Nutzungsbedingungen

Für die Durchführung sowie zur Vor- und Nachbereitung der Projekte, zur Teamarbeit und zur Organisation deines Unternehmens erhältst du Zugang zur 9work Nextcloud. Die Nutzung setzt einen verantwortungsvollen Umgang mit den über die NextCloud bereitgestellten Diensten sowie den eigenen personenbezogenen Daten und denen von anderen nutzenden Personen voraus. Die folgende Nutzungsvereinbarung und die Informationen zur Datenverarbeitung informieren und stecken den Rahmen ab für eine verantwortungsvolle Nutzung. Deine Annahme bzw. die Einwilligung in die zur Nutzung erforderliche Datenverarbeitung sind Voraussetzung für die Erteilung eines Nutzerzugangs.

Nutzungsvereinbarung

Geltungsbereich

Die Nutzungsvereinbarung gilt für alle Selbständigen und deren Kunden, nachfolgend „Nutzende“ genannt, welche die von 9work bereitgestellte NextCloud zur elektronischen Datenverarbeitung nutzen.

Laufzeit

Der nutzenden Person wird ein Benutzerkonto in der NextCloud zur Verfügung gestellt. Beim Verlassen von 9work wird dieses Benutzerkonto deaktiviert und gelöscht.

Umfang

Zum Umfang des von der Schule für die Nutzenden kostenlos bereitgestellten Paketes gehören:

  • Zugang zur NextCloud mit
    • einem persönlichen Benutzerkonto
    • verschiedenen NextCloud Diensten wie z.B. Dateimanager, Kalender, E-Mail Integrationsmöglichkeit (IMAP), Nachrichten, Talk (Audio/Video- und Chat-Kommunikationsdienst), …
      (Anzahl und Umfang der innerhalb NextCloud durch 9Work angebotenen Dienste richten sich nach dem aktuellen Nutzungskonzept, der Weiterentwicklung der NextCloud sowie der technischen Verfügbarkeit und können damit Änderungen unterworfen sein.)

Datenschutz und Datensicherheit

9Work sorgt durch eigene technische und organisatorische Maßnahmen für den Schutz und die Sicherheit der in der NextCloud verarbeiteten personenbezogenen Daten. Mit Hetzner wurde zur Nutzung der NextCloud und der integrierten Dienste ein Vertrag abgeschlossen, welcher gewährleistet, dass personenbezogene Daten von Nutzenden nur entsprechend der Vertragsbestimmungen verarbeitet werden. Unsere Auswahl von NextCloud bei Hetzner als Plattform zur Bereitstellung grundlegender Dienste gründet auch auf der Tatsache, dass NextCloud als Open Source Plattform sehr sicher ist und Hetzner besonderen Wert darauf legt, die personenbezogenen Daten seiner Nutzenden zu schützen. Bei der von unserer Schule genutzten NextCloud handelt es sich um eine speziell für den Bildungsbereich und die dort erforderlichen datenschutzrechtlichen Belange angepasste Version der sonst für jedermann frei verfügbaren Plattform.

Ziel unseres Projektes ist es, durch eine Minimierung von personenbezogenen Daten bei der Nutzung von Internetdiensten, das Recht auf informationelle Selbstbestimmung unserer Nutzenden bestmöglich zu schützen. Dieses ist nur möglich, wenn die nutzenden Personen selbst durch verantwortungsvolles Handeln zum Schutz und zur Sicherheit ihrer personenbezogenen Daten beitragen und auch das Recht anderer Personen auf informationelle Selbstbestimmung respektieren.

Das gilt auch für die Nutzung von personenbezogenen Daten innerhalb der über die NextCloud bereitgestellten Dienste.

