Logo der Universität Passau

Datenschutzinformationen MFA

Zum Schutz Ihrer Benutzerkonten setzen wir eine datenschutzfreundliche Multi-Faktor-Authentifizierung (MFA) ein. Diese Maßnahme dient der Erhöhung der Sicherheit beim Zugriff auf Systeme und Dienste.

Bei der MFA handelt es sich um ein Sicherheitsverfahren, das den Zugang zu einem System oder Konto schützt, indem sie mehrere Authentifizierungsmethoden verlangt. Im Gegensatz zur herkömmlichen Authentifizierung, bei der nur Benutzername und Passwort erforderlich sind, fügt die MFA mindestens eine weitere Sicherheitsebene hinzu.

Diese Sicherheitsebene kann ein physisches Gerät sein, wie beispielsweise ein Smartphone oder ein Sicherheitsschlüssel. Nutzer müssen im Besitz dieses Geräts sein, um sich zu authentifizieren. Dafür muss in einer der folgenden Authentifizierungs-Varianten (z. B. App) die Anmeldung bestätigt oder ein Zifferncode eingegeben werden.

Indem mehrere Faktoren, in diesem Fall also das Passwort und der Code aus der gewählten Authentifizierungs-Variante, kombiniert werden, wird die Sicherheit erhöht, da ein potenzieller Angreifer nicht nur Zugang zu einem Faktor erlangen muss, sondern zu mehreren gleichzeitig. Daher trägt die Multifaktor-Authentifizierung dazu bei, die Sicherheit von Benutzer-Konten, Systemen und sensiblen Informationen zu verbessern und schützt vor unbefugtem Zugriff, selbst wenn ein Authentifizierungsfaktor kompromittiert wird.

Die MFA-Lösung basiert auf Microsoft Entra MFA in Kombination mit einer föderierten Anmeldung. Bei der Verwendung von Microsoft Entra MFA erfolgt eine Anmeldung an Ihrem persönlichen Microsoft-Account. Informationen zum Microsoft-Account finden Sie unter Microsoft 365 https://www.hilfe.uni-passau.de/m365.

Nutzer haben die Möglichkeit, selbst zu entscheiden, welche zusätzlichen Sicherheitsfaktoren Sie für die Anmeldung verwenden möchten. Die Verwaltung dieser Faktoren erfolgt selbstständig durch den Nutzer über das Microsoft Benutzerportal.

Telefon (SMS): Ein einmaliger Code wird per SMS an Ihre Mobilnummer gesendet.

Telefon (Anruf): Diese Option steht nur für Studenten zur Verfügung. Sie erhalten einen automatisierten Anruf zur Bestätigung Ihrer Anmeldung.

  • barrierearm, geeignet bei Beeinträchtigung des Sehvermögens.

Microsoft Authenticator App: Push-Benachrichtigung oder Code-Eingabe über die App.

FIDO2-Sicherheitsschlüssel: Hardwarebasierte Authentifizierung über z. B. USB-Gerät.

  • barrierearm, geeignet bei Beeinträchtigung des Sehvermögens.
  • besonders datensparsam.

TOTP-Token: Zeitbasierte Einmalpasswörter über Apps.

  • barrierearm, geeignet bei Beeinträchtigung des Sehvermögens.

Windows Hello for Business: Steht für dienstliche Windows-PCs zur Verfügung. Biometrische Anmeldung (z. B. Gesichtserkennung oder Fingerabdruck) oder PIN, die lokal auf dem Gerät gespeichert wird. Die Anmeldung erfolgt passwortfrei und erfüllt hohe Sicherheits- und Datenschutzstandards.

  • barrierearm, geeignet bei Beeinträchtigung des Sehvermögens.
  • besonders datensparsam (insb. PIN).

Authentifizierungs-Apps anderer Anbieter: z. B. Google Authenticator, Authy oder ähnliche.

Die Nutzung dieser Faktoren ist freiwillig, jedoch ist mindestens ein zweiter Faktor erforderlich, um den Zugriff auf geschützte Dienste zu ermöglichen.

Die MFA-Methoden werden in Ihrem Microsoft-Account abgelegt, wodurch sich ein Personenbezug ergibt. Neben der Datenverarbeitung bei der Anmeldung an Ihrem Microsoft-Account (vgl. Microsoft 365), wird bei der MFA der jeweils verwendete Faktor gespeichert.

Des Weiteren werden folgende Daten abhängig von der verwendeten MFA-Methode verarbeitet.

  • FIDO2, Minimal: Keine personenbezogenen Daten. Übertragung des öffentlichen Schlüssels sowie von Metadaten (z. B. Hersteller, Modell) des verwendeten Authentifikators.
  • Windows Hello for Business: Lokal gespeicherte biometrische Daten oder PIN, keine Übertragung an Microsoft.
  • TOTP (z. B. Authenticator App): Austausch eines geheimen Schlüssels bei Einrichtung von TOTP. Keine weitere Datenübertragung bei der Nutzung, nur lokale Codes.
  • Microsoft Authenticator (Push): IP-Adresse und Geräteinformationen werden an Microsoft übermittelt.
  • Telefon (SMS/Anruf): Telefonnummer wird verarbeitet und an Telekommunikationsanbieter übermittelt.
  • Drittanbieter-Apps (z. B. Google Authenticator): Lokal, aber abhängig vom Anbieter – Jeweilige Datenschutzrichtlinien beachten.

Die MFA-Daten (z. B. Telefonnummern) werden ausschließlich zur Durchführung der Authentifizierung verwendet und in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet.

  • Keine Übermittlung von Passwörtern an Dritte.
  • Keine Profilbildung oder Nutzung zu anderen Zwecken.
  • Speicherung der Daten erfolgt ausschließlich in der EU oder gemäß den Anforderungen der DSGVO.

Die Einführung einer MFA erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 43 Abs. 1 BayDiG. Konkretisiert wird diese Pflicht in Art. 42 Abs. 1 Nr. 3 BayDiG
i. V. m. dem Leitfaden des Landesamts für Sicherheit der Informationstechnik (LSI).

Sie haben jederzeit das Recht auf:

  • Auskunft über die zu Ihrer Person gespeicherten Daten.
  • Berichtigung unrichtiger Daten.
  • Löschung oder Einschränkung der Verarbeitung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Widerspruch gegen die Verarbeitung Ihrer Daten im Rahmen der MFA.
ZIM IT-Support
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von Vimeo hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von YouTube hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Video anzeigen