Zertifikatsservice

Datenschutzbestimmungen

Datenschutzrechtliche Information nach Art. 13 DS-GVO
zur Nutzung des Zertifikatsservice an der Universität Rostock
Durch die Bereitstellung des Zertifikatsservice wird eine effektive unkomplizierte Möglichkeit geschaffen, digitale Zertifikate für Personen, Funktionskonten und Server
  • der Universität Rostock (UR)
  • des Leibniz Institut für Ostseeforschung Warnemünde (IOW)
  • der Universitätsmedizin Rostock (UMR)
bei einem Zertifikatsanbieter (Stand 2025: HARICA) zu beantragen, herunterzuladen und zu verwalten. Dabei fungiert der Zertifikatsservice der UR als Zwischenschicht, die personenbezogene Daten aus den zentralen Datenbeständen der angeschlossenen Einrichtungen zweck- und vertragsgemäß aufbereitet, speichert und nur im notwendige Maß weiterreicht. Die EU-Datenschutz-Grundverordnung (DS-GVO) schreibt nach Art. 13 DS-GVO diesbezüglich Informationspflichten vor, denen wir hiermit nachkommen:

1. Verantwortlichkeit

Universität Rostock
Gesetzlich vertreten durch den/die Rektor/in
Prof. Dr. Elizabeth Prommer
Universitätsplatz 1
18055 Rostock
Tel.: +49 381 498 0
E-Mail: rektor@uni-rostock.de

2. Datenverarbeitende Stelle

Ansprechpartner ist
Herr Dr. Martin Sievers-Luboschik
Universität Rostock
IT- und Medienzentrum der Universität Rostock
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498 5328
E-Mail: ca@uni-rostock.de

3. Datenschutzbeauftragte

Stabsstelle Datenschutz und Informationssicherheit
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498 8333
E-Mail: datenschutzbeauftragte@uni-rostock.de

4. Verarbeitungstätigkeiten

Für die Nutzung des Zertifikatsservice stellt das IT- und Medienzentrum (ITMZ) eine geschütze Webseite zur Verfügung. Der Zugriff auf die Webseite ist nur nach erfolgreicher Authentifikation gegenüber der Heimateinrichtung (UR/IOW/UMR) mit den dortigen Zugangsdaten möglich. Bei der Authentifikation werden die zur Zweckerfüllung notwendigen personenbezogenen Daten aus den Heimateinrichungen an den Zertfikikatsservice der Universtität Rostock übertragen. Das hierfür eingesetzte SAML-Protokoll verwendet eine Ende-zu-Ende-Verschlüsselung, mit der die übertragenen Daten nur vom Zertifikatsservice und der Heimateinrichtung gelesen werden können. Ohne die Authentifikation gegenüber der Heimateinrichtung und Übertragung der personenbezogenen Daten ist die Nutzung des Zertifikatsservice nicht möglich.

Bei der Nutzung des Zertifikatsservice werden erst nach Einwilligung der nutzenden Person die personenbezogenen Daten an den Zertifikatsanbieter übertragen, damit dieser gemäß seinem Zweck die Daten zu digitalen Zertfikaten verarbeiten kann. Die personenbezogenen Daten werden vom Zertifikatsservice aufbereitet und abgespeichert, um nur ein absolutes Minimum an Daten an den Zertifikatsanbieter übertragen zu müssen. Die Verwaltung der Zertifikate und die direkte Kommunikation mit den Zertifikatsinhabern erfolgt nur durch die UR. Der Service wird ausschließlich auf der IT-Infrastruktur der UR betrieben. Das IT-Sicherheitskonzept des ITMZ der UR findet diesbezüglich Anwendung.

