Datenschutz - Rollen und Verantwortlichkeiten in der DFN-AAI

(zurück zu den FAQ Datenschutz)

Bei der DFN-AAI handelt es sich um eine sog. Mesh Federation, d.h. es existiert kein zentraler Knoten („Hub“), über den alle Informationen fließen. Bei der DFN-AAI handelt es sich also nicht um eine Infrastruktur, der eine gemeinsame technische Plattform zugrunde liegt. Als Föderationsbetreiber organisiert der DFN-Verein ausschließlich die Vertrauensbasis und nicht die Verkehrswege. Auf technischer Ebene stellt der DFN-Verein lediglich die für die Kommunikation zwischen IdPs und SPs verwendeten Metadaten (Zertifikate, URLs, etc.) zentral zum Download bereit. Um sicherzustellen, dass diese Daten nicht von unberechtigten Dritten manipuliert sind, werden diese seitens des DFN-Vereins neu generiert und signiert. Siehe hierzu auch die Einleitung

Der Austausch personenbezogener Daten in der AAI erfolgt über den Browser der Endnutzer:innen direkt zwischen dem Identity-Provider (IdP) der Heimateinrichtung und dem vom jeweiligen Dienstanbieter betriebenen Service-Provider (SP). Sowohl die jeweilige Heimateinrichtung als Betreiber eines IdP als auch der Dienstanbieter sind voneinander unabhängige Verantwortliche Stellen im Sinne der EU-DSGVO, sofern es sich nicht um dieselbe juristische Person handelt.