Datenschutzerklärung
Version 2026-06-19
Über diese Datenschutzerklärung
Geltungsbereich
Diese Datenschutzerklärung gilt für die Webanwendung FID.Compass. Sie informiert über die Verarbeitung
personenbezogener Daten bei Registrierung, Anmeldung, Nutzung geschützter Bereiche, Pflege von
FID-Informationen, Suche, Export, Feedback, Benachrichtigungen, KI-gestützter Anreicherung und
administrativen Tätigkeiten.
Verarbeitungstätigkeit
Bezeichnung der Verarbeitungstätigkeit: FID.Compass. Der Dienst wird dauerhaft
betrieben.
Version
Version 2026-06-19. Bei wesentlichen Änderungen kann vor der
weiteren Nutzung eine erneute Bestätigung erforderlich werden.
Hinweis zur Bestätigung
Die Bestätigung dieser Erklärung dokumentiert, dass Sie die Datenschutzinformationen erhalten haben.
Soweit einzelne freiwillige Angaben oder Funktionen eine Einwilligung erfordern, kann diese jederzeit
mit Wirkung für die Zukunft widerrufen werden.
Verantwortlicher und Fachkontakt
Verantwortliche Stelle
Johann Wolfgang Goethe-Universität Frankfurt am Main
Theodor-W.-Adorno-Platz 1
60323 Frankfurt am Main
Theodor-W.-Adorno-Platz 1
60323 Frankfurt am Main
Postanschrift
Goethe-Universität Frankfurt am Main
60629 Frankfurt
60629 Frankfurt
Zentraler Kontakt
Fachabteilung
Universitätsbibliothek Johann Christian Senckenberg, UB - IT Services (ITS)
Ansprechpartner
Datenschutzbeauftragte
Kontakt
Johann Wolfgang Goethe-Universität Frankfurt am Main
Die behördlichen Datenschutzbeauftragten
Theodor-W.-Adorno-Platz 1
60323 Frankfurt am Main
E-Mail: dsb@uni-frankfurt.de
Internet: uni-frankfurt.de/47859992/datenschutzbeauftragte
Die behördlichen Datenschutzbeauftragten
Theodor-W.-Adorno-Platz 1
60323 Frankfurt am Main
E-Mail: dsb@uni-frankfurt.de
Internet: uni-frankfurt.de/47859992/datenschutzbeauftragte
Zwecke der Verarbeitung
Dienstzweck
FID.Compass ist ein Dienst für Bibliotheken in Deutschland, die Fachinformationsdienste betreiben.
Die Anwendung dokumentiert angebotene Dienste, verwendete Technologien, Datenformate und Informationen
zu Lizenzverträgen einzelner FID.
Nutzung der Daten
Die erfassten Informationen unterstützen FID-Anbieter dabei, Technologien zur Nachnutzung zu
identifizieren. Gremien des FID-Netzwerks können Technologiecluster und technologische Trends erkennen.
Die Informationen können außerdem zur Erfüllung von Berichtspflichten gegenüber der DFG genutzt werden.
Datenfluss
Personenbezogene Daten entstehen insbesondere bei Registrierung und Anmeldung, beim Erstellen eines
Fachinformationsdienstes, beim Erfassen verwendeter Technologien und Lizenzen, bei der Suche nach
Technologien oder Lizenzen sowie beim Export eigener FID-Informationen.
Rechtsgrundlagen
Grundlagen
Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. c DSGVO, § 3 Abs. 1 HDSIG, § 23 Abs. 1 HDSIG
und § 55 HessHG. Soweit die Verarbeitung zur Wahrnehmung öffentlicher Aufgaben der Universität und
Universitätsbibliothek erforderlich ist, kommt außerdem Art. 6 Abs. 1 lit. e DSGVO in Betracht.
Freiwillige Angaben
Soweit freiwillige Angaben, Benachrichtigungseinstellungen oder optionale Funktionen auf einer
Einwilligung beruhen, ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage.
