[dk] Fwd: Fwd: Re: IDP für HTW/OPAL

pietsch at stura.htw-dresden.de pietsch at stura.htw-dresden.de
Do Jun 5 17:03:07 CEST 2014 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo ihr fleißigen StuRa-Aktiven,

ich habe mich gestern mit Herrn Westfeld (Datenschutzbeauftragter HTW)
zusammengesetzt und alle Unklarheiten geklärt.

Bei noch offenen Fragen euerseits könnt ihr euch gerne an mich wenden.

vg patu


- -------- Original-Nachricht --------
Betreff: Fwd: Re: IDP für HTW/OPAL
Datum: Wed, 04 Jun 2014 12:14:38 +0200
Von: Andreas Westfeld <andreas.westfeld at htw-dresden.de>
An: Patrick Pietsch <pietsch at stura.htw-dresden.de>

Lieber Patrick,

da du dich gerade mit dem Thema auseinandergesetzt hast, wollte ich dir
diese Hintergrundinformation nicht vorenthalten. Herr Lunze
administriert unseren an der TU Dresden gehosteten IdP. Herr Syckor, ein
ehemaliger TU-Diplomand von mir, bildet neben dem
Datenschutzbeauftragten der TU die dortige Stabsstelle
Informationssicherheit.

Viele Grüße

Andreas


- -------- Original Message --------
Subject: Re: IDP für HTW/OPAL
Date: Wed, 04 Jun 2014 11:43:54 +0200
From: Andreas Westfeld <andreas.westfeld at htw-dresden.de>
To: Martin Lunze <martin.lunze at tu-dresden.de>

On 04.06.2014 09:57, Martin Lunze wrote:
> Laut Aussage von Herrn Reichelt wurde doch bereits vor gut einem
> halben Jahr alles von Ihnen abgesegnet. Seit dem hat sich an dem
> Dienst nichts geändert. Dürfte ich erfahren, wie es nun dazu kommt,
> dass diese Fragen aufkommen? Immerhin ist der Dienst ja aktiv und
> wird wohl auch bereits seit gestern genutzt, wenn ich die
> Statistiken betrachte.
> 
> Sollten solche Aspekte nicht vor Live-Schaltung geklärt werden? 
> Gern können wir auch gemeinsam mit unserer Stabstelle für 
> Informationssicherheit darüber reden.

Sehr geehrter Herr Lunze,

vielen Dank für Ihre Anmerkungen. Ich habe Herrn Syckor am 6. März 2013
auf die Unwirksamkeit der Einwilligung in der vorliegenden Umsetzung
hingewiesen. Auch weiß Kollege Reichelt von diesem und weiteren Mängeln,
die ich ihm gegenüber zuletzt am 29. Januar 2014 im Zusammenhang mit
Campus Sachsen geäußert habe. Ich habe bislang keine
Datenschutzkonformität des IdP feststellen können und eine solche auch
nicht bestätigt. Einen Testzugang zur OPAL-Änderung habe ich erst
gestern erhalten und habe auf die offenen Mängel in diesem Zusammenhang
erneut hingewiesen. Selbstverständlich sollten solche Aspekte vor der
Live-Schaltung geklärt werden. Leider bin ich bei der Klärung von
anderen Menschen abhängig. Über ein gemeinsames Gespräch mit der
Stabsstelle für Informationssicherheit würde ich mich freuen.
Schließlich sind TU-Studenten ebenfalls betroffen.

