Checkliste für SP-Verantwortliche
Basierend auf https://refeds.org/category/code-of-conduct/v2 und Best Practices
1. Grundlagen und Rahmenbedingungen
- Pro-Service-Verpflichtung: Die Verpflichtung auf den Code of Conduct (CoC) wird für jeden registrierten Service separat vorgenommen (nicht pauschal für die ganze Organisation).
- Autorisierung: Die Zustimmung zum CoC wurde von einem autorisierten Vertreter (duly authorized representative) des Service Providers formell bestätigt.
- Rollenverständnis: Es ist intern geklärt und dokumentiert, dass der SP als „Data Controller“ (Verantwortlicher) oder in Ausnahmefällen als „Data Processor“ (Auftragsverarbeiter) für die Endnutzer-Attribute agiert.
- Haftungsfreistellung: Der SP ist sich bewusst, dass er Endnutzende, Home-Organisationen und Attribut-Provider für Schäden schadlos halten muss, die ausschließlich aus einer Verletzung des CoC durch den SP resultieren.
2. Zweckbindung & Datenminimierung (Data Minimization)
- Strikte Zweckbindung: Attribute werden ausschließlich dazu verarbeitet, Nutzenden Zugang zum Service zu gewähren und diesen bereitzustellen.
- Nutzungsverbote: Es ist technisch und organisatorisch sichergestellt, dass Daten nicht für abweichende Zwecke (z. B. Datenverkauf, Profiling, unaufgeforderte Werbung) verwendet werden.
- Absolute Minimierung: Es werden nur Attribute angefordert, die für den Dienst adäquat, relevant und nicht exzessiv sind.
- Prüfung der Identifier (Appendix 3):
- Wo möglich, werden pseudonyme Identifier genutzt (z. B. SAML2 PairwiseID, PersistentID).
- Eindeutige/Sprechende Identifier (eduPersonPrincipalName, E-Mail) werden nur angefordert, wenn z. B. ein dienstübergreifendes Account-Matching zwingend erforderlich ist.
- Verbot sensibler Daten: Es werden unter keinen Umständen sensible Daten nach Art. 9 DSGVO angefordert (z. B. ethnische Herkunft, politische Meinung, Gesundheit, sexuelle Orientierung).
- Löschkonzept (Retention Policy): Attribute werden ohne unnötige Verzögerung gelöscht oder anonymisiert, sobald sie für den Service nicht mehr benötigt werden (es sei denn, Ausnahmen wie gesetzliche Aufbewahrungsfristen greifen).
Transparenz & Datenschutzerklärung (Privacy Notice)
- Bereitstellung vor Login: Die Datenschutzerklärung (Privacy Notice) ist für Nutzende vor dem ersten föderierten Login öffentlich, prägnant und leicht zugänglich.
- Template-Nutzung: Es wird dringend empfohlen, das standardisierte REFEDS Privacy Notice Template zu verwenden.
- Inhalte der Privacy Notice: Die Erklärung enthält zwingend:
- Name, Adresse und Gerichtsbarkeit des SPs sowie Kontakt des Datenschutzbeauftragten (DPO).
- Verarbeitungszweck, Rechtsgrundlage und eine Liste der verarbeiteten Attribute.
- Empfänger der Daten (Dritte) und ggf. Übermittlung in Drittländer.
- Speicherdauer der Daten.
- Nutzerrechte (Auskunft, Berichtigung, Löschung, Beschwerderecht bei einer Aufsichtsbehörde).
- Metadaten-Integration: Ein maschinenlesbarer Link zur Datenschutzerklärung ist in den SAML-Metadaten des SPs hinterlegt.
4. Sicherheit & Meldeprozesse (Security & Breach Management)
- Sicherheitsmaßnahmen (TOMs): Es sind angemessene technische und organisatorische Maßnahmen implementiert, die dem Risiko der Datenverarbeitung entsprechen.
- Sirtfi-Compliance: Best Practice: Der SP erfüllt das Sirtfi-Framework (Security Incident Response Trust Framework for Federated Identity) und signalisiert dies in seinen Metadaten.
- Prozess für Datenpannen (Breach Reporting): Es gibt einen definierten Prozess, um Sicherheits- und Datenschutzverletzungen ohne unbegründete Verzögerung zu melden an:
- Die „Home Organization“ (über den in den SAML-Metadaten hinterlegten Security-Kontakt).
- Die zuständigen Datenschutzbehörden (falls gesetzlich vorgeschrieben).
- Betroffene Endnutzer (falls das Risiko entsprechend hoch ist).
5. Datenweitergabe & Drittländer (Transfers)
- Weitergabe an Dritte: Attribute werden nicht an Dritte (z. B. Partner, andere Institute) weitergegeben, es sei denn:
- Es existiert ein Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement), ODER
- Der Dritte hat sich selbst dem REFEDS CoC unterworfen, ODER
- Es liegt eine DSGVO-konforme, ausdrückliche Einwilligung des Nutzers vor.
- Drittland-Transfers (außerhalb EWR): Findet eine Datenübertragung in ein Land ohne EU-Angemessenheitsbeschluss statt, sind geeignete Garantien implementiert (z. B. Standardvertragsklauseln - SCCs, Binding Corporate Rules oder Ausnahmeregelungen nach Art. 49 DSGVO).
- Einwilligungen (Consent): Falls Nutzer-Einwilligungen als Rechtsgrundlage eingeholt werden, sind diese freiwillig, spezifisch, informiert, eindeutig, dokumentiert und jederzeit widerrufbar.