Betroffene Personen und Datenkategorien
Personengruppen
Betroffen sind Beschäftigte der Universitätsbibliothek sowie Beschäftigte der Organisationen, die
Fachinformationsdienste betreiben. Der erwartete Nutzerkreis liegt bei ungefähr 100 Personen.
Kerndaten
Verarbeitet werden insbesondere Name, E-Mail-Adresse, Organisation und Shibboleth- bzw.
DFN-AAI-Kennung. Je nach Nutzung kommen Benutzername, Rolle, FID-Zuordnung, Statusinformationen,
technische Zeitstempel und protokollierte Verwaltungsaktionen hinzu.
Besondere Kategorien
Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden nicht gezielt erhoben.
Nutzerinnen und Nutzer sollen solche Angaben nicht in Freitextfelder, Kommentare oder FID-Inhalte
eintragen.
Verarbeitungsvorgänge
Die Verarbeitung umfasst, soweit für die genannten Zwecke erforderlich, das Erheben, Erfassen, Ordnen,
Speichern, Auslesen, Abfragen, Verwenden, Anpassen, Verknüpfen, Bereitstellen, Einschränken, Löschen
und Vernichten personenbezogener Daten.
Bereitstellung und Server-Logdaten
Technische Zugriffsdaten
Beim Aufruf von FID.Compass werden technisch erforderliche Zugriffsdaten verarbeitet. Dazu können
IP-Adresse, Datum und Uhrzeit, aufgerufene URL, HTTP-Status, übertragene Datenmenge, Referrer,
User-Agent sowie weitergeleitete Client-IP gehören.
Zweck
Die Verarbeitung dient der Auslieferung der Anwendung, Fehleranalyse, IT-Sicherheit, Angriffserkennung
und Missbrauchsprävention.
Speicherdauer
Server-Logdaten werden grundsätzlich nach 7 Tagen gelöscht. Bei Sicherheitsvorfällen werden sie
spätestens nach 90 Tagen gelöscht, sofern keine zwingenden gesetzlichen oder institutionellen
Aufbewahrungspflichten entgegenstehen.
Cookies und lokaler Browserspeicher
Technisch notwendige Cookies
FID.Compass verwendet technisch notwendige Cookies für Anmeldung, Sitzungsverwaltung und
Formularschutz. Dazu gehören insbesondere das Django-Session-Cookie, das CSRF-Cookie und bei
DFN-AAI-Anmeldung das SAML-Session-Cookie
saml_session.
Cookie-Konfiguration
Die Anwendung verwendet
SameSite=Lax für Django-Session- und CSRF-Cookies; das
Session-Cookie ist HTTP-only. In der Produktionskonfiguration werden sicherheitsrelevante Cookies nur
über HTTPS übertragen. Die Sessiondauer beträgt 8 Stunden.
LocalStorage
Im Browser können UI-Zustände gespeichert werden, zum Beispiel die zuletzt angezeigte
Benachrichtigungs-ID, Ansichtsauswahlen oder zuletzt verwendete Identity Provider im
DFN-AAI-Auswahldialog. Diese Einträge dienen ausschließlich der Bedienbarkeit der Anwendung.
Kein Tracking
FID.Compass setzt keine Marketing-Cookies und keine browserseitige Webanalyse wie Google Analytics,
Matomo Cloud, Plausible oder vergleichbare Tracking-Dienste ein.
Anmeldung über DFN-AAI / SAML
Ablauf
Für die Anmeldung kann FID.Compass an einen Identity Provider der DFN-AAI weiterleiten. Nach
erfolgreicher Authentifizierung übermittelt der Identity Provider eine SAML-Antwort an FID.Compass.
FID.Compass verarbeitet außerdem SAML-Metadaten der DFN-AAI, um die Anmeldung technisch abzusichern.
