Policy zur Nutzung
Allgemeines
Die Universit?t stellt mit Nextcloud-Sync'n'Share ein Angebot zum Teilen von Daten mit anderen Universit?tsmitgliedern und externen Kooperationspartnern bereit. Das System ist ein wichtiges Instrument zu kollaborativen Zusammenarbeit. Aufgrund der sensitiven und datenschutzrechtlich relevanten Natur vieler Daten ist dabei einiges zu beachten. Diese Handreichung erl?utert, welche Arten von Daten Sie unter welchen Voraussetzungen im System ablegen dürfen.
Die Verantwortung für die Rechtm??igkeit von Erhebung, Verarbeitung und Speicherung aller Daten liegt bei Ihnen. Ma?geblich sind die Datenschutzgesetze des Bundes und der L?nder und insbesondere die Europ?ische Datenschutzgrundverordnung (DSGVO) sowie das Urheberrecht. Im Zweifel sind stets Datenschutz- und Informationssicherheitsbeauftragte hinzuzuziehen.
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder (auch indirekt) identifizierbare natürliche Person beziehen. Das betrifft sehr viele unterschiedliche Arten von im betrieblichen Alltag anfallenden Daten. Die Rechtm??igkeit von Erhebung und Verarbeitung insbesondere im Sinne von Art. 6(1) DSGVO ist vorab sicherzustellen.
Personenbezogene Daten dürfen nur nach rechtm??iger Erhebung und unter sorgf?ltiger Abw?gung der schutzwürdigen Interessen der Betroffenen im System abgelegt werden. Im Zweifel sind Datenschutz- und Informationssicherheitsbeauftragte hinzuzuziehen und geeignete zus?tzliche Schutzma?nahmen (Verschlüsselung) zu ergreifen. Die Nutzung des Systems zur Weitergabe personenbezogener Daten an andere Stellen der Universit?t oder externe Kooperationspartner ist nur bei genereller rechtlicher Zul?ssigkeit statthaft.
Personenbezogene Daten besonderer Kategorien nach Art. 9 DSGVO
Hierbei handelt es sich um die besonders sensiblen "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religi?se oder weltanschauliche ?berzeugungen oder die Gewerkschaftszugeh?rigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person" (Art. 9(1) DSGVO). Die Verarbeitung solcher Daten ist grunds?tzlich nur unter den strengen Regelungen von Art. 9(2) DSGVO erlaubt. Vor der Erhebung, Verarbeitung oder Speicherung sind immer die zust?ndigen Datenschutz- und Informationssicherheitsbeauftragten hinzuzuziehen.
Eine Ablage solcher Daten im System und deren Weitergabe/Verteilung mit Hilfe des Systems bedarf zus?tzlicher Schutzma?nahmen und ist nur nach vorhergehender rechtlicher Kl?rung der Zul?ssigkeit erlaubt. Die Verantwortung für die Kl?rung der Zul?ssigkeit und notwendige zus?tzliche Sicherungsma?nahmen liegt ausschlie?lich beim Nutzenden.
Die Daten sind dabei immer zus?tzlich nach aktuellem Stand der Technik zu verschlüsseln. Die unverschlüsselte Ablage von "Daten besonderer Kategorien" ist ausdrücklich untersagt. Die Weitergabe solcher Daten, auch inneruniversit?r, ist zwingend vorab mit Datenschutz- und Informationssicherheitsbeauftragten abzukl?ren.
Gesch?ftskritische Daten
Gesch?ftskritische Daten sind alle Daten, die für einen fortlaufenden Gesch?ftsbetrieb notwendig sind oder bei deren Kompromittierung oder Verlust ein erheblicher wirtschaftlicher Schaden entsteht. Ablage und Verarbeitung solcher Daten sollten stets mit der n?tigen Sorgfalt erfolgen. Insbesondere ist sicherzustellen, dass stets eine hinreichende Datensicherung erfolgt.
Grunds?tzlich ist das Nextcloud-System auch zur Ablage gesch?ftskritischer Daten geeignet. Eine hohe Verfügbarkeit ist sichergestellt. Es sollte aber stets eine Synchroniserung der Daten auf den Arbeitsplatz erfolgen, damit sie auch im Falle eines Ausfalls des Serversystems zur Verfügung stehen und die betreffenden Gesch?ftsprozesse nicht unterbrochen werden. Zudem ist für solche Daten ein angemessenes Datensicherungskonzept umzusetzen. Die Verantwortung dafür liegt bei den Nutzenden.
