Nutzungsrichtlinie für BNITM Code

Verbindliche Regeln für die Nutzung von BNITM Code

Stand: Mai 2026 · Version 1.0

Bitte lesen Sie vor der Nutzung von BNITM Code diese Nutzungsrichtlinie durch. Mit der Nutzung des Dienstes erkennen Sie diese Richtlinie an.

§ 1 Geltungsbereich und Zweck

Diese Richtlinie regelt die Nutzung des bereitgestellten Git-Repository-Dienstes BNITM Code code.bnitm.de (nachfolgend "Plattform") für Mitarbeitende des Bernhard-Nocht-Instituts für Tropenmedizin sowie autorisierte externe Kooperationspartner:innen. Die Plattform dient der Versionsverwaltung und gemeinsamen Entwicklung von Software, Skripten und sonstigen projektbezogenen Dateien. Teile der Inhalte können öffentlich einsehbar sein ("Public Repositories").

§ 2 Plattformanbieter und verantwortliche Kontaktstelle

Für den Betrieb der Plattform verantwortliche Organisation:

Bernhard-Nocht-Institut für Tropenmedizin Bernhard-Nocht-Straße 74 20359 Hamburg bni@bnitm.de

Kontakt für Sicherheits- und Abuse-Meldungen: itsecurity@bnitm.de

§ 3 Zulässige Nutzung

Die Plattform darf ausschließlich für dienstliche bzw. projektbezogene Zwecke genutzt werden. Nutzende verpflichten sich, nur Inhalte hochzuladen, zu speichern oder zu veröffentlichen, für die sie die erforderlichen Rechte besitzen.

§ 4 Unzulässige Inhalte

Die folgenden Inhalte sind untersagt:

Zugangstoken, API-Keys, private Schlüssel, Passwörter und vergleichbare Geheimnisse
Inhalte, die gegen geltendes Recht verstoßen
Urheberrechtsverletzende Inhalte
Schadsoftware oder Exploits außerhalb legitimer Zwecke
personenbezogene Daten ohne Rechtsgrundlage
vertrauliche oder sicherheitskritische Informationen ohne Freigabe

Verstöße können zur sofortigen Sperrung des Accounts und zur Strafanzeige führen.

§ 5 Öffentliche Repositories

Öffentlich zugängliche Repositories („Public Repositories“):

sind für Dritte (z. B. anonyme Internetnutzende) lesbar
dürfen keine vertraulichen oder sensiblen Informationen enthalten
unterliegen erhöhter Sorgfaltspflicht

Die Veröffentlichung von Forschungsdaten, Forschungssoftware oder projektbezogenen Materialien darf keine vertraglichen, regulatorischen oder förderrechtlichen Vorgaben verletzen.

§ 5.1 Zusätzliche Anforderungen für öffentliche Repositories

Repositories dürfen nur öffentlich zugänglich gemacht werden, wenn

ein verantwortlicher Repository Owner benannt ist
eine Prüfung auf sensible Inhalte erfolgt ist

Repositories ohne klar benannte verantwortliche Person dürfen nicht öffentlich zugänglich gemacht werden. Sofern nicht ausdrücklich anders geregelt, obliegt die Verantwortung für die Freigabe dem jeweiligen Repository Owner.

§ 6 Meldeverfahren (Notice-and-Action)

Es besteht ein Verfahren zur Meldung potenziell rechtswidriger oder unzulässiger Inhalte. Meldungen sind zu richten an itsecurity@bnitm.de.

Meldungen können erfolgen bei:

Rechtsverletzungen
Sicherheitsproblemen
Veröffentlichung sensibler Daten
sonstigen Verstößen

Meldungen sollten enthalten:

Repository-URL
Beschreibung des Problems
wenn möglich, Nachweise (Nachweise zu den oben genannten, schwerwiegenden Meldungen sollten geliefert werden)

§ 7 Verfahren nach Eingang einer Meldung

Nach Eingang einer Meldung wird:

eine Prüfung durchgeführt
ggf. eine vorläufige Einschränkung vorgenommen
ggf. eine Maßnahme getroffen

Mögliche Maßnahmen:

Entfernung von Inhalten
Sperrung von Repositories
Einschränkung von Benutzerkonten

Maßnahmen erfolgen verhältnismäßig und unter Beachtung rechtlicher Vorgaben.