Jeder Nutzende hat dafür zu sorgen, dass die Sicherheit und der Schutz der eigenenpersonenbezogenen Daten sowie das Recht anderer auf informationelle Selbstbestimmung nicht durch leichtsinniges, fahrlässiges oder vorsätzliches Handeln gefährdet werden. Wer das Recht anderer auf informationelle Selbstbestimmung gefährdet oder missachtet, muss mit rechtlichen Konsequenzen rechnen.

Verantwortungsvolles und sicheres Handeln bedeutet:

Passwörter

  • müssen so sicher sein, dass sie nicht erratbar sind. Sie müssen aus mindestens 6 Zeichen bestehen und eine Zahl, einen Großbuchstaben und ein Sonderzeichen
  • Es darf kein Passwort verwendet werden, das bereits für andere Dienste genutzt wird.
  • Bei Zugriff über die NextCloud-App muss ein App-Kennwort vergeben werden. Dieses darf nicht identisch sein zum Hauptpasswort des Nutzenden. Wird die NextCloud App auf mehr als einem Gerät installiert, muss für jede Installation ein separates App-Kennwort genutzt werden.

Zugangsdaten

  • Die nutzende Person ist verpflichtet, die eigenen Zugangsdaten zur NextCloud geheim zu halten. Sie dürfen nicht an andere Personen weitergegeben werden.
  • Sollten die eigenen Zugangsdaten durch ein Versehen anderen Personen bekannt geworden sein, ist die nutzende Person verpflichtet, sofort Maßnahmen zum Schutz der eigenen Zugänge zu ergreifen. Falls noch möglich, sind Zugangspasswörter zu ändern. Ist das nicht möglich, ist eine die NextCloud administrierende Person zu informieren.
  • Sollte die nutzende Person in Kenntnis fremder Zugangsdaten gelangen, so ist es untersagt, sich damit Zugang zum fremden Benutzerkonto zu verschaffen. Die nutzende Person ist jedoch verpflichtet, den/die Eigentümer/in der Zugangsdaten oder eine die NextCloud administrierende Person zu informieren.
  • Nach Ende der Arbeitssitzung an einem Rechner meldet sich die nutzende Person von der NextCloud ab (ausloggen).

Personenbezogene Daten

Für die Nutzung von personenbezogene Daten wie dem eigenen Name, biographischen Daten, der eigenen Anschrift, Fotos, Video und Audio gelten die Prinzipien der Datenminimierung und Datensparsamkeit. Sie sollten nur dort verwendet werden, wo es tatsächlich erforderlich ist.

Persönliches Profil

Im persönlichen Profil können nutzende Personen zusätzliche Informationen eingeben. Private Informationen tragen nutzende Personen auf eigene Verantwortung ein. Über die Rechtevergabe können sie steuern, ob eingetragene Informationen nur für sie selbst sichtbar sind (privat), für alle nutzenden Personen der NextCloud und von der Schule als vertrauenswürdig eingestufte andere NextCloud Instanzen, z.B. von Schulen, mit denen man kooperiert (Kontakte) oder für das gesamte Internet (öffentlich – nicht empfohlen!). Unter E-Mail Adresse ist die E-Mail Adresse zu hinterlegen und die Sichtbarkeit auf Kontakte einzustellen. Der vollständige Name kann reduziert werden. Für die Sichtbarkeit ist Kontakte einzustellen.

Zulässigkeit der Verarbeitung von personenbezogenen Daten in der NextCloud

Die Verarbeitung von personenbezogenen Daten erfolgt entsprechend der DSGVO. Personenbezogene Daten, welche dort von einer elektronischen Verarbeitung ausgenommen sind, dürfen auch nicht in der NextCloud verarbeitet werden.

Speicherorte

Die NextCloud besteht aus verschiedenen Bereichen, deren Trennung durch technische und organisatorische Maßnahmen sichergestellt ist. Neben dem persönlichen Verzeichnis haben Nutzer Zugriff entsprechend dem Rechte- und Rollenkonzept Zugriff auf Bereiche für Projektverzeichnisse.

