Benutzungsordnung des Regionalen Rechenzentrums
Verwaltungsanordnung der Universität Hamburg vom Juni 2005
Als Direktor des Regionalen Rechenzentrums erlasse ich die nachstehende Benutzungsordnung des Regionalen Rechenzentrums der Universität Hamburg als Verwaltungsanordnung.
Prof. Dr.-Ing. Karl Kaiser
Präambel
Diese Benutzungsordnung soll die möglichst störungsfreie, ungehinderte und sichere Nutzung der Kommunikations- und IT-Infrastruktur des RRZ gewährleisten. Die Benutzungsordnung orientiert sich an den gesetzlich festgelegten Aufgaben der Universität Hamburg sowie an ihrem Mandat zur Wahrung der akademischen Freiheit. Sie stellt Grundregeln für einen ordnungsgemäßen Betrieb der IT-Infrastruktur auf und regelt so das Nutzungsverhältnis zwischen den einzelnen nutzenden Personen und dem RRZ.
§ 1 Geltungsbereich
Diese Benutzungsordnung gilt für die Nutzung der Informationsverarbeitungs-Infrastruktur des RRZ, bestehend aus den Datenverarbeitungsanlagen, Kommunikationssystemen und sonstigen Einrichtungen zur rechnergestützten Informationsverarbeitung, die dem RRZ unterstellt sind. Für Beschäftigte der Universität Hamburg gehen die arbeits- und dienstrechtlichen Regelungen dieser Benutzungsordnung im Zweifel vor.
§ 2 Nutzungsberechtigung und Zulassung zur Nutzung
1. Zur Nutzung der Dienste des RRZ können zugelassen werden:
a. Mitglieder, Angehörige, und Einrichtungen einschließlich der Verwaltung der Universität Hamburg;
b. Beauftragte der Universität Hamburg zur Erfüllung ihrer Dienstaufgaben;
c. Angehörige anderer Hochschulen der Freien und Hansestadt Hamburg (FHH) oder staatlichen Hochschulen außerhalb der FHH aufgrund besonderer Vereinbarungen;
d. sonstige staatliche Forschungs- und Bildungseinrichtungen und Behörden der FHH aufgrund besonderer Vereinbarungen;
e. Studentenwerke in der FHH;
f. Sonstige juristische oder natürliche Personen, sofern hierdurch die Belange der unter a. bis e. genannten nutzenden Personen nicht beeinträchtigt werden.
2. Die Zulassung erfolgt ausschließlich zu wissenschaftlichen Zwecken in Forschung, Lehre und Studium, für Zwecke der Bibliothek und der universitären Verwaltung, Aus- und Weiterbildung sowie zur Erfüllung sonstiger Aufgaben der Universität Hamburg. Eine hiervon abweichende Nutzung kann zugelassen werden, wenn sie geringfügig ist und die Zweckbestimmung des RRZ sowie die Belange der anderen nutzenden Personen nicht beeinträchtigt werden. Eine kommerzielle Anwendung und Nutzung sind unzulässig.
3. Die Zulassung zur Nutzung der Einrichtungen und Dienste des RRZ erfolgt durch Erteilung einer Nutzungserlaubnis. Diese wird vom RRZ schriftlich auf Antrag der nutzenden Person erteilt.
4. Der Antrag soll unter Verwendung eines vom Rechenzentrum vorgegebenen Formblatts folgende Angaben enthalten:
a. Name, Anschrift und Unterschrift des Antragstellers /der Antragstellerin sowie den Status als Studierende/r, Mitarbeiter/in, Einrichtung oder sonstige/r Benutzer/in im Sinne von Nr. 1;
b. Beschreibung des Nutzungszwecks bzw. des geplanten Vorhabens;
c. Gewünschte DV-Ressourcen
d. Sofern personenbezogene Daten durch die nutzende Person verarbeitet werden, Abgabe einer entsprechenden Erklärung;
e. Anerkennung dieser Benutzungsordnung sowie der vom RRZ erlassenen Betriebsregelungen als Grundlage des Nutzungsverhältnisses;
f. Anerkennung der jeweils geltenden Kosten- und Entgeltordnung.
Weitere Angaben dürfen nur erhoben werden, soweit dies zur Entscheidung über den Zulassungsantrag erforderlich ist.