Übernommene Attribute
Dauerhaft in das Benutzerkonto übernommen werden nur Attribute, die die Heimateinrichtung tatsächlich
übermittelt und die FID.Compass auswertet: ein Anmelde-Identifier (
pairwise-id oder
subject-id; ersatzweise ältere Identifier wie eduPersonTargetedID,
eduPersonUniqueId oder eduPersonPrincipalName), Benutzername, E-Mail-Adresse,
Vorname, Nachname und Institution (schacHomeOrganization oder o). Zusätzlich
speichert FID.Compass den verwendeten Identifier-Typ, den DFN-AAI-Status und den Zeitpunkt des letzten
DFN-AAI-Logins.
Nicht dauerhaft gespeichert
Attribute, die nur in der SAML-Antwort für den Anmeldevorgang oder die technische Prüfung vorkommen,
werden nicht als Profilfelder gespeichert. Dazu gehören derzeit insbesondere
displayName,
eduPersonAssurance und schacUserStatus; der Anzeigename wird aus Vor- und
Nachname gebildet.
Affiliation/Entitlements
Falls die Heimateinrichtung
eduPersonScopedAffiliation oder
eduPersonAffiliation übermittelt, wird dies als Affiliation am Konto gespeichert und im
Onboarding bzw. in der Administration als Kontext angezeigt. Falls eduPersonEntitlement
übermittelt wird, wird es als Liste am Konto gespeichert. Diese Werte steuern derzeit keine automatische
Freigabe; Rollen und Zugriffsrechte werden in FID.Compass separat beantragt und durch berechtigte
Personen vergeben.
Zweck
Diese Daten werden zur sicheren Authentifizierung, Wiedererkennung des Benutzerkontos, Zuordnung zur
Heimateinrichtung und Vorbereitung des Freigabeprozesses verwendet. Eine automatische Rechtevergabe aus
DFN-AAI-Affiliations oder Entitlements findet derzeit nicht statt.
Benutzerkonto, Rollen und Einstellungen
Kontodaten
Im Benutzerkonto werden Benutzername, Name, E-Mail-Adresse, Organisation bzw. Institution,
DFN-AAI-Identifier, Identifier-Typ, gegebenenfalls Affiliation und Entitlements, DFN-AAI-Status,
Rollenstatus und technische Zeitstempel verarbeitet.
Onboarding
Vor dem Zugang zu geschützten Bereichen kann ein Onboarding erforderlich sein. Dabei werden der
gewünschte FID, die gewünschte Rolle, optionale Nachrichten, Angaben zu neuen FIDs,
Bearbeitungsstatus und Entscheidungsdaten verarbeitet.
Rollen und Freigaben
Berechtigte Administratorinnen, Administratoren und FID-Verantwortliche können Anträge prüfen, Rollen
vergeben, Nutzerkonten sperren oder entsperren und Sichtbarkeitseinstellungen verwalten.
Optionale Angaben
Nutzerinnen und Nutzer können optionale Profilangaben wie Telefonnummer, Kurzbiografie oder Avatar
hinterlegen. Verarbeitet werden außerdem Anzeige-, Sprach-, Zeitzonen-, Theme- und
Benachrichtigungseinstellungen.
Audit-Logs
Protokolliert werden autorisierungsrelevante Vorgänge wie Zugriffsanträge, Genehmigungen und
Ablehnungen, Rollenvergabe, Rollenänderung, Sperrung oder Entsperrung von Nutzerkonten,
Sichtbarkeitsänderungen und die Zuordnung neuer FIDs. Gespeichert werden Zeitpunkt, beteiligte
Nutzerkonten, betroffener FID, Aktion, optionale Änderungswerte sowie, soweit im Request vorhanden,
IP-Adresse und User-Agent. Diese Protokolle dienen Nachvollziehbarkeit, Zugriffssicherheit und
Missbrauchsschutz.