Persönliches Verzeichnis & Verzeichnisse

Im persönlichen Verzeichnis und in den Gruppenverzeichnissen dürfen alle aufgeführten personenbezogenen Daten gespeichert und verarbeitet werden. Im Projektverzeichnis werden alle projektbezogenen Informationen gespeichert und verarbeitet.

Projekte

In den für ein Projekt bestimmten Verzeichnissen ist es zulässig, die personenbezogenen Daten von Nutzenden und Kunden zu verarbeiten, soweit dieses zur Durchführung des Projektes erforderlich ist. Die Vorgaben der DSGVO sind dabei zu beachten und es gilt der Grundsatz der Datensparsamkeit.

Zugriff auf die NextCloud von einem mobilen Endgerät
  • Die Nutzung der NextCloud zur Teamarbeit und zur Vorbereitung von Projekten ist, auch ohne Genehmigung mit einem mobilen Endgerät zulässig.
Zugriff auf die NextCloud von einem schulischen Gerät/ Dienstgerät aus
  • Von einem Gerät aus können sämtliche personenbezogenen Daten in der NextCloud verarbeitet werden, sofern diese zur Aufgabenerfüllung der nutzenden Person erforderlich sind.
  • Nicht für die elektronische Verarbeitung zugelassene personenbezogene Daten sind von einer Verarbeitung in der NextCloud ausgenommen.
  • Besonders schützenswerte personenbezogene Daten dürfen nicht verarbeitet werden.
Freigabe von Dateien

Nutzende Personen können Inhalte in den Verzeichnissen der NextCloud entsprechend ihrer Berechtigungen mit Nutzenden innerhalb und außerhalb der Instanz über Dateifreigaben teilen. Datenschutz- und urheberrechtliche Vorgaben sind dabei zu beachten.

Teilen von Dateien mit personenbezogenen Daten

Beim Teilen von Dateien mit personenbezogenen Daten von Personen gelten die Vorgaben der DSGVO.

Teilen innerhalb der NextCloud
  • Innerhalb der Schule dürfen nutzende Personen den Zugriff auf personenbezogene Daten nur Personen gewähren, die diesen zur Wahrnehmung ihrer Aufgaben benötigen.
Teilen außerhalb der NextCloud

Werden personenbezogenen Daten von Personen oder Stellen zugänglich gemacht, entspricht dieses einer Übermittlung im Sinne der DSGVO.

E-Mail

Zur NextCloud gehört das Modul E-Mail. Hier ist es möglich, ein E-Mail Konto per IMAP in die NextCloud zu integrieren, sodass E-Mails in der NextCloud empfangen und aus der NextCloud heraus verschickt werden können.

Kalender

Im persönlichen Bereich steht es nutzenden Personen frei, persönliche Kalender anzulegen oder aus externen Kalendern zu abonnieren.

Audio/Video- und Chat-Kommunikationsdienst

Mit dem Kommunikationsdienst Talk können Nutzende untereinander kommunizieren und Inhalte teilen. Es ist außerdem möglich, mit Nutzenden anderer NextCloud Instanzen, egal wer diese betreibt und wo diese lokalisiert sind, zu kommunizieren und gegebenenfalls auch Inhalte zu teilen. Talk kann über den Browser genutzt werden und über die Talk App (iOS, Android).

  • Bei der Kommunikation von personenbezogenen Daten gelten die Vorgaben der DSGVO.
  • Bei der Nutzung der Talk App ist die Synchronisation bzw. das Backup in die iCloud (iOS) oder Google Drive (Android) für die App zu deaktivieren.
Kopplung der NextCloud mit privaten Konten oder anderen Diensten
  • Sofern 9work über die NextCloud Dienste zur Authentifizierung an externen Plattformen bereitstellt, dürfen diese nur mit autorisierten Plattformen genutzt werden. Eine Nutzung zur Authentifizierung an nicht autorisierten Plattformen ist nicht zulässig.

