DATENSCHUTZERKLÄRUNG für Microsoft 365 Anwendungen

1. Allgemein

Microsoft 365 („M365“) ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke. Bei Microsoft 365 handelt es sich, vereinfacht ausgedrückt, um eine Sammlung und Zusammenstellung verschiedenster Werkzeuge und Anwendungen zum Zwecke der Kollaboration, der Sicherheit, des Datenschutzes und der Verarbeitung von verschiedenen Daten.

Bei der gemeinsamen Nutzung der M365-Anwendungen; wie z. B. Teams (Kollaboration, Chat, Meeting und Telefonie), OneDrive for Business, SharePoint Online (Speicherung, Verarbeitung, Applikationsplattform), Stream, Forms, werden personenbezogene Daten verarbeitet.

Die M365-Anwendungen können ggf. nur in Anspruch genommen werden, sofern Sie ein Nutzerkonto erstellt haben. Gleichfalls behält sich Microsoft vor, Kundendaten zu eigenen Geschäftszwecken zu verarbeiten. Wir haben mit Microsoft Datenschutzvereinbarungen abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren. Diese werden regelmäßig aktualisiert bzw. sind von Microsoft auf der Grundlage der EU-Standardvertragsklauseln standardisiert. Beachten Sie bitte, dass wir auf die Datenverarbeitungen von Microsoft keinen Einfluss haben. In dem Umfang, in dem Microsoft personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft unabhängiger Datenverantwortlicher für diese Nutzung und als solcher verantwortlich für die Einhaltung aller geltenden Gesetze und Verpflichtungen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft erhalten Sie in der Datenschutzerklärung von Microsoft unter https://privacy.microsoft.com/de-de/privacystatement. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten. Unter Umständen verarbeitet Microsoft Ihre personenbezogenen Daten teilweise auch in den USA.

Weitere Information zum Datenschutz und zur Informationssicherheit finden Sie ebenfalls unter https://learn.microsoft.com/de-DE/compliance/.

Hinweis: Soweit Sie die Internetseiten von „Microsoft“ aufrufen, ist der jeweilige Anbieter für die Datenverarbeitung verantwortlich. Die Nutzung von „Microsoft“ ist abhängig von der Nutzung des jeweiligen M365-Dienstes.

1.2 Umfang der Verarbeitung

Wir verwenden u. a. Microsoft Teams, um Online-Meetings durchzuführen, sowie weitere Microsoft Cloud-Dienste wie z. B. OneDrive, Office Online, E-Mail und SharePoint im Rahmen der Projektarbeit.

Der Zweck der Verarbeitung ist die Bereitstellung eines modernen Arbeitsplatzes für Kollaboration und Kommunikation innerhalb der ElectronicPartner Handels SE. Weitere Zwecke sind die Bereitstellung und der sichere und reibungslose Betrieb von Microsoft 365.

Unter Kollaboration werden hier beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen und innovative Werkzeuge verstanden.

Die Bereitstellung und der reibungslose Betrieb von Microsoft 365 gehören ebenfalls zu den Zwecken, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z. B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden.

Wenn Sie bei Microsoft als Benutzer registriert sind oder als Gast an einer Konferenz teilnehmen, dann können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zum Ende des Meetings und einen Monat darüber hinaus bei Teams gespeichert werden. Dateien, die Benutzer in Chats freigeben, werden im OneDrive-for-Business-Konto des Benutzers gespeichert, der die Datei freigegeben hat. Die Dateien, die Teammitglieder in einem Kanal freigeben, werden auf der SharePoint-Website des Teams gespeichert.

1.3 Rechtsgrundlage

Die Rechtsgrundlage für den Betrieb von Microsoft 365 beruht auf § 26 Abs. 1 BDSG (für interne Mitarbeiter), Art. 6 Abs. I lit. b) DSGVO für Externe sowie bei Bild- und Tonaufnahmen auf Art. 6 Abs. 1 lit. a) DSGVO.

Die Verarbeitung im Rahmen der Log-Dateien und Metadaten gründen sich auf Art. 6 Abs. 1 lit. f) DSGVO.

Die von den Verantwortlichen verfolgten berechtigten Interessen umfassen folgende:

  • Feststellung missbräuchlicher Nutzung
  • IT-Sicherheit und kontinuierliche Verbesserung der Dienste

1.4. Profiling

Eine automatisierte Entscheidungsfindung i. S. d. Art. 22 DSGVO kommt nicht zum Einsatz. Wir verarbeiten Ihre Daten nicht mit dem Ziel, bestimmte persönliche Aspekte automatisiert zu bewerten.