5. Kategorien von verarbeiteten personenbezogenen Daten

Mit der Anmeldung am Zertfikatsservice werden folgende Kategorien personenbezogener Daten übermittelt und verwendet: Nutzungsdaten.
Folgende Daten werden bei natürlichen Personen an den Zertfikatsservice übermittelt und gespeichert (*):
  • Nutzungskennzeichen*
  • Vorname und Nachname*
  • E-Mail-Adresse*
  • Heimateinrichtung*
  • Status an der UR (Angestellt: ja/nein)
Folgende Daten werden bei Funktionskonten an den Zertfikatsservice übermittelt und gespeichert (*):
  • Nutzungskennzeichen des Funktionskontos*
  • Name des Funktionskontos*
  • E-Mail-Adresse des Funktionskontos*
  • Vor- und Nachname der verantwortlichen Person*
  • E-Mail-Adresse der verantwortlichen Person*
Für bestimmte Zertifikate ist eine Identitätsprüfung notwendig. Dabei werden folgende Daten erhoben und gespeichert (*):
  • Zeitpunkt der Identitätsprüfung*
  • Kryptographische Prüfsumme über eine Ausweisnummer*
  • Art des Ausweisdokuments*
  • Name und Organisationseinheit der durchführenden Person*
Folgende Daten werden nur bei Zertifikatsausstellung an den Zertifikatsanbieter weitergereicht und in die jeweiligen Zertifikate integriert:
  • Einfache Zertifikate für natürliche Personen und Funkionskonten:
    • E-Mail-Adresse
  • Erweiterte Zertifikate für natürliche Personen:
    • Vorname / Nachname
    • E-Mail-Adresse
  • Zertifikate für Server:
Folgende Daten werden über die ausgestellten Zertifikate gespeichert:
  • Inhalt des Zertifikates
  • Vorname / Nachname des Zertifikatsinhabers
  • E-Mail-Adresse des Zertifikatinhabers
  • Verwaltungsdaten (Ablaufdatum, Seriennummer...)

6. Zweck der Verarbeitung

Digitale Zertifikate dienen der nachweisbaren Zuordnung von Servern und E-Mail-Adressen zu juristischen oder natürlichen Personen. Dabei sind international vorgeschriebene Regelungen (bspw. die S/MIME-Baseline-Requirements) durch den Zertifikatsanbieter und die UR einzuhalten, damit die ausgestellten Zertifikate bestimmungsgemäß genutzt und anerkannt werden können. So ist etwa zu jedem Zertifikat der Zertifikatsinhaber nachzuweisen. Die hierfür notwendigen Personendaten (Vorname, Nachname, E-Mail-Adresse) müssen zum Teil über die Zertifikatsgültigkeit hinaus aufbewahrt werden. Desweiteren werden die Personendaten (Vorname, Nachname, E-Mail-Adresse) vom Zertifikatsservice für eine angepasste Kommunikation mit dem Zertifikatsinhaber benötigt.
Die UR ist gegenüber dem Zertifikatsanbieter verpflichtet, bei erweiterten Zertfikaten den Identifikationsprozess zu dokumentieren. Zu diesem Zweck wird das Datum der Identitätsprüfung, eine kryptographische Prüfsumme einer Ausweisnummer sowie die Art des Ausweisdokumentes im Zertifikatsservice analog und digital hinterlegt. Die originäre Ausweisnummer kann aus der Prüfsumme nicht ermittelt werden.
Die Verarbeitung des Mitarbeiterstatus an der UR wird für die Vergabe von Berechtigungen innerhalb des Zertifikatsservice genutzt.

7. Rechtsgrundlage der Verarbeitung

Die Rechtsgrundlagen für Verarbeitung und Speicherung der Nutzungsdaten und der Systemdaten von Universitätsangehörigen sind
  • § 7 Abs. 1 , 5 u. 7 Nutzungsordnung des IT- und Medienzentrums vom 15.12.2010 sowie §5 und § 6 Abs. 3 Datenschutzsatzung Universität Rostock
  • § 7 Abs. 1 Nr. 5, 7 LHG M-V i.V.m. Art. 6 Abs. 1 lit. e) DS-GVO
Die Rechtsgrundlage für die Verarbeitung und Speicherung der Nutzungsdaten von externen Nutzern (IOW, UMR) ist Art. 6 Abs. 1 lit. a) DS-GVO in Verbindung mit deren zuvor erteilter Einwilligung.

8. Empfänger der personenbezogenen Daten

Der Empfänger der personenbezogenen Daten ist der Zertifikatsservice selbst und der aktuelle Zertifikatsanbieter. Dabei werden folgende Daten nach jeweiliger Einwilligung an den Zertifikatsanbieter weitergeleitet und dort gespeichert:
  • E-Mail-Adresse (bei einfachen und erweiterten Zertifikaten)
  • Vorname / Nachname (bei erweiterten Zertifikaten)
Weitere Empfänger der Daten sind die für den Zertifikatsservice zuständigen Administratoren des ITMZ, die den ordungsgemäßen Betrieb gemäß ITMZ-Sicherheitskonzept gewährleisten und ausgewählte Mitarbeitende der UR / IOW / UMR, die berechtigt sind, Identitätsprüfungen vorzunehmen. Dieser Personenkreis kann folgende Daten einsehen:
  • Vorname / Nachname von Nutzenden des Zertifikatsservice
  • E-Mail-Adresse von Nutzenden des Zertifikatsservice
  • Daten der Identitätsprüfung (Prüfende Person, Datum...)
  • Daten zu ausgestellten Zertifikaten (Ablaufdatum, Inhalt...)
Sofern Behörden oder Gerichte bzw. andere staatliche Ermittlungsorgane Anfragen an die UR richten und die UR dazu verpflichtet ist, diesen Folgen zu leisten, können die oben genannten Daten an diese weitergeben werden.