Protokolleinsicht
Einsicht in Audit-, Login-, Zustimmungs- und Moderationsprotokolle erhalten nur berechtigte
Plattformadministratorinnen, Plattformadministratoren, Superuser und technische Administratorinnen oder
Administratoren, soweit dies für Betrieb, Support, Sicherheitsprüfung oder Rechteverwaltung
erforderlich ist. Nutzerinnen und Nutzer können eigene gespeicherte Aktivitäten über den Datenexport
einsehen.
Bestätigung der Datenschutzerklärung
Zweck
Nach erfolgreicher Anmeldung prüft FID.Compass serverseitig, ob für das Benutzerkonto die aktuelle
Version dieser Datenschutzerklärung bestätigt wurde. Ohne Bestätigung werden geschützte Bereiche nicht
freigegeben.
Gespeicherte Daten
Gespeichert werden Benutzerzuordnung, Version der Datenschutzerklärung, Zeitpunkt der Bestätigung,
Quelle des Vorgangs, IP-Adresse und User-Agent des Bestätigungsrequests.
FID-Daten, Inhalte und Datenbanken
Fachdaten
FID.Compass verarbeitet vor allem institutionelle und fachliche Daten zu Fachinformationsdiensten,
Technologien, Diensten, Lizenzinformationen, Datenformaten, Schnittstellen, Workflows und Beziehungen.
Diese Daten sind in der Regel nicht personenbezogen. Personenbezug kann entstehen, wenn entsprechende
Angaben in Freitextfelder eingetragen werden.
Datenbanken
PostgreSQL speichert insbesondere Benutzerkonten, Sessions, Datenschutzbestätigungen, Rollen,
Freigaben, Feedbackdaten, Aktivitäten, Benachrichtigungen und Auditdaten. Neo4j speichert FID-,
Technologie-, Dienst-, Lizenz- und Beziehungsdaten einschließlich dort eingetragener Inhaltsdaten.
Hintergrundjobs
Redis und Celery können für Hintergrundverarbeitung eingesetzt werden. Dabei werden technische
Jobdaten, referenzierte Objektkennungen und Verarbeitungsstatus verarbeitet.
KI-gestützte Anreicherung
Funktion
FID.Compass nutzt eine serverseitige KI-Anreicherung für neu angelegte, als benutzerdefiniert
gekennzeichnete Einträge in dafür freigegebenen Themenbereichen. Die Funktion kann fehlende
Beschreibungen und, je nach Eintragstyp, offizielle URLs ergänzen.
Übermittelte Daten
Der Server sendet hierzu einen Prompt mit Eintragsname und Eintragstyp an den konfigurierten
LiteLLM-Endpunkt, derzeit
https://litellm.s.studiumdigitale.uni-frankfurt.de/chat/completions. Zusätzlich werden
technisch erforderliche API-Daten wie Modellkennung, Request-Metadaten und Authentifizierungsheader
verarbeitet. Vollständige Benutzerprofile werden nicht an den KI-Endpunkt gesendet.
Personenbezug
Personenbezug kann entstehen, wenn Nutzerinnen oder Nutzer personenbezogene Angaben als Eintragsnamen,
Beschreibungen oder sonstige Inhaltsdaten speichern. Solche personenbezogenen Angaben sollen nicht für
KI-anzureichernde Fachdaten verwendet werden, soweit sie für den jeweiligen Zweck nicht erforderlich
sind.
Gespeicherte KI-Metadaten
Zur Nachvollziehbarkeit werden am jeweiligen Eintrag unter anderem Status der KI-Anreicherung,
Zeitpunkte der Anfrage und Verarbeitung, Fehlermeldungen, Anzahl der Versuche und die verwendete
Modellkennung gespeichert.
Keine Art.-22-Entscheidung
Die KI-Anreicherung trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich
erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO. KI-generierte Inhalte können durch
berechtigte Personen überprüft und geändert werden.
Feedback, Kommentare und Benachrichtigungen
Feedbackdaten
Im Feedbacksystem werden Titel, Beschreibung, Kategorie, Priorität, Sichtbarkeit, Kommentare, Votes,
Moderationsstatus, Antworttexte sowie Name und E-Mail-Adresse der eingebenden Person verarbeitet.
