Zertifikatsservice

Datenschutzbestimmungen

Datenschutzrechtliche Information nach Art. 13 DS-GVO
zur Nutzung des Zertifikatsservice an der Universität Rostock
Durch die Bereitstellung des Zertifikatsservice wird eine effektive unkomplizierte Möglichkeit geschaffen, digitale Zertifikate für Personen, Funktionskonten und Server
  • der Universität Rostock (UR)
  • des Leibniz Institut für Ostseeforschung Warnemünde (IOW)
  • der Universitätsmedizin Rostock (UMR)
beim Zertifikatsanbieter Sectigo Inc. (SECTIGO) zu beantragen, herunterzuladen und zu verwalten. Dabei fungiert der Zertifikatsservice der UR als Zwischenschicht, die personenbezogene Daten aus den zentralen Datenbeständen der angeschlossenen Einrichtungen zweck- und vertragsgemäß aufbereitet und an SECTIGO weiterreicht. Die EU-Datenschutz-Grundverordnung (DS-GVO) schreibt nach Art. 13 DS-GVO diesbezüglich Informationspflichten vor, denen wir hiermit nachkommen:

1. Verantwortlichkeit

Universität Rostock
Gesetzlich vertreten durch den/die Rektor/in
Prof. Dr. Elizabeth Prommer
Universitätsplatz 1
18055 Rostock
Tel.: +49 381 498-0
E-Mail: rektor@uni-rostock.de

2. Datenverarbeitende Stelle

Ansprechpartner ist Herr Dr. Martin Sievers-Luboschik
Universität Rostock
Abteilung „Systeme“ / IT- und Medienzentrum der Universität Rostock
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498-5328
E-Mail: ca@uni-rostock.de

3. Datenschutzbeauftragte

Stabsstelle Datenschutz und Informationssicherheit
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498-8333
E-Mail: datenschutzbeauftragte@uni-rostock.de

4. Verarbeitungstätigkeiten

Für die Nutzung des Zertifikatsservice stellt das IT- und Medienzentrum (ITMZ) eine geschütze Webseite zur Verfügung. Der Zugriff auf die Webseite ist nur nach erfolgreicher Authentifikation gegenüber der Heimateinrichtung (UR/IOW/UMR) mit den dortigen Zugangsdaten möglich. Bei der Authentifikation werden die zur Zweckerfüllung notwendigen personenbezogenen Daten aus den Heimateinrichungen an den Zertfikikatsservice der Universtität Rostock übertragen. Das hierfür eingesetzte SAML-Protokoll verwendet eine Ende-zu-Ende-Verschlüsselung, mit der die Daten nur vom Zertifikatsservice und der Heimateinrichtung gelesen werden können. Ohne die Authentifikation gegenüber der Heimateinrichtung und Übertragung der personenbezogenen Daten ist die Nutzung des Zertifikatsservice nicht möglich.

Bei der Nutzung des Zertifikatsservice werden erst nach Einwilligung der nutzenden Person die personenbezogenen Daten an SECTIGO übertragen, damit SECTIGO die Daten zu digitalen Zertfikaten verarbeiten kann, ausgestellte Zertifikate verwalten kann, und gegenüber Dritten bei Bedarf seinen Nachweispflichten nachkommen kann (Identitätsnachweis). Die personenbezogenen Daten werden vom Zertifiktasservice entsprechend aufbereitet (bspw. Umschreibung von Umlauten 'ä' -> 'ae'). Der Zertifikatsservice speichert persönliche Daten nur kurzfristig zu Benachrichtigungszwecken. Der Service wird ausschließlich auf der IT-Infrastruktur der UR betrieben. Das IT-Sicherheitskonzept des ITMZ der UR findet diesbezüglich Anwendung.

