Logo der Universität Passau

Cloud-Dienste

Die Universität Passau unterstützt ihre Angehörigen und Mitglieder durch klare Vorgaben zur Dienste- und Cloudnutzung.

Einerseits bieten Cloud-Dienste im Vergleich zu lokal installierter Software die Vorteile der einfachen Verfügbarkeit und Nutzbarkeit. Andererseits ist stets für den konkreten Einzelfall sorgfältig zu prüfen, ob der betreffende Dienst für den angestrebten Verwendungszweck tatsächlich geeignet ist, sowie, ob der Dienst überhaupt eingesetzt werden darf und wo die Grenzen des erlaubten Einsatzes liegen.

Neben dem Datenschutz gibt es zahlreiche anderen Themen zu beachten. Genannt seien etwa Informationssicherheit, Haushaltsrecht, Vergaberecht, IT-Organisation, Innovation, Mitbestimmung, Vorgaben zum Forschungsdatenmanagement.

Daher hat sich die Universität eine Cloudrichtlinie gegeben. Als Service stellen wir eine rechtlich unverbindliche Lesefassung bereit.

Lesefassung der Cloudrichtlinie (Link)

Allgemeine Grundsätze der Cloudnutzung an der Universität Passau

  • Defensiver Umgang, wenn lokale Alternativen zur Verfügung stehen
  • Vorrangig zentral verwaltete Clouddienste der Universität nutzen
  • Sichere Verschlüsslungsverfahren nutzen
  • Informationen klassifizieren
  • Diensterisiko durch Dienstkelassen ermitteln

Freigegebene Cloud-Dienste

Hinweis: Die Liste der Dienste befindet sich noch im Aufbau.

Grundsätzlich erlaubte Cloud-Dienste:

Dienste, die anonym ohne Preisgabe schützenswerter Informationen genutzt werden, sind vom Freigabeprozess ausgenommen.

Zentral freigebene Cloud-Dienste

  • Bayern Collab, Dienste Klasse III, Vertraulichkeit bis intern
  • DFN-Terminplaner, Dienste Klasse III, Vertraulichkeit bis intern (bei Passwortschutz)
  • Gigamove RWTH Aachen, Dienste Klasse II, Vertraulichkeit bis intern (bei Passwortschutz)
  • Microsoft 365 (beschränkte Diensteauswahl), Dienste Klasse IV, Vertraulichkeit bis intern
  • Skype for Business (Kommunikation) Dienste Klasse V, Vertraulichkeit bis streng vertraulich
  • Sync&Share Dienste Klasse III, Vertraulichkeit bis intern
  • Vibe Dienste Klasse IV, Vertraulichkeit bis vertraulich
  • Zoom X (Meeting, Chat, Webinar) Dienste Klasse III, Vertraulichkeit bis vertraulich
  • Zoom X (Whiteboard, Aufzeichnung) Dienste Klasse IV, Vertraulichkeit bis intern

Unter individueller Verwaltung Freigebene Cloud-Dienste

  • Dropbox für Teams (nur Speicher), Dienste Klasse III, Vertraulichkeit bis intern
  • F4X zur Transskription, Dienste Klasse III, Vertraulichkeit bis vertraulich

Vorbereitung zur Freigabe neuer Dienste

Um den von Ihnen gewünschten Cloud-Dienst bewerten zu können für, bitten wir Sie, den folgenden Fragebogen zu beantworten.

Zur Vorbereitung gehen Sie bitte wie folgt vor:

  1. Prüfen Sie, ob der Service nicht bereits an der Universität Passau verfügbar ist oder eine ausreichende Alternative zur Verfügung steht.
  2. Wenn dies nicht der Fall ist, lesen Sie bitte die Cloud-Richtlinie der Universität Passau sorgfältig durch.
  3. Fordern Sie bei dem Cloud-Anbieter die datenschutzrechtlichen Verträge (standardmäßig ist dies der Vertrag zur Auftragsverarbeitung (AVV) gem. Art. 28 Datenschutz-Grundverordnung (DSGVO) inkl. Technischer und Organisatorischer Maßnahmen (TOMs) an. Hierzu gibt es zwei Möglichkeiten:
    1. Sie fordern diese direkt bei Ihrem Ansprechpartner des Cloud-Anbieters an; oder
    2. Sie recherchieren auf der Webseite des Cloud-Anbieters den Begriff „Endbenutzer-Lizenzvereinbarung“ und „Vertrag zur Auftragsverarbeitung“ (AVV)

