Youtube Facebook Linkedin Instagram Comment-dots
Search

Trust &
Transparency
Center

3.1 Teams

Digitale Kollaboration

Die acib GmbH verfolgt eine konsequente Cloud-Only-Strategie und verzichtet vollständig auf den Betrieb eigener Server. Für die gesamte wissenschaftliche und administrative Zusammenarbeit nutzen wir das umfassende Microsoft 365 (M365) Ökosystem als zentrale, integrierte Projektumgebung
Während Microsoft Teams als primärer Hub für die tägliche Kommunikation und Kollaboration dient, bildet SharePoint als unser zentraler Cloudspeicher das fundamentale Rückgrat unseres Datenmanagements. Das nahtlose Ineinandergreifen von Teams, SharePoint und allen damit verbundenen M365-Instrumenten schafft einen hochgradig strukturierten Datenraum. Dieser bündelt die strengen Anforderungen an moderne Spitzenforschung, maximale Datensicherheit und Compliance (insbesondere im Hinblick auf EU-Projekte) in einer hybriden Arbeitswelt optimal.

Die Teams-Struktur der Projektumgebung

Jedes Forschungsprojekt sowie andere Zusammenarbeitsumgebungen erhalten bei acib eine dedizierte Teams-Umgebung für die strukturierte Kollaboration. Dies gilt sowohl für die interne Projektarbeit als auch für den geregelten Austausch mit Dritten, wie Konsortialpartnern, Fördergebern oder Prüfern. Um Transparenz, Revisionssicherheit und Datensouveränität zu gewährleisten, folgen diese Umgebungen einem standardisierten Modell:
  • Der Allgemeine Kanal: Dient der täglichen Abstimmung und dem Austausch von Informationen mit niedriger Vertraulichkeitsstufe (gemäß TLP). Er steht für alle Mitglieder eines Teams zur Verfügung und bildet die Basis für den gemeinsamen Austausch.
  • Strukturierte Fachkanäle: Spezifische Kanäle (z. B. für einzelne Arbeitspakete in EU-Konsortien oder den Austausch mit Projektprüfern) trennen die Kommunikation thematisch und minimieren Informationsverluste. Sie sind in der Regel einem strenger definierten, eingeschränkten Nutzerkreis innerhalb der Umgebung zugänglich und erlauben eine zielgerichtete Informationsbereitstellung nach dem Need-to-Know-Prinzip.
  • Fremddatenkanal (Partner-Input): Für den sicheren Empfang von Informationen, die uns von Dritten zur Verfügung gestellt werden, richten wir dedizierte Kanäle oder Ablagebereiche ein. Daten in diesen Bereichen („Background IP“ der Partner) werden strikt von unseren eigenen Forschungsdaten getrennt, eindeutig als Fremddaten markiert und nur für einen zeitlich beschränkten Zeitraum aufbewahrt, bevor sie nach Vorgabe sicher gelöscht oder archiviert werden.
Mit dieser standardisierten und cloudbasierten Architektur stellt acib sicher, dass sämtliche Forschungs- und Projektdaten – von der agilen internen Abstimmung bis hin zur streng regulierten Zusammenarbeit mit internationalen Konsortialpartnern und Prüfern – jederzeit sicher, nachvollziehbar und compliance-konform verwaltet werden. Die konsequente Nutzung des Microsoft 365-Ökosystems in Verbindung mit klar definierten Informationsflüssen bildet somit nicht nur das technologische Fundament für unsere vernetzte Spitzenforschung in der industriellen Biotechnologie. Sie garantiert gleichzeitig den maximalen Schutz unseres eigenen geistigen Eigentums sowie den vertrauensvollen und rechtssicheren Umgang mit den sensiblen Daten unserer Partner.