5. Kategorien von verarbeiteten personenbezogenen Daten

Mit der Anmeldung am Zertfikatsservice werden folgende Kategorien personenbezogener Daten übermittelt und verwendet: Nutzungsdaten.
Folgende Daten werden an den Zertfikatsservice übermittelt:
  • Vorname / Nachname
  • E-Mail-Adresse
  • Falls vorhanden: Mitarbeiterstatus an der UR
  • Falls vorhanden: Datum der letzten Identitätsprüfung im ITMZ
Folgende Daten werden durch Mitarbeitende des Zertfikatsservice bei einer Identitätsprüfung erhoben:
  • Datum der Identitätsprüfung
  • Kryptographische Prüfsumme über eine Ausweisnummer
  • Art des Ausweisdokuments
Folgende Daten werden bis zur Ausstellung des Zertifikates gespeichert:
  • Vorname / Nachname
  • E-Mail-Adresse
Folgende Daten werden an SECTIGO weitergereicht:
  • Vorname / Nachname
  • E-Mail-Adresse
  • Nach Identitätsprüfung: Datum der Identitätsprüfung
  • Nach Identitätsprüfung: Kryptographische Prüfsumme über eine Ausweisnummer
  • Nach Identitätsprüfung: Art des Ausweisdokumentes

6. Zweck der Verarbeitung

Digitale Zertifikate dienen der nachweisbaren Zuordnung von Servern und E-Mail-Adressen zu juristischen oder natürlichen Personen. Dabei sind international vorgeschriebene Regelungen durch SECTIGO und die UR einzuhalten. Aus diesem Grund ist SECTIGO verpflichtet den Vornamen, den Nachnamen und die E-Mail-Adresse von Personen mit Zertfikaten zu speichern. Ohne diese Speicherung ist die Ausstellung von Zertifikaten nicht möglich. Die genannten Daten werden vom Zertfikatsservice der UR bereitgestellt.
Die UR ist gegenüber SECTIGO verpflichtet, bei erweiterten Zertfikaten den Identifikationsprozess zu dokumentieren. Zu dieserm Zweck wird das Datum der Identitätsprüfung und eine kryptographische Prüfsumme einer Ausweisnummer sowie die Art des Ausweisdokumentes bei SECTIGO hinterlegt. Die originäre Ausweisnummer kann aus der Prüfsumme nicht ermittelt werden.
Die Verarbeitung des Mitarbeiterstatus an der UR wird für die Vergabe von Berechtigungen innerhalb des Zertifikatsservice genutzt.

7. Rechtsgrundlage der Verarbeitung

Die Rechtsgrundlagen für Verarbeitung und Speicherung der Nutzungsdaten und der Systemdaten von Universitätsangehörigen sind
  • § 7 Abs. 1 , 5 u. 7 Nutzungsordnung des IT- und Medienzentrums vom 15.12.2010 sowie §5 und § 6 Abs. 3 Datenschutzsatzung Universität Rostock
  • § 7 Abs. 1 Nr. 5, 7 LHG M-V i.V.m. Art. 6 Abs. 1 lit. e) DS-GVO
Die Rechtsgrundlage für die Verarbeitung und Speicherung der Nutzungsdaten von externen Nutzern (IOW, UMR) ist Art. 6 Abs. 1 lit. a) DS-GVO in Verbindung mit deren zuvor erteilter Einwilligung.

8. Empfänger der personenbezogenen Daten

Der Empfänger der personenbezogenen Daten des Zertifikatsservice ist SECTIGO. Dabei werden folgende Daten nach Einwilligung an SECTIGO weitergeleitet und dort gespeichert:
  • Vorname / Nachname
  • E-Mail-Adresse
  • Nach Identitätsprüfung: Datum der Identitätsprüfung
  • Nach Identitätsprüfung: Kryptographische Prüfsumme über eine Ausweisnummer
  • Nach Identitätsprüfung: Art des Ausweisdokumentes
Weitere Empfänger der Daten sind die für den Zertifikatsservice zuständigen Administratoren des ITMZ, die den ordungsgemäßen Betrieb gemäß ITMZ-Sicherheitskonzept gewährleisten und ausgewählte Mitarbeitende der UR / IOW / UMR, die berechtigt sind, Identitätsprüfungen vorzunehmen. Dieser Personenkreis kann folgende Daten einsehen:
  • Vorname / Nachname
  • E-Mail-Adresse
  • Datum der Einwilligung
  • Information zu ausgestellten Zertifikaten (Ausstellungsdatum, Ablaufdatum, Inhalt)
  • Nach Identitätsprüfung: Datum der Identitätsprüfung
  • Nach Identitätsprüfung: Kryptographische Prüfsumme über eine Ausweisnummer
  • Nach Identitätsprüfung: Art des Ausweisdokumentes
Sofern Behörden oder Gerichte bzw. andere staatliche Ermittlungsorgane Anfragen an die Universität richten und die Universität dazu verpflichtet ist, diesen Folgen zu leisten, können die oben genannten Daten an diese weitergeben werden.

