Richtlinien für die Administration des IdM-Datenbestandes der FAU

Stand: 22.05.2019

1 Einleitung

IdM-Datenadministrationsrechte erlauben, eingeschränkt auf Organisationseinheiten, die Aufnahme von Nutzerobjekten ins IdM sowie die Änderung vorliegender Objektdaten. Die Datenadministrationstätigkeit kann von unterschiedlichen Personen veranlasst werden. Im Folgenden werden Personen, die administrative Rechte für Daten im IdM wahrnehmen, als „Befugte“ bezeichnet. Der Umfang administrativer Berechtigungen im IdM wird durch Zugehörigkeiten zu IdM-Admingruppen festgelegt. Die Relevanz der im folgenden aufgeführten Punkte richtet sich also nach den erteilten Berechtigungen. Eine Anerkennung dieser Administrationsrichtlinien hat die Anerkennung aller im folgenden genannten Richtlinienbestandteile zur Folge. So ist gewährleistet, dass auch bei einer zu einem späteren Zeitpunkt ggfs. vorgenommenen Erweiterung der administrativen Rechte keine erneute Zustimmung zu den Administrationsrichtlinien notwendig wird.

2 Aufnahme von Nutzerobjekten ins IdM

Die durch einen Antrag auf IdM-Kennung veranlasste Aufnahme eines neuen Nutzerobjektes ins IdM kann nur durch Befugte erfolgen. Der/die Befugte ist verpflichtet:

  • eine Identitätsfeststellung der Nutzerin/des Nutzers vorzunehmen,
  • eine Prüfung des Antrages auf Erteilung einer IdM-Kennung durchzuführen,
  • den Antrag einzuscannen und ins IdM hochzuladen.

3 Änderungen und Ergänzungen an Nutzerobjekten im IdM

Änderungen an den im IdM gespeicherten Nutzerobjekten können von den Nutzern selbst oder Befugten vorgenommen werden. Die nachfolgende Aufzählung zeigt die Möglichkeiten zur Veranlassung von Änderungen eines IdM-Eintrages auf und legt gleichzeitig fest, dass die in der Aufzählungsreihenfolge erste umsetzbare Möglichkeit verpflichtend genutzt werden muss.

  1. Änderung durch die Nutzerin/den Nutzer selbst via IdM-Weboberfläche.
  2. Änderung durch Befugte aufgrund persönlicher Anfrage der Nutzerin/des Nutzers.
  3. Änderung durch Befugte aufgrund persönlicher Anfrage einer/eines Bevollmächtigten.
  4. Änderung durch Befugte aufgrund telefonischer Anfrage der Nutzerin/des Nutzers.

4 Identitätsfeststellung

Für jede gewählte Möglichkeit der Veranlassung von Änderungen an IdM-Nutzerobjekten sowie für das Hinzufügen von Nutzerobjekten ins IdM durch Befugte sind bei der Identitätsfeststellung spezifische Kriterien zu beachten. Die Identitätsfeststellung ist schriftlich zu dokumentieren, siehe 5. Verstöße gegen diese Identitätsfeststellung stellen eine Verletzung der arbeitsvertraglichen Pflichten dar und können entsprechende arbeitsrechtliche Konsequenzen (Abmahnung, Kündigung) nach sich ziehen. Für Rückfragen wenden Sie sich bitte per E-Mail mit dem Betreff „Identitätsfeststellung“ an idm@fau.de.

4.1 Identitätsfeststellung der Nutzerin/des Nutzers via IdM-Weboberfläche

Die Identitätsfeststellung stützt sich hier auf die Authentifizierung mit der IdM-Kennung und dem zugehörigen Passwort. Sollte das Passwort nicht mehr bekannt sein, so kann die Nutzerin/der Nutzer selbst ein neues Passwort setzen, indem sie/er das Senden eines Links zum Ändern des Passwortes an eine vorher festgelegte Wiederherstellungs-E-Mail-Adresse veranlasst.

4.2 Identitätsfeststellung durch Befugte bei persönlichem Erscheinen der Nutzerin/des Nutzers

Die Identität der Nutzerin/des Nutzers muss anhand eines amtlichen Lichtbildausweises (Personalausweis, Reisepass, Aufenthaltstitel) überprüft werden. Liegt kein gültiger amtlicher Lichtbildausweis vor, kann der Führerschein zur Überprüfung herangezogen werden. Art und Nummer des benutzten Nachweises sind zu dokumentieren.

