Policy zur Nutzung
Allgemeines
Die Universität stellt mit Nextcloud-Sync'n'Share ein Angebot zum Teilen von Daten mit anderen Universitätsmitgliedern und externen Kooperationspartnern bereit. Das System ist ein wichtiges Instrument zu kollaborativen Zusammenarbeit. Aufgrund der sensitiven und datenschutzrechtlich relevanten Natur vieler Daten ist dabei einiges zu beachten. Diese Handreichung erläutert, welche Arten von Daten Sie unter welchen Voraussetzungen im System ablegen dürfen.
Die Verantwortung für die Rechtmäßigkeit von Erhebung, Verarbeitung und Speicherung aller Daten liegt bei Ihnen. Maßgeblich sind die Datenschutzgesetze des Bundes und der Länder und insbesondere die Europäische Datenschutzgrundverordnung (DSGVO) sowie das Urheberrecht. Im Zweifel sind stets Datenschutz- und Informationssicherheitsbeauftragte hinzuzuziehen.
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder (auch indirekt) identifizierbare natürliche Person beziehen. Das betrifft sehr viele unterschiedliche Arten von im betrieblichen Alltag anfallenden Daten. Die Rechtmäßigkeit von Erhebung und Verarbeitung insbesondere im Sinne von Art. 6(1) DSGVO ist vorab sicherzustellen.
Personenbezogene Daten dürfen nur nach rechtmäßiger Erhebung und unter sorgfältiger Abwägung der schutzwürdigen Interessen der Betroffenen im System abgelegt werden. Im Zweifel sind Datenschutz- und Informationssicherheitsbeauftragte hinzuzuziehen und geeignete zusätzliche Schutzmaßnahmen (Verschlüsselung) zu ergreifen. Die Nutzung des Systems zur Weitergabe personenbezogener Daten an andere Stellen der Universität oder externe Kooperationspartner ist nur bei genereller rechtlicher Zulässigkeit statthaft.
Personenbezogene Daten besonderer Kategorien nach Art. 9 DSGVO
Hierbei handelt es sich um die besonders sensiblen "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person" (Art. 9(1) DSGVO). Die Verarbeitung solcher Daten ist grundsätzlich nur unter den strengen Regelungen von Art. 9(2) DSGVO erlaubt. Vor der Erhebung, Verarbeitung oder Speicherung sind immer die zuständigen Datenschutz- und Informationssicherheitsbeauftragten hinzuzuziehen.
Eine Ablage solcher Daten im System und deren Weitergabe/Verteilung mit Hilfe des Systems bedarf zusätzlicher Schutzmaßnahmen und ist nur nach vorhergehender rechtlicher Klärung der Zulässigkeit erlaubt. Die Verantwortung für die Klärung der Zulässigkeit und notwendige zusätzliche Sicherungsmaßnahmen liegt ausschließlich beim Nutzenden.
Die Daten sind dabei immer zusätzlich nach aktuellem Stand der Technik zu verschlüsseln. Die unverschlüsselte Ablage von "Daten besonderer Kategorien" ist ausdrücklich untersagt. Die Weitergabe solcher Daten, auch inneruniversitär, ist zwingend vorab mit Datenschutz- und Informationssicherheitsbeauftragten abzuklären.
Geschäftskritische Daten
Geschäftskritische Daten sind alle Daten, die für einen fortlaufenden Geschäftsbetrieb notwendig sind oder bei deren Kompromittierung oder Verlust ein erheblicher wirtschaftlicher Schaden entsteht. Ablage und Verarbeitung solcher Daten sollten stets mit der nötigen Sorgfalt erfolgen. Insbesondere ist sicherzustellen, dass stets eine hinreichende Datensicherung erfolgt.
Grundsätzlich ist das Nextcloud-System auch zur Ablage geschäftskritischer Daten geeignet. Eine hohe Verfügbarkeit ist sichergestellt. Es sollte aber stets eine Synchroniserung der Daten auf den Arbeitsplatz erfolgen, damit sie auch im Falle eines Ausfalls des Serversystems zur Verfügung stehen und die betreffenden Geschäftsprozesse nicht unterbrochen werden. Zudem ist für solche Daten ein angemessenes Datensicherungskonzept umzusetzen. Die Verantwortung dafür liegt bei den Nutzenden.
