Switch edu-ID Nutzungsbedingungen

Switch edu-ID Nutzungsbedingungen für Endbenutzende

Gültig ab September 2023

Wenn Ihnen unsere Dienstleistung von einer Organisation bereitgestellt wird, der Sie angeschlossen sind, unterliegt die Nutzung der Dienstleistung in erster Linie den Richtlinien dieser Organisation und darüber hinaus den jeweiligen Vereinbarungen zwischen Switch und der Organisation. Die folgenden Nutzungsbedingungen für Endbenutzer sind für Sie nur relevant, wenn Sie Switch edu-ID direkt von Switch beziehen.

1 Einleitung

Die Dienstleistung Switch edu-ID bietet Endbenutzenden eine persönliche digitale Identität (edu-ID), welche den Zugriff auf Services der Switch edu-ID Föderation in der Schweiz, und über die Inter-Föderation, mit anderen internationalen Identitätsföderationen ermöglicht. Die Nutzung von Switch edu-ID steht allen natürlichen Personen offen, die daran interessiert sind, sich ein edu-ID Konto für den Zugang zu Services der Switch edu-ID Föderation zu erstellen.

2 Geltungsbereich

Die vorliegenden Nutzungsbedingungen für Switch edu-ID (im Folgenden: «Nutzungsbedingungen») gelten, wo nicht anders vermerkt, für sämtliche Endbenutzenden, unabhängig davon, ob sie zu einer Organisation gehören oder nicht, ab Erstellung eines edu-ID Kontos.
Mit den vorliegenden Nutzungsbedingungen nicht geregelt wird die Nutzung der Services, auf welche mittels Switch edu-ID zugegriffen werden kann. Es obliegt den jeweiligen Service Operatoren zu bestimmen, zu welchen Bedingungen die Endbenutzenden ihre Services nutzen können.

3 Errichtung und Bestand des edu-ID Kontos

3.1 Errichtung

Um Switch edu-ID zu nutzen, wird ein edu-ID Konto benötigt. Dazu müssen mindestens folgende Daten angeben werden:

vollständiger Name,
gültige E-Mail-Adresse
Passwort

Das edu-ID Konto kann nur durch die Endbenutzenden selbst erstellt werden.

Haben Endbenutzende bereits eine digitale Identität einer Organisation, welche einen self-managed Identity Provider (IdP) betreibt, kann das edu-ID Konto auch von dieser digitalen Identität abgeleitet werden. Dadurch wird eine Verlinkung mit dem Konto der entsprechenden Organisation hergestellt und die vorhandenen Attribute werden automatisch auf das edu-ID-Konto übertragen.

Das edu-ID Konto kann auch nach der Errichtung mit einer oder mehreren digitalen Identitäten einer Organisation und/oder mit zusätzlichen Identifikatoren verlinkt werden. Solche Verlinkungen können notwendig sein, falls die edu-ID für den Zugang zu bestimmten Services verwendet wird, welche die Identifikatoren der gelinkten Konten benötigen.

3.2 Bestand und Löschung des edu-ID Kontos

Solange Endbenutzende eine aktive Affiliation zu einer Organisation aufweisen, ist Switch als Auftragnehmerin der Organisation nicht befugt, das edu-ID Konto zu löschen. Das edu-ID Konto aller anderen Endbenutzenden, kann jederzeit via eduid-support@switch.ch gelöscht werden.

Die Löschung des edu-ID Kontos führt zum Verlust der Nutzungsrechte des edu-ID Kontos und der damit zusammenhängenden Funktionalitäten. Bei Löschung des edu-ID Kontos werden alle Personendaten gelöscht. Das gelöschte edu-ID Konto kann nicht wiederhergestellt werden.

Die Löschung des edu-ID Kontos führt nicht automatisch dazu, dass die Daten, welche die Service Operatoren bei der Nutzung der Service-Leistungen bearbeiten, ebenfalls gelöscht werden. Eine Löschung dieser Daten ist bei den Service Operatoren zu verlangen.

4 Verfügbarkeit Switch edu-ID

Switch bemüht sich, die Dienstleistung von Switch edu-ID möglichst unterbrechungsfrei anzubieten. Es werden jedoch keine kontinuierliche Verfügbarkeit oder ein störungsfreier Betrieb gegenüber Endbenutzenden garantiert.

5 Pflichten der Endbenutzenden

5.1 Duplikate von edu-ID Konten

Endbenutzende dürfen nicht mehr als ein edu-ID Konto errichten.

Endbenutzende verpflichten sich, an der Verhinderung und Bereinigung von edu-ID Konto Duplikaten mitzuwirken. Insbesondere sind diesbezügliche Weisungen von Switch zu befolgen resp. Anfragen von Switch innert angemessener Frist zu beantworten. Im Falle, dass Duplikate von edu-ID Konten unabsichtlich errichtet oder entdeckt werden, ist Switch via eduid-support@switch.ch zu benachrichtigen.

