Nutzung von Cloud-Diensten
Was ist erlaubt und warum gibt es Verbote?
Die Nutzung von Cloud-Speichern bietet unbestreitbare Vorteile, wie bspw. st��ndigen Zugriff von ��berall und einfache Zusammenarbeit mehrerer Personen. Dennoch birgt sie erhebliche Risiken, insbesondere im Hinblick auf den Schutz personenbezogener Daten und die Datensicherheit.
Schutz dienstlicher personenbezogener Daten
Die Verarbeitung (inkl. Speicherung) personenbezogener Daten Dritter in Cloud-Diensten externer Anbieter ist nicht zul��ssig. Hierauf m��ssen die Nutzenden achten!
Die geltende DSGVO fordert wegen des Personenbezugs ein hohes Schutzniveau f��r solche Daten ein. Viele externe Anbieter speichern die in der Cloud hinterlegten Daten jedoch auf Servern au��erhalb der EU oder des Europ��ischen Wirtschaftsraums (EWR). In diesen sogenannten "Drittl��ndern" ist das Datenschutzniveau i.d.R. nicht mit dem der DSGVO vergleichbar (fehlender Angemessenheitsbeschluss, unzureichende Garantien, etc.). Eine ��bermittlung personenbezogener Daten w��re daher nur zul��ssig, wenn dem Nutzenden/der OVGU rechtssichere Garantien des Anbieters zum Schutz von ihm in der Cloud verarbeiteter personenbezogener Daten vorliegen. Fehlen solche Garantien, stellt das Speichern personenbezogener Daten Dritter in der externen Cloud, wenn durch Mitarbeitende der OVGU so verfahren w��rde, automatisch eine Verletzung des Schutzes personenbezogener Daten und damit einen Versto�� gegen die DSGVO dar, der dem Nutzenden bzw. der OVGU zuzurechnen w��re. Es besteht das Risiko unrechtm����iger Zugriffe, auch durch Beh��rden in Drittl��ndern, was den Grunds��tzen der Vertraulichkeit und Integrit��t widerspricht.
Um die Vorteile eines Cloud-Dienstes datenschutzkonform nutzen zu k��nnen, gibt es eine interne L��sung: Die ovgu-cloud. Abgesehen davon, dass sich die Server direkt vor Ort - verantwortet vom URZ - befinden, gelten u.a. Auflagen gegen��ber den Nutzenden: Freigabeeinstellungen m��ssen bspw. korrekt konfiguriert sein, um unbefugten Zugriff Dritter zu verhindern. Auch m��ssen die Daten gel��scht werden, sobald der Speicherzweck entf��llt.
automatische Speicherung/Synchronisation bei externen Anbietern
Die automatische Speicherung oder Synchronisation dienstlicher Daten, die personenbezogene Daten Dritter enthalten, mit externen Cloud-Diensten ist nicht erlaubt. Dieses Verbot dient der Aufrechterhaltung der Kontrolle ��ber sensible Informationen und verhindert unbeabsichtigte Datenabfl��sse an potenziell unsichere Orte oder an Anbieter au��erhalb des EU-Rechtsraums. Automatische Prozesse erh��hen das Risiko, dass Daten ohne bewusste Einzelfallpr��fung an Dritte gelangen.
Minimierung des Risikos
Die Nutzung externer Clouds, insbesondere solcher mit Serverstandorten in Drittl��ndern ohne garantiertes EU-Schutzniveau, stellt ein hohes Risiko dar, das aktiv vermieden werden muss.
Sollte im absoluten Einzelfall eine manuelle Speicherung personenbezogener Daten bei einem externen Anbieter erwogen werden, ist dies nur zul��ssig, wenn die Daten VOR dem Hochladen durch den Nutzenden stark verschl��sselt wurden. Nur durch eine wirksame Verschl��sselung, bei der der Cloud-Anbieter selbst keinen Zugriff auf die Klartextdaten oder die Schl��ssel hat, kann argumentiert werden, dass keine personenbezogenen Daten im Sinne der DSGVO mehr ��bermittelt werden, da sie f��r Unbefugte unlesbar sind. Die Verantwortung f��r die sichere Schl��sselverwaltung verbleibt jedoch beim Nutzer. Diese Verfahrensweise sollte ��u��erst restriktiv gehandhabt werden und unterliegt der vollen Verantwortung des Nutzenden.
Auch bei Daten ohne expliziten Schutzstatus sollte seitens des einen Cloud-Dienst Nutzenden immer ��berlegt werden, welche Konsequenzen ihre Offenlegung oder ein (Teil-)Verlust h��tte (z.B. Reputationsschaden, Verlust geistigen Eigentums). Die Sicherheit des verwendeten Cloud-Systems und die Frage, wer potenziell Zugriff hat, sind immer kritisch zu bewerten.