Universität Erfurt

Teilnahmebedingungen für die Authentifizierungs- und Autorisierungsinfrastruktur des Deutschen Forschungsnetzes (DFN-AAI)
an der Universität Erfurt

Version 1.0

-

Datenschutzerklärung, Einwilligung in die Datenverarbeitung, Verpflichtungserklärung für den Remote-Zugang der Universitäts- und Forschungsbibliothek Erfurt/Gotha

A. Hinweise

1. Bitte lesen Sie die nachfolgenden Erklärungen sorgfältig durch, bevor Sie zustimmen und diesen Dienst nutzen.

2. Die Universität Erfurt behält sich das Recht vor, diese Teilnahmebedingungen ohne vorherige Ankündigung zu ändern und zu ergänzen. In diesem Fall wird Ihnen diese Seite erneut angezeigt und Ihre Zustimmung eingeholt.

3. Sie bestätigen hiermit, dass Sie diesen Dienst nur zu den hier festgelegten Bedingungen und Regeln und unter Beachtung aller anwendbaren Gesetze nutzen.

4. Es steht Ihnen frei, diese Einwilligungserklärungen mit Wirkung für die Zukunft jederzeit beim Universitätsrechen- und Medienzentrum der Universität Erfurt schriftlich zu widerrufen (sofern dem Widerruf keine Rechtsgründe entgegenstehen). Sollten Sie den Dienst nach einem erklärten Widerruf erneut nutzen wollen, müssen Sie den vorliegenden Teilnahmebedingungen in der jeweils gültigen Fassung erneut zustimmen.

B. Beabsichtigte Datenverarbeitung, Zweck

Die Infrastruktur zur Authentifizierung und Autorisierung des Deutschen Forschungsnetzes (DFN-AAI) dient dem Zusammenschluss von Hochschulen und sonstigen Bildungseinrichtungen sowie privater Informationsanbieter. Den Teilnehmern dieser Föderation wird auf Grundlage einer technischen Infrastruktur ermöglicht, den lokal in ihren Einrichtungen registrierten Nutzern Ressourcen der gesamten Föderation kontrolliert zur Verfügung zu stellen, ohne dass die Nutzer an allen Einrichtungen bzw. bei allen Informationsanbietern einen Nutzeraccount haben.

Mit Ihrer Zustimmung zur nachfolgenden Datenschutzerklärung (I.) willigen Sie gegenüber der Universität Erfurt als Zugangsanbieterin der DFN-AAI in die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten nach Maßgabe der nachstehend aufgeführten Bestimmungen sowie unter Einhaltung der geltenden gesetzlichen Bestimmungen des Thüringer Datenschutzgesetzes (ThürDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) ein. Ohne weitere Zustimmung wird die Universität Erfurt Ihre personenbezogenen Daten zu keinem anderem Zweck als in der nachfolgenden Datenschutzerklärung beschrieben ihm Rahmen der DFN-AAI verarbeiten oder nutzen. Die Datenschutz- und Einwilligungserklärung gilt nicht für andere IT-Verfahren der Universität Erfurt.

Sie verpflichten sich, die Nutzungsbedingungen der in der DFN-AAI vertretenen Service Provider zu beachten und einzuhalten. Für Service Provider, deren Inhalte von der Universitäts- und Forschungsbibliothek Erfurt/Gotha lizenziert sind, verpflichte Sie sich darüber hinaus zur Einhaltung der in (III.) aufgeführten Bedingungen.

Es folgen die Datenschutzerklärung (I.), Ihre Einwilligungserklärung (II.) für die Weitergabe personenbezogener Daten und Ihre Verpflichtungserklärung für den Remote-Zugang der Universitäts- und Forschungsbibliothek Erfurt/Gotha (III.).

I. DATENSCHUTZERKLÄRUNG

1. Verantwortliche Stelle im Sinne der geltenden Datenschutzgesetze ist die Universität Erfurt als Zugangsanbieter.

2. Diese Datenschutzerklärung, als Bestandteil der Teilnahmebedingungen, kann jederzeit vom Universitätsrechen- und Medienzentrum der Universität Erfurt bezogen werden.

3. Nach den datenschutzrechtlichen Bestimmungen der §§ 14, 15 TMG, 95, 97 TKG darf der Zugangsanbieter personenbezogene Daten nur erheben und verwenden, soweit dies zum Zweck der Begründung, Durchführung und Abwicklung des Nutzungsverhältnisses betreffend der DFN-AAI und der Angebote der angeschlossenen Service Provider erforderlich ist. Dies erfasst sowohl Bestands- als auch Nutzungsdaten. Bestandsdaten sind beispielsweise Name, Geburtsdatum und Anschrift des Nutzers. Nutzungsdaten sind Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Dienste.

