Was ist erlaubt und warum gibt es Verbote?

Die Nutzung von Cloud-Speichern bietet unbestreitbare Vorteile, wie bspw. ständigen Zugriff von überall und einfache Zusammenarbeit mehrerer Personen. Dennoch birgt sie erhebliche Risiken, insbesondere im Hinblick auf den Schutz personenbezogener Daten und die Datensicherheit.

Schutz dienstlicher personenbezogener Daten

Die Verarbeitung (inkl. Speicherung) personenbezogener Daten Dritter in Cloud-Diensten externer Anbieter ist nicht zulässig. Hierauf müssen die Nutzenden achten!

Die geltende DSGVO fordert wegen des Personenbezugs ein hohes Schutzniveau für solche Daten ein. Viele externe Anbieter speichern die in der Cloud hinterlegten Daten jedoch auf Servern außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR). In diesen sogenannten "Drittländern" ist das Datenschutzniveau i.d.R. nicht mit dem der DSGVO vergleichbar (fehlender Angemessenheitsbeschluss, unzureichende Garantien, etc.). Eine Übermittlung personenbezogener Daten wäre daher nur zulässig, wenn dem Nutzenden/der OVGU rechtssichere Garantien des Anbieters zum Schutz von ihm in der Cloud verarbeiteter personenbezogener Daten vorliegen. Fehlen solche Garantien, stellt das Speichern personenbezogener Daten Dritter in der externen Cloud, wenn durch Mitarbeitende der OVGU so verfahren würde, automatisch eine Verletzung des Schutzes personenbezogener Daten und damit einen Verstoß gegen die DSGVO dar, der dem Nutzenden bzw. der OVGU zuzurechnen wäre. Es besteht das Risiko unrechtmäßiger Zugriffe, auch durch Behörden in Drittländern, was den Grundsätzen der Vertraulichkeit und Integrität widerspricht.

Um die Vorteile eines Cloud-Dienstes datenschutzkonform nutzen zu können, gibt es eine interne Lösung: Die ovgu-cloud. Abgesehen davon, dass sich die Server direkt vor Ort - verantwortet vom URZ - befinden, gelten u.a. Auflagen gegenüber den Nutzenden: Freigabeeinstellungen müssen bspw. korrekt konfiguriert sein, um unbefugten Zugriff Dritter zu verhindern. Auch müssen die Daten gelöscht werden, sobald der Speicherzweck entfällt.

automatische Speicherung/Synchronisation bei externen Anbietern

Die automatische Speicherung oder Synchronisation dienstlicher Daten, die personenbezogene Daten Dritter enthalten, mit externen Cloud-Diensten ist nicht erlaubt. Dieses Verbot dient der Aufrechterhaltung der Kontrolle über sensible Informationen und verhindert unbeabsichtigte Datenabflüsse an potenziell unsichere Orte oder an Anbieter außerhalb des EU-Rechtsraums. Automatische Prozesse erhöhen das Risiko, dass Daten ohne bewusste Einzelfallprüfung an Dritte gelangen.

Minimierung des Risikos

Die Nutzung externer Clouds, insbesondere solcher mit Serverstandorten in Drittländern ohne garantiertes EU-Schutzniveau, stellt ein hohes Risiko dar, das aktiv vermieden werden muss.

Sollte im absoluten Einzelfall eine manuelle Speicherung personenbezogener Daten bei einem externen Anbieter erwogen werden, ist dies nur zulässig, wenn die Daten VOR dem Hochladen durch den Nutzenden stark verschlüsselt wurden. Nur durch eine wirksame Verschlüsselung, bei der der Cloud-Anbieter selbst keinen Zugriff auf die Klartextdaten oder die Schlüssel hat, kann argumentiert werden, dass keine personenbezogenen Daten im Sinne der DSGVO mehr übermittelt werden, da sie für Unbefugte unlesbar sind. Die Verantwortung für die sichere Schlüsselverwaltung verbleibt jedoch beim Nutzer. Diese Verfahrensweise sollte äußerst restriktiv gehandhabt werden und unterliegt der vollen Verantwortung des Nutzenden.

Auch bei Daten ohne expliziten Schutzstatus sollte seitens des einen Cloud-Dienst Nutzenden immer überlegt werden, welche Konsequenzen ihre Offenlegung oder ein (Teil-)Verlust hätte (z.B. Reputationsschaden, Verlust geistigen Eigentums). Die Sicherheit des verwendeten Cloud-Systems und die Frage, wer potenziell Zugriff hat, sind immer kritisch zu bewerten.