Allgemeine Nutzungsbedingungen

Microsoft365 (M365) ist ein cloudbasierter Service von Microsoft, für den die RWTH ihren Mitarbeitenden die Nutzung in einem definierten Rahmen ermöglicht.  

Die angebotenen Dienste werden auf Servern bereitgestellt, die in Cloud-Rechenzentren der Firma Microsoft und nicht im Rechenzentrum der RWTH Aachen stehen. Daher hat die RWTH Aachen physisch keinen Zugriff auf die Hardware. Die RWTH Aachen ist jedoch für die Realisierung der Authentifizierung und Verwaltung der Lizenzen verantwortlich. 

Die Nutzung von OneDrive, SharePoint Online und Office Web Apps ist nur unter folgenden Bedingungen möglich:

Ausschließlich Mitarbeitende, die bisher den RWTH-Tenant genutzt haben, welcher zum 29. April 2024 abgeschaltet wurde, können eine Erweiterung für M365 beantragen. Das Verfahren für die Beantragung finden Sie hier.

Das IT Center hat darüber hinaus noch folgende Rahmenbedingungen zentral realisiert: 

• M365 wurde, soweit technisch möglich, auf folgende Apps reduziert: OneDrive, SharePoint Online und Office Web Apps als Cloud-Anwendung sowie die Lizensierung von lokal installiertem Office. 
• Es werden folgender Lifecycle implementiert: 
  • Accounts der Mitarbeitenden werden nach Ausscheiden aus der RWTH Aachen aus dem M365 Bereich entfernt (d.h. die Nutzenden sind für andere nicht mehr sichtbar und können sich nicht mehr einloggen). Die endgültige Löschung des Accounts sowie der zum Account gehörenden Daten im OneDrive, erfolgt entsprechend 30 Tage später. 
  • Gastaccounts werden nach 3 Monaten ohne Login automatisch aus dem M365 Bereich entfernt (d.h. die Nutzenden sind für andere nicht mehr sichtbar und können sich nicht mehr einloggen). Die endgültige Löschung des Accounts erfolgt nach 30 Tagen. 
  •  Bei SharePoint Sites werden nach 3 Monaten Inaktivität entsprechende Benachrichtigungen an die Administratoren geschickt. Sollte nach dreimaliger Erinnerung im Abstand von je zwei Wochen keine Aktivität festgestellt werden, wird die jeweilige Site entfernt und nach 30 Tagen endgültig gelöscht. 
• Es werden folgende Speicherlimits vergeben: 
  • Persönlicher OneDrive: 50 GB
  • SharePoint (Team) Site: 1 TB  
• Es werden folgende Labels vorgegeben, die für die Kategorisierung der Daten verwendet werden können: öffentlich, intern, vertraulich, streng vertraulich. Diese Label beziehen sich auf die Datenklassifizierung und werden in Kürze in einer Dokumentation erläutert. 

Für den Nutzenden gelten folgende Pflichten. Diese ergeben sich unmittelbar aus den Lizenzbedingungen von Microsoft sowie Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit: 