§ 8 Verantwortlichkeit der Nutzer

Jeder Nutzende ist verantwortlich für:

die von ihm eingestellten Inhalte
die Einhaltung dieser Richtlinie
den Schutz sensibler Daten

§ 9 Protokollierung und Nachvollziehbarkeit

Zur Sicherstellung der Sicherheit und Compliance werden folgende Ereignisse protokolliert:

Zugriffe
Änderungen an Repositories
administrative Maßnahmen

Die Nutzung der Protokolle erfolgt ausschließlich zur Gewährleistung der IT-Sicherheit, Fehleranalyse, Systemstabilität und zur Bearbeitung sicherheitsrelevanter Vorfälle. Eine personenbezogene Auswertung erfolgt nur anlassbezogen und unter Beachtung der geltenden rechtlichen Vorgaben. Die Regelungen dieses Abschnitts gelten zugleich für datenschutzrelevante Protokolldaten im Sinne der DSGVO.

§ 10 Haftung

Der Anbieter stellt die Plattform primär als technischen Dienst bereit. Für eingestellte Inhalte sind grundsätzlich die jeweiligen Nutzenden bzw. Repository Owner verantwortlich. Nach Kenntniserlangung möglicher Rechtsverstöße erfolgt eine risikobasierte Prüfung und ggf. Maßnahmenergreifung.

§ 11 Inkrafttreten

Diese Richtlinie tritt mit Veröffentlichung in Kraft und gilt für alle Nutzende der Plattform.

§ 12 DSGVO

§ 12.1 Grundsatz

Personenbezogene Daten dürfen nur verarbeitet werden, wenn:

eine rechtliche Grundlage besteht
die Verarbeitung erforderlich ist
Datenminimierung eingehalten wird

§ 12.2 Verbotene Inhalte

Neben Zugangsdaten wie Passwörter, API-Tokens u. Ä. ist die Speicherung von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 der DSGVO nicht erlaubt. Dazu gehören insbesondere

humangenetische Daten
biometrische Daten zur eindeutigen Identifizierung
personenbezogene Gesundheitsdaten

§ 12.3 Öffentliche Repositories

In öffentlichen Repositories dürfen keine nicht erforderlichen personenbezogenen Daten enthalten sein.

§ 12.4 Verantwortlichkeit

Für jedes Repository ist eine verantwortliche Person („Repository Owner“) zu benennen.
Diese Person ist verantwortlich für:

die Einhaltung dieser Richtlinie
die Prüfung vor Veröffentlichung
die Bearbeitung von Meldungen

Fallback-Regelung

Sofern kein Repository Owner benannt ist, gilt die Person, die ein Repository erstellt hat als verantwortlich. Ist diese Person nicht verfügbar, geht die organisatorische Verantwortung auf den System Owner über, bis ein neuer Repository Owner benannt wurde. Der System Owner kann Repositories bei Sicherheits-, Compliance- oder Betriebsrisiken einschränken, archivieren oder sperren.

Der Anbieter ist berechtigt, Repositories ohne klaren Verantwortlichen einzuschränken oder zu entfernen.

§ 12.5 Incident Handling

Bei unbeabsichtigter Veröffentlichung personenbezogener Daten:

unverzügliche Meldung an itsecurity@bnitm.de
Bewertung als Datenschutzvorfall
ggf. Maßnahmen gemäß DSGVO

§ 12.6 Aufbewahrung und Löschung

Nicht mehr benötigte Repositories und personenbezogene Daten sind entsprechend gesetzlicher, organisatorischer und sicherheitsrelevanter Anforderungen zu löschen oder zu archivieren. Protokolldaten werden nur so lange gespeichert, wie dies für Betriebs-, Sicherheits- oder Compliancezwecke erforderlich ist.