5.2 Richtigkeit der persönlichen Daten

Endbenutzende sind dafür verantwortlich, dass ihre angegebenen, persönlichen Daten (z.B. Name, E-Mail-Adresse, Postadresse) richtig sind. Sie verpflichten sich, die edu-ID Kontodaten aktuell zu halten. Switch sendet den Endbenutzenden regelmässig eine Erinnerung (z.B. per E-Mail).

Endbenutzende können ihre Attribute über eduid.ch überprüfen, aktuell halten und gegebenenfalls erweitern und verifizieren.

Die Attribute der Basisidentität werden durch die Endbenutzenden deklariert. Attribute der Affiliationen sind unter Kontrolle der Organisationen.

Darüber hinaus kann es vorkommen, dass für den Zugriff auf bestimmte Services Attribute höherer Qualitätsstufen erforderlich sind. Solche Attribute werden vorgängig in einem entsprechenden Prozess geprüft (Verifikation) und hinterlegt (z.B. kann eine verifizierte Mobiltelefonnummer hinterlegt werden). Verifikationen können die Endbenutzenden selbst, Switch oder eine Organisation durchführen. Die Qualitätsstufen sind im edu-ID Konto auf eduid.ch ersichtlich.

5.3 Aufbewahrung der Authentifizierungsmittel

Endbenutzende verpflichten sich, ihr edu-ID Konto sorgfältig und sicher vor dem Zugriff Dritter zu schützen und insbesondere die Authentifizierungsmittel (z.B. Benutzername, Passwort und weitere Authentifizierungsfaktoren) sicher aufzubewahren. Die Authentifizierungsmittel dürfen Dritten nicht weitergegeben oder zugänglich gemacht werden. Bei Verdacht auf Missbrauch des edu-ID Kontos durch Dritte, sind Endbenutzende verpflichtet Switch via eduid-support@switch.ch umgehend zu informieren und ein neues Passwort oder Passkey zu setzen.

5.4 Persönliche Verantwortung

Endbenutzende verpflichten sich, bei der Nutzung des edu-ID Kontos bzw. von Switch edu-ID die Rechtsordnung einzuhalten. Sie tragen für alle Aktivitäten, die von ihrem edu-ID Konto ausgehen, die alleinige Verantwortung. Die Nutzung des edu-ID Kontos oder der Dienstleitung Switch edu-ID für rechtswidrige und/oder missbräuchlich Zwecke ist untersagt.

5.5 Massnahmen

Switch behält sich vor, edu-ID Konten von Endbenutzenden zu sperren, wenn diese gegen die Nutzungsbedingungen edu-ID verstossen. Weitere Massnahmen bleiben vorbehalten.

Duplikate von edu-ID Konten können zusammengeführt und/oder gelöscht werden. Dies kann zu Datenverlust und eingeschränktem Zugang zu Services führen. Die Endbenutzenden werden vorgängig kontaktiert.

6 Datenschutz und Datensicherheit

6.1 Verantwortlichkeit

Sofern das edu-ID Konto von Endbenutzenden Affiliationen zu einer oder mehreren Organisationen der Switch edu-ID Föderation aufweist, ist diese Organisation oder sind diese Organisationen für die Datenbearbeitung im Zusammenhang mit der edu-ID verantwortlich.

Wird ein edu-ID Konto ohne Affiliation zu einer Organisation erstellt oder fällt die Affiliation nachträglich weg, ist Switch für die Datenbearbeitung verantwortlich.
Switch kann Dienstleister beiziehen, um Leistungen in Rahmen von Switch edu-ID zu erbringen.

6.2 Zweck der Datenbearbeitung

Personendaten von Endbenutzenden werden in erster Linie bearbeitet, um die Dienstleistung Switch edu-ID zu erbringen sowie zur Erkennung, Analyse, Elimination oder Verhinderung von ICT-Sicherheitsvorfällen und -Problemen.

Darüber hinaus werden Personendaten von Endbenutzenden, soweit erlaubt und als angemessen erscheinend, auch für folgende Zwecke bearbeitet:

Abrechnungs- bzw. Kontomanagement
Erfüllung gesetzlicher Pflichten
Statistische Auswertung anonymisierter Datensätze

6.3 Kategorien von Personenbezogenen Daten

Folgende Kategorien von Personendaten können im Rahmen der Dienstleistung bearbeitet werden:

Attribute der Basisidentität (Name, Vorname, E-Mail-Adresse, technische Identifikatoren)
Weitere Attribute gemäss Attributspezifikation (z.B. Geburtsdatum, Adresse, Telefonnummer, SSH-Key, Gruppeninformationen)
Authentisierungsmittel (z.B. E-Mailadresse und Passwort)
Logdaten (z.B. IP-Adressen, Zeit, Aktion)
Support-Daten (Name, Vorname, E-Mailadresse und edu ID Identifier des Supportanfragenden, Uhrzeit, Betreff, Problembeschreibung, vom Benutzer bereitgestellte Anhänge)

6.4 Herkunft der Daten

Die von Switch bearbeiteten Personendaten stammen entweder direkt von den Endbenutzenden oder einer Organisation, zu welcher Endbenutzende eine Affiliation aufweisen.