4.3 Identitätsfeststellung durch Befugte bei persönlichem Erscheinen einer/eines Bevollmächtigten

Wenn die Nutzerin/der Nutzer nicht persönlich vor einer/einem Befugten erscheinen kann, darf sie/er eine andere Person als Bevollmächtigte/n schicken. Es gelten folgende Auflagen:

  • Die Identität der/des Bevollmächtigten muss analog zu 4.2 überprüft und dokumentiert werden.
  • Der/die Bevollmächtigte muss eine schriftlich erteilte Vollmacht sowie eine Ausweiskopie der Nutzerin/des Nutzers vorlegen.
  • Die Vollmacht darf nicht älter als eine Woche sein.
  • Die Vollmacht muss im Original vorgelegt und der/dem Befugten zur Aufbewahrung übergeben werden.
  • Die Vollmacht muss folgende Angaben enthalten:
    • Name und IDM-Kennung der Nutzerin/des Nutzers, für die/den Änderungen vorgenommen werden sollen;
    • Bei Bediensteten: Personalnummer, bei Studierenden: Matrikelnummer der Nutzerin/des Nutzers, für die/den Änderungen vorgenommen werden sollen;
    • Begründung, warum die Nutzerin/der Nutzer nicht persönlich erscheinen kann;
    • Gewünschte Änderungen (z. B. Passwort setzen);
    • Name und Geburtsdatum der/des Bevollmächtigten;
    • Datum der Vollmacht;
    • eigenhändige Unterschrift der Nutzerin/des Nutzers

4.4 Identitätsfeststellung durch Befugte/n bei telefonischer Anfrage der Nutzerin/des Nutzers

Die Nutzerin/der Nutzer ist zunächst auf die Möglichkeit der selbständigen Änderung hinzuweisen. Nur wenn die Nutzerin/der Nutzer glaubhaft machen kann, dass dies nicht möglich ist und sie/er auch weder persönlich erscheinen noch eine/einen Bevollmächtigte/n schicken kann, ist eine telefonische Beauftragung von Änderungen zulässig. Mögliche Umstände, bei denen eine persönliche Anwesenheit nicht möglich ist, sind:

  • Forschungsfreisemester im Ausland (bei Wissenschaftlerinnen/Wissenschaftlern),
  • Auslandssemester (bei Studierenden) oder
  • Erkrankung
  • Längere Abwesenheit vom Hochschulstandort mit Service-Theke (z. B. während der Semesterferien)

Zur Identifizierung der/des Anrufenden müssen mehrere persönliche Attribute abgefragt werden, die die Nutzerin/den Nutzer möglichst glaubwürdig identifizieren können:

  • Vollständiger Name
  • Geburtstag
  • Geburtsort
  • Mindestens zwei weitere Merkmale sind abzufragen, die das berufliche Umfeld (bei Beschäftigten) oder das Studienumfeld (bei Studierenden) der Nutzerin/des Nutzers betreffen, z. B.:
    • Adresse der Beschäftigungsstelle,
    • Name der Lehrstuhlsekretärin/des Lehrstuhlsekretärs,
    • Name einer Lehrveranstaltung aus dem laufenden Semester,
    • Andere Merkmale, die nur die Nutzerin/der Nutzer selbst beantworten kann.
    • Datum der letzten Validierung der FAUcard des Nutzers (über IdM-Portal sichtbar)
    • Ehemalige Adressen der Nutzerin/des Nutzers

4.5 Identitätsfeststellung bei Nachlassabwicklung

Um zu klären, ob einer/einem Antragsteller/in (meist Angehörige/r) Zugriff auf Konten einer/eines verstorbenen Nutzerin/Nutzers gewährt werden darf, muss die/der Befugte folgende Schritte für die Legitimation der Antragstellerin/des Antragstellers durchführen:

  • Die Kontaktdaten des Antragstellers sind aufzunehmen:
    • Name
    • Postalische Anschrift
    • Telefon
    • E-Mail
  • Die Daten des/der verstorbenen Nutzers/Nutzerin sind aufzunehmen:
    • Vollständiger Name
    • Geburtsdatum und Geburtsort
  • Die Sterbeurkunde des/der verstorbenen Nutzers/Nutzerin oder das zugehörige Schreiben des Nachlassgerichtes muss kopiert werden.

Die gesammelten Daten sendet der Befugte in einem verschlossenen Umschlag an die für die Zugehörigkeit des/der verstorbenen Nutzers/Nutzerin zuständige Stelle in der FAU. Diese ist der Dokumentation zur Abwicklung des digitalen Nachlasses zu entnehmen.

5 Dokumentation

Zur Dokumentation von IdM-Datenadministrationsmaßnahmen werden Anträge auf IdM-Kennung und verschiedene zu diesem Antrag gehörende Dokumente (s. 5.1 und 5.2) hochgeladen und Metainformationen (u. a. Datum des Uploads, Benutzerkennung unter der der Upload durchgeführt wurde etc.) durch IdM automatisiert protokolliert. In jeder Organisationseinheit, der mindestens ein/e Befugte/r zugeordnet ist, kann zusätzlich ein Ordner mit Kopien zur Dokumentation von IdM-Datenadministrationsmaßnahmen vor Ort geführt werden. Die abgelegten Originale sowie ggf. die Kopien von Dokumenten sind nach Ablauf der u. g. Löschfristen unter Beachtung des Datenschutzes sachgemäß zu entsorgen bzw. zu löschen.

