Art. 12 Abs. 1, Satz 1 der Datenschutz-Grundverordnung (DSGVO), regelt:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...).”
Dieser Verpflichtung kommt der
Verein zur Förderung eines Deutschen Forschungsnetzes e.V.,
Alexanderplatz 1, 10178 Berlin,
E-Mail: dfn@dfn.de, Telefon: +4930 884299 0
als Verantwortlicher mit der nachfolgenden Information nach.
Der Dienst wird durch die DFN-CERT Services GmbH, Hamburg, im Rahmen einer Auftragsverarbeitung (gemäß Art. 28 DSGVO) erbracht.
Das edu-ID-Portal bietet Nutzenden die Möglichkeit, eine bei Bedarf lebenslange, einrichtungsunabhängige digitale Identität zu pflegen, die den langfristigen Zugriff auf bestimmte Online-Ressourcen wie z.B. Forschungsdatenrepositorien, Bibliotheks- und Bildungsinhalte sowie den Abruf von Leistungsnachweisen ermöglicht. Vor der Übertragung von für den Zugriff auf eine Online-Ressource erforderlichen personenbezogenen oder -beziehbaren Daten müssen diese von der/dem Nutzenden explizit freigegeben werden. Für weitere Informationen siehe die Dokumentation unter https://www.edu-id.dfn.de.
Über die Nutzung der Webseite werden Log-Dateien angelegt und im Falle eines Sicherheitsvorfalls durch dazu befugtes Personal ausgewertet. Die Log-Dateien beinhalten Informationen darüber, zu welchem Zeitpunkt auf Inhalte zugegriffen wurde, welche Datenmenge hierbei übertragen wurde und ob der Zugriff erfolgreich war, welcher Browsertyp (sofern vom Client übermittelt) genutzt wurde und den Referrer. Dabei bleibt der Webseitenbesucher anonym, denn die IP-Adressen in den Log-Dateien werden gekürzt gespeichert (bei IPv4 werden die letzten beiden Bytes durch .0 und bei IPv6 die letzten 10 Bytes durch :: . ersetzt).
Bei der Erstellung eines edu-ID-Accounts werden folgende Daten erhoben:
Mit der Registrierung wird ein edu-ID-Account erstellt, wobei im System
eine eindeutige persönliche Kennziffer (edu-ID) generiert wird. Diese
Kennziffer wird ausschließlich im System vorgehalten und nicht an Dritte
übertragen. Von dieser edu-ID werden je nach Anforderung sowohl global
eindeutige als auch dienstspezifische, pseudonyme Nutzerkennungen
generiert, die der Identifizierung der Nutzenden am jeweiligen Dienst bzw.
der jeweiligen Online-Ressource dienen.
Diese Registrierungsdaten dienen der eindeutigen Zuordnung eines
edu-ID-Accounts zu einer natürlichen Person, der Anmeldung am System, dem
Zurücksetzen des Zugangspassworts, dem Nachweis der Volljährigkeit sowie
der Benachrichtigung der registrierten Nutzer bei Problemen oder
anstehenden Wartungsmaßnahmen. Die Meldeadresse dient dem Nachweis der
Zugriffsberechtigung auf Bibliotheksinhalte, die über Nationallizenzen
verfügbar sind. Registrierungsdaten werden gelöscht, wenn der/die Nutzende
den edu-ID-Account löscht. Im Portal angemeldete Nutzende können ihren
Account dort über eine entsprechende Schaltfläche löschen. Die Löschung
der Nutzendendaten erfolgt unverzüglich. Die Datenverarbeitung erfolgt auf
der rechtlichen Grundlage nach Art. 6 Abs. 1 lit. b DSGVO zur Durchführung
des Vertrages.
Weiterhin können Nutzende – sofern vorhanden - ihre ORCID ID im
edu-ID-Account zusätzlich hinterlegen (vgl.
https://orcid.org).
Die Datenverarbeitung erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1
lit. b DSGVO zur Durchführung des Vertrages.
Der edu-ID-Account kann mit einem Account an einer deutschen Forschungs- oder Bildungseinrichtung verknüpft werden, sofern diese Einrichtung an der DFN-AAI teilnimmt. Nähere Informationen zur DFN-AAI finden sich unter https://www.aai.dfn.de. Im Falle einer bestätigten Verknüpfung kann die Authentifizierung für den Zugriff auf eine mit dem edu-ID-Portal verbundene Online-Ressource am Anmeldesystem (Identity-Provider) der jeweiligen Heimateinrichtung erfolgen. Im Zuge eines solchen Anmeldevorgangs können weitere Nutzendendaten vom Identity-Provider der Heimateinrichtung an die betreffende Online-Ressource übertragen werden. Das edu-ID-Portal leitet diese Daten durch. Die Datenverarbeitung erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Vertrages.