Zentrales Datenrepository via SharePoint-Integration

Hinter jedem Microsoft Team steht eine dezidierte, gesicherte SharePoint-Instanz, die als unser zentrales Datenrepository für das jeweilige Projekt oder den Arbeitsbereich fungiert. Diese nahtlose Integration gewährleistet eine hochsichere und strukturierte Datenhaltung im Hintergrund:
  • Single Source of Truth (Zentrale Ablage): Wir vermeiden aktiv dezentrale Speicherung und Datensilos. Sämtliche relevanten Dokumente, Forschungsberichte und Rohdaten werden ausschließlich in der SharePoint-Struktur des zugehörigen Teams verwaltet und bearbeitet.
  • Lückenlose Versionierung und Audit-Trail: Die Architektur von SharePoint ermöglicht eine automatisierte und lückenlose Versionskontrolle. Jede Änderung an einem Dokument ist historisch nachvollziehbar. Dies ist ein essenzieller Baustein für unsere Qualitätssicherung und eine Grundvoraussetzung zur Erfüllung der strengen Dokumentationspflichten gegenüber nationalen und internationalen Fördergebern (z. B. FFG, EU-Kommission).
  • Granulare Zugriffssteuerung: Über ein restriktives, rollenbasiertes Rechtemanagement auf Ebene der SharePoint-Ordner und Teams-Kanäle stellen wir sicher, dass sensible Forschungsdaten streng nach dem Need-to-Know-Prinzip geschützt sind. Nur explizit autorisierte Projektmitglieder erhalten Zugriff auf die für sie relevanten Informationen.
  • Konsequentes TLP-Labelling: Zur visuellen und technischen Klassifizierung der Vertraulichkeit wenden wir das Traffic Light Protocol (TLP) an. Alle Kanäle und die darin geteilten Dokumente werden entsprechend ihrer Sensibilität gekennzeichnet. Dies schafft für alle internen und externen Teilnehmer*innen sofortige Klarheit darüber, wie mit den bereitgestellten Informationen umgegangen werden darf und ob diese weitergegeben werden dürfen.
  • DLP und Aufbewahrungsrichtlinien (Retention Policies): Um den Lebenszyklus von Daten aktiv zu steuern und Datenabfluss zu verhindern, setzen wir Data Loss Prevention (DLP) und automatisierte Aufbewahrungsrichtlinien ein. Dies ist insbesondere bei Fremddaten (Background IP von Partnern) relevant: Diese werden entsprechend gelabelt und nach Ablauf einer definierten Frist oder nach Projektende automatisch gesperrt, archiviert oder sicher gelöscht, um unsere vertraglichen Löschpflichten (Data Lifecycle Management) lückenlos zu erfüllen.
Diese klar definierte Kanal- und Klassifizierungsstruktur in Microsoft Teams bildet die sichtbare Oberfläche unserer Projektarbeit. Sie stellt sicher, dass Kommunikation und Datenfluss für alle Beteiligten intuitiv, sicher und nach den geltenden Compliance-Vorgaben ablaufen. Die eigentliche Leistungsfähigkeit und rechtssichere Aufbewahrung dieser Daten wird jedoch erst durch das Fundament ermöglicht, auf dem diese Teams-Umgebungen aufbauen: unser zentrales Datenrepository.

Digitale Plattformen für elektronische Laborbücher (ELN)

Wissenschaftliche Exzellenz und die spätere Verwertbarkeit von Forschungsergebnissen erfordern eine lückenlose, nachvollziehbare Dokumentation. Um den unterschiedlichen regulatorischen Anforderungen unserer Projekte gerecht zu werden, nutzt acib ein zweigleisiges System für elektronische Laborbücher (ELN).

Microsoft OneNote für die agile Basisdokumentation

Innerhalb der M365- und Teams-Umgebung dient Microsoft OneNote als primäre, voll integrierte Plattform für die tägliche wissenschaftliche Dokumentation und Projektplanung
  • Gute Wissenschaftliche Praxis (GWP): Die Nutzung von OneNote folgt unseren internen Richtlinien zur GWP. Alle Einträge sind durch die M365-Integration systemseitig mit Metadaten (Zeitstempel und eindeutiger Ersteller) verknüpft, was eine Basis-Nachvollziehbarkeit im Sinne des ALCOA+-Standards unterstützt.
  • Zentrale Verfügbarkeit: Da Laboraufzeichnungen oft die Vorstufe für spätere Patentanmeldungen bilden, verhindert die zentrale Speicherung im Cloud-Ecosystem (SharePoint-Backend) lokale Datenverluste und stellt sicher, dass das Team jederzeit Zugriff auf den aktuellen Forschungsstand hat.