>> Eine Einwilligung ist nur dann wirksam, wenn auch über den 
>> Übermittlungszweck unterrichtet wird. Auch sollte die
>> Einwilligung bewusst erfolgen, also von der Formulierung her
>> lauten: "Ich willige ein, dass die folgenden Daten an (Empfänger
>> einsetzen) zum Zwecke der (Zweck einsetzen) übermittelt werden."
>> Zudem muss auf das Widerrufsrecht hingewiesen werden und der
>> Nutzer den Inhalt der Einwilligung jederzeit abrufen können (wie
>> ist das technisch angedacht?). Wie erfolgt die Protokollierung
>> der Einwilligung? (Rechtsquellen § 4 Abs. 3 bis 5 SächsDSG, § 13
>> Abs. 1 bis 3 TMG)
> 
> Der Ablauf bei der Nutzung von Shibboleth sieht wie folgt aus:
> 
> - der Nutzer greift auf einen geschützten Dienst zu - er wird zum
> Zweck der Authentifizierung an den IdP weitergeleitet - die
> Login-Seite des IdP wird mit folgenden Informationen angezeigt: -
> der Dienst an dem er sich versucht einzuloggen - die Hinweise zum
> Datenschutz (von Ihnen selbst so festgelegt) - Nutzer loggt sich
> ein - nach erfolgter Authentifizierung wird eine weitere Seite des
> IdP mit folgenden Infos angezeigt - Hinweis an wen Daten
> übermittelt werden - Liste von Attributen welche übertragen werden 
> - erst nach Bestätigung des Nutzers (Einwilligung) werden die
> Attribute an den SP übertragen - anschließend gelangt der Nutzer
> zurück zur eigentlich aufgeforderten Seite
> 
> Somit wird er vor Nutzung des Dienstes auf die
> Datenschutzrechtlichen Aspekte hingewiesen und erst nach seiner
> Einwilligung und zusätzlichen Bestätigung zur Übertragung von
> personenbezogenen Daten werden diese an den gewünschten Dienst
> übertragen. Daher denke ich, dass alle Bedenken abgedeckt sein
> sollten.
> 

Das ist leider nicht der Fall. Eine Einwilligung ist nicht ohne

1. bewusstes Handeln (der Link "Datenschutzerklärung" muss nicht besucht
werden, die Datenschutzerklärung kann ohnehin nicht als Teil der
Einwilligung des Betroffenen betrachtet werden),

2. Protokollierung (dazu haben Sie leider nichts geschrieben),

3. jederzeitige Abrufmöglichkeit des Inhalts der Einwilligung (habe ich
nicht gefunden),

4. Hinweis auf die Widerrufsmöglichkeit der Einwilligung sowie

5. die Zwecke der dienstspezifischen Verarbeitung (Verarbeitung bei
OPAL: Erhebung; bei anderen Anbietern: Übermittlung)

wirksam. Im Falle der Übermittlung wäre streng genommen zwischen der
Einwilligung als Erhebungsgrundlage für den Empfänger und der
Übermittlungsgrundlage für den Anbieter des IdP zu unterscheiden.

>> 3. Die Liste von zu übertragenden Attributen enthält mir
>> unverständliche Begriffe wie "terms of study" (heißt das nicht
>> Studienordnung?) bzw. "matriculation nr". Können Sie diese bitte
>> durch klarere Bezeichnungen ersetzen ("Academic term"/"Study
>> term" für Fachsemester bzw. "Student number" für Matrikelnummer).
>> Es wäre hilfreich, wenn mal jemand die Übersetzungen sprachlich
>> überprüft.
> 
> Hinter "Terms of Study" versteckt sich das Fachsemester. Ein
> Großteil dieser Bezeichnungen bzw. Übersetzungen sind von
> Shibboleth bzw. der DFN-AAI so vorgegeben. Diese können Sie gern
> beim DFN nachlesen.

Nur interessehalber: Wo kann ich den Begriff "terms of study" beim
DFN-Verein finden? (Ich hatte vorab danach ergebnislos recherchiert.)
Ich denke, dass der englische Begriff falsch assoziiert ist, bin aber
auch kein Muttersprachler.

Da es sich nicht um die tatsächlichen Attributbezeichnungen des
Protokolls handelt, nahm ich an, dass der Text irgendwie änderbar sein
müsste.

