Martin-Luther-Universität Halle-Wittenberg

Kaltgang im Maschinensaal des ITZ

Weiteres

Login für Redakteure

Shibboleth

Das Konzept von Shibboleth sieht vor, dass Nutzer*innen sich nur einmal mit Nutzername und Passwort authentifizieren müssen, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können, z.B. Recherche-Datenbanken, e-Ressourcen, e-Science und e-Learning-Systeme.

Der DFN-Verein    schafft das notwendige Vertrauensverhältnis und den organisatorisch-technischen Rahmen für den Austausch von Informationen zwischen Einrichtungen und Dienstanbietern.

Datenschutzerklärung Nutzung des Identity Providers (IdP) der Martin-Luther-Universität Halle-Wittenberg, Stand 06/2019

Art. 12 Absatz 1, Satz 1 der EU-Datenschutz-Grundverordnung (DSGVO), regelt: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...).“ Dieser Verpflichtung kommt die

Martin-Luther-Universität,
Halle-Wittenberg Universitätsplatz 10,
06108 Halle

vertreten durch den

Rektor
Telefon: +49 (0) 345 55-21000)

als Verantwortlicher mit der nachfolgenden Information nach.

1. Leistungsumfang

Der Identity Provider (IdP) der Martin-Luther-Universität Halle-Wittenberg (MLU) dient der gesicherten Anmeldung an Diensten, sogenannten Service Providern (SP), die über die DFN-AAI    verfügbar sind (z.B. Recherche-Datenbanken, e-Ressourcen, e-Science und e-Learning-Systeme). Hierzu ist der IdP mit der zentralen Nutzerverwaltung der MLU verbunden. Die Bereitstellung und der Betrieb des IdP der MLU erfolgt durch das IT-Servicezentrum (ITZ) der Universität.

Die Authentifikations- und Autorisierungs-Infrastruktur DFN-AAI wird vom DFN-Verein    (Verein zur Förderung eines Deutschen Forschungsnetzes e.V.) verwaltet. Er schafft das notwendige Vertrauensverhältnis und den organisatorisch-technischen Rahmen für den Austausch von Benutzerinformationen zwischen Einrichtungen (IdP) und Dienstanbietern (SP-Betreibern) in der DFN-AAI. Der DFN-Verein ist darüber hinaus Mitglied in einer föderationsübergreifenden Autorisierungs-Infrastruktur, eduGAIN   .

Zur technischen Realisierung wird in der DFN-AAI das Programmpaket „Shibboleth“ eingesetzt. Shibboleth unterstützt Anwender und Dienstleister in Bezug auf Datensparsamkeit, Datenvermeidung und Identitätsmanagement. Passwörter gelangen nicht zu den SP. Die gesamte Kommunikation erfolgt verschlüsselt. Für die Verschlüsselung werden Zertifikate    eingesetzt, die vom DFN-Verein vergeben oder geprüft wurden.

2. Nutzerkreis

Um den IdP der MLU nutzen zu können, benötigen Sie gültige Anmeldedaten (Nutzerkennung und Passwort) des ITZ der MLU und müssen berechtigt sein.

3. Verarbeitung personenbezogener Daten gemäß EU-DSGVO

3.1 Dienstbeschreibung und Inanspruchnahme

Um als Nutzer*in direkt mit den Benutzerdaten der MLU ortsunabhängig auf verschiedene e-Ressourcen zuzugreifen, prüft die MLU über den IdP die Zugriffsberechtigung der Nutzer*innen. Dies geschieht über die erstmalige Eingabe der Nutzerkennung und Passwort, bei der eine Einwilligung in die Datenverarbeitung der Nutzer*innen gemäß Artikel 6 Abs. 1 lit. a Datenschutz-Grundverordnung (DSGVO) sowie in Art. 6 Abs. 1 lit. c DSGVO Verbindung mit § 100 Abs. 1, 2 HSG LSA in der jeweils gültigen Fassung erfolgt. Durch den Widerruf endet die Möglichkeit zur Nutzung dieses IdP.

Bei der Anmeldung werden die zur Nutzung erforderlichen Angaben (sog. Attribute   ) an den betreffenden SP übertragen. Diese können je nach Art des SP auch personenbezogene Daten enthalten. Die Art und Anzahl der personenbezogenen Daten ist abhängig vom jeweiligen SP. Eine Übersicht der über die DFN-AAI verfügbaren Dienste (Service Provider) einschließlich der benötigten Attribute finden Sie im Verzeichnis der DFN-AAI   .

