Informationen über die Verarbeitung
personenbezogener Daten gemäß Artikel 12 Absatz 1 Satz 1
Datenschutz-Grundverordnung (DSGVO)

Art. 12, Abs. 1, S. 1 der EU-Datenschutz-Grundverordnung (DSGVO), regelt: "Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Art. 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...)."

Dieser Verpflichtung kommt der

als Verantwortlicher mit der nachfolgenden Information nach.

Empfänger

Dieser Dienst wird durch die DFN-CERT Services GmbH, Hamburg im Rahmen einer Auftragsverarbeitung (gemäß Art. 28 DSGVO) erbracht.

Gegenüber den im Benutzerzertifikat eingetragenen OCSP-Respondern wird eine Überprüfung des Zertifikats bei jedem Login durchgeführt. Die Daten verarbeitet der Empfänger zu eigenen Zwecken und kann dabei erkennen, welche Zertifikatsseriennummer sich bei welchem Host anmelden möchte, und diese Informationen für seine Zwecke verarbeiten.

Hinweise für die Nutzung der Webseite zu Informationszwecken

Das Teilnehmerportal bietet Teilnehmern am DFN die Möglichkeit sich zu den vertraglichen Aspekten Ihrer DFN-Internet-Dienste zu informieren.

Über die Nutzung des Portals werden Log-Dateien angelegt. Die Log-Dateien beinhalten folgende Informationen:

• verkürzte IP-Adresse (bei IPv4 werden die letzten beiden Bytes durch .0 und bei IPv6 die letzten 10 Bytes durch :: . ersetzt)
• Datum
• Uhrzeit
• URL und übertragende Datenmenge
• Statuscode
• zugreifender Webbrowser (sofern vom Client übermittelt)
• Referrer

Informationen zur Registrierung

Um Informationen zu den vertraglichen Aspekten Ihrer DFN-Internet-Dienste, die Kontaktinformationen aller Ihrer gemeldeten Ansprechpersonen sowie Informationen zur Implementierung Ihrer Dienste zu erhalten, ist ein Benutzerkonto mit eingetragenem Zertifikat im Portal erforderlich. Dazu werden folgende Daten verarbeitet:

• Benutzername, E-Mailadresse
• Zertifikatseintrag mit folgenden Angaben: Aktiviert, PEM-kodiertes Zertifikat, Fingerabdruck, Ablaufdatum, Seriennummer, Subject und Issuer.

Gegenüber den im Benutzerzertifikat eingetragenen OCSP-Respondern wird eine Überprüfung des Zertifikats bei jedem Login durchgeführt. Die Daten verarbeitet der Empfänger zu eigenen Zwecken und kann dabei erkennen, welche Zertifikatsseriennummer sich bei welchem Host anmelden möchte, und diese Informationen für seine Zwecke verarbeiten.

Die Zertifikatsseriennummer wird gegenüber den im Zertifikat eingetragenen OCSP-Respondern offenbart, um den Status des Zertifikats ("gültig" vs. "gesperrt") zu überprüfen. Diese Daten (Zertifikatsseriennummer, Zeitstempel und Host (IP-Adresse, ggf. Hostname)) verarbeitet der Herausgeber des Zertifikats für eigene Zwecke. Die Verbindungssicherheit ergibt sich aus der angegebenen URL auf die der DFN-Verein keinen Einfluss nehmen kann. Ggf. werden Zertifikatsseriennummer und Host im Klartext übermittelt. Wenden Sie sich an den Herausgeber Ihres Zertifikats, wenn Sie mehr Informationen benötigen. Der DFN-Verein verarbeitet die Daten zur Gültigkeit des Zertifikats auf Grundlage eines berechtigten Interesses zur Sicherstellung des ordnungsgemäßen Betriebs des Dienstes.

Mitarbeitende des DFN-Vereins registrieren und löschen autorisierte Nutzende, sobald Nutzende dies beauftragen oder ihre Autorisierung durch die Einrichtung endet. Der für die jeweilige Teilnehmereinrichtung initial hinterlegte Nutzende ist der Hauptnutzende für den jeweils zugewiesenen Bereich im Portal.

Mit einer erfolgreichen Anmeldung am Portal werden zusätzlich zu den oben genannten Log-Daten folgende Daten verarbeitet:

• aktualisierter Zeitstempel letzter Login Benutzername

Die maximale Aufbewahrungsfrist dieser Log-Daten beträgt 7 Tage.

Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe f) DSGVO. Die Protokollierung der Daten dient zur Erkennung und Beseitigung von Störungen und Missbräuchen. Sie ist für die Gewährleistung der Netz- und Informationssicherheit notwendig und damit ein berechtigtes Interesse des DFN-Vereins. Zugriffsmöglichkeiten auf vorhandene Log-Daten haben Mitarbeitende im DFN-Verein und der DFN-CERT Services GmbH, die jeweils mit der Erbringung des Dienstes betraut sind.

Informationen für die Nutzung des Portals durch registrierte Nutzende

Innerhalb der Portalanwendung werden dem registrierten Hauptnutzenden folgende ihm zugewiesene Daten angezeigt:

• Name, E-Mailadresse, Anrede inkl. Zuordnung der Vertrags- und Dienst- spezifischer Informationen, Telefonnummer, Faxnummer

Datenquelle ist das „Globale Informations-System“ (GIS) des DFN-Vereins. Rechtgrundlage für die Verarbeitung und Übermittlung ist Art. 6 Abs. 1 Buchstabe b) DSGVO in Verbindung mit der für das GIS vorliegenden Rechtsgrundlage.