>> 5. Als "matriculation nr" wird eine merkwürdig lange
>> Zeichenkette angezeigt 
>> (urn:mace:terena.org:schac:personalUniqueCode:de:htw-dresden.de:Matrikelnummer:4711).
>>
>>
>> 
Es ist nicht erforderlich, die technischen Details des Protokolls
>> offenzulegen. Wünschenswert wäre hier eine allgemeinverständliche
>> Form: Vielleicht lässt sich die Nummer am Ende einfach
>> ausschneiden?
> 
> Die Art und Weise wie sich die Matrikelnummer zusammensetzt ist vom
> DFN so vorgeschrieben. Dies ist ein allgemeingültiger Standard auf
> den man sich bei der Verwendung von Shibboleth geeinigt hat. Daher
> sollte dieser nicht verändert werden.

Wie ich schon schrieb: Es geht nicht um eine Offenlegung von
Protokolldetails. Das Protokoll soll auch nicht verändert werden.
Lediglich die Unterrichtung des Nutzers muss allgemeinverständlich sein.
Das ist bei dieser Zeichenkette nicht der Fall. Die Präsentation für den
Nutzer muss angepasst werden.

>> 6. Die Organisationseinheit sollte mit einem Großbuchstaben
>> beginnend angezeigt werden.
> 
> Die angezeigten Attribut-Werte werden zum größten Teil direkt aus
> Ihrem LDAP-Server der HTW übernommen. Wenn Schreibfehler innerhalb
> dieser vorhanden sind, so müssen diese auf Ihrer Seite behoben
> werden.

Auch hier geht es wiederum nur um die Darstellung für den Betroffenen,
nicht um die Änderung eines internen Werts.

>> 7. Die Bezeichnung "Studiumsinformation" sollte durch
>> "Studiengruppe" ersetzt werden. Die Bindestriche sollten durch
>> Schrägstriche ersetzt werden.
> 
> Ein Attribut "Studiengruppe" kann ich unter den vom DFN
> vorgegebenen Attributen nicht finden. Hinter "Studiumsinformation"
> verbirgt sich das Attribut "dfnEduPersonFeaturesOfStudy". Dieses
> sollte laut Beschreibung eine Zusammenfassung aller 
> Studienfachrelevanten Informationen bzw. Studiengangspezifischen 
> Informationen enthalten.
> 
> Auch hier entnehme ich den Wert des Attributes lediglich wieder
> Ihrem LDAP. Änderungen sollten daher wieder bei Ihnen selbst
> getätigt werden.

Auch hier geht es wiederum nur um die Darstellung für den Betroffenen,
nicht um die Änderung eines internen Wertes. Wenn Sie in freier Wildbahn
als Angabe für Ihr Geschlecht "1" finden würden, könnten Sie
wahrscheinlich auch nicht ohne Nachfrage beurteilen, ob die Angabe
zutreffend ist. Es ist jedoch eine Voraussetzung für die Wirksamkeit
einer Einwilligung, dass die Allgemeinheit die Angabe versteht. Das ist
in der Rohfassung der Attribute nicht immer der Fall.

Mit freundlichen Grüßen

Andreas Westfeld

- -- 
Andreas Westfeld, 0432 01CC F511 9E2B 0B57 5993 0B22 98F8 4AD8 EEEA
HTW Dresden, Fakultät Informatik/Mathematik
Informatikrecht/Informationssicherheit, Zimmer Z337
Tel. +49-351-462-3372, https://www.htw-dresden.de/~westfeld






-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTkIaqAAoJEDKNm8DkO2T50TMH/RpmpAM6WViGoX38QyBw83ER
ybqMqiER7rF3Py8w2FX2Uws3OO0R1RG+ylkxSOpPlHeTfEALj1SaNQkZ0XZiJif9
YpDTgK7HfRPayQGpr4g6TW+NyUAxarDs+067NGpRK4DNDWlzrpvdDC/r8el51XGI
xGzB4dNSyPiq4UzPFsjuvMCLYjtKWPXwkNheFnzyGqfxPDpAlpnM1Eya7EbR8b/k
QmHaUrUxE6HgfV32YnD8+kXxcxB3/mtMKdBudeHBXnNS3tEx2a3INdtsvwgympLD
daB7P0MIFUS/HqTnflMJoCYw5UIjEASIpvqSWCGEfwDpp9cldgb20fy6sUoyuwI=
=WUy6
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste dk