Datenschutzhinweise für Microsoft 365 & Teams
Datenschutzhinweise für Microsoft 365 & Teams
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten stets vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften. Daher möchten wir Sie an dieser Stelle über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Microsoft 365 und Microsoft Teams (nachfolgend „MS-Dienste“ genannt) informieren und welche Rechte Ihnen zustehen.
- Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortliche Stelle ist:
Saaleschule für (H)alle
Hans-Dittmar-Straße 9
06118 Halle (Saale)
Deutschland
Tel.: 0345 / 68 45 86 0
E-Mail: kontakt(at)saaleschule.de
Website: www.saaleschule.de
Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter:
Dr. Andreas Melzer
kelobit IT-Experts GmbH
Tel: 0345 132553-80
E-Mail: dsb@kelobit.de
Hinweis:
Bei den MS-Diensten handelt es sich um Services der Microsoft Ireland Ltd. („Microsoft“). Es kann nicht ausgeschlossen werden, dass in diesem Zusammenhang Daten an die Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399, USA in die USA übermittelt werden. Fernwartungszugriffe kann Microsoft auch aus anderen Drittstaaten vornehmen. Wir haben mit Microsoft die Standarddatenschutzklauseln der Europäischen Kommission abgeschlossen. Weitere Informationen erhalten Sie in Punkt 5.
Soweit Sie die Internetseite von MS365, MS Teams oder Microsoft aufrufen, ist Microsoft für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung der MS-Dienste jedoch nur erforderlich, um sich die Software für die Nutzung der MS-Dienste herunterzuladen.
Wenn Sie die MS-Dienste-App(s) nicht nutzen wollen oder können, können Sie die MS-Dienste auch über Ihren Browser nutzten. Die Dienste werden dann insoweit auch über die Website des jeweiligen MS-Diensts erbracht.
- Welche Daten werden verarbeitet?
Bei der Nutzung der MS-Dienste werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welchen Dienst sie genau nutzen und ggf. davon, welche Daten Sie vor bzw. während der Nutzung der MS-Dienste selbst eingeben. Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
- Microsoft 365
- Dokumente und Dateien
- Aufgaben und Lösungen
- Kommunikationsdaten
- Personenbezogene Basisdaten
- Authentifizierungsdaten
- Kontaktinformationen
- Profilierung
- Logfile mit Zugriffen
- System generierte Protokolldaten
- Microsoft Teams
- Angaben zum Benutzer
- Meeting-Metadaten
- Text-, Audio- und Videodaten
- Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verwenden die MS-Dienste als Hilfsmittel für den Büroalltag, die Kommunikation, die Forschung, die Entwicklung und die Verwaltung, um Online-Meetings, Telefon- und Videokonferenzen, Webcasts etc. durchzuführen und als Online-Speicherplatz.
Die verarbeiteten Daten hängen dabei stark von den jeweiligen gespeicherten Dokumenten und der entsprechenden Kommunikation ab. Um unseren Beschäftigten diesbezüglich eine Orientierung zu geben, haben wir entsprechende Hilfestellungen erarbeitet. Diese umfassen insbesondere ein Verbot der Speicherung besonderer Kategorien von Daten in Cloud-Speichern.
Um an einem Online-Meeting teilzunehmen bzw. den „Meeting-Raum“ betreten, können Sie auch ein Pseudonym verwenden. Die Chatinhalte werden bei der Verwendung von MS Teams protokolliert. Wir speichern die Chatinhalte i.d.R. für einen Zeitraum von einem Monat. Wenn es für den Zweck der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, können wir die Chatinhalte auch für einen längeren Zeitraum protokollieren, längstens jedoch, bis der verfolgte Zweck erfüllt ist. Das wird jedoch in der Regel nicht der Fall sein.
Wenn wir Meetings aufzeichnen möchten, werden wir Ihnen das im Vorfeld transparent mitteilen und, sofern erforderlich, um Ihre Einwilligung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App bzw. in der Webbrowseransicht angezeigt. Der Organisator kann zudem festlegen, welche Teilnehmer zur Aufzeichnung berechtigt sind.
Im Falle von Webcasts können wir für Zwecke der Aufzeichnung und Nachbereitung von Webcasts auch die gestellten Fragen der Teilnehmenden verarbeiten. Sie können ebenfalls von der Möglichkeit Gebrauch machen, eine Freigabe für Ihren Bildschirm zu erteilen. In diesem Fall haben wir Kenntnis von den Daten und Inhalten, die Sie über Ihren Bildschirm teilen.