5.1 Dokumentenarten und Löschfristen

Unterlage Speicherung Löschfrist
Arbeitsverträge Keine Speicherung des Dokuments, aber Dokumentation im IdM, dass das Dokument vorgelegt wurde. Entfällt
Werkverträge Keine Speicherung des Dokuments, aber Dokumentation im IdM, dass das Dokument vorgelegt wurde. Entfällt
Honorarverträge Keine Speicherung des Dokuments, aber Dokumentation im IdM, dass das Dokument vorgelegt wurde. Entfällt
Stipendiatenverträge Keine Speicherung des Dokuments, aber Dokumentation im IdM, dass das Dokument vorgelegt wurde. Entfällt
Praktikumsverträge Keine Speicherung des Dokuments, aber Dokumentation im IdM, dass das Dokument vorgelegt wurde. Entfällt
IdM-Benutzeranträge Ja 6 Monate nach Ablauf der letzten Zugehörigkeit der Person zur FAU
Vollmachten Ja 6 Monate nach Ablauf der letzten Zugehörigkeit der Person zur FAU
Habilitationsbestätigungen Ja Nach Ablauf der Zugehörigkeit
Teilnahmeerlaubnis Frühstudierende Ja Nach Ablauf der Zugehörigkeit
Teilnahmeerlaubnis Gaststudierende Ja Nach Ablauf der Zugehörigkeit
Bestätigung des Kooperationsstudiums Ja Nach Ablauf der Zugehörigkeit
Einladung Gastdozenten Ja Nach Ablauf der Zugehörigkeit
Bestätigung Gastwissenschaftler Ja Nach Ablauf der Zugehörigkeit
Servicepartner: Wartungsvertrag, Dienstleistungvertrag, Beschaffungsvertrag Ja, unabhängig von Einzelperson und unabhängig von IdM. IdM verlinkt separat abgelegten Kooperationsvertrag Nach Beendigung der Kooperation
Kooperationsvertrag der externen Einrichtung Ja, unabhängig von Einzelperson und unabhängig von IdM. IdM verlinkt separat abgelegten Kooperationsvertrag Nach Beendigung der Kooperation

5.2 Dokumentation der Legitimation (Vollmachten)

Die erteilten Vollmachten sind entweder

a) in einem vorhandenen Dokumentationsordner abzulegen (in diesem Fall sind sie nach Ablauf der unter 5.1 genannten Löschfrist unter Beachtung des Datenschutzes sachgemäß zu entsorgen) oder

b) digital im Administrationsportal hochzuladen. In diesem Fall ist das Original unverzüglich unter Beachtung des Datenschutzes sachgemäß zu entsorgen. Die hochgeladene Datei wird automatisch nach Ablauf der unter 5.1 genannten Löschfrist gelöscht.

5.3 Dokumentation der Anträge auf IdM-Kennung

Anträge auf IdM-Kennung, die nicht automatisch erfasst werden, werden durch Befugte der jeweiligen Organisationseinheit geprüft und erfasst. Danach wird der eingescannte Antrag durch den Befugten, der die Daten erfasst hat, digital im Administrationsportal abgelegt, das Original des Antrags wird unter Beachtung des Datenschutzes sachgemäß entsorgt. Originale können zusätzlich zum Upload im o. g. Dokumentationsordner aufbewahrt werden und müssen unter Beachtung des Datenschutzes sachgemäß gemäß der unter 5.1 genannten Fristen entsorgt werden

5.4 Dokumentation der Identitätsfeststellung

  • Die IdM-Weboberfläche protokolliert Änderungen in einem Audit-Log. Ein Log-Eintrag enthält Datum und Uhrzeit der Änderung, betroffenes Nutzerobjekt und Art der Änderung sowie die IdM-Kennung der/des Befugten bzw. Nutzerin/Nutzers. Bei Änderungen durch Befugte werden Art und Nummer des zur Identitätsfeststellung benutzten Ausweises im Audit-Log erfasst. Das Audit-Log wird nach den in der Dienstvereinbarung zum Identity Mangement hinterlegten Fristen gelöscht.
  • Eingereichte Dokumente sind gemäß der unter 5.1 genannten Fristen aufzubewahren.

6 Übergeordnete Bestimmungen und Regeln

Es gelten zusätzlich übergeordnet die Benutzungsrichtlinien für Informationsverarbeitungssysteme der Universität Erlangen-Nürnberg bzw. die IT-Satzung der Friedrich-Alexander-Universität Erlangen-Nürnberg in der jeweils aktuellen Fassung: vgl. Nutzungsrichtlinien.