Art. 12 Abs. 1, Satz 1 der Datenschutz-Grundverordnung (DSGVO), regelt:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...).”
Dieser Verpflichtung kommt der
Verein zur Förderung eines Deutschen Forschungsnetzes e.V.,
Alexanderplatz 1, 10178 Berlin,
E-Mail: dfn@dfn.de, Telefon: +4930 884299 0
als Verantwortlicher mit der nachfolgenden Information nach.
Der Dienst wird durch die DFN-CERT Services GmbH, Hamburg, im Rahmen einer Auftragsverarbeitung (gemäß Art. 28 DSGVO) erbracht.
Das edu-ID-Portal bietet Nutzenden die Möglichkeit, eine bei Bedarf lebenslange, einrichtungsunabhängige digitale Identität zu pflegen, die den langfristigen Zugriff auf bestimmte Online-Ressourcen wie z.B. Forschungsdatenrepositorien, Bibliotheks- und Bildungsinhalte sowie den Abruf von Leistungsnachweisen ermöglicht. Vor der Übertragung von für den Zugriff auf eine Online-Ressource erforderlichen personenbezogenen oder -beziehbaren Daten müssen diese von der/dem Nutzenden explizit freigegeben werden. Für weitere Informationen siehe die Dokumentation unter https://www.edu-id.dfn.de.
Über die Nutzung der Webseite werden Log-Dateien angelegt und im Falle eines Sicherheitsvorfalls durch dazu befugtes Personal ausgewertet. Die Log-Dateien beinhalten Informationen darüber, zu welchem Zeitpunkt auf Inhalte zugegriffen wurde, welche Datenmenge hierbei übertragen wurde und ob der Zugriff erfolgreich war, welcher Browsertyp (sofern vom Client übermittelt) genutzt wurde und den Referrer. Dabei bleibt der Webseitenbesucher anonym, denn die IP-Adressen in den Log-Dateien werden gekürzt gespeichert (bei IPv4 werden die letzten beiden Bytes durch .0 und bei IPv6 die letzten 10 Bytes durch :: . ersetzt).
Bei der Erstellung eines edu-ID-Accounts werden folgende Daten erhoben:
Mit der Registrierung wird ein edu-ID-Account erstellt, wobei im System eine eindeutige persönliche Kennziffer (edu-ID) generiert wird. Diese Kennziffer wird ausschließlich im System vorgehalten und nicht an Dritte übertragen. Von dieser edu-ID werden je nach Anforderung sowohl global eindeutige als auch dienstspezifische, pseudonyme Nutzerkennungen generiert, die der Identifizierung der Nutzenden am jeweiligen Dienst bzw. der jeweiligen Online-Ressource dienen.
Diese Registrierungsdaten dienen der eindeutigen Zuordnung eines edu-ID-Accounts zu einer natürlichen Person, der Anmeldung am System, dem Zurücksetzen des Zugangspassworts, dem Nachweis der Volljährigkeit sowie der Benachrichtigung der registrierten Nutzer bei Problemen oder anstehenden Wartungsmaßnahmen. Die Meldeadresse dient dem Nachweis der Zugriffsberechtigung auf Bibliotheksinhalte, die über Nationallizenzen verfügbar sind. Registrierungsdaten werden gelöscht, wenn der/die Nutzende den edu-ID-Account löscht. Im Portal angemeldete Nutzende können ihren Account dort über eine entsprechende Schaltfläche löschen. Die Löschung der Nutzendendaten erfolgt unverzüglich. Die Datenverarbeitung erfolgt auf der rechtlichen Grundlage nach Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Vertrages.
Weiterhin können Nutzende – sofern vorhanden - ihre ORCID ID im edu-ID-Account zusätzlich hinterlegen (vgl. https://orcid.org).
Die Datenverarbeitung erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Vertrages.
Der edu-ID-Account kann mit einem Account an einer deutschen Forschungs- oder Bildungseinrichtung verknüpft werden, sofern diese Einrichtung an der DFN-AAI teilnimmt. Nähere Informationen zur DFN-AAI finden sich unter https://www.aai.dfn.de. Im Falle einer bestätigten Verknüpfung kann die Authentifizierung für den Zugriff auf eine mit dem edu-ID-Portal verbundene Online-Ressource am Anmeldesystem (Identity-Provider) der jeweiligen Heimateinrichtung erfolgen. Im Zuge eines solchen Anmeldevorgangs können weitere Nutzendendaten vom Identity-Provider der Heimateinrichtung an die betreffende Online-Ressource übertragen werden. Das edu-ID-Portal leitet diese Daten durch. Die Datenverarbeitung erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Vertrages.
