Clouddienste
Die Nutzung von Cloud-Diensten bringt gewisse Risiken mit sich. Die Rechner-Anlagen von Cloud-Dienstleistern müssen mit großem technischen und finanziellen Aufwand gewartet und abgesichert werden. Dies liegt vor allem an immer wiederkehrenden Hacker-Angriffen auf zentrale Server der bekannten Cloud-Anbieter. Diese Angriffe zielen häufig darauf ab, personenbezogene Nutzerdaten sowie auf den Storage-Servern gespeicherte Daten zu erbeuten. Außerdem ist es in den meisten Fällen unumgänglich, Konto- und Anmeldedaten wie Name, Adresse, E-Mail, Telefonnummer und Zahlungsinformationen zu hinterlegen. Und diese Daten werden selbstverständlich gespeichert, für die Bereitstellung der Dienste verwendet und zum Teil – je nach Anbieter und Datenschutzerklärung – auch weitergegeben. Ein weiteres Problem ist zudem, dass die durch die Nutzer hochgeladenen Inhalte nicht nur gespeichert oder weitergegeben werden, sondern mitunter auch kopiert, verschoben, modifiziert, ausgewertet, geloggt oder anderweitig genutzt werden.
Des Weiteren stellt insbesondere die Bereitstellung von Daten, Know-how und Technologien auf Servern außerhalb von Deutschland sowie bei der Möglichkeit des Zugriffs durch Personen aus dem Ausland einen Export dar, der unter Umständen Genehmigungspflichten oder gar Verboten unterliegt.
Bei der Frage, welche Maßnahmen ergriffen werden müssen, um eine datenschutzkonforme Anwendung zu gewährleisten, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Anbieter innerhalb der EU, unterliegt dieser dem Anwendungsbereich der DSGVO. Bei Anbietern außerhalb der EU/ des EWR müssen zwingend weitere Vorkehrungen getroffen werden.
Bitte stellen Sie für den Clouddienst einen Antrag für neue Softwareprodukte (SRV02396) im RRZ-ServicePortal.
Das Prüfverfahren für Clouddienste umfasst z. Zt. folgende Maßnahmen:
- Cloudcheckliste und AVV
- Bedarf wird geprüft und ggü. Datenschutz / Informationssicherheit bestätigt
- Anlage 1 im AVV wird von IT-Sicherheit geprüft
- Abt. 6 wird für die Prüfung der Mitbestimmung eingebunden (§ 88 Abs. 1 Nr. 32 HmbPersVG). Sollte ein MBR (Mitbestimmungsrecht) bestehen, kann die Mitbestimmung mit der nach gemäß Ziffer 4. (2) der Rahmendienstvereinbarung „Datenschutz bei Personaldaten“ notwendigen Erörterung verbunden werden. Besteht kein MBR, ist für die Mitteilung an die Personalräte keine Einbindung von Abt. 6 erforderlich, sodass die zuständigen Personalräte für die Erörterung direkt von der Fachabteilung kontaktiert werden können mit der Bitte um Mitteilung, ob Erörterungsbedarf besteht. Anders als die Mitbestimmung erfordert die Erörterung keine Zustimmung der Personalräte.
Nach Prüfung und Freigabe können wir die Beschaffung initiieren.
Weitere Informationen zu Softwarebeschaffung und Softwarebeantragung
Hinweis Vorabüberlegungen
Bereits vor der Auswahl eines IT-Services sollte ein Blick auf die datenschutzrechtlichen Informationen des Anbieters geworfen werden und es sind mögliche Alternativen zu untersuchen:
- Gibt es alternative IT-Services, die an der UHH genutzt werden und die gewünschten Funktionen abbilden?
Erkundigen Sie sich dazu gerne bei Ihrem Softwareteam im RRZ(uhh.software"AT"uni-hamburg.de). Wir beraten Sie gern. - Gibt es eine Alternative auf dem Markt, die dem Datenschutz eindeutiger gerecht wird und die gleiche benötigte Funktionalität liefert?
- Werden Informationen zum Datenschutz (z. B. Whitepaper) bereitgestellt? Angaben wie „100 % datenschutzkonform“ sind kritisch zu betrachten.
- In welchem Land sitzt der Anbieter und werden Daten außerhalb der EU/EWR verarbeitet?