FAQ Datenschutz
: Diese Seite ist noch im Aufbau begriffen
Siehe auch unter Hinweise zum Datenschutz.
Welche Rechtsgrundlagen sind zu beachten?
Grundsätzlich gelten die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Siehe hierzu auch die Informationsbroschüre des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Daneben sind die jeweiligen Landesdatenschutzgesetze sowie ggf. einrichtungsinterne Richtlinien zu beachten.
Allgemeine Hinweise für den Betrieb von Web-Anwendungen
- Möglichst nur technisch notwendige Cookies einsetzen (z.B. Session-Cookies)
- Kein User-Tracking!
- Keine Weitergabe von Nutzerdaten, Bewegungsprofilen etc. an Dritte!
- Aufbewahrungsfristen beachten!
- Gut sichtbarer Hinweis auf Datenschutzerklärung!
Was gilt es beim Betrieb eines Identity Providers zu berücksichtigen?
- Einrichtungs-interne Nutzungsbedingungen und Datenschutzbedingungen (i.d.R beim Onboarding)
- Attributfreigabe: je nach Rechtsgrundlage vom User gesteuert oder lediglich Information zu den zu übertragenden Daten. Siehe hierzu:
- Falls für die IdP-seitige Freigabe von Attributen unterschiedliche Rechtsgrundlagen bestehen, siehe Beispiel für eine DSGVO-konforme Konfiguration des User Consent Moduls
Was gilt es beim Betrieb eines Service Providers zu berücksichtigen?
- Link zur Datenschutzerklärung (PrivacyStatementURL) des betreffenden Dienstes muss in der DFN-AAI Metadatenverwaltung hinterlegt werden
- Datensparsamkeit:
- Nur Attribute anfragen, die zur Nutzung des Dienstes unbedingt erforderlich sind
- Falls Identifier z.B. zur Personalisierung des Dienstes benötigt werden, pseudonyme Identifier verwenden. Siehe hierzu die diesbezüglichen Best Practice Empfehlungen und die kommentierte Liste der gängigsten Attribute