Urheberrecht
Die unrechtmäßige Weitergabe urheberrechtlich geschützter Daten mit Hilfe des Systems ist ausdrücklich untersagt.
Sicherheit
Physikalische Sicherheit
Die Daten werden auf Speichersystemen der Universität abgelegt (On-Premise). Sie werden ausdrücklich nicht auf Systemen externer Anbieter (Cloud) gespeichert. Die Speichersysteme werden im Green-IT Housing-Center auf dem Campus der Universität betrieben. Der Zugang zu den Systemen ist nach Stand der Technik abgesichert.
Systemsicherheit
Alle beteilligten Systeme sind nach aktuellem Stand der Technik vor unberechtigtem Zugriff geschützt. Dies bedeutet ausdrücklich nicht, dass eine solcher Zugriff ausgeschlossen werden kann. Es handelt sich um ein umfangreiches und komplexes Angebot, welches naturgemäß aus dem Internet erreichbar sein muss. Sicherheitslücken, Softwarefehler und menschliches Versagen können nicht mit absoluter Sicherheit ausgeschlossen werden.
Daher ist vor der Ablage von Daten im System stets eine Risikoabwägung durchzuführen.
Datensicherheit
Alle im System ablegten Daten werden im mehreren Kopien auf redundant ausgelegten Speichersystemen abgelegt. Ein Ausfall einer Hardwarekomponente führt nicht zu Datenverlust.
Das System ist derzeit nicht georedundant. Eine Katastrophensituation, die den gesamten Campus betrifft, kann zum totalen Datenverlust führen. Daher sind hochgradig geschäftskritische Daten zusätzlich an einem anderen Ort zu sichern. Eine Georedundanz wird mittelfristig angestrebt.
Verfügbarkeit
Sämtliche beteilligten Systeme (Frontend-Server, Storage-Systeme, Netzwerktechnik, Energie- und Klimatechnik) sind redundant ausgelegt und hochverfügbar.
Der Betreiber ist sich der Bedeutung des Systems für die vielfältigen Geschäftsprozesse der Universität bewusst. Eine sehr hohe Verfügbarkeit des Systems wird angestrebt. Trotzdem können gelegentliche Ausfallszeiten nicht gänzlich ausgeschlossen werden. Es wird daher empfohlen, für die tägliche Arbeit wichtige Daten mit Hilfe des Nextcloud-Clients auf den eigenen Arbeitsplatz zu synchronisieren, um im Falle einer Ausfalls von Serversystemen problemfrei weiterarbeiten zu können.
Zugriff durch Mitarbeiter
Zugriff auf die abgelegten Daten haben die mit dem Betrieb betrauten Mitarbeiter des Betreibers. Ein Zugriff erfolgt nur mit Einverständnis des Nutzenden (in der Regel für Supportzwecke) oder soweit es nach sorgfältiger Abwägung zur Aufrechterhaltung des Systembetriebs zwingend erforderlich ist. In jedem Falle wird der Nutzende (ggf. im Nachhinein) darüber informiert.
Ausnahmen sind zwingende rechtliche Vorschriften, bspw. richterliche Auskunftsersuchen.
Backups und Datenwiederherstellung
Alle im System ablegten Daten sind in verschiedener Weise gesichert.
Alle Dateien werden versioniert und ältere Versionen können durch die Nutzenden eigenständig wiederhergestellt werden.
Ebenso können versehentlich gelöschte Dateien können über den integrierten Papierkorb eigenständig wiederhergestellt werden.
Zusätzlich existiert ein Systembackup aller abgelegten Daten in mehreren Versionen, das über mehrere Monate zurückreicht. Es ist primär zur Wiederherstellung im Falle eines katastrophalen Systemausfalls gedacht - eine Wiederherstellung von Daten einzelner Nutzender muss manuell durch die Administratoren des Systems erfolgen, ist vergleichsweise aufwändig und sollte daher auf Ausnahmefälle beschränkt bleiben.
Kontakte
Technischer Betrieb
Zentrum für Netze - Referat 10
campusserver@uni-bremen.de
Datenschutzbeauftragte
datenschutz@uni-bremen.de
218-60217
Informationssicherheitsbeauftragter
isb@uni-bremen.de
218-61350