Beschaffung von Software: Leitfaden für Software mit Kollaborationstools und Cloud-Diensten
Empfehlungen zur Beschaffung von Software mit Kollaborationstools und Cloud-Diensten an der FAU
Vor der Beschaffung von Software
Die Lizenzbedingungen (und damit sowie mit dem Beschaffungsvorgang verbundene Dokumente) sind stets vor der Beschaffung sehr sorgfältig zu lesen. Dabei müssen die Rechte und Pflichten der Vertragspartner nicht nur hinsichtlich der Leistungserbringung, sondern auch hinsichtlich Sicherheit und Datenschutz der Software sowie technischer Machbarkeit bewertet werden. Wichtige Fragen sind z.B.:
- Standort des Cloud-Anbieters und der Server – Datenschutzrecht, dem der Cloud-Dienst unterliegt
- Daten löschen, Nutzung beenden
- Datenverschlüsselung in der Cloud
- Konfiguration von Cloud-Diensten
- Schutz vor Fremdzugriffen, auch vor Zugriff durch den Cloud-Anbieter
- Sicherheitskennung.
Vor jeder Beschaffung von Software und Lizenzen sind die Einrichtungen der FAU gem. Beschaffungsrichtlinien verpflichtet, sich über evt. vorhandene Rahmenverträge und das zentrale Software-Angebot des RRZE zu informieren. Ist das gewünschte Software-Produkt nicht im Angebot, ist eine Anfrage an das RRZE per E-Mail an software@fau.de zu stellen. An diese E-Mail-Adresse können z.B. auch Fragen zu Lizenzbedingungen gerichtet werden. Siehe auch weitere Hinweise zur korrekten Lizenzierung.
Ggf. ist die Software, die im weiteren Sinne auch ein IT-System darstellt, gem. IT-Richtlinie vom CIO zu genehmigen oder der Personalrat ist zu informieren. Es sind in jedem Fall Aspekte des Datenschutzes zu beachten, wenn Forschungs- und Arbeitsergebnisse sowie persönliche Daten von Mitarbeitern der FAU in fremden Clouds verarbeitet und gespeichert werden sollen.
Empfohlenes Vorgehen
- Prüfung der Lizenzbedingungen und Softwareinformationen auf Nutzungsrisiken und technische Machbarkeit, ggf. unter Einbindung des RRZE. Siehe auch weitere Hinweise zur korrekten Lizenzierung.
- Stellungnahme des RRZE zur Vorlage beim Referat H4 – Finanzbuchhaltung für IT-Beschaffungen, die nicht aus bestehenden Rahmenverträgen getätigt werden können. Die Stellungnahme ist vor einer Bestellung / vor einem Kauf beim RRZE einzuholen. Zum Formular.
- Beurteilung des Cloud-Nutzungsservices durch den Datenschutzbeauftragten der FAU
- Cloud-Services sind neue IT-Systeme, diese sind gemäß § 5 Abs. 4 CIO-Ordnung dem CIO-Gremium anzuzeigen, nachdem keine dem Einsatz entgegen stehenden schwerwiegenden Einwände des Datenschutzbeauftragten der FAU vorliegen.
Vor jeder Nutzung von Cloud-Diensten
Bevor eine Software mit angebundenen Kollaborationstools und Cloud-Services benutzt wird ist es ratsam, den Schutzbedarf der verarbeiteten Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu analysieren.
Zudem ist es wichtig zu wissen, wie einfach oder umständlich es ist, Daten wieder aus der Cloud zu entfernen. Denn das Löschen von Daten in der Cloud ist nicht so einfach wie zu Hause auf dem Rechner. Cloud-Anbieter speichern häufig mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit zu gewährleisten. Manche Anbieter behalten Daten auch nach einer Kündigung oder „Löschung“ noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt). Daher empfiehlt sich ein Blick in die Allgemeinen Geschäftsbedingungen (AGB) des Anbieters.
Zur Beachtung: Bereits das Testen einer Software mit angebundenen Kollaborationstools und Cloud-Services unterliegt den strengen Auflagen, weil bereits z.B. persönliche Daten verarbeitet werden würden.
- Für personenbezogene Daten (sowohl mit dienstlichem als auch privatem Bezug) gelten die Bestimmungen des Datenschutzes. Auch Daten ohne Personenbezug können einen sehr hohen Schutzbedarf haben (zum Beispiel auf Grund von Geheimhaltungsvereinbarungen) oder weil andere rechtliche oder Vertraulichkeitsrisiken bestehen.
- Ein Schutzbedarf im Einzelfall wird grundsätzlich hinsichtlich der möglichen Gefahren für Betroffene, die Hochschule und Dritte (Projektpartner) bestimmt. Entsprechend dieser Gefahren sind die drei Informationssicherheitsschutzziele Verfügbarkeit, Integrität und Vertraulichkeit jeweils differenziert zu betrachten. Und entsprechend differenziert müssen Vorkehrungen zur Sicherheit der Daten getroffen werden. Im Zweifel fragen Sie nach (Datenschutzbeauftragte, Beauftragte der Informationssicherheit). Aus dem Schutzbedarf der Daten folgt zwingend die Eignung oder Nicht-Eignung zur Speicherung in der externen Cloud. Im Falle von mehreren in Frage kommenden Kategorien ist die mit dem jeweils höchsten Schutzbedarf zu wählen.
Die Kategorisierung und Behandlung von Daten ist gemäß den Hinweisen zur Informationssicherheit der FAU vorzunehmen.