5. Die Nutzungserlaubnis ist auf das beantragte Vorhaben bzw. bei persönlichen Kennungen von Studierenden auf das Semester beschränkt und kann zeitlich befristet werden.
6. Zur Gewährleistung eines ordnungsgemäßen und störungsfreien Betriebs kann die Nutzungserlaubnis überdies mit einer Begrenzung der Rechen- und Onlinezeit sowie mit anderen nutzungsbezogenen Bedingungen und Auflagen verbunden werden.
7. Das RRZ kann die Zulassung zur Nutzung überdies vom Nachweis bestimmter Kenntnisse über die Benutzung der gewünschten Datenverarbeitungssysteme und DV-Dienste abhängig machen.
8. Wenn die Kapazitäten der DV-Ressourcen nicht ausreichen, um allen Nutzungsberechtigten gerecht zu werden, können die Betriebsmittel für die einzelnen nutzenden Personen entsprechend der Reihenfolge in Nr. 1 kontingentiert werden.
9. Die Nutzungserlaubnis kann ganz oder teilweise versagt, widerrufen oder nachträglich beschränkt werden, insbesondere wenn
a. kein ordnungsgemäßer Antrag vorliegt oder die Angaben im Antrag nicht oder nicht mehr zutreffen;
b. die Voraussetzungen für eine ordnungsgemäße Benutzung der DV-Einrichtungen nicht oder nicht mehr gegeben sind;
c. die nutzungsberechtigte Person nach § 4 von der Benutzung ausgeschlossen worden ist;
d. das geplante Vorhaben der nutzenden Person nicht mit den Aufgaben des RRZ und den in Nr. 2 genannten Zwecken vereinbar ist;
e. die vorhandenen DV-Ressourcen für die beantragte Nutzung ungeeignet oder für besondere Zwecke reserviert sind;
f. die Kapazität der Ressourcen, deren Nutzung beantragt wird, wegen einer bereits bestehenden Auslastung für die geplante Nutzung nicht ausreicht;
g. die zu benutzenden DV-Komponenten an ein Netz angeschlossen sind, das besonderen Datenschutzerfordernissen genügen muss und kein sachlicher Grund für die geplante Nutzung ersichtlich ist;
h. zu erwarten ist, dass durch die beantragte Nutzung andere berechtigte Vorhaben in unangemessener Weise beeinträchtigt werden.
§ 3 Rechte und Pflichten der nutzenden Personen
1. Die nutzungsberechtigten Personen haben das Recht, die Einrichtungen, Datenverarbeitungsanlagen und Informations- und Kommunikationssysteme des RRZ im Rahmen der Zulassung und nach Maßgabe dieser Benutzungsordnung zu nutzen.
Eine hiervon abweichende Nutzung bedarf einer gesonderten Zulassung.
2. Die nutzenden Personen sind verpflichtet,
a. die Vorgaben der Benutzungsordnung zu beachten und die Grenzen der Nutzungserlaubnis einzuhalten, insbesondere die Nutzungszwecke nach § 2 Nr. 2 zu beachten;
b. alles zu unterlassen, was den ordnungsgemäßen Betrieb der DV-Einrichtungen des RRZ oder Dritter stört;
c. alle Datenverarbeitungsanlagen, Informations- und Kommunikationssysteme und sonstigen Einrichtungen des RRZ sorgfältig und schonend zu behandeln;
d. beim Einsatz von privaten Systemen und deren Betrieb am Kommunikationsnetz der Universität Hamburg eine besondere Sorgfalt walten zu lassen;
e. ausschließlich mit den Benutzungskennungen zu arbeiten, deren Nutzung ihnen im Rahmen der Zulassung gestattet wurde;
f. dafür Sorge zu tragen, dass keine anderen Personen Kenntnis von den Benutzerpasswörtern erlangen, sowie Vorkehrungen zu treffen, damit unberechtigten Personen der Zugang zu den DV-Ressourcen des RRZ verwehrt wird; dazu gehört auch der Schutz des Zugangs durch ein geheim zu haltendes und geeignetes, d.h. nicht einfach zu erratendes Passwort, das möglichst regelmäßig geändert werden sollte;
g. fremde Benutzerkennungen und Passwörter weder zu ermitteln noch zu nutzen;
