Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:aai:datenschutz_rollen [2023/03/31 11:44] – Wolfgang Pempe | de:aai:datenschutz_rollen [2025/02/27 10:41] (aktuell) – [Keine Auftragsverarbeitung] Wolfgang Pempe |
|---|
| Der Austausch personenbezogener Daten in der AAI erfolgt über den Browser der Endnutzer:innen direkt zwischen dem Identity-Provider (IdP) der Heimateinrichtung und dem vom jeweiligen Dienstanbieter betriebenen Service-Provider (SP). Sowohl die jeweilige Heimateinrichtung als Betreiber eines IdP als auch der Dienstanbieter sind voneinander unabhängige verantwortliche Stellen im Sinne der DSGVO, sofern es sich nicht um dieselbe juristische Person handelt. Das folgende Schaubild soll diesen Sachverhalt verdeutlichen: | Der Austausch personenbezogener Daten in der AAI erfolgt über den Browser der Endnutzer:innen direkt zwischen dem Identity-Provider (IdP) der Heimateinrichtung und dem vom jeweiligen Dienstanbieter betriebenen Service-Provider (SP). Sowohl die jeweilige Heimateinrichtung als Betreiber eines IdP als auch der Dienstanbieter sind voneinander unabhängige verantwortliche Stellen im Sinne der DSGVO, sofern es sich nicht um dieselbe juristische Person handelt. Das folgende Schaubild soll diesen Sachverhalt verdeutlichen: |
| |
| {{:de:aai:datenschutz_verantwortliche_dfn-aai.png?800|}} | {{:de:aai:aai_und_datenschutz.png?800|}} |
| |
| ===== Keine Auftragsverarbeitung ===== | ===== Keine Auftragsverarbeitung ===== |
| |
| Wie oben dargestellt verarbeitet der DFN-Verein in seiner **Rolle als Föderationsbetreiber** keine Daten von Endnnutzer:innen und agiert insofern auch nicht als Verantwortlicher im Sinne der DSGVO. Auch erteilt der DFN-Verein Teilnehmern an der DFN-AAI grundsätzlich **keinen Auftrag zur Verarbeitung personenbezogener Daten**. Vielmehr werden die Teilnehmer per Vertrag darauf hingewiesen, dass sowohl lizenzrechtliche als auch datenschutzrechtliche Fragen bilateral zwischen Dienstanbieter und Heimateinrichtung geregelt werden müssen. Hierbei ergeben sich in **Einzelfällen** Szenarien, in denen ein Dienstanbieter als Auftragsverarbeiter für eine Heimateinrichtung agiert. Der DFN-Verein ist in solchen Fällen in keiner Weise vertraglich involviert. | Wie oben dargestellt verarbeitet der DFN-Verein in seiner **Rolle als Föderationsbetreiber** keine Daten von Endnnutzer:innen und agiert insofern auch nicht als Verantwortlicher im Sinne der DSGVO. Auch erteilt der DFN-Verein Teilnehmern an der DFN-AAI grundsätzlich **keinen Auftrag zur Verarbeitung personenbezogener Daten**. Daher werden die Teilnehmer per Vertrag darauf hingewiesen, dass sowohl lizenzrechtliche als auch datenschutzrechtliche Fragen bilateral zwischen Dienstanbieter und Heimateinrichtung geregelt werden müssen. Hierbei ergeben sich in **Einzelfällen** Szenarien, in denen ein Dienstanbieter als Auftragsverarbeiter für eine Heimateinrichtung agiert. Der DFN-Verein ist in solchen Fällen in keiner Weise vertraglich involviert. \\ |
| | Die einige Ausnahme macht derzeit der vom DFN-Verein betriebene [[https://doku.tid.dfn.de/de:shibidp:oidc-proxy#hinweise_fuer_dienstanbieter|OIDC-Proxy]], für den der DFN-Verein jeweils eine AVV mit den Betreibern der angeschlossenen Dienste abschließt. |
| |
| |