Erwähnungen
In Kommentaren können andere Benutzerkonten mit
@benutzername erwähnt werden. Erwähnte
Personen erhalten eine In-App-Benachrichtigung und, sofern E-Mail-Benachrichtigungen aktiviert sind,
eine E-Mail mit Bezug auf den Feedback-Eintrag und den Kommentar.
E-Mail-Versand
Feedback-, Erwähnungs- und Freigabebenachrichtigungen werden über den institutionell konfigurierten
SMTP-Server versendet. Dabei können Empfängeradresse, Name, Betreff, Nachrichtentext, betroffene URL,
Feedback-Metadaten und technische Mail-Header verarbeitet werden.
Missbrauchsschutz
Für Feedback-Eingaben kann eine einfache Rate-Limit-Prüfung anhand der IP-Adresse im Arbeitsspeicher
verwendet werden.
Uploads und Bildquellen
Lokale Medien
Avatare, FID-Bilder und Technologie-Logos können lokal gespeichert und innerhalb der Anwendung
angezeigt werden. Zulässige Bildtypen sind JPEG, PNG und WebP; die konfigurierte maximale Uploadgröße
beträgt 10 MB.
Externe Bild-URLs
Wenn in Datensätzen externe Bild- oder Logo-URLs hinterlegt werden, kann der Browser diese Bilder
direkt beim jeweiligen Anbieter abrufen. Dabei können IP-Adresse, User-Agent, Referrer und Zeitpunkt
des Abrufs an den Anbieter übertragen werden.
Empfänger und technische Ressourcen
Interne Empfänger
Zugriff auf personenbezogene Daten erhalten nur berechtigte Stellen und Personen, soweit dies für
Betrieb, Administration, Rollenvergabe, FID-Betreuung, Support oder Sicherheitsprüfung erforderlich
ist. Dazu gehören insbesondere UB - IT Services, zuständige Administratorinnen und Administratoren,
berechtigte FID-Verantwortliche sowie technisch eingebundene HRZ-Betriebsstrukturen.
Technisch eingebundene Stellen
Bei DFN-AAI-Anmeldungen sind die jeweilige Heimateinrichtung, DFN-AAI-Metadatenquellen und FID.Compass
an der Verarbeitung beteiligt. Für E-Mail-Benachrichtigungen wird die institutionelle
Mail-Infrastruktur genutzt. Für KI-Anreicherung wird der konfigurierte LiteLLM-Endpunkt genutzt.
Lokal ausgelieferte Ressourcen
Layout, Icons, Diagramme und einzelne UI-Funktionen werden über statische Dateien der eigenen
FID.Compass-Instanz bereitgestellt. Dazu gehören insbesondere Bootstrap, Bootstrap Icons, Font Awesome,
Chart.js, jQuery und Select2. Diese Bibliotheken werden nicht von externen CDN-Anbietern nachgeladen;
beim Laden dieser Dateien erfolgt daher kein browserseitiger Abruf bei einem CDN-Drittanbieter.
Abgrenzung
Unabhängig davon können externe Abrufe entstehen, wenn in FID-, Technologie- oder Mediendatensätzen
ausdrücklich externe Bild- oder Logo-URLs gespeichert sind. Diese Abrufe betreffen nicht die oben
genannten Bibliotheken und werden im Abschnitt „Uploads und Bildquellen“ beschrieben.
Keine fachliche Weitergabe
Eine fachliche Weitergabe von Konto-, Rollen- oder FID-Inhaltsdaten an Dritte zu eigenen Zwecken findet
nicht statt. Soweit technische Dienste wie DFN-AAI, institutionelle Mail-Infrastruktur oder der
konfigurierte LiteLLM-Endpunkt eingebunden sind, beschränkt sich die Verarbeitung auf die für den
jeweiligen Dienst erforderlichen Daten.