h. keinen unberechtigten Zugriff auf Informationen anderer nutzender Personen zu nehmen und bekannt gewordene Informationen anderer nutzender Personen nicht ohne Genehmigung weiterzugeben, selbst zu nutzen oder zu verändern;
i. bei der Benutzung von Software, Dokumentationen und anderen Daten die gesetzlichen Vorgaben, insbesondere zum Urheberrechtsschutz, einzuhalten und die Lizenzbedingungen, unter denen Software, Dokumentationen und Daten vom RRZ zur Verfügung gestellt werden, zu beachten;
j. vom RRZ bereitgestellte Software, Dokumentationen und Daten weder zu kopieren noch an Dritte weiterzugeben, sofern dies nicht ausdrücklich erlaubt ist, noch zu anderen als den erlaubten Zwecken zu nutzen;
k. in den Räumen des RRZ den Weisungen des Personals Folge zu leisten und die Hausordnung des RRZ zu beachten;
l. die Benutzungsberechtigung auf Verlangen nachzuweisen;
m. Störungen, Beschädigungen und Fehler an DV-Einrichtungen und Datenträgern des RRZ nicht selbst zu beheben, sondern unverzüglich dem RRZ-Personal zu melden;
n. ohne ausdrückliche Einwilligung des RRZ keine Eingriffe in die Hardwareinstallation des RRZ vorzunehmen und die Konfiguration der Betriebssysteme, der Systemdateien, der systemrelevanten Nutzerdateien und des Netzwerks nicht zu verändern;
o. der RRZ-Leitung auf Verlangen in begründeten Einzelfällen – insbesondere bei begründetem Missbrauchsverdacht und zur Störungsbeseitigung – zu Kontrollzwecken Auskünfte über Programme und benutzte Methoden zu erteilen sowie Einsicht in die Programme zu gewähren;
p. eine Verarbeitung personenbezogener Daten mit dem RRZ abzustimmen und – unbeschadet der eigenen datenschutzrechtlichen Verpflichtungen der nutzenden Person – die vom RRZ vorgeschlagenen Datenschutz- und Datensicherheitsvorkehrungen zu berücksichtigen;
3. Auf die folgenden Straftatbestände wird besonders hingewiesen:
a. Ausspähen von Daten (§ 202a StGB);
b. Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB);
c. Computerbetrug (§ 263a StGB);
d. Verbreitung pornographischer Darstellungen (§ 184 StGB), insbesondere Abruf oder Besitz kinderpornographischer Darstellungen (§ 184 Abs. 5 StGB);
e. Verbreitung von Propagandamitteln verfassungswidriger Organisationen (§ 86 StGB) und Volksverhetzung (§ 130 StGB);
f. Ehrdelikte wie Beleidigung oder Verleumdung (§§ 185 ff. StGB);
g. Strafbare Urheberrechtsverletzungen, z.B. durch urheberrechtswidrige Vervielfältigung von Software (§§ 106 ff. UrhG).
§ 4 Ausschluss von der Nutzung
1. Nutzende Personen können vorübergehend oder dauerhaft in der Benutzung der DV-Ressourcen beschränkt oder hiervon ausgeschlossen werden, wenn
a. sie schuldhaft gegen diese Benutzungsordnung, insbesondere gegen die in § 3 aufgeführten Pflichten, verstoßen (missbräuchliches Verhalten) oder
b. der dringende Verdacht besteht, dass sie die DV-Ressourcen des Rechenzentrums für strafbare Handlungen missbrauchen oder
c. der Hochschule durch sonstiges rechtswidriges Nutzerverhalten Nachteile entstehen,
d. der Benutzer sich bei der Beseitigung von Störungen unkooperativ verhält (beispielsweise durch Missachtung oder Verzögerung von Anweisungen des RRZ-Personals zur Störungsbeseitigung).
2. Sofern nicht Fälle nach § 3 Nr. 3 vorliegen oder dies zur Aufrechterhaltung eines störungsfreien Betriebs erforderlich erscheint, sollen Maßnahmen nach Nr. 1 erst nach vorheriger erfolgloser Abmahnung erfolgen. Dem/der Betroffenen ist Gelegenheit zur Stellungnahme zu geben. Er/sie kann den Schlichter des Senatsausschusses für Datenverarbeitung um Vermittlung bitten. In jedem Fall ist ihm/ihr Gelegenheit zur Sicherung seiner/ihrer Daten einzuräumen.
