Art. 12 Absatz 1, Satz 1 der Datenschutz-Grundverordnung (DSGVO), regelt:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...)."
Dieser Verpflichtung kommt der
Verein zur Förderung eines Deutschen Forschungsnetzes e.V.,
Alexanderplatz 1, 10178 Berlin,
E-Mail: dfn\@dfn.de, Telefon: +4930 884299 0
als Verantwortlicher mit der nachfolgenden Information nach.
Der Dienst wird durch die DFN-CERT Services GmbH, Hamburg, als Auftragsverarbeiter nach Art. 28 DSGVO erbracht.
Das edu-ID-Portal bietet Nutzenden die Möglichkeit, eine bei Bedarf lebenslange, einrichtungsunabhängige digitale Identität zu pflegen, die den langfristigen Zugriff auf bestimmte Online-Ressourcen wie z.B. Forschungsdatenrepositorien, Bibliotheks- und Bildungsinhalte, sowie den Abruf von Leistungsnachweisen ermöglicht. Vor der Übertragung von für den Zugriff auf eine Online-Ressource erforderlichen personenbezogenen oder -beziehbaren Daten müssen diese von der/dem Nutzenden explizit freigegeben werde. Für weitere Informationen siehe die Dokumentation unter https://edu-id.dfn.de.
Über die Nutzung der Webseite werden Log-Dateien angelegt und im Falle eines Sicherheitsvorfalls durch dazu befugtes Personal ausgewertet. Die Log-Dateien beinhalten Informationen darüber, zu welchem Zeitpunkt auf Inhalte zugegriffen wurde, welche Datenmenge hierbei übertragen wurde und ob der Zugriff erfolgreich war, welcher Browsertyp (sofern vom Client übermittelt) genutzt wurde und der Referrer. Dabei bleibt der Webseitenbesucher anonym, denn die IP-Adressen in den Log-Dateien werden gekürzt gespeichert (bei IPv4 werden die letzten beiden Bytes durch .0 und bei IPv6 die letzten 10 Bytes durch :: . ersetzt). Eine Weitergabe der Daten an Dritte erfolgt nicht.
Bei der Erstellung eines edu-ID-Accounts werden folgende Daten erhoben:
Mit der Registrierung wird ein edu-ID-Account erstellt, wobei im System ein weltweit eindeutiger Identifier (edu-ID) generiert wird. Dieser Identifier wird ausschließlich im System vorgehalten und nicht an Dritte übertragen. Von dieser edu-ID werden Ressourcen-spezifische Identifier generiert, die der pseudonymen Identifizierung der Nutzenden am jeweiligen Dienst bzw. der jeweiligen Online-Ressource dienen.
Diese Registrierungsdaten dienen der eindeutigen Zuordnung eines edu-ID-Accounts zu einer natürlichen Person, der Anmeldung am System, dem Zurücksetzen des Zugangspassworts, dem Nachweis der Volljährigkeit sowie der Benachrichtigung der registrierten Nutzerenden bei Problemen oder anstehenden Wartungsmaßnahmen. Die Meldeadresse dient dem Nachweis der Zugriffsberechtigung auf Bibliotheksinhalte, die über Nationallizenzen verfügbar sind. Registrierungsdaten werden gelöscht, wenn der/die Nutzende den edu-ID-Account löscht. Im Portal angemeldete Nutzende können ihren Account dort über eine entsprechende Schaltfläche löschen. Die Löschung der Nutzendendaten erfolgt unverzüglich. Rechtsgrundlage ist Art. 6 Absatz 1 b DSGVO.
Weiterhin können Nutzende ihren edu-ID Account um Daten aus anderen, ihnen zugeordneten digitalen Identitäten erweitern, wie z.B. der ORCID ID (vgl. https://orcid.org).
Der edu-ID-Account kann außerdem mit einem Account an einer deutschen Forschungs- oder Bildungseinrichtung verknüpft werden, sofern diese Einrichtung an der DFN-AAI teilnimmt. Nähere Informationen dazu finden sich unter https://www.aai.dfn.de. Im Falle einer solchen Verknüpfung kann die Authentifizierung für den Zugriff auf eine mit dem edu-ID-Portal verbundene Online-Ressource am Anmeldesystem (Identity-Provider) der jeweiligen Heimateinrichtung erfolgen. Im Zuge eines solchen Anmeldevorgangs können weitere Nutzendendaten vom Identity-Provider der Heimateinrichtung an die betreffende Online-Ressource übertragen werden. Das edu-ID-Portal leitet diese Daten durch. Rechtsgrundlage ist Art. 6 Absatz 1 f DSGVO. Der störungsfreie und autorisierte Zugriff auf die betreffende Online-Ressource liegt sowohl im berechtigten Interesse des Verantwortlichen als auch der betroffenen Person.
