Datenschutz - KOHA, Installation auf Server in einer Cloud
Hallo, bisher ist unseren KOHA auf einem Server in den Räumen der Bibliothek und zusätzlich durch eine Firewall geschützt. Wir überlegen den Server als virtuellen Host in einer Cloud zu betreiben. Auf dem Server liegen die persönlichen Daten der Nutzer in unverschlüsselter Form. Bietet KOHA selbst ausreichenden Schutz oder haben wir hier zusätzlichen Schutz (welchen?) zu gewährleisten? Müssen wir von den Nutzern eine Zustimmung einholen? Mit freundlichen Grüßen Heinrich Hartl
Hallo Herr Hartl, ich fürchte, das Hosting von Koha auf einem Server ausserhalb des eigenen Netzwerks ist sogar noch etwas komplizierter, als nur die rein technische Sicherheit zu gewährleisten. Da wäre zunächst einmal das Thema Datenschutz: Vom Betreiber des Servers sollten Sie zunächst in Erfahrung bringen, wo genau der Server steht. Steht er ausserhalb der EU, wird es durch die Vorgaben der DSGVO sehr kompliziert. Auch wenn er innerhalb der EU steht, müssen Sie mit dem Betreiber vermutlich einen Vertrag über Auftragsdatenverarbeitung abschließen, sofern dieser in irgendeiner Form Zugriff auf Ihre Daten hat - und das hat er, sobald der Betreiber Administratorzugriff hat. Die Verbindung zwischen Koha-Server und Koha-Nutzungsrechner darf nicht unverschlüsselt sein, jemand muss also sicherstellen, dass serverseitig eine entsprechend starke Verschlüsselung realisiert und der Zugriff auf Koha nur über https möglich ist. Außerdem empfiehlt es sich, ein SSL-Zertifikat für den Webserver zu erwerben und regelmässig zu aktualisieren. Wenn man Koha auf einem externen Server betreiben möchte, ist man gut beraten, sich bei der Planung und beim Betrieb von einem Datenschutzfachmann beraten zu lassen. Das Einverständnis der Bibliothekskunden brauchen Sie für den externen Betrieb nicht, aber für die Speicherung und Verarbeitung der personenbezogenen Daten in Koha ganz grundsätzlich schon. Meist wird das aber schon mit der Anmeldung abgefragt. Zur technischen Sicherheit: Koha bietet als Bibliotheksmanagementsystem keinerlei nennenswerten Schutz gegen jemanden, der über fundierte IT-Erfahrung verfügt und in das System eindringen möchte. Wenn Sie es also auf einem externen Server betreiben möchten, müssen Sie sicherstellen, dass dieser in angemessener Weise geschützt ist - und das schließt die gesamte Palette vom Härten des Betriebssystems über die Firewall, ggf. IP-Range-Beschränkungen von Ports bis hin zur regelmässigen uns systematischen Überwachung ein. Ggf. bietet der Betreiber des Servers ein solches Sicherheitspaket an, ansonsten liegt es in der Verantwortung desjenigen, der Koha betreibt. Ich hoffe, das hilft Ihnen etwas weiter. Viele Grüße Uwe Böttcher Am 17-Jun-2022 23:06:50 +0200 schrieb h-hartl@gmx.de: Hallo, bisher ist unseren KOHA auf einem Server in den Räumen der Bibliothek und zusätzlich durch eine Firewall geschützt. Wir überlegen den Server als virtuellen Host in einer Cloud zu betreiben. Auf dem Server liegen die persönlichen Daten der Nutzer in unverschlüsselter Form. Bietet KOHA selbst ausreichenden Schutz oder haben wir hier zusätzlichen Schutz (welchen?) zu gewährleisten? Müssen wir von den Nutzern eine Zustimmung einholen? Mit freundlichen Grüßen Heinrich Hartl _______________________________________________ Koha-de mailing list Koha-de@lists.koha-community.org https://lists.koha-community.org/cgi-bin/mailman/listinfo/koha-de
participants (2)
-
Heinrich Hartl -
uwe.boettcher@mail.de