3. Vorübergehende Nutzungseinschränkungen, über die die Direktorin / der Direktor des RRZ oder von ihm/ihr beauftragtes Personal des RRZ entscheidet, sind aufzuheben, sobald eine ordnungsgemäße Nutzung wieder gewährleistet erscheint.
4. Eine dauerhafte Nutzungseinschränkung oder der vollständige Ausschluss einer nutzenden Person von der weiteren Nutzung kommt nur bei schwerwiegenden oder wiederholten Verstößen i.S.v. Nr. 1 in Betracht, wenn auch künftig ein ordnungsgemäßes Verhalten nicht mehr zu erwarten ist. Die Entscheidung über einen dauerhaften Ausschluss trifft der Kanzler auf Antrag der Direktorin / des Direktors des RRZ und nach Anhörung des SenADV durch Bescheid. Mögliche Ansprüche des RRZ aus dem Nutzungsverhältnis bleiben unberührt.
§ 5 Rechte und Pflichten des RRZ
Das RRZ führt über die erteilten Benutzungsberechtigungen eine Nutzerdatei, in der die Benutzer- und Mailkennungen, die genehmigten Ressourcen sowie der Name und die Anschrift der zugelassenen nutzenden Personen aufgeführt werden.
1. Soweit dies zur Störungsbeseitigung, zur Systemadministration und -erweiterung oder aus Gründen der Systemsicherheit sowie zum Schutz der Nutzerdaten erforderlich ist, kann das RRZ die Nutzung der Ressourcen vorübergehend einschränken oder einzelne Nutzerkennungen vorübergehend sperren. Sofern möglich, sind die betroffenen nutzenden Personen hierüber im voraus zu unterrichten.
2. Sofern tatsächliche Anhaltspunkte dafür vorliegen, dass eine nutzende Person auf den Systemen des RRZ rechtswidrige Inhalte zur Nutzung bereithält, kann das RRZ die weitere Nutzung verhindern, bis die Rechtslage hinreichend geklärt ist.
3. Das RRZ ist berechtigt, die Sicherheit der System-/Benutzerpasswörter und der Nutzerdaten sowie die Sicherheit der am Netz der UHH angeschlossenen Systeme durch regelmäßige manuelle oder automatisierte Maßnahmen zu überprüfen und notwendige Schutzmaßnahmen, z.B. Änderungen leicht zu erratender Passwörter, durchzuführen, um die DV-Ressourcen und Benutzerdaten vor unberechtigten Zugriffen Dritter zu schützen. Bei erforderlichen Änderungen der Benutzerpasswörter, der Zugriffsberechtigungen auf Nutzerdateien und sonstigen nutzungsrelevanten Schutzmaßnahmen ist die nutzende Person oder ein für den betroffenen Bereich verantwortlicher Dritter hiervon unverzüglich in Kenntnis zu setzen.
4. Das RRZ ist nach Maßgabe der nachfolgenden Regelungen berechtigt, die Inanspruchnahme der Datenverarbeitungssysteme durch die einzelnen nutzenden Personen zu dokumentieren und auszuwerten, jedoch nur soweit dies erforderlich ist
a. zur Gewährleistung eines ordnungsgemäßen Systembetriebs,
b. zum Schutz der personenbezogenen Daten anderer nutzenden Personen,
c. zu Abrechnungszwecken,
d. für das Erkennen und Beseitigen von Störungen oder
e. zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung.
5. Sofern tatsächliche Anhaltspunkte vorliegen, ist das RRZ unter den Voraussetzungen von Nr. 4 auch berechtigt, unter Beachtung des Datengeheimnisses Einsicht in die Benutzerdateien zu nehmen, soweit dies erforderlich ist zur Beseitigung aktueller Störungen oder zur Aufklärung und Unterbindung von Missbräuchen.
Eine Einsichtnahme in die Nachrichten- und E-Mail-Postfächer ist jedoch nur zulässig, soweit dies zur Behebung aktueller Störungen im Nachrichtendienst unerlässlich ist.
