Datenschutz Microsoft 365 Anwendungen
Datenschutzhinweise der ]init[ AG und ihrer Tochterunternehmen ]init[.DCP Digital Communication Portugal und der Ironforge Consulting AG, Schweiz, für Microsoft 365 Anwendungen
Microsoft 365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, die Organisationseinheiten übergreifend eingesetzt werden kann.
Die ]init[ AG für digitale Kommunikation und ihre Tochterunternehmen ]init[.DCP Digital Communication Portugal und Ironforge Consulting AG, Schweiz, (nachfolgend jeweils „wir“ oder „uns“) nutzen die Microsoft 365 Anwendungen Teams, Stream, Forms, Lists und Teams-Teams (nachfolgend M365) wie nachfolgend beschrieben.
Diese Datenschutzhinweise gelten, sofern wir Sie zu einer dieser Anwendungen eingeladen haben und Sie gemeinsam mit uns eine dieser Anwendungen nutzen. Gleichermaßen gelten diese Hinweise für alle Beschäftigten der ]init[AG für digitale Kommunikation und ihre Tochtergesellschaften sowie für von uns beauftragte Freelancer.
Verantwortlicher
Beim Einsatz einer M365 Anwendung durch die ]init[ AG für digitale Kommunikation ist Verantwortlicher die
]init[ AG für digitale Kommunikation
Köpenicker Str. 9
10997 Berlin
Tel: +49 30 97006 200
Fax: +49 30 97006 135
E-Mail: init@init.de
Web: www.init.de
Beim Einsatz einer M365 Anwendung durch die ]init[.DCP - Digital Communication Portugal ist Verantwortlicher die
]init[. DCP - Digital Communication Portugal, Unipessoal Lda,Avenida
da Liberdade Nr. 38 2º 1269-039 – Lissabon, Portugal
Fon: +351 929 341 653
E-Mail: init.dcp@init.pt
Web: www.init.pt
Beim Einsatz einer M365 Anwendung durch die ironforge Consulting AG ist Verantwortlicher die
Ironforge Consulting AG
Thunstrasse 164
3074 Muri b. Bern
Fon: +41 31 511 23 24
E-Mail: info@ironforge.ch
Web: www.ironforge.ch
Zweck der Datenverarbeitung
Microsoft Teams
Wir nutzen das Tool Microsoft Teams, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Online-Meetings“).
Microsoft Forms
Wir setzen Microsoft Forms für die Durchführung von Umfragen, Abstimmungen und Quiz ein (nachfolgend: „Umfragen“).
Microsoft Stream
Microsoft Stream wird durch uns für Training, Schulungen, Learnings, Screencasts, Aufzeichnung von wiederkehrenden Prozessen und Videos im Bereich Onboarding (nachfolgend „Wissensvermittlung“ genutzt.
Microsoft Lists
Microsoft Lists erlaubt es allen ]init[ Mitarbeitenden, individuelle Listen zu erstellen, um sich selbst und die eigenen Aufgaben zu organisieren und diese mit Kollegen zu teilen (nachfolgend „Organisation“).
Microsoft Teams-Teams
Microsoft Teams-Teams kann von allen Mitarbeitenden sowie Freelancern insbesondere zum Informationsaustausch (Chats), zur Informationsablage (Dokumente, Bilder, Grafiken), gemeinsames Bearbeiten von Dateien, zur Aufgabenplanung und für gemeinsame Besprechungen genutzt werden (nachfolgend „Informationsaustausch“).
Art der Verarbeitung
Folgende Informationen werden bereits automatisch verarbeitet, sobald Sie M365 verwenden:
Logfiles, Protokolldaten und Metadaten (z. B. IP-Adresse, Zeitpunkt der Teilnahme, Geräte-/Hardwareinformationen)
Welche personenbezogenen Daten darüber hinaus in den einzelnen Anwendungen verarbeitet werden, haben wir im Folgenden für Sie aufgeführt:
Microsoft Teams
Im Rahmen unserer Online Meetings über Microsoft Teams verarbeiten wir folgende Daten:
- Kommunikationsdaten (z. B. ihre E-Mailadresse, Telefonnummer)
- Personenstammdaten (z. B. Vorname, Nachname, Profilbild)
- Inhalte des Onlinemeetings (Bild und Ton und wenn Sie personenbezogen in Erscheinung treten Ihre Beiträge in Wort und / oder Schrift, Chatfunktion).
- Authentifizierungsdaten
Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.