Urheberrecht
Die unrechtm??ige Weitergabe urheberrechtlich geschützter Daten mit Hilfe des Systems ist ausdrücklich untersagt.
Sicherheit
Physikalische Sicherheit
Die Daten werden auf Speichersystemen der Universit?t abgelegt (On-Premise). Sie werden ausdrücklich nicht auf Systemen externer Anbieter (Cloud) gespeichert. Die Speichersysteme werden im Green-IT Housing-Center auf dem Campus der Universit?t betrieben. Der Zugang zu den Systemen ist nach Stand der Technik abgesichert.
Systemsicherheit
Alle beteilligten Systeme sind nach aktuellem Stand der Technik vor unberechtigtem Zugriff geschützt. Dies bedeutet ausdrücklich nicht, dass eine solcher Zugriff ausgeschlossen werden kann. Es handelt sich um ein umfangreiches und komplexes Angebot, welches naturgem?? aus dem Internet erreichbar sein muss. Sicherheitslücken, Softwarefehler und menschliches Versagen k?nnen nicht mit absoluter Sicherheit ausgeschlossen werden.
Daher ist vor der Ablage von Daten im System stets eine Risikoabw?gung durchzuführen.
Datensicherheit
Alle im System ablegten Daten werden im 澳门皇冠_皇冠足球比分-劲爆体育eren Kopien auf redundant ausgelegten Speichersystemen abgelegt. Ein Ausfall einer Hardwarekomponente führt nicht zu Datenverlust.
Das System ist derzeit nicht georedundant. Eine Katastrophensituation, die den gesamten Campus betrifft, kann zum totalen Datenverlust führen. Daher sind hochgradig gesch?ftskritische Daten zus?tzlich an einem anderen Ort zu sichern. Eine Georedundanz wird mittelfristig angestrebt.
Verfügbarkeit
S?mtliche beteilligten Systeme (Frontend-Server, Storage-Systeme, Netzwerktechnik, Energie- und Klimatechnik) sind redundant ausgelegt und hochverfügbar.
Der Betreiber ist sich der Bedeutung des Systems für die vielf?ltigen Gesch?ftsprozesse der Universit?t bewusst. Eine sehr hohe Verfügbarkeit des Systems wird angestrebt. Trotzdem k?nnen gelegentliche Ausfallszeiten nicht g?nzlich ausgeschlossen werden. Es wird daher empfohlen, für die t?gliche Arbeit wichtige Daten mit Hilfe des Nextcloud-Clients auf den eigenen Arbeitsplatz zu synchronisieren, um im Falle einer Ausfalls von Serversystemen problemfrei weiterarbeiten zu k?nnen.
Zugriff durch Mitarbeiter
Zugriff auf die abgelegten Daten haben die mit dem Betrieb betrauten Mitarbeiter des Betreibers. Ein Zugriff erfolgt nur mit Einverst?ndnis des Nutzenden (in der Regel für Supportzwecke) oder soweit es nach sorgf?ltiger Abw?gung zur Aufrechterhaltung des Systembetriebs zwingend erforderlich ist. In jedem Falle wird der Nutzende (ggf. im Nachhinein) darüber informiert.
Ausnahmen sind zwingende rechtliche Vorschriften, bspw. richterliche Auskunftsersuchen.
Backups und Datenwiederherstellung
Alle im System ablegten Daten sind in verschiedener Weise gesichert.
Alle Dateien werden versioniert und ?ltere Versionen k?nnen durch die Nutzenden eigenst?ndig wiederhergestellt werden.
Ebenso k?nnen versehentlich gel?schte Dateien k?nnen über den integrierten Papierkorb eigenst?ndig wiederhergestellt werden.
Zus?tzlich existiert ein Systembackup aller abgelegten Daten in 澳门皇冠_皇冠足球比分-劲爆体育eren Versionen, das über 澳门皇冠_皇冠足球比分-劲爆体育ere Monate zurückreicht. Es ist prim?r zur Wiederherstellung im Falle eines katastrophalen Systemausfalls gedacht - eine Wiederherstellung von Daten einzelner Nutzender muss manuell durch die Administratoren des Systems erfolgen, ist vergleichsweise aufw?ndig und sollte daher auf Ausnahmef?lle beschr?nkt bleiben.
Kontakte
Technischer Betrieb
Zentrum für Netze - Referat 10
campusserver@uni-bremen.de
Datenschutzbeauftragte
datenschutz@uni-bremen.de
218-60217
Informationssicherheitsbeauftragter
isb@uni-bremen.de
218-61350