- Datenverarbeitung durch Microsoft
Keinen Einfluss haben wir auf die systemseitige Verarbeitung technischer Informationen wie Gerät- bzw. Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten des Endgeräts sowie Zeitpunkt und Datum des Zugriffs) durch den Dienstanbieter. Microsoft verarbeitet sog. Telemetriedaten selbst. Die Nutzungsbedingungen der MS-Dienste bzw. von Microsoft werden unter https://privacy.microsoft.com/de-DE/privacystatement und https://docs.microsoft.com/de-de/microsoftteams/teams-privacy?view=o365-worldwide erklärt und die Verarbeitungen personenbezogener Daten beschrieben.
- Rechtsgrundlagen
Soweit personenbezogene Daten von Beschäftigten unseres Unternehmens verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von MS-Diensten personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von MS-Diensten sein, so ist Art. 6 Abs. 1 lit. f DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an einem effektiven Arbeitsalltag für alle Beschäftigten und Geschäftspartner.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Auch hier besteht unser Interesse an einem effektiven Arbeitsalltag für alle Beschäftigten und Geschäftspartner.
- Wer bekommt meine Daten?
In unserem Unternehmen haben grundsätzlich nur diejenigen Personen Zugriff auf Ihre Daten, die diesen für die reibungslose Durchführung der Online-Meetings benötigen, also z.B. die Organisatoren und Teilnehmer an Meetings aus unserem Unternehmen. Dabei kann es sich auch um mehrere Fachabteilungen in unserem Hause handeln, abhängig davon, welche Leistungen oder Produkte Sie von uns beziehen. Weiterhin hat unsere IT-Abteilung zur ausschließlich technischen Verarbeitung Zugriff auf Ihre Daten.
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Microsoft erhält als Anbieter der Dienste notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist. Auch von uns eingesetzte sonstige Dienstleister können im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO Empfänger von Daten zu Ihrer Person sein.
Unter Umständen müssen wir im Rahmen unserer gesetzlichen Verpflichtungen bestimmte Daten gegenüber den entsprechend berechtigten Stellen offenlegen.
- Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing oder eine Speicherung von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an Online-Meeting in einem Drittland aufhalten.
Ein sicheres Datenschutzniveau wird durch den Abschluss von EU-Standarddatenschutzklauseln und technisch-organisatorischer Maßnahmen gewährleistet. Bei der Verwendung von Standarddatenschutzklauseln streben wir an, soweit erforderlich, zusätzliche Maßnahmen zum Schutz ihrer Daten zu implementieren. Dazu werden u.a. die Daten bei der Übertragung über das Internet und im Ruhezustand verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte geschützt. Microsoft verwendet Standardtechnologien wie TLS und SRTP, um alle Daten während der Übertragung zwischen den Geräten der Benutzer und den Microsoft-Rechenzentren sowie zwischen Microsoft-Rechenzentren zu verschlüsseln. Dies umfasst Nachrichten, Dateien (Video, Audio etc.), Besprechungen und andere Inhalte. Ruhende Unternehmensdaten in Microsoft-Rechenzentren werden zudem auf eine Weise verschlüsselt, die es Organisationen ermöglicht, Inhalte bei Bedarf zu entschlüsseln. MS Teams verwendet darüber hinaus TLS und MTLS zum Verschlüsseln von Chatnachrichten. Der gesamte Server-zu-Server-Datenverkehr erfordert MTLS – unabhängig davon, ob der Datenverkehr auf das interne Netzwerk beschränkt ist oder den internen Netzwerkperimeter überschreitet. Weitere Informationen, wie Microsoft Teams die Daten verschlüsselt finden Sie hier: https://docs.microsoft.com/de-de/microsoftteams/teams-security-guide.
Microsoft verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000KzNaAAK&status=Active
- Wie lange werden meine Daten gespeichert?
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
- Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO).
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
- Gibt es eine Pflicht zur Bereitstellung von Daten?
Die Bereitstellung Ihrer personenbezogenen Daten ist zunächst weder gesetzlich noch vertraglich vorgeschrieben, noch sind Sie verpflichtet, diese Daten bereitzustellen. Die genannten MS-Dienste und -Apps sind jedoch für die grundlegende Arbeitsweise in unserem Unternehmen unbedingt erforderlich. Sollten Sie daher eine oder mehrere der dargestellten Verarbeitungen nicht wünschen, wird es Ihnen nicht möglich sein, eine geschäftliche oder sonstige vertragliche Beziehung zu unserem Unternehmen zu unterhalten.
- Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
- Findet ein Profiling statt?
Wir verarbeiten Ihre Daten nicht mit dem Ziel, bestimmte persönliche Aspekte automatisiert zu bewerten.
- Information über Ihr Widerspruchsrecht nach Artikel 21 DSGVO
- Einzelfallbezogenes Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.
Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe Ihres Namens und Ihrer E-Mail-Adresse erfolgen und sollte an die unter Punkt 1 genannten Kontaktdaten gerichtet werden.
- Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf der Internetseite unseres Unternehmens.
Stand: 18.09.2023