eLab-Journal für regulierte und revisionssichere Umgebungen

Für Projekte, die strengen regulatorischen Auflagen unterliegen (z.B. GMP-Nähe, GLP-Richtlinien, hochsensible Industriekooperationen) oder höchste Anforderungen an die Revisionssicherheit stellen, setzen wir ergänzend das spezialisierte System eLabJournal ein.
  • Vollständige Revisionssicherheit: eLabJournal bietet unveränderliche Audit-Trails und elektronische Signaturen nach Industriestandard (z.B. 21 CFR Part 11).
  • Strikte Compliance: Jede Änderung wird kryptografisch gesichert protokolliert, wodurch das System als rechtsgültiger Nachweis bei behördlichen Audits, strengen Qualitätskontrollen oder komplexen Patentstreitigkeiten fungiert.
Mit diesem hybriden ELN-Konzept stellt die acib GmbH sicher, dass der Dokumentationsaufwand im Laboralltag so effizient wie möglich gehalten wird, ohne Kompromisse bei der Rechtssicherheit einzugehen. Durch die gezielte Wahl des passenden Werkzeugs – von der niedrigschwelligen, stark kollaborativen OneNote-Lösung für den Großteil der Forschungsarbeit bis hin zum hochregulierten eLabJournal-Einsatz in kritischen Projekten – erfüllen wir flexibel die unterschiedlichsten Anforderungen von internen Teams, Fördergebern und Industriepartnern.

Identifizierung, Gast-Zugang und Identitätssicherheit

Die enge Zusammenarbeit mit externen Partnern (Konsortien, Industrie, Fördergeber) ist für acib essenziell. Um den Schutz gemeinsamer Forschungsdaten und Intellectual Property (IP) zu gewährleisten, verfolgen wir bei der Vergabe von externen Zugriffsrechten in unserem M365-Tenant einen strikten „Know-Your-Partner“-Ansatz. Die Mitgliedschaft als Gast in unserem Tenant stellt sicher, dass externe Nutzer den gleichen strengen Authentifizierungs- und Verschlüsselungsstandards unterliegen wie interne Mitarbeitende. Nur durch diese eindeutige Identifikation können wir den sicheren Zugriff auf Arbeitsräume und das Öffnen von verschlüsselten, klassifizierten Dokumenten (z. B. via Microsoft Purview Information Protection) technisch legitimieren und nachverfolgen.
Die Einladung externer Partner erfolgt daher unter folgenden strikten Sicherheits- und Identitätsvorgaben:
  • Individuelle Identifizierung: Der Zugang wird ausschließlich auf Basis einer persönlichen, individuell zuordenbaren E-Mail-Adresse gewährt. Eine eindeutige Identifizierung der natürlichen Person hinter dieser Adresse ist zwingende Voraussetzung für die Kollaboration.
  • Ausschluss von Funktionsadressen: Die Verwendung von rollenbasierten Sammel- oder Funktionsadressen (z. B. office@…, info@…) ist untersagt. Nur so können wir die lückenlose Rückverfolgbarkeit (Audit-Trail) jeder Handlung und jedes Dateizugriffs sicherstellen.
  • Haftung für E-Mail-Sicherheit: Jeder Gast ist für die Sicherheit seines eigenen E-Mail-Kontos vollumfänglich selbst verantwortlich. Der Gast haftet für etwaige Schäden, die aus einer Kompromittierung seines eigenen Kontos und einem daraus resultierenden unbefugten Zugriff auf acib-Systeme entstehen.
  • Einladungsprozess & Fristen: Einladungen zum Gast-Zugang verfallen automatisch, wenn sie nicht innerhalb von 30 Tagen angenommen werden. Danach muss über den zuständigen Team-Owner eine neue Einladung angefordert werden.
  • Zugang via Einmal-Passcodes (OTC) & Nutzungsbedingungen: Partner benötigen nicht zwingend ein Microsoft-Konto. Der Zugang erfolgt über sichere Einmal-Passcodes (One-Time Passcodes / OTC), die bei jeder Anmeldung an die verifizierte E-Mail-Adresse gesendet werden. Vor dem ersten Zugriff müssen Gäste den acib-Nutzungsbedingungen explizit zustimmen. Ist die E-Mail-Adresse bereits mit einem Microsoft-Konto verknüpft, wird dieses für eine nahtlose Anmeldung (SSO) verwendet.
  • Mandanten-Wechsel (Tenant Switching): Partner müssen in ihrer Teams-App aktiv in den acib-Tenant umschalten, um auf die gemeinsamen Arbeitsbereiche zuzugreifen. Für ausgewählte, langfristige strategische Kooperationen behalten wir uns den Einsatz von Shared Channels (Teams Connect) vor, um diesen Wechsel zu ersparen.
  • Lifecycle-Management und automatische Sperrung: Scheidet eine Person beim Partnerunternehmen aus, entfällt sofort die Berechtigung für den Gast-Zugang. Zudem greift ein automatisiertes Lifecycle-Management: Loggt sich ein Gast für mehr als 70 Tage nicht in den acib-Tenant ein, wird der Zugang automatisch deaktiviert, sofern keine abweichenden Projektfristen festgelegt wurden.
  • Recht auf sofortige Sperrung: acib behält sich ausdrücklich das Recht vor, Gast-Zugänge jederzeit und ohne Vorankündigung zu widerrufen, wenn Zweifel an der Identität bestehen, ein Verdacht auf Missbrauch vorliegt oder der Kooperationszweck vorzeitig endet.
Weiterführende Informationen zur Verarbeitung personenbezogener Daten von Gästen in unserem System finden Sie in der dedizierten Datenschutzerklärung (DSE) für Gast-Nutzer Link zur DSE.

