Deprovisionierungregelung

Löschung der Daten von Nutzenden der teilnehmenden Einrichtungen (Shibboleth-Accounts) nach Nutzungsende

Hinweise

Wenn Sie in Ihrem Speicherkontingent Ordner oder Dateien besitzen, die von einer Arbeitsgruppe genutzt werden, übergeben Sie die Ordner bzw. Dateien rechtzeitig vor Ihrem Ausscheiden an ein anderes Mitglied des Ordners (Einstellungen -> Teilen -> Datei oder Ordner zur Übertragung auswählen). Der neue Besitzer/die neue Besitzerin muss der Übergabe zustimmen.

Sollten sich bei der Nutzung von bwSync&Share Störungen bei der Anmeldung zeigen oder nach Anmelden Ordner nicht sichtbar sein, wenden Sie sich bitte an das Servicedesk Ihrer Einrichtung!

Gast-Accounts verfügen in bwSync&Share nicht über ein eigenes Speicherkontingent.
Ordner, zu denen Gäste eingeladen werden, fallen unter die Deprovisionierungsregelung der besitzhabenden Personen.
Die Deprovisionierung von persönlichen Nutzungsdaten (Benutzerkonto/Passwort/Berechtigungen) von Gast-Accounts ist am Ende dieser Seite beschrieben: Deprovisionierung von Gast-Accounts

 

Regelung über den Umgang mit Daten in bwSync&Share nach Nutzungsende

Im Rahmen der hier vorliegenden Deprovisionierungsregelung des Dienstes bwSync&Share wird das Verfahren zur Bereitstellung von gespeicherten Daten von nutzenden Personen nach Ende der Dienstnutzung spezifiziert. Dies betrifft die Daten in den Speicherkontingenten, die den Mitarbeitenden sowie den Studierenden der Universitäten und Hochschulen in Baden-Württemberg, den Nutzenden der teilnehmenden Mitglieder des DFN-Vereins und den Angehörigen der Helmholtz-Zentren zur Verfügung stehen.

Ausgangssituation

Ein Speicherkontingent wird unter folgenden Bedingungen zur Verfügung gestellt:

  1. In der Benutzerverwaltung der Heimatinstitution existiert ein aktives Benutzerkonto.
  2. Für das Benutzerkonto ist im Identity Provider der Heimatinstitution das Recht (Entitlement) zur Nutzung von bwSync&Share gesetzt.
  3. Die nutzende Person hat sich im Rahmen der ersten Anmeldung (oder direkt über https://bwidm.scc.kit.edu) für den Dienst registriert.


Die Überprüfung der Kriterien erfolgt über das bwIDM Identitätsmanagement.

Innerhalb der Benutzerverwaltung von bwSync&Share wird ein eigenes Konto geführt, dem das Speicherkontingent zugeordnet ist. Hier werden die Ordner und Daten des Kontos sowie die erteilten Zugriffsrechte auf Ordner und Dateien verwaltet.

Deprovisionierung

Die Deprovisionierung der Konten und Daten innerhalb des Dienstes bwSync&Share wird durch die Deregistrierung eines Benutzerkontos in bwSync&Share gestartet. Eine Deregistrierung kann durch unterschiedliche Aktionen ausgelöst werden:

  1. Das Benutzerkonto ist in der lokalen Benutzerverwaltung der Heimatinstitution nicht mehr aktiv. Die Deregistrierung erfolgt automatisch.
  2. Das lokale Benutzerkonto hat das Recht (Entitlement) zu Nutzung von bwSync&Share verloren. Die Deregistrierung erfolgt automatisch.
  3. Die Nutzerin/der Nutzer hat den Dienst auf der Registrierungsseite (https://bwidm.scc.kit.edu) selbst abbestellt und sich damit selbst deregistriert.

Das bwSync&Share Benutzerkonto wird deregistriert und damit ist keine Anmeldung am Dienst mehr möglich. Eventuelle Unstimmigkeiten, die das lokale Benutzerkonto betreffen, müssen mit der Support-Einheit der Heimatinstitution geklärt werden. Wird dort das Benutzerkonto wieder aktiviert bzw. das Entitlement wieder erteilt, kann sich die nutzende Person wieder am Dienst anmelden, solange der Account und die Daten noch nicht gelöscht wurden. Sollte die Person sich selbst vom Dienst abgemeldet haben, kann dies durch eine erneute Registrierung zurückgenommen werden.

Drei Monate nach Deregistrierung wird in die geteilten Ordner des deregistrierten Accounts als Flag eine Datei mit dem Namen "___Attention_OWNERDISABLED.md" gelegt, die die nutzenden Personen, die auf diese Ordner zugreifen, darauf hinweist, dass der bwSync&Share-Account des Eigentümers/der Eigentümerin dieses Ordners deaktiviert wurde und dass die Daten in Kürze endgültig gelöscht werden.
Allen Nutzenden, mit denen die Ordner und Dateien des deregistrierten Accounts geteilt wurden, wird der entsprechende Ordner bzw. die entsprechende Datei auch weiterhin angezeigt. Diese können die Daten auch weiterhin synchronisieren und bearbeiten, wenn sie die Berechtigung dazu haben.

Überlassung der Daten eines Nutzers/einer Nutzerin nach der Deregistrierung

Kann der Zugriff auf bwSync&Share dem Besitzer/der Besitzerin von Daten nicht mehr ermöglicht werden (z.B. nach der Deaktivierung des Benutzerkontos in der Heimatorganisation), können diese Daten der besitzhabenden Person (und nur dieser Person) innerhalb von  360 Tagen nach der Deregistrierung noch zur Verfügung gestellt werden.

Anfragen nimmt die lokale Support-Einheit (1. Level Support) entgegen und stellt die Authentifizierung z.B. durch Vorlage eines Ausweispapiers, signierte E-Mail, etc. sicher. Der 1. Level Support eröffnet ein Ticket im bwSupport-Portal mit den Daten des Nutzers/der Nutzerin und einer aktuellen E-Mail-Adresse dieser Person. Der 2. Level Support sendet anschließend eine E-Mail mit einem Downloadlink zum Herunterladen der Daten an diese E-Mail-Adresse.

Endgültiges Löschen der Daten

360 Tage nach der Deregistrierung werden sowohl das Benutzerkonto in bwSync&Share als auch zugehörige Ordner und Daten unwiderruflich gelöscht.

Auch vorhandene Zugriffsberechtigungen auf Ordner und Dateien anderer Personen werden dabei gelöscht.

Deprovisionierung von Gast-Accounts

Gast-Accounts haben keinen eigenen Speicherplatz und können nur Daten im Kontingent von Shibboleth-Accounts speichern, für die sie die entsprechenden Berechtigungen erhalten haben. Die dort abgespeicherten Daten gehören dem Kontingentinhaber.

Die Deprovisionierung der Daten von Gast-Accounts betrifft das entsprechende Benutzerkonto mit Mail-Adresse, Passwort und Zugriffsberechtigungen auf Ordner bzw. Dateien.

Ein Jahr nach dem letzten Login wird die hinterlegte Mail-Adresse angeschrieben und zum erneuten Login aufgefordert. Geschieht dies nicht, werden ein Monat nach dem Versand der Benachrichtigung das Konto und die Zugriffsberechtigungen gelöscht.