9. Dauer der Speicherung

Der Zertifikatsservice speichert personenbezogene Daten und reicht diese bei Bedarf an den Zertifikatsanbieter weiter. Die Speicherung der Daten und die Speicherdauer beim Zertifikatsanbieter unterliegt den Datenschutzregelungen des aktuellen Zertifikatsanbieters und sind durch die international geltenden S/MIME-Baseline-Requirements festgelegt. Die gespeicherten personenbezogenen Daten im Zertifikatsservice werden nach den gleichen Regeln aufbewahrt. Mit dem Ablauf des letzten Zertifikates einer Person oder dem Ausscheiden aus der UR werden nur noch analoge Ausdrucke für die dann gelten Fristen aufbewahrt (Stand 2025: Serverzertifikate 2 Jahre nach Ablauf, E-Mail-Zertifikate 2 Jahre nach Ablauf, Identifikationsdokumentation 7 Jahre nach Ablauf).
Personenbezogene digitale Daten werden im Zertifikatsservice
  • 30 Tage nach Löschung eines Kontos an der UR oder
  • 30 Tage nach Ablauf des letzten Zertifikates einer Person oder
  • 30 Tage nach Freischaltung des Zertifikatsservice, ohne dass ein Zertifikat ausgestellt wurde
gelöscht. Nach dieser Löschung sind die personenbezogenen Daten nur noch in analoger Form einsehbar.

10. Folgen der Nichtangabe, Widerspruchs- bzw. Beseitigungsmöglichkeit

Die Erfassung der personenbezogenen Daten ist für die Bereitstellung von Zertifikaten zwingend erforderlich. Personen, die gegen eine Verarbeitung ihrer Daten im oben beschriebenen Sinne sind, können keine Zertfikate über die Universität beziehen. Personenbezogene Daten werden ohne ausdrückliche Zustimmung der nutzenden Person nicht an den aktuellen Zertifikatsanbieter oder Dritte weitergegeben.
Wird der Verarbeitung widersprochen, so werden alle bisher ausgestellten Zertfikate gesperrt. Zudem werden die digitalen Daten im Zertifikatsservice gelöscht. Danach gelten die Regelungen aus Punkt 9.)

11. Ihre Rechte

Ihnen stehen folgende Rechte gegenüber der Universität Rostock zu:
  1. das Recht, auf Auskunft, ob und welche Daten von Ihnen verarbeitet werden, Art. 15 DS-GVO,
  2. das Recht, die Berichtigung der Sie betreffenden Daten zu verlangen, Art. 16 DS-GVO,
  3. das Recht, auf Löschung der Sie betreffenden Daten nach Maßgabe des Art. 17 DS-GVO,
  4. das Recht, nach Maßgabe des Art. 18 DS-GVO eine Einschränkung der Verarbeitung der Daten zu verlangen,
  5. das Recht, auf Widerspruch gegen eine künftige Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DS-GVO
  6. das Recht, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen, wobei durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird, Art. 7 Abs. 3 DS-GVO
  7. das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit, Art. 20 DS-GVO)
Sofern Sie Ihr Recht auf Widerspruch gegen die Verarbeitung Ihrer Sie betreffenden personenbezogenen Daten wahrnehmen wollen, bitte wir Sie um Mitteilung der Gründe, die sich aus Ihrer besonderen Situation ergeben, damit wir eine Interessenabwägung nach Art. 21 Abs. 1 Satz 2 DS-GVO vornehmen können. Zur Durchsetzung Ihrer oben genannten Rechte wenden Sie sich an folgende Person:
Dr. Martin Sievers-Luboschik
Universität Rostock
IT- und Medienzentrum der Universität Rostock
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498 5328
E-Mail: ca@uni-rostock.de
Ferner haben Sie das Recht, bei der zuständigen Aufsichtsbehörde für den Datenschutz eine Beschwerde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a
19055 Schwerin
© Universität Rostock 2025 | Impressum | Datenschutz
© Uni-Rostock 2025 | Impr. | Datenschutz