Pre-Auth-Service
Dieses Dokument einen Dienst (Webservice), der vor der eigentlichen Authentifizierung und Autorisierung von Benutzer:innen für den 7of9 Portalverbund abläuft (Pre-Auth-Service). Zielsetzung dieses Webservice ist die Zuordnung und gezielte Weiterleitung von Benutzer:innen zu Portalen und Onlinediensten des 7of9 Portalverbundes. Die eigentliche Authentifizierung erfolgt dann durch den Anbieter (Provider) des Onlinedienstes selbst. Anbieter von Onlinediensten in diesem Kontext sind die UV-Träger der 7of9 Kooperation.
Dokument-ID: 7of9_001
Aktenzeichen: None
Stand: Version 1.0
Verantwortlicher
Lars WaltherDatenschutzbeauftragter der Behörde oder des Unternehmens
Herr Udo Keuter, Europaplatz 2, 72072 Tübingen, udo.keuter@bg-verkehr.de, Telefon: +49 7071 933 3400DSFA nach Art. 35 DSGVO erforderlich: ja
Zeitpunkt der Fertigstellung / Überprüfung
15.05.2025
1.1 An Beschreibung beteiligte Person(en) und ihre Rolle(n)
- Nachname, Vorname, Rolle
- Lars Walther, Projektleiter der SIGUV Web Community, Mitglied des Arbeitskreises Portale der 7of9 Kooperation, Autor der Verarbeitungstätigkeit
- Tobias Gross, BG Phoenics GmbH (Review)
- Ludwig Schreyer, BG Phoenics GmbH (Review)
- Stefan Harms, BGHW (Review)
1.2 Status Aktiviert
1.3 Anmerkungen zum Status
Abstimmung innerhalb des Arbeitskreises
Anlagen
Zu dieser Verfahrensbeschreibung exisitieren derzeit keine Dateiannlagen
Verweise
| Nr. | Verweis | Anmerkung |
|---|
| Wann? | Wer? | Was? |
|---|---|---|
| 2025-07-02 | Lars Walther | Stellungnahme durch DSB |
Zeitpunkt der nächsten routinemäßigen Überprüfung
16.05.2025
5.1 Zwecke
Schaffung eines zentralen Zugangs / Möglichkeit der Anmeldung am 7of9 Portalverbund zur Inanspruchnahme der Online-Dienste der UV-Träger der 7of9 Kooperation.5.2 Rechtsgrundlagen/Befugnis
SGB VII SGB X DSGVO BDSGAuflistung der personenbezogenen Daten
| Nr. | Bezeichnung der Daten |
|---|---|
| 001 | elektronische IDs (E-Mail-Adresse, Unternehmensnummer, o.ä.) - unmittelbar |
| 002 | Kennungen bzw. Passworte - mittelbar |
Auflistung der betroffenen Personen
| Nr. | Betroffene Person |
|---|---|
| 001 | Versicherte Personen |
| 002 | Unternehmerinnen und Unternehmer |
| 003 | verantwortliche Personen in Mitgliedsunternehmen und Einrichtungen |
| 004 | Fachkräfte für Arbeitssicherheit |
| 005 | Betriebsärzte |
| 006 | Steuerberater:innen und Steuerberater |
| 007 | Leistungserbringer |
Auflistung der Empfänger und Anlässe der Offenlegung
| Nr. | Empfänger | Anlass der Offenlegung |
|---|---|---|
| 001 | interne Mitarbeiterinnen und Mitarbeiter | Druck und Versand von IDs und Zugangskennungen |
Auflistung der betreffenden Übermittlungen
| Nr. | Drittland oder internationale Organisation | Geeignete Garantien im Falle einer Übermittlung (Art. 49 Abs. 1 Unterabsatz 2 DSGVO |
|---|
Auflistung der Löschfristen
| Nr. | Löschungsfrist |
|---|---|
| 001 | IDs werden bei Inaktivität des Kontos nach 24 Monaten gelöscht |
TOMS werden im Rahmen der DSFA beschrieben.
13.1 Liegt eine Stellungnahme des Datenschutzbeauftragten vor?
Ja
13.2 Gegebenenfalls nähere Erläuterung
Ich habe mir heute intensiv alle Dokumente angeschaut und keine Rückfragen; das eigentliche Ziel und die getroffenen TOM`s sind für mich nachvollziehbar und von der technischen Seite aus ausreichend und datenschutzkonform für eine datenschutzrechtliche Freigabe. Im Rahmen der DSFA hast Du nur technische Sicherungsmaßnahmen im Hinblick auf die Forderung nach Art. 32 DSGVO getroffen. Ich hätte gerne zumindest noch eine organisatorische Maßnahme im Hinblick auf die Sicherung der Vertraulichkeit. Der "Pre-Auth-Service" als solches ist aus meiner Sicht was die getroffenen Maßnahmen betrifft umfangreich und zielführend im Hinblick auf die Informationssicherheit und den Datenschutz. Ich hätte aber gerne schon in diesem vorgelagerten Anmeldeprozess eine Vorabprüfung im Hinblick auf die Berechtigung und Erforderlichkeit entsprechend Art. 5 Abs. 1 DSGVO; ich verstehe es so das erst bei dem Anmeldeprozess im eigentlichen Fachportal des jeweiligen Trägers die Berechtigung geprüft wird. Wenn jemand "als unberechtigter" erst dann identifiziert wird ist er aber schon als Unberechtigter durch das erste Anmeldeverfahren positiv durch- oder? Ich hätte gerne eine Maßnahme die dies schon abfängt und möglichst vermeidet! Das ist eigentlich neben der Dokumentationspflicht des gesamten Prozesses- Stichwort Benutzerhandbuch" , Protokollierung der Zugriffe –was ja passiert und einem Rechte- und Rollenkonzept der einzige Punkt der aus datenschutzrechtlicher Sicht anzumerken ist. Melde Dich einfach bei mir um diesen Punkt gerne zu klären und dann schreibe ich Dir danach eine kurze formale positive datenschutzrechtliche Stellungnahme. Sehr gut ergänzt; jetzt bin ich zufrieden und gebe gerne aus datenschutzrechtlicher Sicht grünes Licht; die Datenschutzkonformität für den "Pre-Auth Service" wird bejaht.
Status:
AktiviertFortschritt:
- Webcode: 20408211