Vor der ersten Übertragung werden diese Daten angezeigt und müssen von Nutzer*innen explizit freigegeben werden. Die diesbezüglichen Entscheidungen der Nutzer*innen werden permanent im IdP der Martin-Luther-Universität Halle-Wittenberg gespeichert und können bei jeder neuen Anmeldung neu getroffen werden. Rechtsgrundlage für die Übertragung der erforderlichen Angaben ist Artikel 6 Abs. 1 lit. a und e DSGVO, sowie Artikel 6 Abs. 1 lit. c in Verbindung mit dem § 100 Abs. 1, 2 HSG LSA in der jeweils gültigen Fassung. Die permanente Speicherung der Entscheidungen zur Datenfreigabe dient den datenschutzrechtlichen Nachweispflichten. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c in Verbindung mit Art. 7 Abs. 1 DSGVO.

3.2 Log-Daten

Bei der Nutzung des IdP werden Log-Dateien angelegt. Die Log-Dateien beinhalten Informationen darüber, zu welchem Zeitpunkt auf Inhalte zugegriffen wurde, welche Datenmenge hierbei übertragen wurde, ob der Zugriff erfolgreich war, welcher Browsertyp (sofern vom Client übermittelt) genutzt wurde und über welche Webseite Nutzer*innen zum IdP gelangt sind. Weiterhin werden pro Vorgang die verwendete Nutzerkennung, die übertragenen Attribute, pseudonyme Kennungen und die ungekürzte IP-Adresse der Nutzer*innen gespeichert. Zweck der Speicherung ist die störungsfreie Bereitstellung des Dienstes und die Missbrauchsverhinderung. Hierin liegt auch das berechtigte Interesse des ITZ der MLU. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Zugriff auf die Log-Dateien haben ausschließlich Administrator*innen im ITZ der MLU, die mit der Erbringung des Dienstes beauftragt sind.

Die in den Log-Dateien enthaltenen IP-Adressen und Benutzerkennungen werden vom ITZ nicht mit anderen Datenbeständen zusammengeführt und insbesondere nicht für die Bildung von Zugriffsprofilen, User-Tracking oder Ähnlichem ausgewertet. Nutzungsprotokolle können jedoch in anonymisierter Form zu Statistikzwecken ausgewertet und gespeichert werden. Serverzugriffe werden in Übereinstimmung mit der Rahmendienstvereinbarung über die Einführung und Anwendung von IT-Systemen protokolliert und nach einem Monat gelöscht, es sei denn, gesetzliche Bestimmungen verlangen die Speicherung über einen längeren Zeitraum.

3.3 Hinweis zum Umgang mit Cookies

Bei Shibboleth handelt es sich außerdem um eine Single-Sign-On-Lösung (SSO), d.h. solange die Sitzung in dem Browser und am IdP gültig ist, müssen sich Nutzer*innen beim Besuch weiterer durch Shibboleth geschützter Anwendungen (SP) nicht erneut authentifizieren. Nach erfolgter Authentifizierung speichert der IdP auf dem Rechner ein Cookie mit einem Schlüssel. Über diesen Schlüssel realisiert der IdP lediglich die Sitzung und damit die SSO-Funktionalität.

Cookies werden nur gesetzt, wenn die Nutzer*innen dieses in den Einstellungen ihres Browsers zulassen und dies zur Nutzung des Dienstes notwendig ist. Es kommen ausschließlich Sitzungscookies zum Einsatz, die keine personenbezogenen Daten enthalten. Sie dienen der eindeutigen Zuordnung der Anfragen mehrerer zeitgleich angemeldeter Nutzer*innen sowie dem Vorhalten etwaiger von Nutzer*innen getroffener Konfigurationsoptionen. Ohne die Annahme von Sitzungscookies ist die Nutzung dieses Dienstes nicht bzw. nur eingeschränkt möglich.

3.4 Logout

Shibboleth ermöglicht zur Zeit keinen Single-Logout, d.h. Nutzer*innen können sich nicht aus dem Single-Sign-On-System abmelden. Wenn sich Nutzer*innen aus einzelnen Anwendungen abmelden, werden Sie automatisch wieder angemeldet, wenn Sie die Seite wieder besuchen. Die Sitzung läuft nach einer vorgegebenen Zeit (aktuell 1h) automatisch ab. Ansonsten können Nutzer*innen durch das Löschen der Cookies (über Browserverlauf, Chronik o.Ä.) ein Logout erzielen. Dies gilt insbesondere dann, wenn öffentliche Rechner (Computerpools, Benutzerarbeitsplätze in der Bibliothek oder Internet-Cafes) genutzt werden.

