Shibboleth (Single Sign On)

Datenschutzhinweise nach der DSGVO

 

1       Name und Anschrift des Verantwortlichen

 

Der Verantwortliche im Sinne der Datenschutz‐Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen lautet:

 

HWR Berlin

Badensche Straße 52

10825 Berlin

Vertreten durch Andreas Zaby praesident@hwr-berlin.de

 

 

2         Name und Anschrift des behördlichen Datenschutzbeauftragten

Klaus Hoogestraat (ITM Management & Consulting GmbH)
Badensche Str. 52
10825 Berlin
datenschutz@hwr-berlin.de

 

3       Datenverarbeitung im Verfahren Shibboleth (SingleSignOn)

3.1       Beschreibung der Datenverarbeitung

 

Die Infrastruktur zur Authentifizierung und Autorisierung des Deutschen Forschungsnetzes (DFN-AAI) dient dem Zusammenschluss von Hochschulen und privater Informationsanbieter. Den Teilnehmern dieser Föderation wird auf Grundlage einer technischen Infrastruktur ermöglicht, den lokal in ihren Einrichtungen registrierten Nutzern Ressourcen der gesamten Föderation kontrolliert zur Verfügung zu stellen, ohne dass die Nutzer an allen Einrichtungen einen Nutzeraccount haben.

 

Die technische Realisierung basiert auf Shibboleth, eine vom Internet2-Konsortium entwickelte Software, die eine verteilte Authentifizierung und Autorisierung für Webanwendungen und Webservices ermöglicht. Das Konzept von Shibboleth sieht u. A. vor, dass sich ein Nutzer nur einmal pro Browser-Session bei seiner Heimateinrichtung, z. B. der Hochschule, wo dieser immatrikuliert ist, authentifizieren muss, um ortsunabhängig auf Dienste oder lizensierte Inhalte verschiedener Anbieter zugreifen zu können (sog. föderiertes Single-Sign-On).

 

Bei den Service Providern handelt es sich sowohl um öffentliche Stellen als auch um nichtöffentliche Stellen in Deutschland und im Ausland.

 

Wenn ein Nutzer eine über die Föderation zugänglich Ressource anfordert, leitet der Service Provider den Nutzer an einen Dienst (Discovery Service) weiter, wo der Nutzer den Identity Provider seiner Heimateinrichtung auswählt und nachfolgend den Service Provider zurückgeleitet wird, damit dieser die Information über den zur ausgewählten Heimatorganisation gehörigen Identity Provider zwischenspeichern und für weitere Anfragen verwenden kann. Der Serviceprovider antwortet mit einem an den Identity Provider gerichteten Authentication Request.

 

Der Identity Provider an der Heimateinrichtung prüft, ob der Nutzer bereits eine ShibbolethSession hat, also schon authentifiziert ist. Ist dies nicht der Fall, wird die Authentifizierung eingeleitet, z.B. dem Nutzer ein Formular zur Eingabe von Benutzerkennwort und Passwort angezeigt. Ist der Benutzer authentifziert, wird je eine SAML-Authentifizierungs- und Attribut-Assertion für den Service Provider ausgestellt.

 

Der SP prüft nun anhand der Assertions, ob der Benutzer Zugriff hat, und gibt entsprechend die ursprünglich angeforderte Ressource zurück. Der Service Provider kann nicht auf die Authentifikationsdaten der HWR zugreifen.

 

Um den Benutzer zu authentifizieren, müssen je nach angefordertem Dienst Metadaten an diesen gesendet werden. Diese Übermittlung erfolgt derzeit per Einwilligung des Nutzers. Hierzu wird dem Nutzer ein Formular zur Einwilligung mit einer eigenen Datenschutzerklärung bereitgestellt. Die Einwilligung ist nicht Teil dieser Datenschutzerklärung.

3.2       Zwecke der Verarbeitung im Verfahren Shibboleth

Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:

 

  • Bereitstellung eines SingleSignOn zur Anmeldung und Nutzung interner und externer Dienste und Ressourcen, für die Statusgruppen der Studierenden, Mitarbeiter und des Lehrkörpers über einen zentralen Login.
  • Überprüfung der Zugangsberechtigung für angebundene Online-Dienste

3.3       Derzeit eingebundene Dienste

 

INTERNE Dienste:

 

  • HWR Cloud
  • Planungstool
  • Collaboard
  • BITE (Einwilligungsbedürftig) EXTERN Dienste:
  • DFNconf – Konferenzplattform des Deutschen Forschungsnetzes
  • Abstimmung DFN
  • DATEV (Einwilligungsbedürftig)
  • ISIS TU Berlin (Einwilligungsbedürftig)

3.4       Rechtsgrundlage für die Verarbeitung

 

INTERNE Dienste:

 

  1. für Studierende Art. 6 (1) lit. e DSGVO i.V.m § 6 (1) 2 BerlHG.
  2. für alle anderen Mitglieder der HWR Art. 6 (1) lit. e DSGVO i.V.m § 6 (1) 2-10 und 12 BerlHG.

 

EXTERNE Dienste:

 

Für alle Nutzergruppen (Lehrende, Studierende, Beschäftigte) Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Nutzers. Es besteht weder eine vertragliche noch eine gesetzliche Verpflichtung die Daten bereit zu stellen. Die Einwilligung ist freiwillig. Die Einwilligung zur Übermittlung kann jederzeit widerrufen werden. Der Dienst kann dann jedoch nicht mehr über Shibboleth der HWR genutzt werden, da eine Übermittlung der Metadaten erforderlich ist.