Während des Nutzungsvorgangs werden neben den allgemeinen Protokolldaten (siehe oben \"Hinweise für die Nutzung\") die Daten der aktuellen Sitzung (Zeitstempel, edu-ID, Session ID) temporär im System abgelegt. Sie dienen der Fehleranalyse bei zur Laufzeit auftretenden Problemen. Diese Daten werden nach Beenden der Sitzung automatisch gelöscht. Rechtsgrundlage ist Art. 6 Absatz 1 f DSGVO. Das Interesse des Verantwortlichen an der Fehleranalyse überwiegt anderweitige Interessen der betroffenen Person. Weiterhin werden Anmeldevorgänge und die Entscheidung zur Freigabe von Daten an die jeweiligen Online-Ressourcen protokolliert. Rechtsgrundlage ist Art. 6 Absatz 1 f DSGVO. Die Missbrauchserkennung und -bekämpfung ist im Interesse von Verantwortlichem und betroffener Person. Diese Protokolldaten werden für 4 Jahre aufbewahrt.
Nutzende können auf unterschiedliche Weise mit dem edu-ID-Support in Kontakt treten, beispielsweise per E-Mail, telefonisch oder über Kontaktformular. Die im Rahmen der Kontaktaufnahme und der anschließenden Kommunikation anfallenden Daten werden ausschließlich zum Zweck der Kommunikation mit dem/der anfragenden Nutzenden verarbeitet.
Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 b DSGVO, soweit die jeweiligen Daten zur Beantwortung einer Anfrage benötigt werden. Im Übrigen gilt Art. 6 Abs. 1 f DSGVO aufgrund des berechtigten Interesses des Verantwortlichen, Anfragen zu beantworten.
Die der Kontaktaufnahme und der sonstigen Kommunikation erfassten Daten werden nach vollständiger Bearbeitung der jeweiligen Anfrage gelöscht, sofern keine sonstigen vertraglichen oder gesetzlichen Regelungen anderes erfordern.
Cookies werden nur gesetzt, wenn die NutzerInnen dieses in den Einstellungen ihres Browsers zulassen und dies zur Nutzung der Webseite notwendig ist. Es kommen ausschließlich Sitzungscookies zum Einsatz, die keine personenbezogenen Daten enthalten. Sie dienen der eindeutigen Zuordnung der Anfragen mehrerer zeitgleich angemeldeter NutzerInnen sowie dem Vorhalten einiger von NutzerInnen getroffener Konfigurationsoptionen und werden mit Schließen des Browsers automatisch gelöscht. Ohne die Annahme von Sitzungscookies ist die Nutzung der Webseite nicht möglich.
Art. 15 DSGVO regelt ein Auskunftsrecht, und damit das Recht einer betroffenen Person, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und gegebenenfalls auf Auskunft über diese Daten und über Informationen, unter anderem über die Verarbeitungszwecke, deren Herkunft, Daten empfangende Dienste, über die Dauer der Speicherung sowie über ihre Rechte. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber abrufen.
Art. 16 DSGVO eröffnet das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber bearbeiten.
Art. 17 Abs. 1 DSGVO statuiert - mit bestimmten Ausnahmen - das Recht, die Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO regelt ein „Recht auf Vergessenwerden", wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Registrierte Nutzende können ihren Account und damit alle sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit selber löschen.
In bestimmten Fällen kann nach Art. 18 DSGVO auch die Einschränkung der Verarbeitung verlangt werden zum Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gibt unter bestimmten Voraussetzungen einen Anspruch, eine Kopie von personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Registrierte Nutzende können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal jederzeit in elektronischer Form selber abrufen.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene aus bestimmten Gründen ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten, die auf Grundlage des Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt.
Nach Art. 77 EU-DS-GVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Verein zur Förderung eines Deutschen Forschungsnetzes e.V., Datenschutzbeauftragter
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de, Telefon: +4930 884299 9103