• Die Nutzung der Software und Dienste von Microsoft erfolgt gemäß der jeweils aktuellen Fassung der Produktbestimmungen (PTs), der Bestimmungen für Onlinedienste (OSTs) sowie dem Nachtrag zum Datenschutz für Onlinedienste (DPA). Diese sind auf der Microsoft Website einsehbar.  
• Die Software und Dienste sind ausschließlich zu dienstlichen Zwecken oder für dienstliche Projekte einzusetzen unter Beachtung der gesetzlichen Aufbewahrungsfristen und des Archivrechts.  
• Die Nutzung von M365 ist für Tätigkeiten im Kontext der RWTH Aachen vorgesehen. Entsprechend ist die Speicherung von privaten Daten in OneDrive und SharePoint online nicht zulässig, ebenso wie ein Einsatz zu kommerziellen Zwecken. 
• Bei der Nutzung von M365 sind die gültigen Rechtsvorschriften und Regelungen  (Lizenzrecht, Datenschutzrecht, Personalaktenrecht, Steuerrecht, Urheberrecht, Telemedienrecht, Archivrecht, US-Exportkontrollrecht u.W.) einzuhalten. 
• Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Sämtliche Software muss gelöscht bzw. Dienste dürfen nicht weiter genutzt werden, wenn die RWTH Aachen den MS Bundesvertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Beitritt bzw. keine Verlängerungsbestellung einreicht oder keine zeitlich unbeschränkten Lizenzen erwirbt, je nachdem welches Ereignis als erstes eintritt. 
• Die Nutzung von BitLocker Keys für Mitarbeitende ist nicht möglich. Die Nutzung von BitLocker muss auf allen Geräten, auf denen über den M365-Tenant Windows aktiviert wurde, kontrolliert und ggf. deaktiviert werden. Wenn eine Verschlüsselung durch BitLocker o.ä. gewünscht ist, wenden Sie sich bitte an die IT-Administration Ihrer Einrichtung.
• Streng vertrauliche Daten dürfen aufgrund des sehr hohen Schutzbedarfes nicht in der Cloud abgelegt werden, entsprechend ist eine Speicherung in OneDrive und SharePoint online sowie eine Bearbeitung mit den Office Web Apps nicht zulässig:
  • Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der Universität führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können.
    Beispiele hierfür sind:
    • Personenbezogene Daten (Anwesenheitslisten oder Listen von Teilnehmenden einer Veranstaltung), insbesondere Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen oder religiösen oder weltanschaulichen Überzeugungen
    • Reise- oder Lohnabrechnungen (Finanzdaten, Sozialdaten, Daten mit Bezug zur Personalakte)  
    • Forschungsdaten, die nicht ohnehin für die Öffentlichkeit bestimmt sind  
    • Technische Daten (Baupläne sensibler Räume; Netzwerkpläne)  
    • Geschützte Daten (Krankmeldungen, Zeugnisentwürfe, Verträge)  
    • Prüfungswesen (Gutachten und Korrekturen)  
    • Daten, die Informationen enthalten, bei denen die unberechtigte Einsichtnahme verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtung geheim zu haltende Informationen oder Informationen, die der Verschwiegenheitspflicht unterfallen.   
• Vertrauliche Daten müssen in SharePoint online verschlüsselt abgelegt werden. 
• Bei Nutzung von OneDrive als persönliche Dokumentenablage, also ohne die Dokumente mit anderen Personen zu teilen, besteht eine Pflicht zur Verschlüsselung der abgelegten Daten. Entsprechende Anleitungen und Hinweise auf Tools werden in Kürze auf in der IT Center Help dokumentiert. 
• Bei der Nutzung der Office Web Apps werden die dort verarbeiteten Daten automatisch in der Cloud (im persönlichen OneDrive Bereich) gespeichert. Es gelten hier also dieselben Regeln wie für OneDrive. 
• SharePoint Online:  
  • Eine SharePoint Site sollte nur verwendet werden, wenn daran ein Team von mind. 3 Personen arbeitet.  
  • Um Handlungsfähigkeit und Vertretung sicher zu stellen, müssen immer mind. zwei Administrierende/Besitzende für eine SharePoint Site angegeben werden.  
• Für die in OneDrive und SharePoint online abgelegten Daten wird kein zentrales Backup durch das IT Center oder Microsoft erstellt. Es können gezielt Dokumente auf Endgeräte synchronisiert werden. In OneDrive werden die Dokumentenversionen der letzten 30 Tage online gespeichert. 
• OneDrive und SharePoint online sind keine Systeme zur dauerhaften Speicherung im Sinne einer Archivierung.  
• Teilen von Dokumenten im OneDrive bzw. Zusammenarbeit mit Externen in SharePoint online: 
  • Zwischen Hochschulen ist die Nutzung von OneDrive und SharePoint online bei bestehenden Verträgen bzw. Projekten zwar möglich, wir empfehlen jedoch die Nutzung von Sciebo.  Sciebo als etablierter Dienst deckt diesen Use Case bereits ab. 
  • Eine gemeinsame Nutzung mit externen Unternehmen oder Forschungseinrichtungen ist nur bei bestehenden Verträgen (z.B. Kooperationsverträgen) möglich, die den Datenaustausch regeln. Es muss sichergestellt sein, dass alle Parteien über eine entsprechende Lizensierung verfügen. Bei rechtlichen Rückfragen steht Dezernat 9 zur Verfügung. 
  • Die gemeinsame Nutzung von OneDrive und SharePoint online mit Privatpersonen, die in keinem (Vertrags-)Verhältnis zur Hochschule stehen, ist nicht zulässig. 
  • Ab dem Punkt „vertraulich“ dürfen Daten nur verschlüsselt gespeichert und geteilt werden. 

Mit der Nutzung von M365 akzeptieren Sie die oben genannten Regelungen.  

Darüber hinaus empfehlen wir folgende Handlungsweisen: 

• Nutzen Sie die Möglichkeit, die abgelegten Daten und Dokumente mit entsprechenden Kategorien zu labeln. Entsprechende Anleitungen hierzu werden in Kürze in unserer Dokumentation ergänzt. 
• Eine ausschließliche Nutzung der WebApps (ohne alternative lokale Office Lösungen) wird aufgrund der fehlenden Möglichkeit der reinen lokalen Speicherung nicht empfohlen. 
• Bitte beachten Sie bei der Verarbeitung und Speicherung von Forschungsdaten die bestehenden FDM-Prozesse und -Lösungen an der RWTH Aachen. 
• Eine Nutzung von privaten Endgeräten erfolgt auf eigene Verantwortung. 

Speichern/Synchronisieren Sie die Daten nicht auf private Endgeräte. Bei Verlust der Daten auf dem Endgerät kann hier keinerlei Garantie und Support seitens der RWTH übernommen werden. 

Nutzungsbedingungen für Microsoft Teams für Mitarbeitende der RWTH Aachen

Microsoft Teams wurde seit Beginn der Corona-Pandemie 2020 in eingeschränktem Funktionsumfang an der RWTH verwendet. Fokus lag dabei auf der Ermöglichung von Videokonferenzen und Chats zur Sicherstellung des Dienstbetriebs.

Mit der Einführung von Webex und den damit verbundenen Funktionalitäten gibt es Überschneidungen, sodass der ursprüngliche Einsatzzweck von Microsoft Teams nicht mehr gegeben ist.

Bis zum Ende des Microsoft Bundesvertrages (30. April 2025) wird eine Übergangslösung in Kraft treten. Hierfür gelten neben den allgemeinen Nutzungsbedingungen von M365 folgende Rahmenbedingungen:

• Die Nutzung von Microsoft Teams erfolgt weiterhin über den M365 Tenant.
• Die Nutzung von Microsoft Teams ist ausschließlich für dienstliche Zwecke oder dienstliche Projekte gestattet.
• Mitarbeitende dürfen Microsoft Teams nur noch dann verwenden, wenn dies für die Kollaboration mit externen Partnern zwingend vorausgesetzt wird.
• Diese Notwendigkeit wird durch das Setzen der Checkbox im Selfservice bestätigt. Ist die Notwendigkeit nicht mehr gegeben, muss der Haken hier entfernt werden. Dadurch wird die Microsoft Teams Lizenz nach einer Bearbeitungszeit von bis zu 24 Stunden automatisch entzogen.
• Die Nutzung von Microsoft Teams unterliegt den gültigen Rechtsvorschriften und Regelungen, einschließlich Datenschutzrecht, Urheberrecht und Lizenzrecht.
• Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Die Nutzung endet mit der Kündigung des Microsoft Bundesvertrags oder bei Nichtverlängerung der Lizenzen.
• Lifecycle von Microsoft Teams:
  • Accounts: 30 Tage nach Entzug der Microsoft Teams Lizenz werden die zum Microsoft Teams Account gehörigen Daten gelöscht. Gruppenzugehörigkeiten und bereits veröffentlichte Inhalte in Gruppen werden mit Entzug der Lizenz nicht gelöscht. Innerhalb dieser 30 Tage kann die Checkbox wieder aktiviert werden, um weiterhin auf die Daten zugreifen zu können. Die Bearbeitungszeit von bis zu 24 Stunden sollte bei der De- bzw. Reaktivierung der Checkbox berücksichtigt werden.
  • Gruppen/Teams: Sobald eine Gruppe in Microsoft Teams keine Mitglieder der RWTH Aachen mehr beinhaltet, startet eine Frist von 60 Tagen. Nach Ablaufen der Frist wird die Gruppe gelöscht. Gastaccounts gelten hier nicht als Mitglieder einer Gruppe.
  • Gruppen/Teams ohne Besitzer*innen: Sollte der Fall eintreten, dass eine Gruppe keine*n Besitzer*in mehr hat und es soll eine neue Person festgelegt werden die den Besitz übernimmt, müssen alle aktuellen festen Mitglieder (Gäste ausgenommen) den*die neue*n Besitzer*in bestätigen. Hierzu soll sich initial ein Mitglied des Teams bei dem IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) melden. Das weitere Verfahren wird dann durch das IT Center erläutert.
  • Gastaccounts: 60 Tage nach dem letzten Login werden Gastaccounts aus dem M365-Tenant gelöscht.

Mit der Nutzung von Microsoft Teams akzeptieren Sie die oben genannten Regelungen und sind verpflichtet, diese einzuhalten.