Nutzungs­richtlinien für die Microsoft 365 Cloud Services an der Universität Mannheim

Die hier vorliegenden Nutzungs­richtlinien informieren die Beschäftigten und die Promovierenden der Universität Mannheim über die Lizenzbedingungen, den Einsatz und Nutzungs­zeitraum sowie die betreffenden Datenschutz­hinweise und legen fest, welche Daten in M 365 verwendet und ausgetauscht werden dürfen, um die Grundlage für den Einsatz von M 365 als Kollaborations­tool im Homeoffice zu schaffen. Die Nutzungs­richtlinien gelten verbindlich für alle Mitarbeiterinnen und Mitarbeiter sowie alle Promovierenden, die zur Nutzung der Dienste und Software berechtigt sind.

Lizenzbedingungen
Die Nutzung der Microsoft Dienste erfolgt nach den Lizenzbedingungen des Servicedienstleisters. Diese sind auf der offiziellen Microsoft-Website einsehbar. 

Einsatz zu universitären Zwecken und Endgeräte
Die Nutzung der Software und Dienste darf ausschließlich für universitäre Zwecke erfolgen und nur im Rahmen einer Beschäftigung oder einer Promotion an der Universität Mannheim eingesetzt werden. Personen, die nicht an der Universität Mannheim beschäftigt sind, können jedoch im Zuge einer Kollaboration als Gäste oder externe Teilnehmer eingeladen werden. Die Installation von Office aus der Cloud kann auf bis fünf PCs oder Notebooks, weiteren fünf Tablets und weiteren fünf mobilen Endgeräten (Smartphones) erfolgen.  Diese Erlaubnis erstreckt sich auch auf private Endgeräte; die Nutzung der Microsoft Dienste ist wiederum auf universitäre Zwecke beschränkt. Bitte beachten Sie, dass die Vertraulichkeit der Daten auch bei dem Einsatz privater Endgeräte gewährleistet sein muss.

Nutzungs­zeitraum
Die Nutzung ist an die Dauer der Beschäftigung bzw. der Promotion an der Universität Mannheim geknüpft. Nach deren Beendigung werden alle Daten, die im persönlichen Cloudspeicher des individuellen Nutzers liegen, gelöscht. Softwareprodukte und universitäre Daten, die auf privaten Geräten zum Zwecke der Diensterfüllung verwendet werden, müssen mit Ende des Beschäftigungs­verhältnisses deinstalliert bzw. gelöscht werden. Abteilungs­spezifische Sicherungs- und Ablagestrukturen sollen einen jederzeitigen Zugriff auf dienstliche Daten sicherstellen.

Datenschutz­hinweise 
Im Rahmen der Bereitstellung der Microsoft-Cloud-Dienste hat die Universität Mannheim besonderen Fokus auf einen möglichst datensparsamen Betrieb gelegt, d.h. es werden nur die Daten zum Dienstleister übertragen, die zum Betrieb dieses Dienstes zwingend erforderlich sind. Die Darstellung der Datenschutz­hinweise der Universität Mannheim bezüglich der Verwendung von Microsoft-365-Produkten finden Sie im Rahmen der diesbezüglichen Datenschutz­hinweise​​​​​​​.

Datenklassifizierung
Bei der Verarbeitung von Daten in der Microsoft-Cloud (beispielsweise in Teams, OneDrive oder OneNote) ist der sorgsame Umgang mit dort enthalten Informationen zwingend notwendig, um die relevanten Aspekte des Datenschutzes und der Informations­sicherheit abzubilden. Die Nutzerinnen und Nutzer sind dabei verpflichtet, zu prüfen, ob und unter welchen Umständen sie Daten in der Cloud speichern dürfen und haben die im nächsten Abschnitt beschriebene Datenklassifizierung zu beachten.

Verwaltungs­daten unterliegt bei der Ablage besonderen Richtlinien, weshalb sämtliche Dokumente auf eigenen Laufwerken der Universität zu speichern sind. Eine Verarbeitung von Verwaltungs­daten in der Microsoft-Cloud ist ausschließlich für Dokumente vom Typ der Klassifizierung TLP:Clear , d.h. öffentliche Dokumente, erlaubt. Erscheint ein Speichern von Dokumenten anderer Klassifizierungs­typen im Einzelfall sinnvoll oder notwendig, ist dies mit der Dezernatsleitung abzustimmen.