Gruppenadministrator

Nutzende können zur Aufgabenerfüllung Administrationsrechte für Gruppen zugewiesen werden. Die Zuweisung dieser Berechtigung erfolgt ausschließlich, um die Passwörter von Gruppenmitgliedern zurücksetzen zu können. Projektleiter:innen sind beispielsweise Administratoren der Gruppe des jeweiligen Projektes und können so im Unterricht kurzfristig Passwörter von Projektmitarbeiter:innen zurücksetzen, wenn diese ihr Passwort verloren haben.

Es ist nicht zulässig, diese Berechtigung zu nutzen, um sich Zugang zu persönlichen Verzeichnissen anderer Nutzer zu verschaffen.

Urheberrecht

  • Bei der Nutzung der NextCloud sind die geltenden Bestimmungen des Urheberrechtes zu beachten. Fremde Inhalte, deren Nutzung nicht durch freie Lizenzen wie Creative Commons, GNU oder Public Domain zulässig ist, dürfen ohne schriftliche Genehmigung der Urheber nicht in der NextCloud gespeichert werden, außer ihre Nutzung erfolgt im Rahmen des Zitatrechts.
  • Fremde Inhalte (Texte, Fotos, Videos, Audio und andere Materialien), die nicht unter freien Lizenzen wie Creative Commons, GNU oder Public Domain stehen, dürfen nur mit der schriftlichen Genehmigung der das Urheberrecht innehabenen Person veröffentlicht werden. Dieses gilt auch für digitalisierte Inhalte (eingescannte oder abfotografierte Texte und Bilder) sowie Audioaufnahmen von urheberrechtlich geschützten Musiktiteln (GEMA). Bei vorliegender Genehmigung ist bei Veröffentlichungen auf einer eigenen Website die das Urheberrecht innehabende Person zu nennen, wenn diese es wünscht. Bei der Veröffentlichung von Creative Commons und GNU lizenzierten Inhalten sind die Nutzungsvorgaben der das Urheberrecht innehabenden Person in der von dieser angegebenen Form umzusetzen.
  • Bei der unterrichtlichen Nutzung von freien Bildungsmaterialien (Open Educational Resources – OER) sind die jeweiligen Lizenzen zu beachten und entstehende neue Materialien oder Lernprodukte bei einer Veröffentlichung entsprechend der Bedingungen der vergebenen Creative Commons Lizenzen zu lizenzieren.
  • Stoßen Nutzende in der NextCloud auf urheberrechtlich geschützte Materialien, deren Nutzung nicht den beschrieben Vorgaben entspricht, sind sie verpflichtet, dieses bei einer verantwortlichen Person anzuzeigen.
  • Die Urheberrechte an Inhalten, welche nutzende Personen eigenständig erstellt haben, bleiben durch eine Ablage oder Bereitstellung in der NextCloud unberührt.
  • Inhalte, für welche Nutzende ledigliche eine persönliche Lizenz besitzen, dürfen weiteren Lehrkräften innerhalb und außerhalb der schulischen NextCloud nicht zugänglich gemacht werden. Von dieser Vorgabe unberührt bleibt das Recht, diese Inhalte Nutzenden im Rahmen des Projektes über eine Dateifreigabe oder Kopie zur Verfügung zu stellen.

Unzulässige Inhalte und Handlungen

Benutzer sind verpflichtet, bei der Nutzung der schulischen NextCloud geltendes Recht einzuhalten.

  • Es ist verboten, pornographische, gewaltdarstellende oder -verherrlichende, rassistische, menschenverachtende oder denunzierende Inhalte über das Netz und NextCloud-Dienste zu erstellen, abzurufen, zu speichern oder zu verbreiten.
  • Die geltenden Jugendschutzvorschriften sind zu beachten. Siehe dazu auch Jugendmedienschutz, Wikipedia.
  • Die Verbreitung und das Versenden von belästigenden, beleidigenden, verleumderischen nötigenden, herabwürdigenden, verletzenden oder bedrohenden Inhalten ist unzulässig.

