Datenschutzerklärung Shibboleth Identity Provider
Datenschutzerklärung Shibboleth Identity Provider
Der Shibbboleth Identity Provider (IdP)
- idp.haw-landshut.de
wird vom Rechenzentrum der Hochschule Landshut, Am Lurzenhof 1, 84036 Landshut betrieben. Die dabei verarbeiteten personenbezogenen Daten unterliegen den geltenden datenschutzrechtlichen Bestimmungen, insbesondere dem Bayerischen Datenschutzgesetz (BayDSG) und dem Telemediengesetz (TMG).
Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Diese Informationen können jederzeit von unserer Webseite abgerufen werden.
Authentifizierung über einen Identity Provider (IdP)
Beim Zugriff auf einen durch Shibboleth geschützten Webdienst erfolgt ein Redirect zur Login-Seite des IdP Ihrer Heimatorganisation (Hochschule Landshut). Benutzername und Passwort werden dabei ausschließlich zum Test auf Gültigkeit gegen einen Authentifizerungsserver (LDAP) verwendet. Der Webdienst, den Sie besuchen wollen, erhält danach nur eine Authentifizierungsbestätigung über das SAML-Protokoll, nie Ihr Passwort. Standardmäßig wird auch nicht Ihre Kennung, sondern nur ein pro Webdienst dauerhaft eindeutiges Pseudonym (Targeted ID) weitergegeben, anhand dessen der Webdienst Ihnen bei Wiederbesuch dasselbe Profil zuordnen kann.
Bei Shibboleth handelt sich außerdem um eine Single-Sign-On-Lösung (SSO), d.h. solange die Session in Ihrem Browser und am IdP gültig ist, müssen Sie sich beim Besuch weiterer durch Shibboleth geschützter Webdienste nicht erneut authentifizieren. Nach erfolgter Authentifizierung speichert der IdP auf Ihrem Rechner ein Cookie mit einem Schlüssel. Über diesen Schlüssel realisiert der IdP lediglich Ihre Session und damit die SSO-Funktionalität. Das Cookie enthält darüber hinaus keine personenbezogenen Daten.
Logging
Bei jeder Authentifizierung speichert der IdP folgende Informationen temporär in Logdateien:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- URL bzw. Identifikator des aufgerufenen Webdienstes
- Benutzername
- Art (Attributnamen) der zusätzlich übermittelten Daten, nicht jedoch deren Inhalt
Diese Logdateien werden spätestens nach 7 Tagen automatisch gelöscht. Ausnahme: Zugriff auf den DFN-Zertifikatsservice SLCS (Short Lived Credential Service), für den wir aus vertraglichen Gründen Zugriffsdatum, Benutzerkennung, Name und Mailadresse dauerhaft archivieren müssen.
Die Logdatei-Einträge werden ausgewertet, um Angriffe auf den Identity Provider erkennen und entsprechend reagieren zu können. Darüber hinaus können in Einzelfällen die Logdateien herangezogen werden, wenn Sie sich bei fehlgeschlagenem Zugriff auf einen Webdienst an unseren Support wenden, um die Fehlerursache zu finden.
Die in den Logeinträgen enthaltenen IP-Adressen und Benutzerkennungen werden vom Service IT nicht mit anderen Datenbeständen zusammengeführt und auch nicht für die Bildung von Zugriffsprofilen, User-Tracking oder Ähnlichem ausgewertet.
Weitergabe personenbezogener Daten
Der IdP übermittelt personenbezogene Daten an den anfragenden Webdienst nur nach Ihrer expliziten Zustimmung. Dazu wird Ihnen nach erfolgreicher Authentifizierung eine digitale Visitenkarte mit allen Daten angezeigt, die der anfragende Webdienst bekommen würde. Hier können Sie die Übertragung auch ablehnen.
Neben einem Pseudonym erhält der anfragende Webdienst vom IdP standardmäßig nur
- Ihr Zugehörigkeitsverhältnis zur Hochschule Landshut (sog. Affiliation: Mitarbeiter, Lehrpersonal, Student, Alumnus, sonstiges Mitglied)
- sowie ggf. speziell vereinbarte Zeichenketten (sog. Entitlements) für erweiterte Berechtigungen innerhalb des Webdienstes.
Auf Antrag des Webdienst-Betreibers können am IdP noch weitere personenbezogen Daten zur Weitergabe vorgesehen sein. Dies sind:
- Vor- und Nachname
- Mailadresse
- Geburtsdatum
- Geschlecht
- Organisationseinheit innerhalb Ihrer Einrichtung (bei Mitarbeitern und Gästen)
- Studiengangsinformationen, Fakultät und Matrikelnummer (bei Studierenden)
Auch diese Daten werden Ihnen in der digitalen Vistenkarte vor der Weitergabe angezeigt.
Darüber hinaus erfolgt die Übermittlung personenbezogener Daten an staatliche Einrichtungen und Behörden nur im Rahmen zwingender nationaler Rechtsvorschriften oder wenn die Weitergabe im Fall von Angriffen auf unsere IT-Infrastruktur zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe zu anderen Zwecken an Dritte oder eine Veröffentlichung finden generell nicht statt.
Ihre Rechte
Sie haben ein Auskunftsrecht über Ihre bei uns gespeicherten personenbezogenen Daten. Außerdem haben Sie das Recht auf Berichtigung unrichtiger Daten sowie Sperrung und Löschung, Wenn Sie diese Rechte wahrnehmen möchten, wenden Sie sich bitte schriftlich an uns. Bitte beachten Sie, dass Ihre Daten nicht im IdP selbst gespeichert sind, sondern im Personen- und Benutzer-Management-System des Service IT.
Links und Weiterleitungen
Die Webseiten des IdP enthalten zum Teil Links auf Webseiten anderer Organisationen oder Firmen, bzw. leiten Sie auf solche Webseiten weiter. Auf die Gestaltung und die Inhalte dieser Webseiten haben wir keinen Einfluss und können nicht kontrollieren, wie deren Anbieter mit Ihren personenbezogenen Daten umgehen.
Gültigkeit und Aktualität
Mit der Nutzung von bzw. der Authentifizierung an einem IdP willigen Sie in die oben beschriebene Datenverwendung ein. Diese Datenschutzerklärung ist unmittelbar gültig und ersetzt alle früheren Erklärungen.
Durch die Weiterentwicklung der Authentifizierungs-Infrastruktur kann es notwendig werden, diese Datenschutzerklärung zu überarbeiten. Wir behalten uns vor, die Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern, und empfehlen Ihnen, sich die jeweils aktuelle Datenschutzerklärung von Zeit zu Zeit erneut durchzulesen.