Nutzungsbedingungen und Code of Conduct für Gäste im acib Tenant

Um die Sicherheit und Compliance innerhalb unserer digitalen Projektumgebung zu gewährleisten, ist der Gastzugang an strenge, bei der Registrierung zu akzeptierende Allgemeine Nutzungsbedingungen (ANB) gebunden. Diese regeln die technischen und verhaltensbezogenen Pflichten und gelten ergänzend zu bestehenden Projekt- und Geheimhaltungsverträgen (z. B. NDAs, Consortium Agreements).
Die wesentlichen Kernpunkte der Nutzungsbedingungen umfassen:
  • Zweckbindung und Verbot der privaten Nutzung: Die Plattform und alle bereitgestellten Daten dürfen ausschließlich für die vereinbarten geschäftlichen oder wissenschaftlichen Zwecke im Rahmen der jeweiligen Kooperation genutzt werden.
  • Striktes Verbot der lokalen Speicherung: Das dauerhafte lokale Speichern von Plattform-Daten auf privaten oder firmeneigenen Endgeräten des Gastes ist untersagt. Downloads sind nur für die absolut notwendige Bearbeitungsdauer zulässig und müssen danach unwiderruflich gelöscht werden.
  • Schatten-IT und Datenabfluss: Es ist dem Gast strengstens untersagt, vertrauliche acib-Daten in unautorisierte, externe Cloud-Dienste (z. B. private Dropbox, Google Drive) oder private E-Mail-Konten weiterzuleiten oder zu kopieren.
  • Nutzung von Künstlicher Intelligenz (KI): Die Einspeisung von Projekt- oder Forschungsdaten in öffentliche, kostenlose KI-Tools (z. B. ChatGPT Free, DeepL Free) ist aufgrund von unkontrolliertem Datenabfluss („Modell-Training“) strikt verboten. Der Einsatz von KI ist ausschließlich mit dedizierten Enterprise-Lösungen gestattet, bei denen durch Zertifizierungen oder „Zero-Data-Retention“-Policies garantiert ist, dass keine Eingabedaten zum Training verwendet werden.
  • Aufzeichnungsverbot (Meetings): Die Aufzeichnung von Video- oder Audiokonferenzen (inklusive der Nutzung von KI-gestützten Protokollhilfen) ist ohne die ausdrückliche, vorherige Zustimmung aller Teilnehmer grundsätzlich untersagt.
  • Meldepflicht bei Sicherheitsvorfällen: Bei Verdacht auf Datendiebstahl, kompromittierte Zugangsdaten, Beschlagnahmung von Geräten oder bei Wegfall des Kooperationszwecks (z. B. Jobwechsel des Gastes) muss die acib GmbH unter security@acib.at <security@acib.at> unverzüglich informiert werden, um eine sofortige Sperrung des Zugangs zu veranlassen. </security@acib.at>
Ein Verstoß gegen diese Nutzungsbedingungen gefährdet die Integrität unserer kooperativen Forschung und führt zum sofortigen Entzug der Zugangsberechtigung. acib behält sich zudem rechtliche Schritte sowie die Geltendmachung von Schadensersatzansprüchen vor, sollte durch grob fahrlässiges Verhalten oder vorsätzlichen Datenabfluss – insbesondere bei der unautorisierten Nutzung von KI-Tools oder Schatten-IT – Schaden für uns oder unsere Konsortialpartner entstehen.