Es werden Anmeldevorgänge in Log-Dateien protokolliert. Diese
Protokolldaten (über die Entscheidung zur Freigabe von Daten an die
jeweiligen Online-Ressourcen) dienen der Nachweispflicht des
Verantwortlichen und werden gemäß den geltenden rechtlichen Vorgaben
gespeichert. Protokolldaten werden, soweit sie nicht benötigt werden, um
konkrete Rechtsverletzungen nachzuweisen oder aufzuklären, spätestens nach
7 Tagen gelöscht. Die Datenverarbeitung erfolgt auf der Rechtsgrundlage
nach Art. 6 Abs. 1 lit. f DSGVO. Eine Abwägung zwischen den berechtigten
Interessen des Verantwortlichen mit den Interessen und
(Grund-)Rechts-positionen der betroffenen Person ergibt, dass das
Interesse oder Grundrechte oder Grundfreiheiten der betroffenen Person
nicht überwiegen. Das Interesse des Verantwortlichen liegt im
störungsfreien Betrieb, der Fehleranalyse und der Missbrauchserkennung und
-bekämpfung. Ein überwiegendes Interesse der Betroffenen ist auch aufgrund
der kurzen Löschpflicht nicht erkennbar.
Während des Nutzungsvorgangs durch registrierte Nutzende werden neben den
allgemeinen Protokolldaten (siehe oben “Allgemeine Hinweise für Nutzende,
die die Webseite aufrufen”) die Daten der aktuellen Sitzung (Zeitstempel,
edu-ID, Session ID) temporär im System abgelegt. Es handelt sich hierbei
um technisch notwendige Daten, welche nach Beendigung der Sitzung
automatisch gelöscht werden.
Nutzende können auf unterschiedliche Weise mit dem edu-ID-Support in
Kontakt treten, beispielsweise per E-Mail, telefonisch oder über ein
Kontaktformular. Die im Rahmen der Kontaktaufnahme und der anschließenden
Kommunikation anfallenden Daten werden ausschließlich zum Zweck der
Kommunikation mit dem/der anfragenden Nutzenden verarbeitet.
Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO,
soweit die jeweiligen Daten zur Beantwortung einer Anfrage benötigt
werden. Im Übrigen gilt Art. 6 Abs. 1 lit. f DSGVO aufgrund des
berechtigten Interesses des Verantwortlichen, Anfragen zu beantworten.
Die während der Kontaktaufnahme und der sonstigen
Kommunikation erfassten Daten werden nach vollständiger Bearbeitung der
jeweiligen Anfrage gelöscht, sofern keine sonstigen vertraglichen oder
gesetzlichen Regelungen anderes erfordern.
Cookies werden nur gesetzt, wenn die Nutzenden dieses in den Einstellungen ihres Browsers zulassen und dies zur Nutzung der Webseite notwendig ist. Es kommen ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der jeweiligen Sitzung zum Einsatz, die keine personenbezogenen Daten enthalten. Sie dienen der eindeutigen Zuordnung der Anfragen mehrerer zeitgleich angemeldeter Nutzender sowie dem Vorhalten einiger von Nutzenden getroffener Konfigurationsoptionen und werden mit Schließen des Browsers automatisch gelöscht. Ohne die Annahme solcher Sitzungscookies ist die Nutzung der Webseite nicht möglich.
Art. 15 DSGVO regelt ein Auskunftsrecht, und damit das
Recht einer betroffenen Person, eine Bestätigung zu verlangen, ob sie
betreffende personenbezogene Daten verarbeitet werden und gegebenenfalls
auf Auskunft über diese Daten und über Informationen, unter anderem über
die Verarbeitungszwecke, deren Herkunft, Daten empfangende Dienste, über
die Dauer der Speicherung sowie über ihre Rechte. Registrierte Nutzende
können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal
jederzeit selber abrufen.
Art. 16 DSGVO eröffnet das Recht, die Berichtigung sowie
im Hinblick auf den Zweck die Vervollständigung sie betreffender
unzutreffender personenbezogener Daten zu verlangen. Registrierte Nutzende
können die sie betreffenden Daten nach Anmeldung im edu-ID-Portal
jederzeit selber bearbeiten.
Art. 17 Abs. 1 DSGVO statuiert - mit bestimmten Ausnahmen - das Recht, die
Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO
regelt ein „Recht auf Vergessenwerden“, wenn die
verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat.
Registrierte Nutzende können ihren Account und damit alle sie betreffenden
Daten nach Anmeldung im edu-ID-Portal jederzeit selber löschen.
In bestimmten Fällen kann nach Art. 18 DSGVO auch die
Einschränkung der Verarbeitung verlangt werden zum
Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene
Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen benötigt.
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
gibt unter bestimmten Voraussetzungen einen Anspruch, eine Kopie von
personenbezogenen Daten in einem üblichen und maschinenlesbaren
Dateiformat zu erhalten. Registrierte Nutzende können die sie betreffenden
Daten nach Anmeldung im edu-ID-Portal jederzeit in elektronischer Form
selbständig abrufen.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene aus bestimmten Gründen ein
Widerspruchsrecht
gegen eine Verarbeitung von personenbezogenen Daten, die auf Grundlage des
Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt.
Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf
Beschwerde bei einer Aufsichtsbehörde, wenn sie der
Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die
DSGVO verstößt.
Verein zur Förderung eines Deutschen Forschungsnetzes e.V.,
Datenschutzbeauftragte
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de
Telefon: +49 30 884299 9103
Die ständige Entwicklung der Rahmenbedingungen macht von Zeit zu Zeit
Anpassungen unserer Datenschutzhinweise notwendig. Wir behalten uns vor,
jederzeit entsprechende Änderungen vorzunehmen.
Stand: Februar 2024