Die Universität Passau unterstützt ihre Angehörigen und Mitglieder durch klare Vorgaben zur Dienste- und Cloudnutzung.
Einerseits bieten Cloud-Dienste im Vergleich zu lokal installierter Software die Vorteile der einfachen Verfügbarkeit und Nutzbarkeit. Andererseits ist stets für den konkreten Einzelfall sorgfältig zu prüfen, ob der betreffende Dienst für den angestrebten Verwendungszweck tatsächlich geeignet ist, sowie, ob der Dienst überhaupt eingesetzt werden darf und wo die Grenzen des erlaubten Einsatzes liegen.
Neben dem Datenschutz gibt es zahlreiche anderen Themen zu beachten. Genannt seien etwa Informationssicherheit, Haushaltsrecht, Vergaberecht, IT-Organisation, Innovation, Mitbestimmung, Vorgaben zum Forschungsdatenmanagement.
Daher hat sich die Universität eine Cloudrichtlinie gegeben. Als Service stellen wir eine rechtlich unverbindliche Lesefassung bereit.
Hinweis: Die Liste der Dienste befindet sich noch im Aufbau.
Dienste, die anonym ohne Preisgabe schützenswerter Informationen genutzt werden, sind vom Freigabeprozess ausgenommen.
Um den von Ihnen gewünschten Cloud-Dienst bewerten zu können für, bitten wir Sie, den folgenden Fragebogen zu beantworten.
Zur Vorbereitung gehen Sie bitte wie folgt vor:
Zur Erinnerung, hier sind die Stufen der Cloud-Richtlinie:
Risiko-Wert | Besonders geringes Risiko (I) | Geringes Risiko (II) | Normales Risiko (III) | Substanzielles Risiko (IV) | Hohes Risiko (V) |
---|---|---|---|---|---|
Dienste-Art | Dienste, die Inhalte über eine Netzwerkverbindung nur nach Interaktion der Nutzerinnen und Nutzer zum Download bereitstellen | Dienste, die über eine Netzwerkverbindung Inhalte auch ohne Interaktion der Nutzerinnen und Nutzer bereitstellen | Dienste, die über eine Netzwerkverbindung die hochgeladenen Inhalte der Nutzerinnen und Nutzer nur temporär verarbeiten | Dienste, die über eine Netzwerkverbindung die hochgeladenen Inhalte der Nutzerinnen und Nutzer abspeichern aber nicht in sonstiger Form verarbeiten | Dienste, die über eine Netzwerkverbindung die hochgeladenen Inhalte der Nutzerinnen und Nutzer verarbeiten und nicht nur abspeichern |
Komplexität, den Dienst zu beenden oder zu wechseln (Art. 10 BayDIG) | Es gibt zahlreiche bewährte Alternativen, die bereits parallel genutzt werden. | Es gibt einige bewährte Alternativen, die bereits parallel genutzt werden. | Es gibt einige bewährte Alternativen, die bereits parallel genutzt werden könnten. | Es bestehen nur wenige Alternativen, die noch nicht in der Praxis bewährt sind. | Es bestehen keine bewährten Alternativen, ein Ausstiegsplan ist erforderlich |
Umfang der Datenverarbeitung und der Anzahl der Betroffenen | Datenverarbeitung auf wenige Daten beschränkt, leicht überschaubar. Nur einzelne Betroffene | Datenverarbeitung für den Verantwortlichen und Nutzer überschaubar. Nur einzelne Betroffene, jedoch weniger Kontrolle durch die Universität | Datenverarbeitung für den Verantwortlichen und Nutzer noch überschaubar. Drittbetroffene denkbar
| Umfangreiche Datenverarbeitung nicht ausgeschlossen, Umfang für den Verantwortlichen und Nutzer teilweise überschaubar. Drittbetroffene denkbar
| Umfangreiche Datenverarbeitung; Umfang der Verarbeitung für den Verantwortlichen und Nutzer nicht überschaubar. Regelmäßig Drittbetroffene |
Informations-sicherheit | Kein Unterschied zum verantwortungsbewussten Surfen im Internet | Gefährdung der Integrität denkbar | Wohl kein dauerhafter Abfluss von Informationen | Abfluss von Informationen nicht ausschließbar, aber Schutzmöglichkeiten vorhanden | Abfluss von Informationen und Prozessen |
Beispiel | Microsoft eigene Onlinebilder in Office einfügen Adobe Stock Bilder
| Automatische Updates | Übersetzer in Microsoft Office, Dropbox, jedoch mit vorab verschlüssel-ten Daten | Microsoft OneDrive, Zoom Cloudaufzeichung und Whiteboard | Automatisierung von Workflows mit PowerAutomate in Microsoft 365 |
In welchem Umfang Informationen zu schützen sind, ist durch eine Klassifizierung zu ermitteln. Die Stufen sind öffentlich, intern, vertraulich und streng vertraulich.
Datenschutzrechtliche Fragen bleiben hier unberührt.
Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Wenn aus den Daten keine Identifizierbarkeit natürlicher Personen möglich ist. Nach dem Erwägungsgrund 26 DSGVO ist das der Fall wenn: „bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Johannes Nehlsen
Tel.: +49 851/509-1126
Tel.: +49 871 / 20 54 94 – 0
datenschutz@uni-passau.de