1.5.Betroffene Daten

Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie die M365-Anwendungen verwenden. Welche personenbezogenen Daten verarbeitet werden, haben wir im Folgenden für Sie aufgeführt:

  • Ihre IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft 365 erfolgt.
  • Ihr Benutzername (Zugangsdaten zu den Microsoft-365-Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z. B. optional die (private) Handynummer).
  • Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der M365-Anwendungen kennzeichnet.
  • Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, Angaben zum Beschäftigungsstandort sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie jederzeit sichtbar und können von Ihnen individuell angepasst werden.
  • Für die Authentifizierung und den Lizenzgebrauch erforderliche Daten. In den M365-Anwendungen werden sämtliche Nutzeraktivitäten, wie z. B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten, auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat verarbeitet.
  • Bei der Nutzung von „Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

  • Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Abteilung (optional)
  • Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
  • Bei Aufzeichnungen: Video-, Audio- und Präsentationsaufnahmen, Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z. B. die IP-Adresse des Geräts gespeichert werden.
  • Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Dabei werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Teams“-Applikationen abschalten bzw. stummstellen.
  • Um an einem Online-Meeting teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.

Die genannten Daten werden u. a. für folgende Zwecke verarbeitet:

  • Kommunikation
  • Kollaboration, z. B. durch gemeinsame Arbeit an Dateien
  • E-Mail-Kommunikation und Verarbeitung der E-Mail-Adresse und der Einträge im Adressbuch
  • Bereitstellung und reibungsloser Betrieb von Microsoft 365; die vom System erstellten Protokolle bzw. administrativen Ereignisse (z. B. Log-Dateien zu Anmeldungen und Nutzeraktionen) sowie die Metadaten zu Anrufen und Besprechungen werden zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt.
  • Es werden Cookies für die jeweiligen WebApps verwendet. Diese dienen dem Betrieb und der Sicherheit der Anwendungen
  • Sicherheit:
    • Auditlogs, Telemetrie- und Diagnosedaten
    • Prüfparameter im Bereich
    • Warnungen und Benachrichtigungen über Sicherheitsvorfälle
    • Benutzerinformationen
    • Cookies: Im Rahmen der Nutzung von Microsoft 365 Diensten werden Cookies genutzt, um die Dienste sicher und stabil bereitstellen zu können.
    • Bei der Nutzung von Microsoft 365 werden verschiedene Datenarten verarbeitet. Folgende weitere personenbezogene Daten sind Gegenstand der Verarbeitung:
    • Dokumente und Dateien
    • Aufgaben und Lösungen
    • Kommunikationsdaten
    • Personenbezogene Basisdaten
    • Authentifizierungsdaten
    • Kontaktinformationen
    • Profilierung
    • Logfile mit Zugriffen
    • System generierte Protokolldaten

1.6. Drittstaatentransfer

Grundsätzlich findet die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft innerhalb der EU bzw. in Deutschland statt.

Sofern es seitens Microsoft hier zu einer Veränderung kommt, ist der sichere Drittstaatentransfer dennoch im Rahmen des Data Privacy Frameworks sichergestellt. Microsoft gehört zu den Zertifizierten Unternehmen, die Liste dieser Unternehmen ist auf der Webseite von Data Privacy Framework zu finden: https://www.dataprivacyframework.gov/list

1.7. Bereitstellungspflicht

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich oder vertraglich vorgeschrieben, noch sind Sie verpflichtet, diese Daten bereitzustellen, um die Produkte von Microsoft zu nutzen. Ohne die die Erstellung eines Accounts ist eine lizenzierte Nutzung von Microsoft 365 aber nicht möglich. Sollten Sie die Nutzung von Microsoft nicht wünschen, ist Ihre Teilnahme an unseren Kollaborationsmöglichkeiten nicht möglich. Sprechen Sie uns aber wegen möglicher Alternativen an.

1.8. Weitergabe von Daten

Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fällen lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist.

In unserem Unternehmen haben grundsätzlich nur diejenigen Personen Zugriff auf die hier aufgeführten personenbezogenen Daten, die diese für die reibungslose Durchführung benötigen. Dabei kann es sich auch um mehrere Fachabteilungen in unserem Hause handeln. Weiterhin hat unsere IT-Abteilung zur ausschließlich technischen Verarbeitung Zugriff auf Ihre Daten.

Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb der ElectronicPartner Handels SE für interne Verwaltungszwecke einschließlich der Kundenbetreuung im erforderlichen Rahmen weitergeben. Dies ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, die Daten für administrative Zwecke nutzen und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der M365-Anwendungen oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden. Eine solche Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass (1) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß Art. 6 Abs. 1 lit. f) DSGVO i. V. m. nationalen rechtlichen Vorgaben zur Weitergabe von Daten an Strafverfolgungsbehörden unterliegen, oder (2) wir ein berechtigtes Interesse daran haben, die Daten beim Vorliegen von Anhaltspunkten für missbräuchliches Verhalten oder zur Durchsetzung unserer Rechtsansprüche an die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

Wir sind bei der Nutzung der M365-Anwendungen auf Microsoft angewiesen. Microsoft ist ein sog. Auftragsverarbeiter unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der von uns eingesetzten Microsoft-365-Anwendungen unseren Weisungen als verantwortliche Stelle im Sinne der DSGVO.

Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir unsere Fremdunternehmen und externen Dienstleister im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten. Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt ausschließlich auf Servern in der EU.

Im Rahmen der Weiterentwicklung unseres Geschäfts kann es dazu kommen, dass sich die Struktur unseres Unternehmens wandelt, indem die Rechtsform geändert wird, Tochtergesellschaften, Unternehmensteile oder Bestandteile gegründet, gekauft oder verkauft werden. Bei solchen Transaktionen werden die Kundeninformationen gegebenenfalls zusammen mit dem zu übertragenden Teil des Unternehmens weitergegeben. Bei jeder Weitergabe von personenbezogenen Daten an Dritte in dem vorbeschriebenen Umfang tragen wir dafür Sorge, dass dies in Übereinstimmung mit dieser Datenschutzerklärung und dem anwendbaren Datenschutzrecht erfolgt. Eine solche Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, unsere Unternehmensform den wirtschaftlichen und rechtlichen Gegebenheiten entsprechend bei Bedarf anzupassen und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

1.9. Löschung von Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zu erfüllen oder Gewährleistungsansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.  In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden. Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung, welche ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.

1.10. Online-Meeting, Telefonkonferenzen und Chats über MS Teams

Sie können Microsoft Teams auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting per E-Mail übermittelt bekommen oder über die Teams-App teilnehmen. Wenn Sie die Teams-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von Microsoft Teams finden: https://www.microsoft.com/de-de/microsoft-teams/group-chat-software.

In einem Online-Meeting haben Sie zudem die Möglichkeit, als Gast teilzunehmen. Hierbei müssen Sie jedoch keine Angaben zu Ihrem Namen machen. Sie können dafür auch ein Pseudonym verwenden. Beachten Sie zudem, dass die Teilnahme an Microsoft-Teams-Besprechungen bei nicht unterstützten Browsern nicht möglich ist. Ggf. können dann Einschränkungen wie z. B. bei der Freigabe von Kamera, Bildschirminhalten und Mikrofon auftreten. Nähere Information zu unterstützten Browsern finden Sie hier: https://support.microsoft.com/de-de/office/teilnehmen-an-einer-microsoft-teams-besprechung-in-einem-nicht-unterst%C3%BCtzten-browser-daafdd3c-ac7a-4855-871b-9113bad15907.

Wenn Sie an einer Videokonferenz teilnehmen, haben Sie darüber hinaus die Möglichkeit, Hintergrundeffekte einzustellen, um ggf. Ihre private Umgebung auszublenden. Dies Sie können Sie während einer Videokonferenz individuell einstellen.

Wenn wir Online-Meetings aufzeichnen wollen, werden wir Ihnen das zuvor mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Der Organisator kann zudem festlegen, welche Teilnehmer zur Aufzeichnung berechtigt sind. Die Tatsache der Aufzeichnung wird Ihnen angezeigt. Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte aufzeichnen. Im Falle von Webinaren können wir für die Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-Teilnehmenden verarbeiten.

Ebenfalls kann von der Möglichkeit Gebrauch gemacht werden, eine Freigabe des Bildschirms zu erteilen. In diesem Fall haben wir Kenntnis von den Daten und Inhalten, die Sie über Ihren Bildschirm teilen.