Die hier vorliegenden Nutzungsrichtlinien informieren die Beschäftigten und die Promovierenden der Universität Mannheim über die Lizenzbedingungen, den Einsatz und Nutzungszeitraum sowie die betreffenden Datenschutzhinweise und legen fest, welche Daten in M 365 verwendet und ausgetauscht werden dürfen, um die Grundlage für den Einsatz von M 365 als Kollaborationstool im Homeoffice zu schaffen. Die Nutzungsrichtlinien gelten verbindlich für alle Mitarbeitenden sowie alle Promovierenden, die zur Nutzung der Dienste und Software berechtigt sind.
Bitte beachten Sie die Zusatzinformationen, die für den Zeitraum einer Beurlaubung und mit Übergang in den Ruhestand gelten.
Lizenzbedingungen
Die Nutzung der Microsoft Dienste erfolgt nach den Lizenzbedingungen des Servicedienstleisters. Diese sind auf der offiziellen Microsoft-Website einsehbar.
Einsatz zu universitären Zwecken und Endgeräte
Die Nutzung der Software und Dienste darf ausschließlich für universitäre Zwecke erfolgen und nur im Rahmen einer Beschäftigung oder einer Promotion an der Universität Mannheim eingesetzt werden. Personen, die nicht an der Universität Mannheim beschäftigt sind, können jedoch im Zuge einer Kollaboration als Gäste oder externe Teilnehmende eingeladen werden. Die Installation von Office aus der Cloud kann auf bis fünf PCs oder Notebooks, weiteren fünf Tablets und weiteren fünf mobilen Endgeräten (Smartphones) erfolgen. Diese Erlaubnis erstreckt sich auch auf private Endgeräte; die Nutzung der Microsoft Dienste ist wiederum auf universitäre Zwecke beschränkt. Bitte beachten Sie, dass die Vertraulichkeit der Daten auch bei dem Einsatz privater Endgeräte gewährleistet sein muss.
Nutzungszeitraum
Die Nutzung ist an die Dauer der Beschäftigung bzw. der Promotion an der Universität Mannheim geknüpft. Nach deren Beendigung werden alle Daten, die im persönlichen Cloudspeicher des*der individuellen Nutzer*in liegen, gelöscht. Softwareprodukte und universitäre Daten, die auf privaten Geräten zum Zwecke der Diensterfüllung verwendet werden, müssen mit Ende des Beschäftigungsverhältnisses deinstalliert bzw. gelöscht werden. Abteilungsspezifische Sicherungs- und Ablagestrukturen sollen einen jederzeitigen Zugriff auf dienstliche Daten sicherstellen.
Datenschutzhinweise
Im Rahmen der Bereitstellung der Microsoft-Cloud-Dienste hat die Universität Mannheim besonderen Fokus auf einen möglichst datensparsamen Betrieb gelegt, d.h. es werden nur die Daten zum Dienstleister übertragen, die zum Betrieb dieses Dienstes zwingend erforderlich sind. Die Darstellung der Datenschutzhinweise der Universität Mannheim bezüglich der Verwendung von Microsoft-365-Produkten finden Sie im Rahmen der diesbezüglichen Datenschutzhinweise.
Datenklassifizierung
Bei der Verarbeitung von Daten in der Microsoft-Cloud (beispielsweise in Teams, OneDrive oder OneNote) ist der sorgsame Umgang mit dort enthalten Informationen zwingend notwendig, um die relevanten Aspekte des Datenschutzes und der Informationssicherheit abzubilden. Die Nutzer*innen sind dabei verpflichtet, zu prüfen, ob und unter welchen Umständen sie Daten in der Cloud speichern dürfen und haben die im nächsten Abschnitt beschriebene Datenklassifizierung zu beachten.
