| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:aai:dataprotection [2022/02/06 13:09] – ↷ Links angepasst, weil Seiten im Wiki verschoben wurden Wolfgang Pempe | de:aai:dataprotection [2023/05/12 15:40] – [AAI und Datenschutz] Wolfgang Pempe |
|---|
| * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -bestimmungen erfolgen. Beachten Sie das Prinzip der **Datensparsamkeit**: Übertragen Sie nur die Attribute und Attributwerte, die zur Nutzung des jeweiligen Dienstes erforderlich sind. | * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -bestimmungen erfolgen. Beachten Sie das Prinzip der **Datensparsamkeit**: Übertragen Sie nur die Attribute und Attributwerte, die zur Nutzung des jeweiligen Dienstes erforderlich sind. |
| * Konsultieren Sie hierzu den*die Datenschutzbeauftragte*n Ihrer Heimateinrichtung. | * Konsultieren Sie hierzu den*die Datenschutzbeauftragte*n Ihrer Heimateinrichtung. |
| * Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges **User Consent Modul** zum Einsatz kommen. Es ermöglicht den Nutzer*innen, die zu übertragenden Attribute und Attributwerte zu kontrollieren und ihre Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]]. | * Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges **User Consent Modul** zum Einsatz kommen. Es ermöglicht den Nutzer*innen, die zu übertragenden Attribute und Attributwerte zu kontrollieren und ihre Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite [[de:shibidp:config-consent-dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]]. |
| * **Auch für SPs:** Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[de:geant_coco|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo)]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp:config-attributes-coco|Attribut-Konfiguration für Code of Conduct-SPs]]. \\ Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. | * **Auch für SPs:** Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[de:geant_coco|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo)]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp:config-attributes-coco|Attribut-Konfiguration für Code of Conduct-SPs]]. \\ Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. |
| |
| ====== AAI und Datenschutz ====== | ====== AAI und Datenschutz ====== |
| * [[de:geant_coco|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo)]] | * [[de:geant_coco|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo)]] |
| * M. Mörike, A. Strobel (Forschungsstelle Recht im DFN), Datenschutzrechtliche Analyse das AAI-Verfahrens ([[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|Präsentation auf der 69. Betriebstagung]]) | * M. Mörike, A. Strobel (Forschungsstelle Recht im DFN), Datenschutzrechtliche Analyse das AAI-Verfahrens ([[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|Präsentation auf der 69. Betriebstagung]]) |
| * [[https://download.aai.dfn.de/praesentationen/hagen_2019-06-06/dfn-aai_datenschutz.pdf|Dienste in der DFN-AAI – Datenschutzaspekte]] (W. Pempe, Präsentation) | * J. Köcher, AAI und PKI - Aspekte des Datenschutzes ([[https://www2.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_72.pdf|DFN Mitteilungen 72, Juni 2007, Seite 12 ff.]]) |
| * J. Köcher, AAI und PKI - Aspekte des Datenschutzes ([[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/heft72.pdf|DFN Mitteilungen 72, Juni 2007, Seite 12 ff.]], nicht mehr aktuell) | |
| |
| ====== Shibboleth und Datenschutz ====== | ====== Shibboleth und Datenschutz ====== |
| * Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/SHIB2/IdPCookieUsage|Dokumentation zur Verwendung von Cookies im Shibboleth IdP]] | * Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/SHIB2/IdPCookieUsage|Dokumentation zur Verwendung von Cookies im Shibboleth IdP]] |
| * Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/SP3/CookieUsage|Dokumentation zur Verwendung von Cookies im Shibboleth SP]] | * Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/SP3/CookieUsage|Dokumentation zur Verwendung von Cookies im Shibboleth SP]] |
| * Shibboleth-IdP: [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]] | * Shibboleth-IdP: [[de:shibidp:config-consent-dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]] |
| |
| {{tag>datenschutz}} | {{tag>datenschutz}} |