Es werden Anmeldevorgänge in Log-Dateien protokolliert. Diese Protokolldaten (über die Entscheidung zur Freigabe von Daten an die jeweiligen Online-Ressourcen) dienen der Nachweispflicht des Verantwortlichen und werden gemäß den geltenden rechtlichen Vorgaben gespeichert. Protokolldaten werden, soweit sie nicht benötigt werden, um konkrete Rechtsverletzungen nachzuweisen oder aufzuklären, spätestens nach 7 Tagen gelöscht. Die Datenverarbeitung erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO. Eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen mit den Interessen und (Grund-)Rechts-positionen der betroffenen Person ergibt, dass das Interesse oder Grundrechte oder Grundfreiheiten der betroffenen Person nicht überwiegen. Das Interesse des Verantwortlichen liegt im störungsfreien Betrieb, der Fehleranalyse und der Missbrauchserkennung und -bekämpfung. Ein überwiegendes Interesse der Betroffenen ist auch aufgrund der kurzen Löschpflicht nicht erkennbar.
Während des Nutzungsvorgangs durch registrierte Nutzende werden neben den allgemeinen Protokolldaten (siehe oben “Allgemeine Hinweise für Nutzende, die die Webseite aufrufen”) die Daten der aktuellen Sitzung (Zeitstempel, edu-ID, Session ID) temporär im System abgelegt. Es handelt sich hierbei um technisch notwendige Daten, welche nach Beendigung der Sitzung automatisch gelöscht werden.
Nutzende können auf unterschiedliche Weise mit dem edu-ID-Support in Kontakt treten, beispielsweise per E-Mail, telefonisch oder über ein Kontaktformular. Die im Rahmen der Kontaktaufnahme und der anschließenden Kommunikation anfallenden Daten werden ausschließlich zum Zweck der Kommunikation mit dem/der anfragenden Nutzenden verarbeitet.
Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, soweit die jeweiligen Daten zur Beantwortung einer Anfrage benötigt werden. Im Übrigen gilt Art. 6 Abs. 1 lit. f DSGVO aufgrund des berechtigten Interesses des Verantwortlichen, Anfragen zu beantworten.
Die während der Kontaktaufnahme und der sonstigen Kommunikation erfassten Daten werden nach vollständiger Bearbeitung der jeweiligen Anfrage gelöscht, sofern keine sonstigen vertraglichen oder gesetzlichen Regelungen anderes erfordern.
Cookies werden nur gesetzt, wenn die Nutzenden dieses in den Einstellungen ihres Browsers zulassen und dies zur Nutzung der Webseite notwendig ist. Es kommen ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der jeweiligen Sitzung zum Einsatz, die keine personenbezogenen Daten enthalten. Sie dienen der eindeutigen Zuordnung der Anfragen mehrerer zeitgleich angemeldeter Nutzender sowie dem Vorhalten einiger von Nutzenden getroffener Konfigurationsoptionen und werden mit Schließen des Browsers automatisch gelöscht. Ohne die Annahme solcher Sitzungscookies ist die Nutzung der Webseite nicht möglich.
Art. 15 DSGVO regelt ein Auskunftsrecht, und damit das Recht einer betroffenen Person, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und gegebenenfalls auf Auskunft über diese Daten und über Informationen, unter anderem über die Verarbeitungszwecke, deren Herkunft, Daten empfangende Dienste, über die Dauer der Speicherung sowie über ihre Rechte. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber abrufen.
Art. 16 DSGVO eröffnet das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber bearbeiten.
Art. 17 Abs. 1 DSGVO statuiert - mit bestimmten Ausnahmen - das Recht, die Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO regelt ein „Recht auf Vergessenwerden“, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Registrierte Nutzende können ihren Account und damit alle sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber löschen.
In bestimmten Fällen kann nach Art. 18 DSGVO auch die Einschränkung der Verarbeitung verlangt werden zum Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gibt unter bestimmten Voraussetzungen einen Anspruch, eine Kopie von personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit in elektronischer Form selbständig abrufen.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene aus bestimmten Gründen ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten, die auf Grundlage des Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt.
Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Verein zur Förderung eines Deutschen Forschungsnetzes e.V., Datenschutzbeauftragte
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de
Telefon: +49 30 884299 9103
Die ständige Entwicklung der Rahmenbedingungen macht von Zeit zu Zeit Anpassungen unserer Datenschutzhinweise notwendig. Wir behalten uns vor, jederzeit entsprechende Änderungen vorzunehmen.
Stand: Februar 2024