Cloud-Richtlinie Tabelle

Zur Erinnerung, hier sind die Stufen der Cloud-Richtlinie:

Risiko-Wert

Besonders geringes Risiko (I)

Geringes Risiko (II)

Normales Risiko (III)

Substanzielles Risiko (IV)

Hohes Risiko (V)

Dienste-Art

Dienste, die Inhalte über eine Netzwerkverbindung nur nach Interaktion der Nutzerinnen und Nutzer zum Download bereitstellen

Dienste, die über eine Netzwerkverbindung Inhalte auch ohne Interaktion der Nutzerinnen und Nutzer bereitstellen

Dienste, die über eine Netzwerk­verbindung die hoch­geladenen Inhalte der Nutzerinnen und Nutzer nur temporär verarbeiten

Dienste, die über eine Netzwerk­­verbindung die hochgeladenen Inhalte der Nutzerinnen und Nutzer abspeichern aber nicht in sonstiger Form verarbeiten

Dienste, die über eine Netzwerk­verbindung die hoch­geladenen Inhalte der Nutzerinnen und Nutzer verarbeiten und nicht nur abspeichern

Komplexität, den Dienst zu beenden oder zu wechseln (Art. 10 BayDIG)

Es gibt zahlreiche bewährte Alternativen, die bereits parallel genutzt werden.

Es gibt einige bewährte Alternativen, die bereits parallel genutzt werden.

Es gibt einige bewährte Alter­nativen, die bereits parallel genutzt werden könnten.

Es bestehen nur wenige Alternativen, die noch nicht in der Praxis bewährt sind.

Es bestehen keine bewährten Alternativen, ein Ausstiegsplan ist erforderlich

Umfang der Daten­verarbeitung und der Anzahl der Betroffenen

Daten­­verarbeitung auf wenige Daten beschränkt, leicht überschaubar.

Nur einzelne Betroffene

Date­n­­verarbeitung für den Verantwort­lichen und Nutzer überschaubar.

Nur einzelne Betroffene, jedoch weniger Kontrolle durch die Universität

Daten­verarbeitung für den Verantwort­­lichen und Nutzer noch überschaubar.

Dritt­betroffene denkbar

 

Umfang­reiche Daten­verarbeitung nicht ausgeschlossen, Umfang für den Verantwort­lichen und Nutzer teilweise überschaubar.

Drittbetroffene denkbar

 

Umfangreiche Daten­verarbeitung;

Umfang der Verarbeitung für den Verantwortl­ichen und Nutzer nicht überschaubar.

Regelmäßig Drittbetroffene

Informations-sicherheit

Kein Unterschied zum verant­wortungs­bewussten Surfen im Internet

Gefährdung der Integrität denkbar

Wohl kein dauerhafter Abfluss von Informationen

Abfluss von Informationen nicht ausschließbar, aber Schutz­möglich­keiten vorhanden

Abfluss von Informationen und Prozessen

Beispiel

Microsoft eigene Onlinebilder in Office einfügen

Adobe Stock Bilder

 

Automa­tische Updates

Übersetzer in Microsoft Office, Dropbox, jedoch mit vorab verschlüssel-ten Daten

Microsoft OneDrive, Zoom Cloud­aufzeichung und Whiteboard

Automa­tisierung von Workflows mit Power­Automate in Microsoft 365

Was sind schützenswerte Informationen?

In welchem Umfang Informationen zu schützen sind, ist durch eine Klassifizierung zu ermitteln. Die Stufen sind öffentlich, intern, vertraulich und streng vertraulich.

Datenschutzrechtliche Fragen bleiben hier unberührt.

Was sind personenbezogene Daten?

Gemäß Art. 4 Nr. 1 DSGVO sind  personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Was sind anonymisierte Daten?

Wenn aus den Daten keine Identifizierbarkeit natürlicher Personen möglich ist. Nach dem Erwägungsgrund 26 DSGVO ist das der Fall wenn: „bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Fragebogen zum Einsatz von Cloud-Diensten

Grundsätzliche Informationen

Welche Person ist für den Einsatz der Cloud-Anwendung verantwortlich?

Die verantwortliche Person muss auch nachträgliche Erweiterungen und Änderungen der Einsatzzwecke dem/der Datenschutzbeauftragten und dem/der Informationssicherheitsbeauftragten mitteilen.

Externer Datenschutz­beauftragter

Johannes Nehlsen
Tel.: +49 851/509-1126
Tel.: +49 871 / 20 54 94 – 0
datenschutz@uni-passau.de

Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von Vimeo hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von YouTube hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Video anzeigen