9. Dauer der Speicherung

Der Zertifikatsservice reicht personenbezogene Daten an SECTIGO weiter. Die Speicherung der Daten und die Speicherdauer bei SECTIGO unterliegt den dortigen Datenschutzregelungen und sind teilweise durch die international geltenden SMIME-Baseline-Requirements festgelegt. Der Zertifikatsservice speichert nur den Vornamen, den Nachnamen, die E-Mail-Adresse zur Benachrichtigung der antragsstellenden Person, bis deren Zertifikatsantrag durch SECTIGO bearbeitet wurde. Mit der Benachrichtiung werden die genannten Daten im Zertifikatsservice gelöscht. Da die Bearbeitungszeit von SECTIGO abhängt, kann die Aufbewahrungszeit leicht variieren. In der Regel beträgt diese jedoch nicht länger als 15 Minuten.
Der Zertifikatsservice hat keinen Einfluss auf die Speicherfristen bei SECTIGO, markiert personbezogene Daten zur Löschung aber
  • 30 Tage nach Löschung eines Kontos an der UR oder
  • 30 Tage nach Ablauf des letzten Zertifikates einer Person oder
  • 30 Tage nach Freischaltung des Zertifikatsservice, ohne dass ein Zertifikat ausgestellt wurde.
Nach der Löschmarkierung sind die personenbezogene Daten für den unter 8.) benannten Personenkreis nicht mehr einsehbar.

10. Folgen der Nichtangabe, Widerspruchs- bzw. Beseitigungsmöglichkeit

Die Erfassung der personenbezogenen Daten ist für die Bereitstellung von Zertifikaten durch SECTIGO zwingend erforderlich. Personen, die gegen eine Verarbeitung ihrer Daten im oben beschriebenen Sinne sind, können keine Zertfikate über die Universität beziehen. Personenbezogene Daten werden ohne ausdrückliche Zustimmung der nutzenden Person nicht an SECTIGO oder Dritte weitergegeben.
Wird der Verarbeitung widersprochen, so werden alle bisher ausgestellten Zertfikate gesperrt. Zudem wird eine Löschmarkierung gesetzt. Danach gelten die Regelungen aus Punkt 9.)

11. Ihre Rechte

Ihnen stehen folgende Rechte gegenüber der Universität Rostock zu:
  1. das Recht, auf Auskunft, ob und welche Daten von Ihnen verarbeitet werden, Art. 15 DS-GVO,
  2. das Recht, die Berichtigung der Sie betreffenden Daten zu verlangen, Art. 16 DS-GVO,
  3. das Recht, auf Löschung der Sie betreffenden Daten nach Maßgabe des Art. 17 DS-GVO,
  4. das Recht, nach Maßgabe des Art. 18 DS-GVO eine Einschränkung der Verarbeitung der Daten zu verlangen,
  5. das Recht, auf Widerspruch gegen eine künftige Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DS-GVO
  6. das Recht, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen, wobei durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird, Art. 7 Abs. 3 DS-GVO
  7. das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit, Art. 20 DS-GVO)
Sofern Sie Ihr Recht auf Widerspruch gegen die Verarbeitung Ihrer Sie betreffenden personenbezogenen Daten wahrnehmen wollen, bitte wir Sie um Mitteilung der Gründe, die sich aus Ihrer besonderen Situation ergeben, damit wir eine Interessenabwägung nach Art. 21 Abs. 1 Satz 2 DS-GVO vornehmen können. Zur Durchsetzung Ihrer oben genannten Rechte wenden Sie sich an folgende Person:
Dr. Martin Sievers-Luboschik
Universität Rostock
Abteilung „Systeme“ / IT- und Medienzentrum der Universität Rostock
Albert-Einstein-Straße 22
18059 Rostock
Tel.: +49 381 498-5328
E-Mail: ca@uni-rostock.de
Ferner haben Sie das Recht, bei der zuständigen Aufsichtsbehörde für den Datenschutz eine Beschwerde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a
19055 Schwerin
© Universität Rostock 2024 | Impressum | Datenschutz
© Uni-Rostock 2024 | Impr. | Datenschutz