Kategorien: Software Schlagwörter: Cloud-Services, Dienstliche Softwarenutzung, Richtlinien
Nutzungsbedingungen: Was ist an der FAU bei Nutzung von Software mit Cloud-Services, Cloudspeicherdiensten und angebundenen Kollaborationstools zu beachten?
Rahmenbedingungen für die Benutzung von Cloudspeicherdiensten an der FAU
1. Die Nutzung der Cloudspeicherdienste erfolgt unter Beachtung der Richtlinie für die Bereitstellung und Nutzung von Systemen und Verfahren der Informationstechnologie an der Friedrich-Alexander-Universität Erlangen-Nürnberg (IT-R), § 4 Rechte und Pflichten der Nutzerinnen und Nutzer Nr. 8. Es sei auch auf
- die Bedingungen für die dienstliche Nutzung von Software und
- das Informationssicherheitsmanagement an der FAU
verwiesen.
2. Die Nutzung der Software mit angebundenen Cloudspeicherdiensten erfolgt unter Beachtung der Lizenzbedingungen des Softwareherstellers. Zumeist ist der Einsatz zu kommerziellen oder privaten Zwecken in den Lizenzbestimmungen nicht vorgesehen.
3. Die Nutzung der Cloudspeicherdienste erfolgt unter Beachtung sämtlicher Vorschriften und Regelungen zum Sozialdatenschutz (§67 Abs. 1 SGB X; §80 SGB X), Personalaktenrecht (Art. 104 BayBG; Art. 108 BayBG), Steuerrecht (§146 AO), Urheberrecht (§60a UrhG), Gesetz zum Schutz von Geschäftsgeheimnissen (§203 StGB), Telemedienrecht, Archivrecht sowie der Regelungen zur ordnungsgemäßen Aktenführung.
4. Es ist deshalb untersagt, die Cloudspeicherdienste für Daten mit folgenden Informationen zu nutzen (siehe auch Vertraulichkeitsklassen):
a) Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der FAU führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können. Im Regelfall sind solche Daten nur solchen Mitgliedern der FAU zugänglich, deren Kenntnis regelmäßig zur Bearbeitung der betreffenden Information und des damit zusammenhängenden Vorgangs zwingend erforderlich ist (vertrauliche Daten).
Beispiele hierfür sind:
- Personenbezogene Daten (Anwesenheitslisten oder Listen von Teilnehmern einer Veranstaltung)
- Reise- oder Lohnabrechnungen (Finanzdaten, Sozialdaten, Daten mit Bezug zur Personalakte)
- Forschungsdaten, die nicht ohnehin für die Öffentlichkeit bestimmt sind
- Technische Daten (Baupläne sensibler Räume, Netzwerkpläne)
- Geschützte Daten (Krankmeldungen, Zeugnisentwürfe, Studienarbeiten, Verträge, „Veraktetes“)
- Prüfungswesen (Gutachten und Korrekturen)
b) Daten, die Informationen enthalten, bei denen die unberechtigte Einsichtnahme verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtung geheim zu haltende Informationen oder Informationen, die der Verschwiegenheitspflicht unterfallen. Im Regelfall sind Daten mit solchen Informationen ausschließlich einem durch den/die Informationseigentümer/-in vorab definierten und dokumentierten Personenkreis zugänglich (streng vertrauliche Daten).
Dies umfasst beispielsweise Daten aus der Zusammenarbeit mit Dritten (staatliche Einrichtungen, Forschungseinrichtungen, Unternehmen) aus einer dienstlichen oder vertraglichen Verpflichtung.
5. Um den unbeabsichtigten Verlust von vertrauenswürdigen Informationen zu vermeiden, werden Daten im Zweifelsfall als Daten mit vertraulicher Information nach 3. oder 4. eingestuft und eignen sich damit nicht für die Speicherung in Cloudspeichern.
6. Werden Dateien mit anderen geteilt, sind die erforderlichen Freigaben auf das Notwendige zu beschränken und regelmäßig zu überprüfen.
7. Im Cloudspeicherdienst abgelegte und weiterhin benötigte Daten sind vom Benutzer oder der Benutzerin vor Ausscheiden aus der FAU eigenverantwortlich zu sichern und ggf. in universitären Speicherdiensten abzulegen. Eine Unterstützung bei der Migration der Daten kann die FAU resp. RRZE aus technischen Gründen (fehlende Zugriffsrechte) nicht leisten.
8. Es sind in diesem Zusammenhang die vom universitären Standard abweichenden Löschfristen des Auftragsverarbeiters (nach Vertragsende/Exmatrikulation) zu beachten.
9. Die FAU haftet unbeschadet der Regelungen der DSGVO oder anderer gesetzlicher Regelungen nicht für verloren gegangene Daten, insbesondere auch nicht für den Verlust von Daten, der durch das Ausscheiden einer Person aus der FAU entsteht. Eine standardmäßige Sicherung (Backup) der in externen Cloudspeicherdiensten abgelegten Daten durch die FAU erfolgt nicht.