Aktivitäten, Benachrichtigungen und Datenexport
Aktivitäten
Die Anwendung protokolliert konto- und sicherheitsrelevante Aktivitäten wie Einstellungsänderungen und
Datenexporte. Dabei können IP-Adresse und User-Agent gespeichert werden. Für die persönliche
„Zuletzt besucht“-Anzeige werden, sofern die Aktivitätsanzeige im Konto aktiviert ist, außerdem
ausgewählte FID-, Technologie- und Dienstbesuche mit Objektbezug und Zeitstempel gespeichert; hierbei
werden in der Anwendungsdatenbank keine IP-Adresse und kein User-Agent gespeichert. Ein allgemeiner
Seitenverlauf, Suchanfragen oder vollständige URL-Aufrufe werden nicht als Aktivitätsprotokoll geführt.
Benachrichtigungen
In-App-Benachrichtigungen enthalten Titel, Nachricht, Typ, Quelle, Ziel-URL, Objektbezug, Lesestatus
und Zeitstempel.
Datenexport
Im Benutzerbereich kann ein JSON-Export mit profilbezogenen Daten, Einstellungen, Rollenzuweisungen,
Zugriffsanträgen, Aktivitäten, Benachrichtigungen und gespeicherten Datenschutzbestätigungen erstellt
werden.
Speicherdauer und Löschung
Grundsatz
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die genannten Zwecke,
Zugriffskontrolle, Betriebssicherheit, Nachvollziehbarkeit, Bearbeitung von Anfragen oder gesetzliche
und institutionelle Pflichten erforderlich ist.
Interne Regelung
Die folgenden Fristen bilden das interne Löschkonzept für FID.Compass. Die technische Bereinigung von
Protokolltabellen erfolgt über eine administrative Löschroutine; ergänzend erfolgt Bereinigung im
Rahmen der administrativen Pflege, der Antragsbearbeitung oder des jeweiligen Betriebsprozesses.
Kontodaten
Name, E-Mail-Adresse, Organisation, Shibboleth- bzw. DFN-AAI-Kennung sowie gegebenenfalls gespeicherte
Affiliation- und Entitlement-Werte werden gelöscht, wenn sie nicht mehr erforderlich sind, eine
berechtigte Löschanforderung vorliegt oder das Konto in der Regel 12 Monate inaktiv war, sofern keine
Aufbewahrungspflichten entgegenstehen.
Freigabeanträge
Offene Freigabeanträge werden bis zur Entscheidung gespeichert. Entschiedene Freigabeanträge werden
24 Monate nach der Entscheidung gelöscht.
Rollen und Audit-Logs
Rollen-, Freigabe-, Nachweis- und Protokolldaten werden so lange gespeichert, wie dies für Sicherheit,
Nachvollziehbarkeit und Bearbeitung des jeweiligen Vorgangs erforderlich ist. Audit-Logs zu
autorisierungsrelevanten Vorgängen werden grundsätzlich 24 Monate gespeichert.
Aktivitäts- und Login-Protokolle
Besuchsaktivitäten für die persönliche „Zuletzt besucht“-Anzeige werden spätestens nach 90 Tagen
gelöscht. Konto- und sicherheitsrelevante Aktivitäten wie Einstellungsänderungen oder Datenexporte
sowie die Login-Historie werden spätestens nach 180 Tagen gelöscht. Server-Logdaten bleiben hiervon
unberührt und richten sich nach der Frist im Abschnitt „Bereitstellung und Server-Logdaten“.
Benachrichtigungen
Gelesene In-App-Benachrichtigungen werden nach 90 Tagen gelöscht. Ungelesene Benachrichtigungen werden
spätestens nach 12 Monaten gelöscht.
Feedback
Feedbackdaten, Kommentare, Uploads und fachliche Inhalte werden gelöscht, wenn sie für den jeweiligen
Zweck nicht mehr erforderlich sind und keine entgegenstehenden Gründe bestehen.