Besondere Datenräume (Passwortgeschützte Freigaben)

In eng definierten, begründeten Ausnahmefällen stellt acib separate Datenräume für den Dateiaustausch bereit, ohne dass eine Gast-Registrierung im Tenant erforderlich ist. Dies betrifft insbesondere Partner in hochgradig restriktiven IT-Umgebungen (z. B. Ministerien oder Behörden), deren interne Datenschutz- oder Compliance-Richtlinien die Zustimmung zu fremden Nutzungsbedingungen oder die Anlage als Gast-Nutzer technisch oder rechtlich untersagen.
Für diese Fälle gelten folgende strikte Vorgaben:
  • Bereitstellung via SharePoint: Über SharePoint werden passwortgesicherte Freigaben („JEDER-Links“ mit zwingendem Kennwortschutz) erstellt.
  • Strenge Kurzfristigkeit: Diese Freigaben sind ausschließlich für den temporären Datenaustausch gedacht (z. B. wenn der Aufwand eines Onboardings für einen einmaligen Dateitransfer unverhältnismäßig wäre). Sie werden systemseitig immer mit einem kurzen, definierten Ablaufdatum versehen.
  • Passwort-Sicherheit und Weitergabeverbot: Das vergebene Kennwort wird dem Empfänger über einen getrennten Kommunikationskanal (Out-of-Band, z. B. SMS oder telefonisch) mitgeteilt. Eine Weitergabe des Passworts an Dritte ist keinesfalls gestattet und stellt einen gravierenden Sicherheitsverstoß dar.
Der verbindliche Standard für die reguläre, fortlaufende Projektarbeit bleibt jedoch uneingeschränkt der authentifizierte Gastzugang.

Datenhoheit und Eigentums-Dokumentation beim Upload

In kooperativen Forschungsprojekten ist die klare Trennung von geistigem Eigentum (IP) eine rechtliche und vertragliche Notwendigkeit. Zur Wahrung der Datenhoheit, zum Schutz vor unbeabsichtigtem Datenabfluss und zur strikten Vermeidung einer Vermischung von Partner-Daten mit acib-eigenen Ergebnissen (Co-Mingling) gelten bei der Bereitstellung von Dateien folgende verbindliche Richtlinien:

  • Strikte Trennung durch Ordnerstrukturen: Partner laden eigenes Vorwissen und eigene Forschungsdaten („Background IP“) ausschließlich in dafür explizit vorgesehene, isolierte Ordner (z. B. gekennzeichnet als Partner-Input hoch. Diese strukturelle Trennung gewährleistet, dass die Eigentümerschaft am eingebrachten Know-how jederzeit eindeutig von den gemeinsam oder durch acib generierten Ergebnissen („Foreground IP“) abgegrenzt werden kann.
  • Verbot der dezentralen Verteilung: Der Upload von Partnerdaten hat zwingend in den dedizierten SharePoint-/Teams-Bereichen zu erfolgen. Der unstrukturierte Versand von Background IP via E-Mail-Anhang oder persönlichen Chat-Nachrichten ist zu unterlassen, da hierbei die zentrale Kontrolle und Verschlagwortung verloren geht.
  • Metadaten-Kennzeichnung (Labeling): Sobald Fremddaten in die vorgesehenen Bereiche hochgeladen werden, versieht die acib GmbH diese (teils automatisiert) mit entsprechenden Metadaten. Dies schließt insbesondere Vertraulichkeits-Label (z. B. TLP AMBER+STRICT) ein, die eine unbefugte Weiterleitung technisch unterbinden.
  • Automatisierte Lösch- und Aufbewahrungsfristen: Eingebrachte Fremddaten unterliegen strikten Lifecycle-Regeln. Sie werden systemseitig mit einem Ablaufdatum versehen. Nach Ende der definierten Projektlaufzeit oder einer vertraglich vereinbarten Frist greifen automatisierte Löschrichtlinien (Retention Policies), welche die Partnerdaten unwiderruflich aus den Systemen der acib GmbH entfernen. Dies stellt sicher, dass wir unseren vertraglichen Rückgabe- oder Vernichtungspflichten lückenlos und nachweisbar nachkommen.
Ungeachtet dieser sicheren Infrastruktur bevorzugt acib grundsätzlich, dass Partner ihr eigenes sensibles Know-how (Background IP) – sofern es für die unmittelbare Projektkollaboration nicht zwingend im gemeinsamen Tenant bearbeitet werden muss – in ihren eigenen, kontrollierten Datenräumen belassen. Durch die Verlinkung auf externe „Single-Source-of-Truth“-Ablagen des Partners bleibt die absolute Hoheit über diese Dokumente unangetastet beim Urheber. Wir weisen ausdrücklich darauf hin, dass die Letztverantwortung für den Schutz von Geschäftsgeheimnissen und die Einhaltung der Verhältnismäßigkeit beim Upload in gemeinsame acib-Ordner (Was muss wirklich geteilt werden?) stets beim jeweiligen Partner liegt.