Microsoft Forms
Im Rahmen unserer Umfragen über Microsoft Forms verarbeiten wir folgende Daten:
- Kommunikationsdaten (z.B. ihre Emailadresse, Telefonnummer)
- Ihre Antworten auf Fragen
Antworten können anonym oder identifizierbar (z. B. bei verpflichtenden Mitarbeitenden-Umfragen) abgefragt werden.
Microsoft Stream
Im Rahmen unserer Wissensvermittlung über Microsoft Stream verarbeiten wir folgende Daten:
- Kommunikationsdaten (z.B. ihre Emailadresse, Telefonnummer)
- Videoinhalte (Bild und Ton und wenn Sie personenbezogen in Erscheinung treten Ihre Kommentare und „Gefällt mir“ Angaben). Sofern die Kamera deaktiviert wurde, wird nur Ihre Tonspur aufgezeichnet.
Microsoft Lists
Im Rahmen der Mitarbeitenden Organisation verarbeiten wir folgende Daten:
- Kommunikationsdaten wie geschäftliche E-Mail-Adresse, Telefonnummer
- Personenstammdaten wie Vorname, Nachname, Profilbild
- Inhaltsdaten, die in die Liste eingetragen werden
Microsoft Teams-Teams
Bei der Nutzung von Teams-Teams verarbeiten wir folgende Daten:
- Kommunikationsdaten wie geschäftliche E-Mail-Adresse, Telefonnummer
- Personenstammdaten wie Vorname, Nachname, Profilbild
- Inhalte des Informationsaustausches, Bild und Ton und wenn Sie personenbezogen in Erscheinung treten Ihre Beiträge in Wort und / oder Schrift, Chatfunktion
Umfang der Verarbeitung
Microsoft Teams
Wir verwenden Microsoft Teams, um Online-Meetings durchzuführen. Wenn wir Online-Meetings aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Microsoft Forms
Wir verwenden Microsoft Forms um Umfragen durchführen zu können. Die Speicherung der von Ihnen in die Umfrage-Formulare eingegebenen Informationen erfolgt passwortgeschützt, damit sichergestellt ist, dass Drittzugriffe ausgeschlossen werden und nur wir die Umfrage-Antworten zum im Formular jeweilig benannten Zweck auswerten zu können.
Microsoft Stream
Wir verwenden Microsoft Stream für die Wissensvermittlung. Entsprechende Aufzeichnungen von z. B. Schulungen können in Microsoft Stream für den internen Gebrauch abgelegt werden.
Microsoft Lists
Wir verwenden Microsoft Lists für die Selbst-Organisation Mitarbeitender. Diese können auf eigenen Wunsch insbesondere Aufgabenlisten für ein strukturiertes Arbeiten anlegen und diese auch mit Kollegen teilen.
Microsoft Teams-Teams
Wir verwenden Microsoft Teams-Teams für den Informationsaustausch zwischen Mitarbeitenden untereinander sowie mit Freelancern, um gemeinsame Projektarbeit zu erleichtern, insbesondere um an Dokumenten/ Dateien gemeinsam arbeiten zu können und sich untereinander auszutauschen.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO findet nicht statt.
Rechtsgrundlagen der Datenverarbeitung
Soweit personenbezogene Daten von Beschäftigten der ]init[ AG und ihrer Tochterunternehmen verarbeitet werden, beruht die Datenverarbeitung auf § 26 BDSG.
Sofern eine M365 Anwendung für die Erfüllung unserer vertraglichen Pflichten eingesetzt werden, beruht die Datenverarbeitung auf Art. 6 Abs. 1 lit. b) DSGVO.
Sollte keine vertragliche Beziehung bestehen, beruht die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO. Hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“, „Umfragen“ und „Wissensvermittlung“.
Löschung von Daten
Wir löschen bzw. anonymisieren personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung/ Identifizierung besteht. Ein Erfordernis kann insbesondere für Dokumentationszwecke und dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit einer Teilnahme an einer M365 Anwendung verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.
Microsoft Teams, Forms und Stream sind Teil von Microsoft Office 365. Microsoft Office 365 ist eine Software der Firma Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA. Eigene Ausführung zum Datenschutz beim Einsatz von M365 Anwendungen durch Microsoft finden Sie hier: Datenschutzerklärung von Microsoft – Microsoft-Datenschutz.
Datenverarbeitung außerhalb der Europäischen Union
Anbieter der genannten Microsoft Dienste ist Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Das Mutterunternehmen ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA. Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende einer M365-Anwendung in einem Drittland aufhalten.