Uploads
Avatare werden bei Austausch, Kontolöschung oder berechtigter Löschanfrage entfernt. FID-Bilder,
Technologie-Logos und sonstige Medien werden gelöscht, wenn der zugehörige Datensatz gelöscht wird, die
Datei ersetzt wird, der fachliche Zweck entfällt und keine entgegenstehenden Gründe bestehen. Nicht mehr
referenzierte Upload-Dateien werden im Rahmen der Medienbereinigung entfernt.
Datenschutz-Kenntnisnahmen
Bestätigungen der Datenschutzerklärung werden versioniert für die Dauer des Benutzerkontos
beziehungsweise spätestens 36 Monate nach der letzten geschützten Nutzung gespeichert.
Sicherungen
Daten in technischen Sicherungen werden nicht einzeln verändert, sondern mit Ablauf des jeweiligen
Backup-Zyklus überschrieben oder gelöscht. Werden Sicherungen wiederhergestellt, gelten die vorstehenden
Löschfristen erneut für die produktiv wiederhergestellten Daten.
Technische und organisatorische Maßnahmen
Systeme
FID.Compass läuft auf Infrastruktur der Universitätsbibliothek, insbesondere im lokalen
Kubernetes-Cluster der UB. Die Anwendung ist eine Django-Webanwendung und nutzt PostgreSQL, Neo4j,
Redis und Celery. Daten werden auf Storage-Systemen des HRZ gespeichert.
Vertraulichkeit und Integrität
FID.Compass nutzt personalisierte Anmeldung, rollenbasierte Zugriffskontrolle, serverseitige
Berechtigungsprüfungen, CSRF-Schutz, Session-Cookies mit HTTP-only-Konfiguration,
SAML-Authentifizierung, Audit-Protokollierung und Sicherheitsheader im Reverse-Proxy.
Transport und Zugriff
Im produktiven Betrieb wird die Anwendung über HTTPS bereitgestellt. Der Zugriff auf administrative und
geschützte Bereiche ist angemeldeten und entsprechend berechtigten Nutzerkonten vorbehalten. Eine
Pseudonymisierung der Benutzerkonten erfolgt nicht, weil Rollen, Freigaben und Nachweise einer
konkreten Person zugeordnet werden müssen.
Verfügbarkeit
Die Verfügbarkeit und Belastbarkeit werden über den Betrieb im Kubernetes-Cluster der UB und die
Speicherung im HRZ-Storage unterstützt. Für die Wiederherstellung nach physischen oder technischen
Zwischenfällen werden regelmäßige Sicherungen über das Backup-System des HRZ genutzt.
Überprüfung
Die verwendete Software und Module werden regelmäßig automatisiert auf Sicherheitsprobleme geprüft.
Schriftlich vorliegende Grundlagen sind insbesondere die TOMs der Universitätsbibliothek und die
IT-Sicherheitsrichtlinie der Universität Frankfurt.
Abgrenzungen
Keine Profilbildung
FID.Compass verwendet keine personenbezogene Bewertung oder Einstufung im Sinne eines Scorings, keine
systematische Überwachung des Nutzerverhaltens und keine automatisierte Entscheidungsfindung mit
rechtlicher Wirkung oder ähnlich bedeutsamer Wirkung.
Keine Kinder
Das Angebot richtet sich nicht an Kinder unter 16 Jahren, geschäftsunfähige Personen oder sonst nicht
einwilligungsfähige Personen.
Ihre Rechte
Betroffenenrechte
Sie haben nach Maßgabe der DSGVO insbesondere das Recht auf Auskunft, Berichtigung, Löschung,
Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen eine Verarbeitung. Soweit
eine Verarbeitung auf einer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung
für die Zukunft widerrufen.
Beschwerde
Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist
insbesondere:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Kontakt: datenschutz.hessen.de/service/beschwerde-uebermitteln
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Kontakt: datenschutz.hessen.de/service/beschwerde-uebermitteln