Verwaltungsdaten unterliegt bei der Ablage besonderen Richtlinien, weshalb sämtliche Dokumente auf eigenen Laufwerken der Universität zu speichern sind. Eine Verarbeitung von Verwaltungsdaten in der Microsoft-Cloud ist ausschließlich für Dokumente vom Typ der Klassifizierung TLP:Clear , d.h. öffentliche Dokumente, erlaubt. Erscheint ein Speichern von Dokumenten anderer Klassifizierungstypen im Einzelfall sinnvoll oder notwendig, ist dies mit der Dezernatsleitung abzustimmen.
Basierend auf dem Traffic Light Protocol (TLP), einer Vereinbarung zum Schutz von nicht öffentlichen und vertraulichen Informationen, werden nachfolgenden Klassifizierungen unterschieden:
Die Klassifizierung der Daten dient als Kriterium, ob die Dokumente intern bzw. extern in der Cloud verschlüsselt oder unverschlüsselt gespeichert werden können bzw. müssen.
TLP Klassifizierung | Weitergabe Regelung | Beispiele | Speicherung intern | Speicherung extern (Cloud) |
TLP clear öffentlich | Unbegrenzte Weitergabe. Dieses Dokument enthält keine vertraulichen Informationen und kann von urheberrechtlichen Aspekten abgesehen ohne Einschränkung weitergegeben und öffentlich zugänglich gemacht werden. | Vorlesungsverzeichnis, Pressemitteilungen, Flyer. | Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich. | Unverschlüsselte Speicherung der Daten in der Cloud möglich. |
TLP green intern | interne Weitergabe. Dieses Dokument enthält Informationen, die für den dienstlichen Gebrauch notwendig sind. Es darf an Partner*innen der Universität weitergeben, jedoch nicht veröffentlicht werden. | Regelwerke, Arbeitsanweisungen, Interne Kommunikation inkl. E-Mail. | Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich. | Unverschlüsselte Speicherung der Daten in der Cloud möglich. |
TLP amber vertraulich | eingeschränkte Verteilung. Dieses Dokument kann vertrauliche Informationen enthalten und darf daher nur einem begrenzten und zuvor definierten Personenkreis (z.B. UNIT, UB, Lehrstuhl X) weitergegeben werden. Eine Weitergabe an Dritte ist nur möglich, wenn der Dritte das Dokument zur Arbeitserfüllung benötigt und ihm diese TLP Klassifizierung bekannt ist. Der definierte Personenkreis wird bei der Klassifizierung in Klammer ergänzt. | Personenbezogene Daten, Lohnabrechnung, Reisekostenabrechnung, Forschungsdaten, technische Daten, geschützte Studienarbeiten, Prüfungswesen, Bewerbungsunterlagen. | Unverschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität möglich. | Verschlüsselte Speicherung der Daten in der Cloud. |
TLP red streng vertraulich | Persönlich, nur für bekannte Empfänger*innen. Dieses Dokument enthält streng vertrauliche Informationen, die nur einem begrenzten und zuvor definierten Personenkreis, meist auch Teilnehmerkreis einer Besprechung, Konferenz oder schriftlichen Korrespondenz (z.B. Rektorat) bereitgestellt werden darf. Eine Weitergabe ist untersagt. Der definierte Personenkreis wird bei der Klassifizierung in Klammer ergänzt. | Aus dienstlicher oder vertraglicher Verpflichtung in Zusammenarbeit mit Dritten. | Verschlüsselte Speicherung auf dem zentralen NAS-Laufwerk der Universität. | Verschlüsselte Speicherung in der Cloud. |
Datensicherheit
Microsoft als Dienstanbieter erfüllt die Anforderungen (C5) des BSI für sicheres Cloud-Computing. Die Daten werden nach Stand der Technik (§32 DSGVO) verarbeitet und die zentralen Datenablagen durch die Universität Mannheim mittels Backups gesichert. Die Löschung der Daten erfolgt nach Einhaltung die gesetzlichen Bestimmungen und entsprechender Freigabe durch das interne Archiv der Universitäts-IT.
Zur Verschlüsselung von Daten empfehlen wir Ihnen die kostenlose Anwendung Cryptomator. Wie Sie diese einsetzen, erfahren Sie in unser Anleitung Cryptomator.