Nutzungsbedingungen für den Identity Provider der TUHH
Stand 14.09.2018
1. Der Identity Provider (IdP) der TUHH
Der IdP der TUHH ermöglicht die gesicherte Anmeldung an Diensten sogenannter Service Provider (SP), die über die DFN-AAI (Authentifizierungs- und Autorisierungs-Infrastruktur) verfügbar sind. Die DFN-AAI wird vom DFN-Verein (Verein zur Förderung eines Deutschen Forschungsnetzes e.V.) verwaltet. Der DFN-Verein gibt dabei einen technischen, organisatorischen und rechtlichen Rahmen vor für den Austausch von Benutzerinformationen. Die DFN-AAI ist Teil internationaler Zusammenschlüsse (eduGAIN). Die eingesetzte Technologie heißt „Shibboleth“.
2. Nutzerkreis
Um den IdP der TUHH nutzen zu können, benötigen Sie gültige Anmeldedaten (Nutzernamen und Kennwort) des Rechenzentrums (RZ) der TUHH.
3. Authentifizierungs- und Autorisierungsvorgang
Im Rahmen des Anmeldevorgangs führt der IdP zunächst eine Authentifizierung der Nutzerinnen und Nutzer durch. Dies geschieht über die Eingabe von Nutzerkennung und Passwort. Die Überprüfung Ihrer Anmeldedaten erfolgt stets am IdP der TUHH. Diese Anmeldedaten werden nicht an einen SP übertragen. Anschließend werden die zur Nutzung des betreffenden SP angefragten Benutzerdaten (sog. Attribute) bereitgestellt, ihre Einwilligung zu deren Übermittlung eingeholt und ggf. danach übermittelt. Dies können zum Beispiel der Vor- und Nachname, die E-Mail-Adresse oder die Gruppenzugehörigkeit innerhalb der TUHH (Student, Mitarbeiter, ...) sein. Sie können die Einwilligung zur Übermittlung jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Die gesamte Kommunikation erfolgt verschlüsselt. Für die Verschlüsselung werden Zertifikate eingesetzt, die vom DFN-Verein vergeben oder geprüft wurden. Die technische Bereitstellung und der Betrieb des IdP der TUHH erfolgen durch das RZ der TUHH.
4. Datenschutzhinweis
Wird der Dienst genutzt, können folgende personenbezogenen Daten verarbeitet und protokolliert werden:
- Kontaktdaten (unter anderem Pseudonyme und Identifikationsdaten)
- weitere Attribute auf Anfrage der SP.
Es werden Nutzungsprotokolle gespeichert. Eine Löschung dieser Daten erfolgt nach Entfallen des Zweckes, es sei denn es besteht ein Grund die Daten für weitere Zwecke zu verwenden und aufzubewahren. Die Weiterverarbeitung kann sich z.B. aus gesetzlichen Bestimmungen wie dem §6 HmbDSG ergeben.
Rechtsgrundlage für die Verarbeitung und Nutzung dieser Daten ist die Einwilligung nach Art. 6 Abs. 1 Buchst. a und Art. 7 der Verordnung (EU) 2016/679 vom 27.04.2016 - Datenschutz-Grundverordnung (DSGVO).
5. Haftungsausschluss
Soweit gesetzlich zulässig, erfolgt die Benutzung des Dienstes auf eigene Gefahr. Das RZ haftet nicht für etwaige Kosten oder Schäden, gleich ob sie unmittelbar oder mittelbar, begleitend oder infolge, durch sachgemäße oder unsachgemäße Nutzung entstehen oder in anderem Zusammenhang mit der organisationsübergreifenden Authentifizierung und Autorisierung und dem Zugriff auf bestimmte Ressourcen anderer Organisationen auftreten. Die TUHH und der DFN-Verein übernehmen keine Verantwortung oder Garantie bzgl. der im Rahmen der DFN-AAI verfügbaren Dienste oder deren Nutzung. Dieser Haftungsausschluss gilt gleichermaßen gegenüber allen Beteiligten an den organisationsübergreifenden Authentifizierungs- und Autorisierungsdiensten einschließlich der DFN-AAI-Föderation und deren angeschlossenen Unternehmen, Geschäftsführer, Mitarbeiter und Vertreter.
6. Abschließende Bestimmungen
Die TUHH behält sich vor, diese Bestimmungen ohne vorherige Ankündigung zu ändern oder zu ergänzen. In diesem Fall wird Ihnen diese Seite erneut angezeigt, um Sie auf die Änderungen hinzuweisen.
Rechtsgrundlage für die Verarbeitung und Nutzung dieser Daten ist Art. 6 Abs. 1 Buchst. e der Verordnung (EU) 2016/679 vom 27.04.2016 - Datenschutz-Grundverordnung (DSGVO) in Verbindung mit §§ 3, 4, 111 HmbHG in Verbindung mit § 1 Satzung der Technischen Universität Hamburg (TUHH) über die Erhebung und Verarbeitung personenbezogener Daten gemäß § 111 Absätze 1 und 3 HmbHG in der jeweils gültigen Fassung.