Datenschutz - Rollen und Verantwortlichkeiten in der DFN-AAI

(zurück zu den FAQ Datenschutz)

Bei der DFN-AAI handelt es sich um eine sog. Mesh Federation, d.h. es existiert kein zentraler Knoten („Hub“), über den alle Informationen fließen. Der DFN-Verein hat auch keinerlei Zugriff auf die technischen Systeme der an der DFN-AAI teilnehmenden Organisationen, d.h. der Dienstanbieter (Betreiber eines Service-Providers) und Heimateinrichtungen (Betreiber eines Identity-Providers). Bei der DFN-AAI handelt es sich also nicht um eine Infrastruktur, der eine gemeinsame technische Plattform zugrunde liegt. Als Föderationsbetreiber organisiert der DFN-Verein ausschließlich die Vertrauensbasis und nicht die Verkehrswege. Auf technischer Ebene stellt der DFN-Verein hierzu sog. Metadaten zur Verfügung, also eine Art technisches Adressbuch, in dem z.B. Zertifikate für Signierung und Verschlüsselung sowie sog. Binding URLs für die Kommunikation zwischen Identity- und Service-Providern hinterlegt sind. Diese Metadaten stellt der DFN-Verein zentral zum Download bereit. Um sicherzustellen, dass diese Daten nicht von unberechtigten Dritten manipuliert sind, werden diese seitens des DFN-Vereins regelmäßig neu generiert und signiert. Siehe hierzu auch die Einleitung

Der Austausch personenbezogener Daten in der AAI erfolgt über den Browser der Endnutzer:innen direkt zwischen dem Identity-Provider (IdP) der Heimateinrichtung und dem vom jeweiligen Dienstanbieter betriebenen Service-Provider (SP). Sowohl die jeweilige Heimateinrichtung als Betreiber eines IdP als auch der Dienstanbieter sind voneinander unabhängige Verantwortliche Stellen im Sinne der EU-DSGVO, sofern es sich nicht um dieselbe juristische Person handelt.