4. Verkehrsdaten werden gemäß den §§ 96, 97, 100 TKG, 15 TMG nur über das Ende der jeweiligen Verbindung hinaus bis zu sechs Monate gespeichert und verarbeitet, soweit diese zum Zweck des Aufbaus weiterer Verbindungen, zur Erkennung und Beseitigung von Störungen und Missbrauch oder zur Entgeltermittlung und Abrechnung der Dienste der DFN-AAI oder der Dienste der Service Provider sowie für die durch andere gesetzliche Vorschriften begründete Zwecke erforderlich sind. Andernfalls werden Verkehrsdaten nach Beendigung der Verbindung unverzüglich gelöscht.

5. Bestandsdaten und Nutzungsdaten werden nach Maßgabe der geltenden gesetzlichen Bestimmungen an die Ermittlungs-, Strafverfolgungs- und Aufsichtsbehörden übermittelt, wenn und soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

6. Beschreibung der Datenverarbeitung in der DFN-AAI

6.1 Die technische Realisierung basiert auf der Software Shibboleth. Das Konzept von Shibboleth sieht vor, dass sich ein Nutzer nur einmal pro Browser-Sitzung bei seiner Heimateinrichtung, z. B. der Hochschule, wo dieser immatrikuliert oder beschäftigt ist, authentifizieren muss, um ortsunabhängig auf Dienste oder lizensierte Inhalte verschiedener Anbieter zugreifen zu können (sog. Single-Sign-On).

6.2 Grundsätzlich werden die Daten eines Nutzers nur an dessen Heimateinrichtung gepflegt, die angebotenen Dienste benötigen nur eigene Nutzerverwaltungen zum Zwecke der Personalisierung und für anwendungsspezifische Daten.

6.3 An der Universität Erfurt (im Folgenden als Heimateinrichtung bezeichnet) als Zugangsanbieter ist ein Shibboleth Identity Provider an das Identity Management der Heimateinrichtung angeschlossen, der das Single-Sign-On ermöglicht. Die Heimateinrichtung versorgt als Identity Provider die an der Infrastruktur angeschlossenen Service Provider mit Daten über Authentifizierungs- und Autorisierungsattribute.

6.4 Bei den Service Providern handelt es sich sowohl um öffentliche Stellen als auch um nicht-öffentliche Stellen in Deutschland und im Ausland.

6.5 Wenn ein Nutzer eine über die Föderation zugängliche Ressource anfordert, leitet der Service Provider den Nutzer an den WAYF-Server der DFN-AAI weiter, wo der Nutzer den Identity Provider seiner Heimateinrichtung auswählt und nachfolgend an den Service Provider zurückgeleitet wird, damit dieser die Information über den zur ausgewählten Heimatorganisation gehörigen Identity Provider zwischenspeichern und für weitere Anfragen verwenden kann. Der Service Provider antwortet mit einem an den Identity Provider gerichteten Authentication Request. Der Identity Provider an der Heimateinrichtung prüft, ob der Nutzer bereits authentifiziert ist (Single-Sign-On). Ist dies nicht der Fall, wird der Nutzer aufgefordert, diese Authentifizierung durch Eingabe von Benutzerkennwort und Passwort vorzunehmen. Daraufhin stellt die Heimateinrichtung einen pseudonymen Handle aus, der den Nutzer für die weiteren Transaktionen identifiziert und leitet den Nutzer mit einem Authentication Response zum Service Provider zurück. Der Service Provider prüft den Inhalt des pseudonymen Handles und erfragt über diesen ggf. bei der Heimatorganisation als Identitätsverwalter weitere Attribute des Nutzers, die für die Autorisierungsentscheidungen relevant sind. Nach der Auswertung dieser Attribute entscheidet der Service Provider über den Zugriff und gibt dem Nutzer ggf. Zugriff auf die gewünschte Ressource.

7. Die im Rahmen der DFN-AAI an der Universität Erfurt übertragbaren personenbezogenen Attribute sind:

- Vorname

- Nachname

- Anzeigename (gebildet aus Vornamen, Nachname und ggf. Titeln)

- E-Mail-Adresse

- Benutzername (Login)

- Benutzername (Login) mit Domainname

- Art der Zugehörigkeit zur Hochschule (z.B. "student" für Studierende; „faculty“ für Mitglied des Lehrkörpers; „staff“ für Mitarbeiter, die nicht zum Lehrkörper gehören; „employee“ für faculty, staff und sonstige Angestellte; „member“ für faculty, staff, student; „affiliate“ für Partner der Organisation wie Gasthörer, Gastdozenten)

- Art der Zugehörigkeit zur Hochschule mit Domainname

Die Übertragung von Attributen erfolgt in Abhängigkeit vom Service Provider. Welche Attribute im konkreten Fall übertragen werden sollen, wird dem Nutzer vor der Übertragung angezeigt (Digitale Visitenkarte), worauf er seine Zustimmung zur Übertragung geben kann. Möchte der Nutzer seine Zustimmung zur Übertragung verweigern, kann der Anmeldevorgang durch Schließen des Browsers beendet werden. Eine Verweigerung der Zustimmung kann folglich zu Funktionseinschränkungen des Angebots der Service Provider führen.

