Nextcloud - Datenschutz

Bei der Einrichtung einer Nextcloud zu beachten:

Um die Datensouveränität zu gewährleisten, müssen die Server innerhalb der EU, am besten bei einem Cloudanbieter in Deutschland liegen. Nur so kann eine Cloudlösung DSGVO konform problemlos genutzt werden.
Vertrag zur Auftragsdatenverarbeitung (ADV)

Bei der Nutzung einer Nextcloud Instanz bei einem Provider ist mit diesem ein Vertrag zur Auftragsdatenverarbeitung zu schließen. Eine Vorlage findet man auf https://it.kultus-bw.de bzw. man sollte den ADV des Anbieters prüfen und ggf. mit der Vorlage it.kultus-bw.de vergleichen.
Verzeichnis der Verarbeitungstätigkeiten

Bei der Nutzung einer Nextcloud Instanz muss ein Verzeichnis der Verarbeitungstätigkeiten durch den Datenschutzbeauftragten bzw. die zuständige Person erstellt werden.

Der Arbeitsplatz hat ein persönliches Login/Passwort.
Die Übertragung zum Cloudserver muss grundsätzlich verschlüsselt sein (https). Bei vielen Providern wird das erforderliche Zertifikat automatisch erstellt.
Dateien, die personenbezogene Daten enthalten, müssen bis auf wenige Ausnahmen verschlüsselt sein. Im Folgenden empfehlen wir zur Vereinfachung ein in jedem Fall datenschutzkonformes und praktikables Verfahren. Hierbei gehen wir davon aus, dass personenbezogene Daten in einem Kollegium auch ausgetauscht und über verschiedene Kanäle transportiert werden müssen/sollen.
Empfehlung: verschlüsseln Sie personenbezogene Daten grundsätzlich und ausnahmslos. Nutzen Sie dazu die empfohlenen Verschlüsselungsverfahren. Damit müssen die wenigen Ausnahmen in denen keine Verschlüsselung erforderlich wäre weder von Ihnen noch vom Kollegium berücksichtigt werden.

Die Nutzung der Zwei-Faktor-Authentifizierung bei der Anmeldung
Die Bereitstellung zwei getrennter Cloudinstanzen, um die Gefahr eines versehentlichen Teilens von Daten mit Schülern zu vermeiden.

Datenschutz: Herunterladen [odt][73 KB]

Datenschutz: Herunterladen [pdf][70 KB]