Verantwortung der Team-Owner (Gatekeeper-Prinzip)

Um die Sicherheit und Struktur innerhalb unserer digitalen Arbeitsumgebung aufrechtzuerhalten, wendet die acib GmbH das strikte Gatekeeper-Prinzip an. Die administrative Kontrolle und die Verantwortung für die Inhalte innerhalb eines spezifischen Microsoft Teams liegen exklusiv bei den benannten Team-Ownern. Für diese zentrale Rolle gelten folgende verbindliche Vorgaben:
  • Interne Verantwortung (Besetzung): Team-Owner sind ausnahmslos festangestellte Mitarbeiter der acib GmbH. Die Übertragung von Owner-Rechten an externe Gäste oder Partner ist systemseitig untersagt.
  • Ausfallsicherheit (Redundanz): Um administrative Kontinuität bei Urlaub, Krankenstand oder Personalwechsel zu gewährleisten, strebt acib für jedes aktive Team zwingend eine Besetzung mit mindestens zwei Ownern an.
  • Revisionsprüfung (Access Reviews): Owner sind verpflichtet, regelmäßige Überprüfungen (Access Reviews) der Mitgliederlisten durchzuführen. Berechtigungen müssen bei personellen Änderungen (z. B. Ausscheiden eines Projektpartners) unverzüglich angepasst oder entzogen werden, um das Risiko verwaister Zugänge zu minimieren.
  • Informationsfluss-Kontrolle: Der Owner trägt die inhaltliche Verantwortung dafür, dass die festgelegte Kanalstruktur (z. B. Trennung von Allgemeinem Kanal und Partner-Input) eingehalten und das TLP-Labeling für vertrauliche Dokumente korrekt angewendet wird.
Durch dieses klare Rollenverständnis stellen wir sicher, dass die dezentrale Projektorganisation agil bleibt, ohne dass die zentrale IT-Sicherheit und die Compliance-Vorgaben von acib kompromittiert werden.

App-Governance, Lifecycle und IT-Resilienz

Um die Stabilität, Sicherheit und langfristige Verfügbarkeit unserer digitalen Projektumgebung zu garantieren, unterliegt das gesamte Microsoft 365-Ökosystem der acib GmbH strengen Governance-Richtlinien und automatisierten Sicherheitsmechanismen. Die technische Resilienz wird durch folgende Kernprozesse sichergestellt:
  • App-Whitelisting (Governance): Innerhalb von Microsoft Teams dürfen ausschließlich von der acib-IT geprüfte und explizit freigegebene Applikationen (Whitelisting) installiert und genutzt werden. Dies verhindert Sicherheitslücken durch ungeprüfte Drittanbieter-Software (Schatten-IT) innerhalb des Tenants.
  • Archivierung und Data Loss Prevention (DLP): Die Integrität unserer Forschungsdaten wird durch Microsoft Purview Data Loss Prevention (DLP) geschützt, welches unbefugten Datenabfluss aktiv verhindert. Nach Projektabschluss greifen zudem automatisierte Lifecycle-Regeln, die Projektdaten für in der Regel 10 Jahre (bzw. gemäß den Vorgaben der Fördergeber) revisionssicher und unveränderlich archivieren.
  • Redundante Backup-Strategie: Zusätzlich zur systemeigenen Microsoft-Redundanz werden alle kritischen Forschungs- und Projektdaten (insbesondere aus SharePoint und OneNote) über eine unabhängige, externe Backup-Lösung (z.B. in Kooperation mit regionalen Partnern wie ACP) gesichert. Dies garantiert maximale Ausfallsicherheit im Falle von Ransomware-Angriffen oder kritischen Systemausfällen
Dieses engmaschige Zusammenspiel aus strikter App-Governance, revisionssicherer Archivierung und redundanten Backup-Strategien unterstreicht den Anspruch von acib : Wir bieten unseren internen Teams und externen Partnern eine Kollaborationsumgebung, die maximale Agilität im Forschungsalltag ermöglicht, ohne jemals Kompromisse bei der Datensicherheit und dem Schutz von Intellectual Property (IP) einzugehen.