Für die USA ist ein Angemessenheitsbeschluss der EU-Kommission vorhanden, das Trans-Atlantic Data Privacy Framework (TADPF). Microsoft Corporation hat sich nach dem TADPF zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten. Darüber hinaus haben wir mit Microsoft als Anbieter der M365-Anwendungen einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO einschließlich der Standardvertragsklauseln der Europäischen Kommission geschlossen und zusätzliche Maßnahmen vereinbart, auch wenn Datenflüsse aus Europa in die USA vertraglich nicht vorgesehen sind.
Bezüglich des Einsatzes von Microsoft Teams für die Kommunikation ist Microsoft als Telekommunikationsanbieter selbst Verantwortlicher. Entsprechend hat Microsoft in ihrer DPA vom 01.01.2023 bzgl. Telekommunikationsdaten nachfolgenden Absatz (S. 11 vorletzter Absatz) neu aufgenommen:
„Telekommunikationsdaten | Soweit Microsoft Verkehrsdaten, Inhaltsdaten und andere personenbezogene Daten bei der Bereitstellung von Produkten und Services verarbeitet, die nach geltendem Recht als Telekommunikationsdienste gelten, können besondere gesetzliche Verpflichtungen gelten. Microsoft befolgt alle für seine Bereitstellung der Produkte und Services geltenden telekommunikationsspezifischen Gesetze und Vorschriften, einschließlich Gesetzen zu Meldepflichten bei Sicherheitsverletzungen, sowie Datenschutzvorschriften und Fernmeldegeheimnis.“
Für die Konkretisierung vorgenannter Passage und Klarstellung der Verantwortlichkeit Microsofts haben wir Microsoft ein Side Letter übermittelt.
Die Daten sind während des Transports über das Internet TLS verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert. Die Übermittlung erfolgt per Hypertext Transfer Protocol Secure (HTTPS). HTTPS ist ein Kommunikationsprotokoll im World Wide Web, mit dem Daten abhörsicher übertragen werden. Die Synchronisierung von Diagnose- und Telemetriedaten wurden deaktiviert.
Ihre Rechte als Betroffener
- Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen. - Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger Daten zu verlangen. - Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im Einzelnen aufgeführten Gründe zutrifft. - Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z.B. wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, für die Dauer der Prüfung durch den Verantwortlichen. - Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
In bestimmten Fällen, die in Art. 20 DSGVO im Einzelnen aufgeführt sind, haben Sie das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten bzw. die Übermittlung dieser Daten an einen Dritten zu verlangen. - Widerrufsrecht (Art. 7 DSGVO)
Sofern die Verarbeitung von Daten auf Grundlage Ihrer Einwilligung erfolgt, sind Sie nach Art. 7 Abs. 3 DSGVO berechtigt, die Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)
Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Die jeweilige Rechtsgrundlage, auf denen eine Verarbeitung beruht, entnehmen Sie dieser Datenschutzerklärung. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Widerspruch nach Art. 21 Abs. 1 DSGVO).
Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Wenn Sie widersprechen, werden Ihre personenbezogenen Daten anschließend nicht mehr zum Zwecke der Direktwerbung verwendet (Widerspruch nach Art. 21 Abs. 2 DSGVO).
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben gem. Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.
Geltendmachung Ihrer Rechte
Sofern vorstehend nichts anderes beschrieben wurde, wenden Sie sich zur Geltendmachung Ihrer Betroffenenrechte bitte schriftlich (per Post oder per E-Mail) an den Datenschutzbeauftragten.
Urheberrecht und Vertraulichkeit
Inhalte sind urheberrechtlich geschützt und dürfen nicht – auch nicht auszugsweise – ohne vorherige schriftliche Einwilligung durch ]init[vervielfältigt oder an Dritte weitergegeben werden. Ein Mitschnitt oder Screenshots von Online-Meetings, Umfragen, der Wissensvermittlung, Organisation und des Informationsaustauschs z.B. auf Ton- oder Videobänder, ist nicht zulässig, sofern nicht vorstehend gestattet.
Bitte achten Sie darauf, keine geheimhaltungsbedürftigen oder vertraulichen Informationen in den vorbeschriebenen M365 Anwendungen zu teilen, zu besprechen oder im Chat mitzuteilen. Dies gilt gleichermaßen für personenbezogene Daten, die zur Aufgaben- bzw. jeweiligen Zweckerfüllung nicht erforderlich sind.
Datenschutzbeauftragter der ]init[ AG
]init[ AG für digitale Kommunikation
z. Hd. Datenschutzbeauftragter
Köpenicker Str. 9
10997 Berlin
datenschutz@init.de
Stand: Juli 2024