Anbindung eines Shibboleth Service Providers
Als Betreiber eines datenempfangenden Systems sind Sie durch die DSGVO verpflichtet, ein Verzeichnis der Verarbeitungstätigkeit zu erstellen. Basierend auf diesem Dokument wird eine Attributfreigabe für Ihren ServiceProvider erstellt.
Verzeichnis der Verarbeitungstätigkeit
Eine Vorlage und Dokumentation hierzu finden Sie im Intranet:
Erstellen Sie einen ersten Entwurf und eröffnen Sie beim ServiceDesk ein Ticket, an den Sie das Verzeichnis anhängen. Dieses wird daraufhin vom Identity Management geprüft und eine entsprechende Freigabe wird konfiguriert. Wir empfehlen, bei der Stabsstelle für Datenschutz eine entsprechende Stellungnahme einzuholen.
Hinweise zum Ausfüllen des Verzeichnisses:
Aus Sicht des Identity Managements sind vor allem die folgenden Angaben wichtig. Für alle weiteren Felder können Sie sich für eine Beratung gerne an die Stabsstelle für Datenschutz wenden.
- Bitte geben Sie die Entity ID des Service Providers bei der Benennnung der Verarbeitungstätigkeit an.
- Die für das System verantwortliche Person ist zu vermerken unter "Angaben zur verantwortlichen Einrichtung/Organisationseinheit". "Angaben zum ggf. gemeinsam mit diesem Verantwortlichen" entfällt, wenn die Verantwortung für das System bei einer Organisationseinheit liegt.
- Tragen Sie die aus Ihrer Sicht erforderlichen Attribute mit den entsprechenden Bezeichnungen und auch die von Ihnen in Ihrem Service erhobenen Daten in das Feld "Beschreibung der Kategorien von personenbezogenen Daten" im Dokument ein. Verwenden Sie dabei bitte die Attribut-Bezeichnung aus der Spalte "technische Bezeichnung" aus unserer Dokumentation zur Erklärung der Attribute.
Beispiel für die Dokumentation angefragter Shibboleth-Attribute:
Auswahl möglicher Verarbeitungstätigkeiten in Organisationseinheiten:
- Unterzeichnung: Das VVT ist von der Einrichtungsleitung der jeweils verantwortlichen Einrichtung zu unterschreiben.
Lesen Sie hierzu:
