Microsoft Azure ist eine Cloud-Computing-Plattform für Plattform as a Service (PaaS) und Infrastructure as a Service (Iaas) Dienste, welche von Microsoft angeboten werden. Die Authentifizierung für Microsoft Azure wird über den Single-Sign-On Account (Shibboleth) realisiert. Bitte bestätigen Sie folgende Punkte vor der Nutzung:

• Kenntnisnahme der Übermittlung personenbezogener Daten an Microsoft. Diese Daten sind konkret: Vor- und Nachname und E-Mail-Adresse und dienen ausschließlich der Authentifizierung des Nutzenden.
• Da es sich bei Microsoft Azure um eine Software mit US-Ursprung handelt, ist hier neben dem direkt geltenden nationalen und supranationalen Recht auch das US-Exportkontrollrecht zu beachten. Weitere Informationen hierzu finden Siehier.

Die angebotenen Dienste werden auf Servern bereitgestellt, die nicht in Rechenzentren der RWTH stehen und auf die die RWTH physisch keinen Zugriff hat. Allein Microsoft ist für die dort angebotenen Dienste verantwortlich. Durch die RWTH wurden folgende Maßnahmen im Vorfeld getroffen:

• der Standort der Maschinen auf Europa beschränkt. Somit gilt die DSGVO.
• Es wurde mit Microsoft und auch mit unserem Vertragspartner Bechtle-Comsoft ein Vertrag zur Auftragsverarbeitung geschlossen.

Für die Nutzenden bestehen folgende Pflichten:

1. Der Schutzbedarf der Daten, die in Azure abgelegt werden, muss hinsichtlich der Datenkategorie, dem Schutzbedarf und der Eignung geprüft werden und ggf. mit dem Datenschutzbeauftragten der RWTH Aachen abgestimmt werden.
2. Die Sicherung der in der Cloud gespeicherten Daten obliegt dem jeweiligen Nutzenden.
3. Wenn möglich, ist als Standort für die Dienste „Deutschland“ zu wählen
4. Die Nutzung von Azure für private Zwecke ist nicht erlaubt.
5. Geltende vertragliche Vereinbarungen, gesetzliche Bestimmungen oder RWTH interne Richtlinien zur Nutzung von Daten sind einzuhalten und ggf. mit dem Datenschutzbeauftragten abzustimmen. Beispiele sind Vereinbarungen mit Dritten zur Vertraulichkeit oder gesetzliche Vorgaben aus der Datenschutzgrundverordnung (DSVGO), die möglicherweise eine Ablage bei einem Cloud-Dienst ausschließen oder nur unter bestimmen Voraussetzungen erlauben. Die Speicherung von personenbezogenen Daten ist immer mit den Personalräten und/oder dem Datenschutzbeauftragten abzusprechen. Insbesondere gilt:
   1. Personenbezogene besonders sensible Daten gem. Art. 9 Abs.1 DSGVO dürfen weder unverschlüsselt noch verschlüsselt in der Cloud gespeichert werden. Hierzu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
   2. Allgemeine personenbezogene Daten, die nicht unter die 1. genannten Daten fallen, sind nur verschlüsselt abzulegen. Eine unverschlüsselte Speicherung ist unzulässig.
6. Die geltenden Lizenz- und Nutzungsbestimmungen der Firma Microsoft sind einzuhalten: https://www.microsoft.com/de-DE/useterms und https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen
7. Es müssen die geltenden Nutzungsbestimmungen der jeweils zum Einsatz gebrachten Software in der Cloud eingehalten werden, insbesondere in Hinsicht auf geltende Lizenz- und Vertragsbestimmungen sowie Exportbestimmungen des jeweiligen Landes.

Stand: 27.03.2023