Für registrierte Hauptbenutzende besteht die Möglichkeit für den ihm zugewiesenen Portalbereich, weitere der Teilnehmereinrichtung angehöhrende Nutzende hinzufügen. Das Löschen dieser Nutzenden kann durch den Hauptbenutzer erfolgen.

Zugriffsmöglichkeiten auf die im Portal angezeigten Daten haben Mitarbeitende im DFN- Verein, die mit der Erbringung des Dienstes und den vertraglichen Aspekten Ihrer DFN-Internet-Dienste betraut sind. Weiterhin haben Mitarbeitende der DFN-CERT Services GmbH, die mit der Erbringung des Dienstes betraut sind, Zugriffsmöglichkeiten auf die im Portal angezeigten Daten.

Anträge für neue Dienstvereinbarungen

Das Portal bietet die Möglichkeit für registrierte und nicht registrierte Benutzer Anträge für Dienstvereinbarungen zu erzeugen. Für nicht registrierte Benutzer ist hierzu die Angabe einer E-Mailadresse erforderlich. Rechtgrundlage ist Art. 6 Abs. 1 Buchstabe f) DSGVO. Die E-Mailadresse dient zur Kommunikation mit dem Antragstellenden. Sie ist für den Antragsprozess notwendig und damit ein berechtigtes Interesse des DFN-Vereins.

Sobald alle erforderlichen Daten durch den Benutzer erfasst wurden, können diese per E- Mail an die zuständigen Mitarbeitenden des DFN-Vereins gesendet werden.

Wenn ein Formular nicht abgeschlossen und abgeschickt wird, dann wird dies im aktuellen Zustand vorübergehend zur späteren Bearbeitung zwischengespeichert.

Zum Schutz gegen eine unbefugte Kenntnisnahme der vom Antragstellenden ausgefüllten Formulardaten wird eine URL mit zufälliger Zahlen- und Zeichenkombination generiert und dem Antragstellenden per E-Mail zur späteren Bearbeitung, bzw. zum Abschluss des Antragsprozesses zugesandt.

Die Formulardaten können durch den Benutzer selbst gelöscht werden. Eine automatische Löschung der Formulardaten sowie die E-Mailadresse des nicht registrierten Benutzers erfolgt 7 Tage nach der letzten Aktualisierung des Formulars.

Zugriffsmöglichkeiten auf die Formulardaten haben Mitarbeitende der DFN-CERT Services GmbH, die mit der Erbringung des Dienstes betraut sind.

Hinweise zum Umgang mit Cookies

Das Portal verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Wir setzen Cookies ein, um das Portal nutzerfreundlicher und sicherer zu gestalten. Folgende notwendige Cookies kommen zum Einsatz:

Sitzungscookie

Dieses Cookie wird beim Login mit Zertifikat gesetzt, um den Benutzer bei weiteren Requests zu identifizieren. Dieser Cookie wird nach schließen des Browsers automatisch gelöscht.

CSRF-Token

Es handelt sich hier um einen technischen Cookie für die CSRF (Cross-Site-Request-Forgery) Protection. Dieser Cookie wird nur im Client gespeichert und ist nicht mit einem Nutzer oder einer Person verbunden.

Sprachcookie

Für nicht eingeloggte Nutzer wird die eingestellte Sprache in einem Cookie gesetzt. Dieses Cookie wird nach Schließen des Browsers automatisch gelöscht.

Rechte betroffener Personen nach der EU-Datenschutz-Grundverordnung

Art. 15 DSGVO regelt das Auskunftsrecht von Betroffenen und gibt Ihnen die Möglichkeit, vom DFN-Verein eine Bestätigung zu verlangen, ob Ihre personenbezogenen Daten von uns verarbeitet werden. Sofern Ihre personenbezogenen Daten bei uns vorliegen, können Sie weiterhin Information zum Verarbeitungszweck, zu deren Herkunft und Empfängern beim DFN-Verein, der Speicherdauer und Details (insbesondere Datenkategorien) zu den von Ihnen vorliegenden Daten verlangen.

Art. 16 DSGVO eröffnet das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen.

Art. 17 Abs. 1 DSGVO statuiert - mit bestimmten Ausnahmen - das Recht, die Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO regelt ein „Recht auf Vergessenwerden“, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat.

In bestimmten Fällen kann nach Art. 18 DSGVO auch die Einschränkung der Verarbeitung verlangt werden – zum Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gibt unter bestimmten Voraussetzungen einen Anspruch, eine Kopie von personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten.

Nach Art. 21 Abs. 1 DSGVO hat der Betroffene aus bestimmten Gründen ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten, die auf Grundlage des Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt.

Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Kontaktdaten der Datenschutzbeauftragten im DFN-Verein

Stand der Datenschutzhinweise

Die ständige Entwicklung der Rahmenbedingungen macht von Zeit zu Zeit Anpassungen unserer Datenschutzhinweise notwendig. Wir behalten uns vor, jederzeit entsprechende Änderungen vorzunehmen.

Stand: Oktober 2021