8. Mit Ablauf der Nutzungsberechtigung gemäß der Benutzungsordnung des Universitätsrechen- und Medienzentrums der Universität Erfurt erlischt die Berechtigung zur Nutzung der DFN-AAI an der Universität Erfurt; eine Anmeldung am Identity Provider ist damit nicht mehr möglich. Die Löschung der Bestandsdaten, erfolgt 1 Monat nach Ablauf der vorgenannten Nutzungsberechtigung.

9. Einsatz von Cookies

9.1 Die Service Provider setzen sogenannte Cookies ein, um damit Nutzungsdaten von den anfragenden Nutzern zu erheben, verarbeiten und nutzen. Der Einsatz dieser Cookies dient dazu, das Angebot nutzerfreundlich und nutzerbezogen sowie effektiv und sicher auszugestalten.

9.2 Cookies sind kleine Text-Dateien, die von einem Webserver an den Browser des anfragenden Nutzers gesendet und auf die Festplatte dessen Computers gespeichert werden. Die Informationen in den Cookies dienen dazu, den Nutzer beim nächsten Besuch auf den Webseiten des Service Providers automatisch wiederzuerkennen und die Navigation zu erleichtern. Cookies erlauben es beispielsweise, eine Webseite den Interessen des Nutzers anzupassen oder die beim Einloggen für die Authentifizierung abgefragten Daten zu speichern, um ein vereinfachtes Einloggen zu ermöglichen.

9.3 Bei erfolgreicher Anmeldung wird ein Browser-Cookie lokal auf Ihrem Rechner gespeichert. Damit haben Sie nach der Abmeldung so lange Zugang zu allen an das Shibboleth-System angeschlossenen Webanwendungen, bis Sie den Browser schließen. Zur Abmeldung von allen Anwendungen müssen Sie daher den Browser komplett beenden. Darauf sollten Sie besonders dann achten, wenn auch andere Personen den zur Shibboleth-Anmeldung verwendeten Rechner benutzen.

9.4 Die Webseiten der Service Provider können auch ohne Cookies genutzt werden. So kann der Einsatz von Cookies ausgeschlossen werden, indem der Nutzer seine Browser-Einstellungen entsprechend setzt. Die Ablehnung von Cookies kann allerdings zu Funktionseinschränkungen des Angebots der Service Provider führen.

10. Nutzung öffentlicher Computerarbeitsplätze - Abmeldung/Logout

10.1 Shibboleth ermöglicht zur Zeit leider keine Abmeldung, das heißt Sie können sich nicht aus dem Single-Sign-On-System abmelden. Ihre Sitzung läuft nach einer vorgegebenen Zeit automatisch ab. Deshalb sollten Sie Shibboleth-gesicherte Dienste nicht an öffentlich zugänglichen Rechnern (z.B. in Internet-Cafés) nutzen.

10.2 Lässt sich eine Benutzung an einem öffentlich zugänglichen Rechner nicht vermeiden, löschen Sie unbedingt nach Abschluss der Sitzung ihre privaten Daten (Chronik) im Browser und schließen Sie alle Browser-Fenster!

11. Sie können jederzeit Auskunft über die von der Universität Erfurt ihm Rahmen der DFN-AAI über Sie gespeicherten Daten bekommen. Wenden Sie sich dazu an das Universitätsrechen- und Medienzentrum.

12. Wenn Sie weitergehende Fragen zu den Hinweisen zum Datenschutz und zur Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich direkt an den Datenschutzbeauftragten der Universität Erfurt wenden.

13. Sofern Sie externe Links nutzen, die im Rahmen des Angebots der DFN-AAI angeboten werden, erstreckt sich die vorliegende Datenschutzerklärung nicht auf diese Links. Die Service Provider und Zugangsanbieter haben keinen Einfluss auf die Einhaltung der Datenschutz- und Sicherheitsbestimmungen durch andere Anbieter. Informieren Sie sich deshalb auf den Internetseiten der anderen Anbieter auch über die dort bereitgestellten Datenschutzerklärungen.