3.5       Arten und Kategorien von personenbezogenen Daten

Wir verarbeiten zu den genannten Zwecken folgende Kategorien und Arten von Daten:

 

Datenkategorien Datenarten Erforderlich für
Stammdaten Benutzername Zur eindeutigen Identifikation des Nutzers
Name, Vorname Zur eindeutigen Identifikation des Nutzers
E-Mail-Adresse Zur eindeutigen Identifikation des Nutzers
Metadaten

 

Affiliation (Gruppenzugehörigkeit des Active Directory) Zuordnung zu einer Berechtigungsgruppe und Gewährleistung bestimmter Zugriffsrechte
Principal Name (eindeutige einrichtungsübergreifende Nutzerkennung UID = Username@Institution) Zur eindeutigen Identifikation des Nutzers und Zuordnung zu einer Institution

 

Zugangsdaten Persönliches Passwort in  verschlüsselter / gehashter Form Zur Authentifikation und Anmeldung am Identity Provider
Cookiedaten Session Cookie Dieses Cookie enthält nur Informationen, die zur Identifizierung der IdP-Sitzung des Benutzers erforderlich sind. Dieses Cookie wird als „Sitzungscookie“ erstellt und entfernt, wenn der Browser solche Cookies entfernt (häufig, wenn der Browser geschlossen ist).
Serverlogdaten IP-Adresse des Clients Aufzeichnungen zur Fehlerdiagnose und Verfolgung von Sicherheitsvorfällen
user-identifier
userid des Nutzers
Datum, die Uhrzeit und die Zeitzone  des Nutzers

 

3.6       Speicherung der Daten und Löschfristen

Die Daten werden ausschließlich in Deutschland bzw. der EU gespeichert.

 

Datenkategorien Löschfristen
Stammdaten 150 Tage nach Exmatrikulation (Studierende)

 

30 Tage nach Ausscheiden aus dem Dienst (Beschäftigte, Lehrende, Lehrbeauftragte)

Metadaten

 

Zugangsdaten
Cookiedaten a)                  Solange Browsersession geöffnet

Bei Äktivität 8 Stunden Bei Inaktivität 60 Minuten

b)                  Wenn Browsersession geschlossen wird (Browser wird geschlos-sen, wird das Cookie direkt geschlossen

Einwilligungsdaten 1 Jahr
Serverlogdaten 30 Tage

 

 

4       Allgemeines zur Datenverarbeitung

4.1       Anwendungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung von personenbezogenen Daten im ITServiceverfahren Shibboleth (SingleSignOn) der HWR Berlin.

4.2       Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.

4.3  Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Eine Übermittlung von Daten an externe Empfänger erfolgt nicht. Sollte ein angeschlossener Dienst eine Übermittlung an externe Empfänger erfordern, werden wir entweder eine gesonderte Einwilligung von Ihnen einholen oder Sie darüber informieren. Innerhalb der Hochschule (interne Empfänger) können die Daten von den Administratoren der IT-Abteilung verarbeitet werden.

4.4  Übermittlung der Daten in ein Drittland oder eine int. Organisation

Eine Übermittlung von Daten an ein Drittland oder eine internationale Organisation erfolgt nicht. Sollte ein angeschlossener Dienst eine Übermittlung in ein Drittland erfordern, werden wir eine gesonderte Einwilligung von Ihnen einholen oder Sie darüber informieren.

4.5       Rechte der von der Verarbeitung betroffenen Person

Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:

 

  • Informationspflicht bei Erhebung von personenbezogenen Daten nach Art. 13 DSGVO
  • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 DSGVO
  • Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
  • Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
  • Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
  • Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
  • Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder die Verarbeitung nach Art. 6 (1) f DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist nach Art. 21 DSGVO.
  • Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
  • Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.

4.6       Ausübung der Rechte

Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte an den oben genannten Datenschutzbeauftragten oder stellen Sie die Anfrage unter dem Link.[1]

4.7       Beschwerderecht

Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist

 

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Friedrichstr. 219 10969 Berlin

mailbox@datenschutz-berlin.de

4.8       Datensicherheit

Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.

 

5       Stand, Änderungen und Geltung der allgemeinen Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 08/2022. Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen. Ergeben sich Änderungen, werden wir eine hierauf angepasste Einwilligung und Datenschutzerklärung versenden.

 

Version Datum Autor Änderung / Bemerkung Klassifizierung
1.0 03.07.2020 IT-DUD Hafner DSE – Einbindung dfnconf öffentlich
1.1 20.08.2020 IT-DUD Hafner DSE Einbindung HWR Cloud öffentlich
1.2 07.01.2022 IT-DUD Hafner Überarbeitung öffentlich
1.3 30.08.2022 IT-DUD Hafner Überarbeitung öffentlich

 

[1] https://dsgvo2.dsmanager.net/jd8g73mg9/anfrage_meldung.html?key=5oZEoda8bochZmO9  

Diese Webseite verwendet ausschließlich technisch notwendige Cookies. Eine Einwilligung des Nutzers ist demnach nicht erforderlich. This website only uses technically necessary cookies. The consent of the user is therefore not required .