In jedem Fall ist die Einsichtnahme zu dokumentieren und die betroffene nutzende Person ist nach Zweckerreichung unverzüglich zu benachrichtigen.
6. Unter den Voraussetzungen von Nr. 4 können auch die Verbindungs- und Nutzungsdaten im Nachrichtenverkehr (insbes. Mail-Nutzung) dokumentiert werden. Es dürfen jedoch nur die näheren Umstände der Telekommunikation – nicht aber die nicht-öffentlichen Kommunikationsinhalte – erhoben, verarbeitet und genutzt werden. Zur Abwehr von Viren und Spam-Attacken ist das RRZ berechtigt, die geeigneten technischen Maßnahmen (z.B. Virenscanner und Spamfilter) einzusetzen.
Die Verbindungs- und Nutzungsdaten der Online-Aktivitäten im Internet und sonstigen Telediensten, die das Rechenzentrum zur Nutzung bereithält oder zu denen das Rechenzentrum den Zugang zur Nutzung vermittelt, sind frühestmöglich zu löschen, soweit es sich nicht um Abrechnungsdaten handelt.
7. Nach Maßgabe der gesetzlichen Bestimmungen ist das RRZ zur Wahrung des Telekommunikations- und Datengeheimnisses verpflichtet.
§ 6 Haftung der nutzenden Person
1. Die nutzende Person haftet für alle Nachteile, die der Universität Hamburg durch missbräuchliche oder rechtswidrige Verwendung der DV-Ressourcen und Nutzungsberechtigung oder dadurch entstehen, dass die nutzende Person schuldhaft ihren Pflichten aus dieser Benutzungsordnung nicht nachkommt.
2. Die nutzende Person haftet auch für Schäden, die im Rahmen der ihr zur Verfügung gestellten Zugriffs- und Nutzungsmöglichkeiten durch Drittnutzung entstanden sind, wenn sie diese Drittnutzung zu vertreten hat, insbesondere im Falle einer Weitergabe ihrer Benutzerkennung an Dritte. In diesem Fall kann die Universität Hamburg von der nutzenden Person nach Maßgabe der Entgeltordnung ein Nutzungsentgelt für die Drittnutzung verlangen.
3. Die nutzende Person hat die Universität Hamburg von allen Ansprüchen freizustellen, wenn Dritte die Universität Hamburg wegen eines missbräuchlichen oder rechtswidrigen Verhaltens der nutzenden Person auf Schadensersatz, Unterlassung oder in sonstiger Weise in Anspruch genommen wird. Die Universität Hamburg wird der nutzenden Person den Streit erklären, sofern Dritte gegen das RRZ gerichtlich vorgehen.
§ 7 Haftung der Universität Hamburg
1. Die Universität Hamburg übernimmt keine Garantie dafür, dass die Systeme fehlerfrei und jederzeit ohne Unterbrechung laufen. Eventuelle Datenverluste infolge technischer Störungen sowie die Kenntnisnahme vertraulicher Daten durch unberechtigte Zugriffe Dritter können nicht ausgeschlossen werden.
2. Die Universität Hamburg übernimmt keine Verantwortung für die Richtigkeit der zur Verfügung gestellten Programme. Die Universität Hamburg haftet auch nicht für den Inhalt, insbesondere für die Richtigkeit, Vollständigkeit und Aktualität der Informationen, zu denen sie lediglich den Zugang zur Nutzung vermittelt.
3. Die Universität Hamburg übernimmt keine Haftung für Schäden an privaten Systemen, die das Kommunikationsnetz der Universität Hamburg nutzen.
4. Im Übrigen haftet die Universität Hamburg nur bei Vorsatz und/oder grober Fahrlässigkeit ihrer Mitarbeiter/innen, es sei denn, dass eine schuldhafte Verletzung wesentlicher Kardinalpflichten vorliegt. In diesem Fall ist die Haftung der Universität Hamburg auf typische, bei Begründung des Nutzungsverhältnisses vorhersehbare Schäden begrenzt, soweit nicht vorsätzliches oder grob fahrlässiges Handeln vorliegt.
5. Mögliche Amtshaftungsansprüche gegen die Universität Hamburg bleiben von den vorstehenden Regelungen unberührt.