Box.FU — Hinweise für Beschäftigte zum Datenschutz

Die folgenden Ausführungen sollen Ihnen eine Orientierung und Hilfe zum Datenschutz bei der dienstlichen Nutzung des Cloud-Speicherdienstes Box.FU bieten.

Wenn Sie den Dienst Box.FU nutzen, entscheiden Sie selbst, welche Daten dort abgelegt werden; die ZEDAT stellt Ihnen lediglich den technischen Zugang zur Verfügung. Daher sind Sie selber für eine rechtskonforme Nutzung von Box.FU verantwortlich - Cloud- und IT-Sicherheits-Richtlinie der FU geben Ihnen jedoch Hinweise auf die Eignung von Daten zur Ablage auf dem Dienst.

Die Einstufung aller Daten an der Freien Universität erfolgt nach der in der IT-Sicherheitsrichtlinie beschriebenen Vorgehensweise, die sich an Verfahren des BSI (Bundesamtes für Sicherheit in der Informationstechnik) anlehnt. Für diese Klassifizierung werden die Schutzbedarfskategorien "Normal", "Hoch" und "Sehr Hoch" vergeben. Gehören Ihre Daten zu einem offiziell angemeldeten IT-Verfahren, kennt der Verfahrensverantwortliche deren Schutzbedarf. In allen anderen Fällen müssen Sie selbst eine Einschätzung des Schutzbedarfes anhand der Richtlinien und der im weiteren Verlauf aufgeführten Beispiele vornehmen.

Die Prüfung des Schutzniveaus für den Speicherdienst Box.FU durch die ZEDAT ergab eine Eingruppierung in die Schutzklasse "Normal". Demzufolge dürfen dort ohne zusätzliche Schutzmaßnahmen dienstliche Daten abgelegt werden, die maximal den Schutzbedarf "Normal" benötigen. Zusätzliche Schutzmaßnahmen bestehen meistens in der Verwendung von Verschlüsselungswerkzeugen. Relativ einfach zu handhaben ist beispielsweise die Ablage von Daten in Form von passwortgeschützten ZIP-Dateien. Bitte achten Sie in jedem Fall darauf, dass Sie ein modernes und aktuelles Programm zur Verschlüsselung benutzen, wie beispielsweise das durch die ZEDAT auf betreuten Arbeitsplätzen bereitgestellte "IZArc", welches den sicheren Verschlüssungsmechanismus "AES 256" unterstützt.

Die folgenden Beispiele sollen die Nutzungsbedingungen von Box.FU im dienstlichen Umfeld verdeutlichen, verschiedene Datentypen repräsentieren und als Richtschnur dienen. Im Einzelfall muss dennoch geprüft werden, ob es spezielle Bedingungen gibt, die einen anderen Umgang mit den Daten erfordern.

Beachten Sie bitte auch, dass sich der Schutzbedarf immer aus den Elementen Vertraulichkeit, Integrität und Verfügbarkeit zusammensetzt. Hat auch nur einer dieser Aspekte Ihrer Daten den Schutzbedarf "Hoch" oder "Sehr Hoch", ist der gesamte Schutzbedarf entsprechend einzustufen.

Daten	Ablage	Anmerkung
Wissenschaftliche Daten	Ablage ohne weitere Maßnahmen möglich.	Falls spezielle Vertraulichkeitsvereinbarungen existieren, sollten die Daten nicht ungeschützt abgelegt werden.
Gutachten und Stellungnahmen	Ablage nur mit geeigneter Verschlüsselung möglich.	In Stellungnahmen und Gutachten können persönliche Meinungen in einer Form enthalten sein, die bei einer Veröffentlichung für die Betroffenen sehr schwerwiegende Konsequenzen (gesellschaftlicher oder wirtschaftlicher Ruin) haben können.
Klausuren bzw. Klausurnoten (Examen)	Ablage nur mit geeigneter Verschlüsselung möglich.	Wenn Prüfungsunterlagen z.B. für Staatsexamen vorzeitig bekannt werden, kann ein immenser Schaden entstehen, wenn deswegen Prüfungen ggf. großflächig wiederholt werden müssen.
Bewerbungsdaten	Ablage nur mit geeigneter Verschlüsselung möglich.	Bewerbungsdaten enthalten meist vertrauliche Informationen mit u.U. besonderem Schutzbedarf - z.B. Religionszugehörigkeit o.ä.
Technische Unterlagen (z.B. Baupläne)	Ablage ohne weitere Maßnahmen möglich.	Besonders vertraulichen Daten (z.B. Schaltpläne für Alarmanlagen) dürfen allerdings nur verschlüsselt abgelegt werden.
Hochauflösendes Bildmaterial	Ablage ohne weitere Maßnahmen möglich.
Personalaktendaten	Für die Ablage ungeeignet.	Die Personalakte enthält sehr vertrauliche Informationen; deren Daten sind daher nicht für die Ablage in Box.FU geeignet.

Es ist vorgesehen, mit fortschreitender Entwicklung des Dienstes weitere, auch direkt integrierte, Verschlüsselungsmöglichkeiten bereitzustellen. Wir werden bei deren Verfügbarkeit sowohl diese Hinweise als auch die Tip4Us entsprechend ergänzen.