Webbesprechungen und virtuelle Kommunikation via Teams

Microsoft Teams dient acib als primäre Kommunikationsplattform für alle internen und externen Webbesprechungen, Video-Calls und Webinare. Um auch in der synchronen, virtuellen Kommunikation ein Höchstmaß an Professionalität, Datenschutz und Sicherheit zu gewährleisten, gelten für die Durchführung von Online-Meetings verbindliche Richtlinien
Bei der Organisation und Teilnahme an Webbesprechungen sind folgende Standards einzuhalten:
  • Vertraulichkeit in Meetings (Lobby-Funktion): Für externe Besprechungen oder Meetings mit sensiblen Inhalten ist zwingend die „Wartebereich“-Funktion (Lobby) in Teams zu aktivieren. Der Organisator (Host) prüft die Identität der Teilnehmer, bevor er diesen den Zutritt zum virtuellen Raum gewährt. Das unkontrollierte Beitreten anonymer Nutzer ist zu verhindern.
  • Telefoneinwahl (Audio Conferencing): Die durch Teams ermöglichte Einwahl per klassischem Telefon (PSTN) in Teams-Meetings ist gestattet, um bei technischen Problemen oder für externe Partner Flexibilität zu gewährleisten. Da telefonische Teilnehmer vom System jedoch nicht stark authentifiziert werden können, greift hier zwingend das Lobby-Prinzip. Der Host muss die Identität des Anrufers (anhand der Nummer und nach Einlass per Stimme) verifizieren, bevor vertrauliche Inhalte besprochen werden. Ist die Identität zweifelhaft, ist eine Teilnahme bedauerlicherweise nicht möglich. Für mobile Teilnahme an Teams-Meeting empfiehlt sich der Einsatz von mobilen Teams-Clients.
  • Physische Umgebung und Vertraulichkeit (Clean Desk / Eavesdropping): Die Teilnahme an Besprechungen mit vertraulichen Inhalten (TLP AMBER oder höher) hat an Orten zu erfolgen, an denen Zuhören oder Mitlesen durch unbefugte Dritte (Eavesdropping / Shoulder Surfing) ausgeschlossen ist. Die Nutzung von Headsets ist in Großraumbüros oder im Homeoffice (bei Anwesenheit Dritter) erforderlich. Ebenso ist auf einen neutralen Hintergrund (virtueller Hintergrund oder Blur-Effekt) zu achten, um keine unbeabsichtigten Informationen aus dem Arbeitsumfeld preiszugeben.
  • Striktes Aufzeichnungsverbot: Das Aufzeichnen von Audio- oder Videokonferenzen (Recording) ist grundsätzlich untersagt. Eine Aufzeichnung darf nur in begründeten Ausnahmefällen erfolgen und setzt zwingend die vorherige, ausdrückliche und dokumentierte Zustimmung aller anwesenden Teilnehmer*innen voraus.
  • Sichere Präsentationsfreigabe (PowerPoint): Um zu verhindern, dass vertrauliche Referentennotizen oder unsichtbare Hintergrundfolien (Hidden Slides) unbeabsichtigt geteilt werden, ist besondere Vorsicht geboten. Die Freigabe sollte entweder über die integrierte „PowerPoint Live“-Funktion in Teams (welche die Ansicht sicher trennt) oder über das gezielte Window-Sharing und Verwendung des Präsenationsmodus im Fenster (Freigabe des reinen Single-Fensters, nicht des gesamten Desktops oder des Präsentationsmodus) erfolgen.
  • Bildschirmfreigabe (Screen Sharing) mit Vorsicht: Generell ist bei der Freigabe von Inhalten das Need-to-Know-Prinzip zu beachten. Es ist sicherzustellen, dass keine sensiblen Hintergrundinformationen (z.B. offene E-Mail-Postfächer, Chat-Nachrichten oder aufpoppende Desktop-Benachrichtigungen) für Dritte sichtbar werden. Es sind stets nur spezifische Applikationsfenster zu teilen, niemals der gesamte Desktop.
  • KI-gestützte Protokollhilfen (Microsoft Copilot): Der Einsatz von integrierten KI-Tools wie Microsoft Copilot zur automatisierten Transkription oder Zusammenfassung von Besprechungen ist erlaubt, da diese unter die Enterprise-DLP-Richtlinien der acib GmbH fallen (Zero-Data-Retention). Der Einsatz muss jedoch zu Beginn des Meetings durch den Host transparent angekündigt werden. Externe, nicht freigegebene KI-Notetaker-Bots (z.B. Otter.ai) dürfen nicht in Meetings zugelassen werden.
Diese Vorgaben stellen sicher, dass unsere virtuelle Kommunikationsoberfläche den gleichen strengen Compliance- und Vertraulichkeitsstandards entspricht wie unsere statische Datenablage. Sie schützen nicht nur die Forschungsdaten von acib, sondern wahren auch die Persönlichkeitsrechte aller internen und externen Gesprächsteilnehmer*innen.

