====== FAQ Datenschutz ====== FIXME: Diese Seite ist noch im Aufbau begriffen Siehe auch unter [[de:aai:dataprotection|Hinweise zum Datenschutz]]. ==== Welche Rechtsgrundlagen sind zu beachten? ==== Grundsätzlich gelten die [[https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE|Datenschutzgrundverordnung]] (DSGVO) und das [[https://www.gesetze-im-internet.de/bdsg_2018/index.html|Bundesdatenschutzgesetz]] (BDSG). Siehe hierzu auch die [[https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.html|Informationsbroschüre des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]]. \\ Daneben sind die jeweiligen [[https://www.datenschutz-wiki.de/Landesdatenschutzgesetze|Landesdatenschutzgesetze]] sowie ggf. einrichtungsinterne Richtlinien zu beachten. ==== Allgemeine Hinweise für den Betrieb von Web-Anwendungen ==== * Möglichst nur technisch notwendige Cookies einsetzen (z.B. Session-Cookies) * Kein User-Tracking! * Keine Weitergabe von Nutzerdaten, Bewegungsprofilen etc. an Dritte! * Aufbewahrungsfristen beachten! * Gut sichtbarer Hinweis auf Datenschutzerklärung! ==== Was gilt es beim Betrieb eines Identity Providers zu berücksichtigen? ==== * Einrichtungs-interne Nutzungsbedingungen und Datenschutzbedingungen (i.d.R beim Onboarding) * Attributfreigabe: je nach Rechtsgrundlage vom User gesteuert oder lediglich Information zu den zu übertragenden Daten. Siehe hierzu: * [[de:shibidp:config-tou|Einrichtung und Anpassung des User Consent Moduls]] * Falls für die IdP-seitige Freigabe von Attributen unterschiedliche Rechtsgrundlagen bestehen, siehe [[de:shibidp:config-consent-dsgvo|Beispiel für eine DSGVO-konforme Konfiguration des User Consent Moduls]] * [[de:shibidp:config-storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen|Berücksichtigung der vorherigen Einwilligung zur Attributfreigabe bei Attribute Queries]] ==== Was gilt es beim Betrieb eines Service Providers zu berücksichtigen? ==== * Link zur Datenschutzerklärung (PrivacyStatementURL) des betreffenden Dienstes muss in der DFN-AAI Metadatenverwaltung hinterlegt werden * Datensparsamkeit: * Nur Attribute anfragen, die zur Nutzung des Dienstes unbedingt erforderlich sind * Falls Identifier z.B. zur Personalisierung des Dienstes benötigt werden, pseudonyme Identifier verwenden. Siehe hierzu die diesbezüglichen [[de:aai:attributes_best_practice|Best Practice Empfehlungen]] und die [[de:common_attributes|kommentierte Liste der gängigsten Attribute]] ==== Welche Rollen und Verantwortlichkeiten bestehen in der DFN-AAI? ==== * [[de:aai:datenschutz_rollen|Datenschutz - Rollen und Verantwortlichkeiten in der DFN-AAI]]