II. EINWILLIGUNGSERKLÄRUNG

1. Sie willigen ein, dass die für die Authentifizierung und Autorisierung erforderlichen personenbezogenen Daten (Digitale Visitenkarte) bei Ihrer Anmeldung zu einem angebotenen Dienst von Ihrer Heimateinrichtung an den Service Provider zum Zweck der Autorisierung und Authentifizierung übermittelt werden bzw. vom Service Provider bei Ihrer Heimateinrichtung abgerufen werden.

2. Sie willigen ein, dass nach der durch Sie erteilten Zustimmung zur Weitergabe der Digitalen Visitenkarte die Übermittlung und der Abruf der erforderlichen personenbezogenen Daten zum Zweck der Authentifizierung und Autorisierung an bzw. durch den jeweiligen Service Provider bei jedem weiteren Zugriff automatisch erfolgt.

3. Bei der Anmeldung zu einem Dienst haben Sie die Möglichkeit, Ihre zu einem früheren Zeitpunkt für den Service Provider erteilte Zustimmung zur Weitergabe der Digitalen Visitenkarte zu widerrufen. Sie werden dann erneut über die zu übermittelnden bzw. die abgerufenen Attribute informiert und können einer Weitergabe zustimmen oder diese ablehnen.

4. Sie stimmen hiermit zu, dass Ihre Zustimmung zu den Teilnahmebedingungen der DFN-AAI an der Universität Erfurt und Ihre Zustimmung zur Weitergabe Ihrer personenbezogenen Daten (Digitale Visitenkarte) an einzelne Service Provider vom Universitätsrechen- und Medienzentrum der Universität Erfurt protokolliert wird.

5. Sie willigen ein, dass bei einem von Ihnen veranlassten Zugriff auf die Websites der Service Provider automatisch Informationen durch den von Ihnen verwendeten Internet-Browser übermittelt und dass diese vom jeweiligen Service Provider für eine Zeitdauer von höchstens sechs Monaten in so genannten Logdateien gespeichert werden.

6. Die Universität Erfurt übernimmt keine Verantwortung oder Garantie bezüglich der Dienste und Angebote der Teilnehmer der Föderation oder deren Nutzung. Im Rahmen der allgemein gültigen Gesetzgebung verzichten Sie hiermit auf jegliche Schadensersatz- oder Kostenansprüche im Zusammenhang mit der Nutzung der DFN-AAI an der Universität Erfurt.

III. VERPFLICHTUNGSERKLÄRUNG

1. Mit dem Dienst DFN-AAI erhalten Sie für die Dauer Ihrer Zugehörigkeit zur Universität Erfurt die Möglichkeit, die von der Universitäts- und Forschungsbibliothek Erfurt/Gotha lizenzierten Inhalte auch außerhalb des räumlich festgelegten Campus zu nutzen (Remote-Zugang).

2. Sie verpflichten sich, die Nutzungsbedingungen der Verlage bzw. der Anbieter vor der Nutzung zu lesen und bei der Nutzung einzuhalten.

3. Die Nutzung der lizenzierten Inhalte erfolgt ausschließlich zu Ihrem privaten und / oder wissenschaftlichem Gebrauch. Die kommerzielle Nutzung oder Verwertung ist nicht gestattet.

Ausdrucke und Downloads sind nur in eingeschränktem Umfang erlaubt:

- bibliographische Datensätze inkl. Abstracts in Auswahl

- einzelne Aufsätze aus Zeitschriften

- einzelne Kapitel aus Büchern

4. Das systematische Herunterladen von Daten – auch der Einsatz von Rootingssystemen (Spidern, Crawlern) und Robots – ist nicht gestattet. Auch das Anlegen eines privaten Archivs aus Teilen der genutzten lizenzierten Inhalte ist nicht gestattet.

5. Ebenfalls nicht gestattet sind Modifikationen der lizenzierten Inhalte. Das Urheberrecht verpflichtet Sie zur korrekten Angabe der genutzten elektronischen Quelle.

6. Das Einräumen von Zugängen für Dritte auf die lizenzierten Daten, die gewerbliche Informations-vermittlung sowie die Weitergabe der Inhalte in Form von Ausdrucken oder Downloads an Dritte sind nicht erlaubt.

7. Sie nehmen hiermit zur Kenntnis, dass eine Zuwiderhandlung geahndet und in jedem Fall den dauerhaften Ausschluss von der Nutzung des Remote-Zuganges zur Folge hat. Im Falle von Zuwiderhandlungen stellen Sie die Universität Erfurt ausdrücklich von Schadensersatzansprüchen Dritter frei.