentlich |
| 1.3 | 30.08.2022 | IT-DUD Hafner | Überarbeitung | öffentlich |
[1] https://dsgvo2.ds–manager.net/jd8g73mg9/anfrage_meldung.html?key=5oZEoda8bochZmO9