Checkliste für SP-Verantwortliche

  • Pro-Service-Verpflichtung: Die Verpflichtung auf den Code of Conduct (CoC) wird für jeden registrierten Service separat vorgenommen (nicht pauschal für die ganze Organisation).
  • Autorisierung: Die Zustimmung zum CoC wurde von einem autorisierten Vertreter (duly authorized representative) des Service Providers formell bestätigt.
  • Rollenverständnis: Es ist intern geklärt und dokumentiert, dass der SP als „Data Controller“ (Verantwortlicher) oder in Ausnahmefällen als „Data Processor“ (Auftragsverarbeiter) für die Endnutzer-Attribute agiert.
  • Haftungsfreistellung: Der SP ist sich bewusst, dass er Endnutzende, Home-Organisationen und Attribut-Provider für Schäden schadlos halten muss, die ausschließlich aus einer Verletzung des CoC durch den SP resultieren.
  • Strikte Zweckbindung: Attribute werden ausschließlich dazu verarbeitet, Nutzenden Zugang zum Service zu gewähren und diesen bereitzustellen.
  • Nutzungsverbote: Es ist technisch und organisatorisch sichergestellt, dass Daten nicht für abweichende Zwecke (z. B. Datenverkauf, Profiling, unaufgeforderte Werbung) verwendet werden.
  • Absolute Minimierung: Es werden nur Attribute angefordert, die für den Dienst adäquat, relevant und nicht exzessiv sind.
  • Prüfung der Identifier (Appendix 3):
    • Wo möglich, werden pseudonyme Identifier genutzt (z. B. SAML2 PairwiseID, PersistentID).
    • Eindeutige/Sprechende Identifier (eduPersonPrincipalName, E-Mail) werden nur angefordert, wenn z. B. ein dienstübergreifendes Account-Matching zwingend erforderlich ist.
    • Verbot sensibler Daten: Es werden unter keinen Umständen sensible Daten nach Art. 9 DSGVO angefordert (z. B. ethnische Herkunft, politische Meinung, Gesundheit, sexuelle Orientierung).
  • Löschkonzept (Retention Policy): Attribute werden ohne unnötige Verzögerung gelöscht oder anonymisiert, sobald sie für den Service nicht mehr benötigt werden (es sei denn, Ausnahmen wie gesetzliche Aufbewahrungsfristen greifen).
  • Bereitstellung vor Login: Die Datenschutzerklärung (Privacy Notice) ist für Nutzende vor dem ersten föderierten Login öffentlich, prägnant und leicht zugänglich.
  • Template-Nutzung: Es wird dringend empfohlen, das standardisierte REFEDS Privacy Notice Template zu verwenden.
  • Inhalte der Privacy Notice: Die Erklärung enthält zwingend:
    • Name, Adresse und Gerichtsbarkeit des SPs sowie Kontakt des Datenschutzbeauftragten (DPO).
    • Verarbeitungszweck, Rechtsgrundlage und eine Liste der verarbeiteten Attribute.
    • Empfänger der Daten (Dritte) und ggf. Übermittlung in Drittländer.
    • Speicherdauer der Daten.
    • Nutzerrechte (Auskunft, Berichtigung, Löschung, Beschwerderecht bei einer Aufsichtsbehörde).
  • Metadaten-Integration: Ein maschinenlesbarer Link zur Datenschutzerklärung ist in den SAML-Metadaten des SPs hinterlegt.
  • Sicherheitsmaßnahmen (TOMs): Es sind angemessene technische und organisatorische Maßnahmen implementiert, die dem Risiko der Datenverarbeitung entsprechen.
  • Sirtfi-Compliance: Best Practice: Der SP erfüllt das Sirtfi-Framework (Security Incident Response Trust Framework for Federated Identity) und signalisiert dies in seinen Metadaten.
  • Prozess für Datenpannen (Breach Reporting): Es gibt einen definierten Prozess, um Sicherheits- und Datenschutzverletzungen ohne unbegründete Verzögerung zu melden an:
    • Die „Home Organization“ (über den in den SAML-Metadaten hinterlegten Security-Kontakt).
    • Die zuständigen Datenschutzbehörden (falls gesetzlich vorgeschrieben).
    • Betroffene Endnutzer (falls das Risiko entsprechend hoch ist).
  • Weitergabe an Dritte: Attribute werden nicht an Dritte (z. B. Partner, andere Institute) weitergegeben, es sei denn:
    • Es existiert ein Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement), ODER
    • Der Dritte hat sich selbst dem REFEDS CoC unterworfen, ODER
    • Es liegt eine DSGVO-konforme, ausdrückliche Einwilligung des Nutzers vor.
  • Drittland-Transfers (außerhalb EWR): Findet eine Datenübertragung in ein Land ohne EU-Angemessenheitsbeschluss statt, sind geeignete Garantien implementiert (z. B. Standardvertragsklauseln - SCCs, Binding Corporate Rules oder Ausnahmeregelungen nach Art. 49 DSGVO).
  • Einwilligungen (Consent): Falls Nutzer-Einwilligungen als Rechtsgrundlage eingeholt werden, sind diese freiwillig, spezifisch, informiert, eindeutig, dokumentiert und jederzeit widerrufbar.
  • Zuletzt geändert: vor 2 Tagen