Datenschutz - Rollen und Verantwortlichkeiten in der DFN-AAI

(zurück zu den FAQ Datenschutz)

Bei der DFN-AAI handelt es sich um eine sog. Mesh Federation, d.h. es existiert kein zentraler Knoten („Hub“), über den alle Informationen fließen. Der DFN-Verein hat auch keinerlei Zugriff auf die technischen Systeme der an der DFN-AAI teilnehmenden Organisationen, also der Dienstanbieter (Betreiber eines Service-Providers) und Heimateinrichtungen (Betreiber eines Identity-Providers). Bei der DFN-AAI handelt es sich also nicht um eine Infrastruktur, der eine gemeinsame technische Plattform zugrunde liegt. Als Föderationsbetreiber organisiert der DFN-Verein ausschließlich die Vertrauensbasis und nicht die Verkehrswege. Auf technischer Ebene stellt der DFN-Verein hierzu sog. Metadaten zur Verfügung, also eine Art technisches Adressbuch, in dem z.B. Zertifikate zur Signaturvalidierung und Verschlüsselung sowie sog. Binding URLs für die Kommunikation zwischen Identity- und Service-Providern hinterlegt sind. Diese Metadaten stellt der DFN-Verein zentral zum Download bereit. Um sicherzustellen, dass diese Daten nicht von unberechtigten Dritten manipuliert sind, werden diese seitens des DFN-Vereins regelmäßig neu generiert und signiert. Siehe hierzu auch die Einleitung.

Der Austausch personenbezogener Daten in der AAI erfolgt über den Browser der Endnutzer:innen direkt zwischen dem Identity-Provider (IdP) der Heimateinrichtung und dem vom jeweiligen Dienstanbieter betriebenen Service-Provider (SP). Sowohl die jeweilige Heimateinrichtung als Betreiber eines IdP als auch der Dienstanbieter sind voneinander unabhängige verantwortliche Stellen im Sinne der DSGVO, sofern es sich nicht um dieselbe juristische Person handelt. Das folgende Schaubild soll diesen Sachverhalt verdeutlichen:

Wie oben dargestellt verarbeitet der DFN-Verein in seiner Rolle als Föderationsbetreiber keine Daten von Endnnutzer:innen und agiert insofern auch nicht als Verantwortlicher im Sinne der DSGVO. Auch erteilt der DFN-Verein Teilnehmern an der DFN-AAI grundsätzlich keinen Auftrag zur Verarbeitung personenbezogener Daten. Daher werden die Teilnehmer per Vertrag darauf hingewiesen, dass sowohl lizenzrechtliche als auch datenschutzrechtliche Fragen bilateral zwischen Dienstanbieter und Heimateinrichtung geregelt werden müssen. Hierbei ergeben sich in Einzelfällen Szenarien, in denen ein Dienstanbieter als Auftragsverarbeiter für eine Heimateinrichtung agiert. Der DFN-Verein ist in solchen Fällen in keiner Weise vertraglich involviert.