Zuwiderhandlungen

Im Falle von Verstößen gegen diese Nutzungsordnung behält sich 9Work das Recht vor, den Zugang zu einzelnen oder allen Bereichen innerhalb der schulischen NextCloud zu sperren und die Nutzung schulischer Endgeräte zu untersagen.

Nutzungsbedingungen von Hetzner

Es gelten außerdem die Nutzungsbedingungen für die NextCloud des Anbieters Hetzner wie sie unter https://docs.hetzner.com/de/konsoleh/general/contract/terms-and-conditions/ festgelegt sind.

Datenschutzrechtliche Informationen nach Art. 13 DS-GVO

Zur Nutzung der NextCloud ist die Verarbeitung von personenbezogenen Daten erforderlich. Darüber möchten wir Sie im Folgenden informieren.

Für wen gelten diese Datenschutzhinweise?

Diese Informationen zur Datenverarbeitung im Zusammenhang mit der Nutzung von NextCloud gelten für alle Nutzenden von NextCloud.

Wer ist für die Verarbeitung meiner Daten verantwortlich und an wen kann ich mich zum Thema Datenschutz wenden?

9work
c/o DMP Michael Budde
Eiswaldtstraße 27a
12249 Berlin

Woher kommen meine Daten und welche Daten werden verarbeitet?

  • Anmeldedaten werden für jede nutzende Person von 9work erstellt.
  • Die Zuordnung zu Gruppen und die damit verbundenen Rollen und Rechte erfolgt anhand von Informationen der jeweiligen Projektleiter:in.
  • Weitere Daten entstehen bei der Nutzung der NextCloud im Projekt und bei der Vor- und Nachbereitung der Projekte.
  • Benutzerdaten (z.B. Anmeldenamen, Passwort, Gruppenzugehörigkeit)
  • Vom Benutzer erzeugte Inhalts- und Kommunikationsdaten (z.B. Dokumente, Audioaufnahmen und Nachrichten)
  • Technische Nutzungsdaten (z.B. erzeugte Dateien, Versionen, Fehlermeldungen)

Wofür werden meine Daten verwendet (Zweck der Verarbeitung) und auf welcher Basis (Rechtsgrundlage) passiert dies?

  • Durchführung, Vor- und Nachbereitung von Projekten
  • Verwaltung von Rechten und Rollen der Benutzer entsprechend der Funktion (z.B. Projektmitarbeiter:in, Projektleiter:in oder Kunden) und der Zugehörigkeit zu Unternehmen.
  • Technische Bereitstellung von für die Verwaltung und Nutzung der NextCloud erforderlichen Diensten
  • Sicherheit und Funktionalität dieser Dienste
  • Die Verarbeitung sämtlicher Daten erfolgt auf der Grundlage einer Einwilligung (Artikel 6 Abs. 1 lit. a DS-GVO) durch die Betroffenen.

Werden meine Daten weitergegeben und wer hat Zugriff auf meine Daten?

Die Nutzung der NextCloud ist nur möglich, wenn man dafür von 9work bereitgestellte Dienste nutzt. Dieses sind Dienste zur Verwaltung von Nutzern und Inhalten.

Auftragsverarbeiter – nach Weisung durch 9work

  • Von 9work beauftragter Dienstleister (Daniel Dziamski)

Innerhalb von 9work wird der Zugriff auf die Daten im Zusammenhang mit der Nutzung der NextCloud durch das Rechte und Rollenkonzept geregelt.