Basierend auf dem Traffic Light Protocol (TLP), einer Vereinbarung zum Schutz von nicht öffentlichen und vertraulichen Informationen, werden nachfolgenden Klassifizierungen unterschieden:

  • TLP clear: öffentlich           
  • TLP green: intern 
  • TLP amber: vertraulich
  • TLP red: streng vertraulich

Die Klassifizierung der Daten dient als Kriterium, ob die Dokumente intern bzw. extern in der Cloud verschlüsselt oder unverschlüsselt gespeichert werden können bzw. müssen.

TLP KlassifizierungWeitergabe RegelungBeispieleSpeicherung internSpeicherung extern (Cloud)

TLP clear öffentlich  

Unbegrenzte Weitergabe.

Dieses Dokument enthält keine vertraulichen Informationen und kann von urheberrechtlichen Aspekten abgesehen ohne Einschränkung weitergegeben und öffentlich zugänglich gemacht werden. 

Vorlesungs­verzeichnis,

Pressemitteilungen, Flyer. 

Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich.

Unverschlüsselte Speicherung der Daten in der Cloud möglich. 

TLP green  intern 

interne Weitergabe.

Dieses Dokument enthält Informationen, die für den dienstlichen Gebrauch notwendig sind. Es darf an Partner der Universität weitergeben, jedoch nicht veröffentlicht werden. 

Regelwerke, Arbeits­anweisungen, Interne Kommunikation inkl. E-Mail. 

Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich.

Unverschlüsselte Speicherung der Daten in der Cloud möglich. 

TLP amber

vertraulich

eingeschränkte Verteilung.

Dieses Dokument kann vertrauliche Informationen enthalten und darf daher nur einem begrenzten und zuvor definierten Personenkreis (z.B. UNIT, UB, Lehr­stuhl X) weitergegeben werden. Eine Weitergabe an Dritte ist nur möglich, wenn der Dritte das Dokument zur Arbeits­erfüllung benötigt und ihm diese TLP Klassifizierung bekannt ist. 

Der definierte Personenkreis wird bei der Klassifizierung in Klammer ergänzt. 

Personenbezogene Daten, Lohnabrechnung, Reisekostenabrechnung, Forschungs­daten, technische Daten, geschützte Studien­arbeiten, Prüfungs­wesen, Bewerbungs­unterlagen. 

Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich.

Verschlüsselte Speicherung der Daten in der Cloud.

TLP red  streng vertraulich

Persönlich, nur für bekannte Empfänger.

Dieses Dokument enthält streng vertrauliche Informationen, die nur einem begrenzten und zuvor definierten Personenkreis, meist auch Teilnehmerkreis einer Besprechung, Konferenz oder schriftlichen Korrespondenz (z.B. Rektorat) bereitgestellt werden darf. Eine Weitergabe ist untersagt. 

Der definierte Personenkreis wird bei der Klassifizierung in Klammer ergänzt. 

Aus dienstlicher oder vertraglicher Verpflichtung in Zusammenarbeit mit Dritten.

Verschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität.

Verschlüsselte Speicherung in der Cloud.

Datensicherheit 
Microsoft als Dienstanbieter erfüllt die Anforderungen (C5) des BSI für sicheres Cloud-Computing. Die Daten werden nach Stand der Technik (§32 DSGVO) verarbeitet und die zentralen Datenablagen durch die Universität Mannheim mittels Backups gesichert. Die Löschung der Daten erfolgt nach Einhaltung die gesetzlichen Bestimmungen und entsprechender Freigabe durch das interne Archiv der Universitäts-IT.

 


Wie kann ich meine Daten verschlüsselt ablegen?

Zur Verschlüsselung von Daten empfehlen wir Ihnen die kostenlose Anwendung Cryptomator. Wie Sie diese einsetzen, erfahren Sie in unser Anleitung Cryptomator.