Bevorzugte Nutzung und Alternativsysteme

Obwohl acib aus Kompatibilitätsgründen (insbesondere bei extern organisierten Konsortialtreffen) grundsätzlich die Nutzung gängiger Alternativsysteme wie Webex, GoToMeeting oder Zoom zulässt, ist für von uns initiierte Besprechungen Microsoft Teams zu bevorzugen. Unsere Teams-Umgebung ist voll in das Sicherheits- und Compliance-Konzept (inklusive Single-Sign-On, DLP-Richtlinien und Zero-Data-Retention-Policies) der acib integriert. Die Nutzung anderer, ungeprüfter Videokonferenz-Tools für den Austausch hochsensibler Forschungsdaten birgt unkalkulierbare Risiken hinsichtlich Datenabfluss und Datenschutz und ist daher auf das absolute Minimum zu reduzieren.

Ausdrücklich ausgeschlossene Tools und Schatten-IT

Zur Wahrung unserer Datensouveränität ist die Nutzung folgender Tool-Kategorien im Rahmen der acib-Projektkollaboration strikt untersagt:
  • Externe KI-Notetaker-Bots (z.B. Otter.ai, Read.ai): Diese automatisierten Protokollanten laden Sprachaufzeichnungen und Transkripte unkontrolliert auf externe Server hoch und gefährden den Schutz von IP und Vertraulichkeit massiv. Der Host hat solche Bots zwingend aus dem Meeting zu entfernen.
  • Consumer-Kommunikationsdienste (z.B. WhatsApp, private Skype-Konten): Diese bieten keine ausreichenden Enterprise-Sicherheitsstandards und entziehen sich der zentralen Zugriffskontrolle (MFA/SSO).
  • Unautorisierte Kollaborations-Clouds (z.B. kostenlose Miro- oder Mural-Boards): Für visuelles Brainstorming ist primär das integrierte Microsoft Whiteboard zu nutzen. Kostenlose Drittanbieter-Tools ohne offiziellen Auftragsverarbeitungsvertrag (AVV) und Enterprise-Lizenzierung führen zum unkontrollierbaren Abfluss von Projekt-IP und sind daher als Schatten-IT klassifiziert.
Zusammenfassend erfordert die Durchführung von und Teilnahme an Webbesprechungen im Forschungsumfeld von acib dieselbe Sensibilität wie der Umgang mit schriftlichen Dokumenten. Durch die konsequente Nutzung unserer abgesicherten Microsoft Teams-Umgebung und die strikte Einhaltung der oben genannten Richtlinien – vom kontrollierten Einlass über die Lobby bis hin zum Verbot unautorisierter KI-Bots – stellen wir sicher, dass verbale und visuelle Projektabstimmungen den höchsten Standards für Datensicherheit und IP-Schutz entsprechen. Die Abwehr von Schatten-IT in der synchronen Kommunikation ist dabei ein unverzichtbarer Baustein unserer umfassenden Compliance-Strategie.