  • Projektleitung – alle technischen und öffentlichen Daten; Daten im persönlichen Nutzerverzeichnis nur im begründeten Verdachtsfall einer Straftat oder bei offensichtlichem Verstoß gegen die Nutzungsvereinbarung und nach vorheriger Information der Benutzer und im Beisein von Zeugen – Vier-Augen-Prinzip,
  • Administrator – alle Daten aller Personen (auf Weisung von 9Work)
  • Projektmitarbeiter:innen – Eigene Daten und Daten von Kunden und Projektmitarbeiter:innen entsprechend ihrer Funktion und Freigaben durch die Personen selbst
  • Kunden – Eigene Daten und Daten von Projektmitarbeiter:innen und Projektleitung entsprechend Freigaben

Personen von außerhalb der Nextcloud erhalten nur Zugriff auf Daten, wenn ein Gesetz es ihnen gestattet

  • Interessenten bei Freigabe durch Nutzende
  • Ermittlungsbehörden im Fall einer Straftat

Werden meine Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Nein. Die Server unseres Anbieters stehen in Deutschland.

Findet eine automatisierte Entscheidungsfindung statt?

Nein, in den Diensten der NextCloud wird nichts von Algorithmen entschieden, was die Benutzer betrifft. Es werden keine Profile aus den in diesen Diensten verarbeiteten Daten erstellt.

Wie lange werden meine Daten gespeichert?

Die Benutzerdaten werden solange gespeichert wie diese

  • die NextCloud nutzen,
  • der Einwilligung in die Verarbeitung ihrer Daten nicht widersprochen haben

(es gilt jeweils das zuerst Zutreffende)

  • Nach Beendigung der Nutzung der NextCloud werden die Daten des Benutzers innerhalb von sechs Wochen endgültig aus der NextCloud gelöscht. 9work löscht sämtliche Daten danach von allen Servern und Sicherheitskopien in einem Zeitraum von 6 Monaten.
  • Projektdaten werden nach Projektende gelöscht. Inhalte der Benutzer bleiben davon unberührt. Daten im Zusammenhang mit einem e-Portfolio werden für die gesamte Projektlaufzeit gespeichert.
  • Benutzer haben jederzeit die Möglichkeit, von ihnen erstellte Inhalte eigenständig zu löschen.

Welche Rechte habe ich gegenüber 9work?

Gegenüber 9Work besteht ein Recht auf Auskunft über Ihre personenbezogenen Daten, ferner haben Sie ein Recht auf BerichtigungLöschung oder Einschränkung, ein Widerspruchsrecht gegen die Verarbeitung und ein Recht auf Datenübertragbarkeit

Recht zur Beschwerde bei der Aufsichtsbehörde

Zudem steht Ihnen ein Beschwerderecht bei der Datenschutzaufsichtsbehörde, dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zu.

Wie kann ich meine Einwilligung zur Datenverarbeitung widerrufen?

Um die Einwilligung in die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Nutzung der NextCloud zu widerrufen, reicht ein formloser Widerruf bei 9work. Dieser kann schriftlich, per E-Mail und auch mündlich erfolgen. Um Missbrauch vorzubeugen, ist ein mündlicher Widerruf jedoch nur persönlich und nicht telefonisch möglich.

Wo finde ich weitere Informationen zum Thema Datenschutz und NextCloud?

Weitere Informationen findet man unter  https://nextcloud.com/de/gdpr/ und als Nutzer im Bereich der persönlichen Einstellungen unter Datenschutz.

Wichtiger Hinweis – Freiwilligkeit

Wir möchten darauf hinweisen, dass die Nutzung der NextCloud auf freiwilliger Basis erfolgt. Eine Anerkennung der Nutzervereinbarungen und eine Einwilligung in die Verarbeitung der zur Nutzung der schulischen NextCloud erforderlichen personenbezogenen Daten ist freiwillig.

Die Nutzung der NextCloud setzt allerdings immer auch die Anerkennung der Nutzervereinbarung für die NextCloud und die Einwilligung in die diesbezügliche Verarbeitung von personenbezogenen Daten des Betroffenen voraus.