6.5 Kategorien von Empfängerinnen und Empfängern von Personendaten

Switch kann Personendaten an folgende Kategorien von Empfängerinnen und Empfängern weitergeben:

IT-Dienstleister, die uns bei der Bereitstellung der Dienstleistung unterstützen
Behörden, Amtsstellen und Gerichte (sofern gesetzlich dazu verpflichtet)
Service Operatoren

Diese Empfänger sind teilweise im Inland, können aber in beliebigen Ländern auf der Welt sein. Nicht alle dieser Staaten verfügen über einen Datenschutz, der aus schweizerischer Sicht angemessen ist. In einem solchen Fall stellen wir den angemessenen Schutz durch hinreichende vertragliche Garantien sicher, z.B. durch Vertragsklauseln, die von den zuständigen Behörden ausgestellt oder anerkannt wurden («Standardvertragsklauseln»), falls die Übermittlung im Einzelfall nicht aufgrund einer Einwilligung, zur Vertragsabwicklung, zur Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen, für überwiegende öffentlicher Interessen oder zu Ihrem Schutz nötig ist.

Auch Services, auf die mit der edu-ID zugegriffen wird, können grundsätzlich von überall aus der Welt angeboten werden. Bei jedem Zugriff auf einen Service kann der Service Operator gewisse Attribute von einem IdP der Switch edu-ID Föderation verlangen. In jedem Fall ist mindestens beim ersten Zugriff auf einen Service die Zustimmung des Endbenutzenden notwendig, damit die Attribute dem Service Operator durch den IdP freigegeben werden.

Ihre persönlichen Attribute wie Name, E-Mail-Adresse oder Geburtsdatum dürfen von Service Operatoren ausschliesslich für die folgenden Zwecke benutzt und weitergegeben werden:

Autorisierung von Endbenutzenden
Erbringung des angebotenen Services
Mit dem Service zusammenhängende Supportleistungen
Erforderliche Kontaktaufnahme mit Endbenutzenden im Rahmen der Service-Leistung
Bereinigung und Identifikation von Duplikaten und veralteten Attributen

Service Operatoren sind selbständige Verantwortliche im Sinne der Datenschutzgesetze.

6.6 Datensicherheit

Switch unternimmt alle zumutbaren Massnahmen, um jederzeit die Datensicherheit gemäss dem jeweils anerkannten Stand der Technik zu gewährleisten. Insbesondere ergreift Switch angemessene technische und organisatorische Massnahmen, um die Integrität, Verfügbarkeit und Vertraulichkeit der Informationen zu gewährleisten und verpflichtet sich diese Massnahmen zu überprüfen, zu bewerten und sofern notwendig anzupassen.

7 Haftung

Gegenüber Endbenutzenden ohne Affiliation haftet Switch für den durch grobfahrlässige oder vorsätzliche Vertragsverletzung verursachten direkten Schaden, sofern Switch nicht beweist, dass sie kein Verschulden trifft. Die Haftung für leichte und mittlere Fahrlässigkeit, auch hinsichtlich der Tätigkeiten von Hilfspersonen, sowie für indirekte Schäden, Folgeschäden, nicht gemachte Einsparungen und entgangenen Gewinn oder Datenverlust wird soweit gesetzlich zulässig wegbedungen.

Gegenüber Endbenutzenden mit Affiliation zu einer oder mehreren Organisationen haftet Switch nicht aus Vertrag.

Jegliche ausservertragliche Haftung von Switch wird soweit gesetzlich zulässig wegbedungen.

Die Endbenutzenden können für alle Schäden, die durch die unzulässige Nutzung von Switch edu-ID und des edu-ID Kontos bei Switch oder Dritten entstehen, haftbar gemacht werden.

8 Änderungen

Switch behält sich vor, die ihre Dienstleistung und diese Nutzungsbedingungen edu-ID jederzeit abzuändern oder anzupassen. Die Endbenutzenden werden über Änderungen angemessen, z.B. per E-Mail oder Hinweis beim Login, informiert.

9 Anwendbares Recht und Gerichtsstand

Anwendbar ist ausschliesslich Schweizer Recht unter Ausschluss unter des Internationalen Privatrechts und des Wiener Kaufrechts.

Ausschliesslicher Gerichtsstand ist Zürich. Vorbehalten bleiben zwingende Gerichtsstände.