3.5 Datenübermittlung in Drittländer

Eine Datenübermittlung findet nur dann statt, wenn dies zur Nutzung des Dienstes notwendig ist und die Nutzer*innen der vorgeschlagenen Datenübermittlung ausdrücklich zugestimmt haben (Art. 49 Abs. 1 lit. a DSGVO). Die Übermittlung von Daten in potentielle Drittländer ist abhängig vom zu nutzenden Dienst.

Auf den Webseiten der DFN-AAI    bzw. dem GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA    finden sich aktuelle Übersichten über teilnehmende SP.

3.6 Kontaktdaten der Datenschutzbeauftragten

Die Datenschutzbeauftragte des Verantwortlichen ist zu erreichen unter:

E-Mail: Telefon: +49 (0) 345 55-21018

4. Betroffenenrechte

Ihnen steht das Recht zu jederzeit Auskunft zu den bei uns gespeicherten und Ihrer Person zuzuordnenden personenbezogenen Daten zu verlangen (Art. 15 DSGVO). Darüber hinaus haben Sie das Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragung (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO).

4.1 Widerrufbarkeit von Einwilligungen

Einwilligungen können jederzeit via E-Mail an widerrufen werden. Auch bei einem Widerruf bleibt die Verarbeitung der Daten zwischen der Erteilung der Einwilligung und dem Zeitpunkt des Widerrufs zulässig. Bei einem Widerruf werden die oben beschriebenen Daten gelöscht, soweit keine Löschhindernisse entgegenstehen. Die Löschung bereits übertragener Daten durch den Betreiber des IdP ist nicht möglich, hierzu muss der Betreiber des SP als verantwortliche Stelle kontaktiert werden.

4.2 Beschwerderecht bei einer Aufsichtsbehörde

Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt, steht Ihnen das Recht zu sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

4.3 Verpflichtung zur Bereitstellung personenbezogener Daten

Eine Verpflichtung zur Bereitstellung Ihrer personenbezogenen Daten existiert nicht, ist jedoch für die Nutzung des IdP zwingend erforderlich. Im Falle einer Nichtbereitstellung können Sie die IT-Ressourcen nicht nutzen.

5. Haftungsausschluss

Soweit gesetzlich zulässig, erfolgt die Benutzung des Dienstes auf eigene Gefahr. Das ITZ haftet nicht für etwaige Kosten oder Schäden, gleich ob sie unmittelbar oder mittelbar, begleitend oder infolge, durch sachgemäße oder unsachgemäße Nutzung entstehen oder in anderem Zusammenhang mit der organisationsübergreifenden Authentifizierung und Autorisierung und dem Zugriff auf bestimmte Ressourcen anderer Organisationen auftreten. Die MLU und der DFN-Verein übernehmen keine Verantwortung oder Garantie bzgl. der im Rahmen der DFN-AAI verfügbaren Dienste oder deren Nutzung. Dieser Haftungsausschluss gilt gleichermaßen gegenüber allen Beteiligten an den organisationsübergreifenden Authentifizierungs- und Autorisierungsdiensten einschließlich der DFN-AAI-Föderation und deren angeschlossenen Unternehmen, Geschäftsführer, Mitarbeiter und Vertreter.

Mit dem Akzeptieren dieser Nutzungsbedingungen erklären Nutzer*innen, dass er/sie die Rahmendienstvereinbarung über die Einführung und Anwendung von IT-Systemen, die Betriebs- und Benutzerordnung des ITZ und die Netzbetriebsordnung für das Datenkommunikationsnetz der MLU in der jeweils gültigen Fassung gelesen haben und ohne Einschränkungen oder Vorbehalt anerkennen.

Durch die Weiterentwicklung des IdP der MLU kann es notwendig sein, diese Datenschutzerklärung zu überarbeiten. Wir behalten uns vor, die Datenschutzerklärung mit Wirkung für die Zukunft zu ändern, und empfehlen Ihnen, sich die jeweils aktuelle Datenschutzerklärung von Zeit zu Zeit erneut durchzulesen.

Zum Seitenanfang