Datenschutzhinweise für die Nutzung von MS Office 365 Produkten

Datenschutzhinweise für die Nutzung von MS Office 365 Produkten

Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Office365-Produkten informieren.

Zweck der Verarbeitung

Wir nutzen das Tool, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und Umfragen sowie Abfragen bei unseren Auftraggebern, Kooperationspartnern, Dienstleistern, Lieferanten, Kunden und Teilnehmenden durchzuführen.

1. Angaben zur Verantwortlichen Stelle

Bei der Nutzung der Office365 Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns bei der gemeinsamen Nutzung der Office365-Produkte informiert. Verantwortliche Stelle ist insoweit:

Kolping-Bildungswerk Diözesanverband Köln e. V.
Präses-Richter-Platz 1a
51065 Köln
Tel.  0221 71 59 0
Fax: 0221 71 59 1009
E-Mail: info@kbw-koeln.org

Wir haben einen Datenschutzbeauftragten benannt.

Sie erreichen diesen wie folgt:

Arndt Halbach
GINDAT GmbH
Wetterauer Straße 6
42897 Remscheid
Telefon: 02191 90 94 30
Telefax: 02191  90 95 0430
E-Mail: datenschutzbeauftragter@kbw-koeln.org

Webseite: http://www.gindat.de

2. Weitere Verantwortliche:

Wir nutzen die Software Office365 der Firma Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA (nachfolgend „Microsoft“). Diese wird als Cloud-Anwendung betrieben. Teilweise muss für die Nutzung der einzelnen Bestandteile ein Nutzerkonto erstellt werden. Soweit dieses Nutzerkonto nicht durch uns angelegt worden ist und Ihnen zur Verfügung gestellt wurde, ist Microsoft verantwortliche Stelle oder diejenige Stelle, die Ihnen die Zugangsdaten zur Verfügung gestellt hat.

Zudem behält sich Microsoft vor, Nutzerdaten zu eigenen Geschäftszwecken zu verarbeiten. In diesem Rahmen ist Microsoft eigenverantwortliche Stelle. Auf die Verwendung Ihrer Nutzungsdaten durch Microsoft haben wir nur eingeschränkte Einflussnahmemöglichkeiten. Wir ergreifen alle möglichen Maßnahmen, um die Weiterleitung Ihrer Nutzungsdaten an Microsoft weitestgehend zu minimieren, können dies allerdings nicht vollständig verhindern. Details und Kontaktmöglichkeiten, insbesondere auch zu Ihren Rechten gegenüber Microsoft finden Sie unter nachfolgenden Links, falls Sie Fragen zu diesem Teilkomplex haben:

Allgemein:

https://privacy.microsoft.com/de-de/privacystatement

Microsoft Teams:

https://docs.microsoft.com/de-de/microsoftteams/teams-privacy

Wir haben mit dem Anbieter Microsoft Datenschutzvereinbarungen abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren. Dafür haben wir vereinbart, dass die Verarbeitung personenbezogener Daten durch Microsoft grundsätzlich auf Servern in der EU erfolgt.

Für manche Dienste erfolgt dennoch eine Übermittlung in die USA, einem aus dem Blickwinkel der EU im Hinblick auf Datenschutz unsicheren Drittland. Um auch im Drittland ein adäquates Datenschutz-Niveau vergleichbar mit dem innerhalb der Europäischen Union herzustellen, wurden mit Microsoft auch die sogenannten Standardvertragsklauseln abgeschlossen.

Beachten Sie bitte, dass wir auf die Verarbeitungen Ihrer Nutzungsdaten durch Microsoft nur bedingt Einfluss haben. In dem Umfang, in dem Microsoft personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft unabhängiger Datenverantwortlicher für diese Nutzung und als solcher verantwortlich für die Einhaltung aller geltenden Gesetze und Verpflichtungen eines Datenverantwortlichen.

3. Datenverarbeitungen

…zur technischen Auslieferung der Dienste:

Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie eine der Office365-Anwendungen aufrufen:

• IP-Adresse, technische Informationen zur Auslieferung einer korrekten Webseite
• für die Authentifizierung, den Lizenzgebrauch, die Protokollierung und zur Missbrauchserkennung erforderliche Daten
• Datum und Zeitpunkt des Zugriffs
• Art des Zugriffs

…zur Aufklärung und Verfolgung von Rechtsverstößen:

Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der Office365-Dienste oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden.

Die Verarbeitung dieser Informationen dient unserem berechtigten Interesse an einer effektiven Bereitstellung und Absicherung der genutzten Dienste sowie zur Rechtsverfolgung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

… bei der Nutzung von MS Forms für Umfragen

Das Tool MS Forms nutzen wir, um Umfragen durchzuführen. Ihre Teilnahme ist dabei immer freiwillig.

Sind Sie Kunde, werden Ihre Angaben dazu genutzt, unsere Dienstleistungen zu verbessern.

Als Mitarbeitender nutzen wir solche Umfragen, um Ihre Arbeitsbedingungen  zu verbessern.

Grundsätzlich sind unsere Umfragen so eingestellt, dass keine Klarnamen oder Nutzernamen zu den Angaben in den Umfragen hinzu gespeichert werden. Sicherheitshalber können Sie sich vor Aufruf von Forms von möglicherweise eingeloggten Office365-Diensten (z.B. Teams) ausloggen, um dies gänzlich auszuschließen.

Ihre IP-Adresse wird aus Sicherheitsaspekten immer erfasst, diese wird allerdings nicht mit Ihren Angaben in den Umfragen zusammengeführt. Das bedeutet, Ihre Angaben bleiben jederzeit anonym.

Achten Sie bitte selbst darauf, auch in Freitext-Feldern keine Informationen preiszugeben, die möglicherweise Rückschlüsse auf Ihre Person zulassen.

Rechtsgrundlage ist Ihre freiwillige Teilnahme, Art. 6 Abs. 1 lit a DSGVO

…bei der Nutzung von MS Forms für Organisatorisches

Wir nutzen das Tool MS Forms auch für die Abfrage von bestimmten organisatorischen Informationen wie Betreuungszeiten, gewünschte Abholzeiten, Essenswünschen, Terminabsprachen und ähnlichen Informationen. Wir nutzen diese Informationen zu den dafür vorgesehenen Zwecken. Hierzu sind Angaben zu Ihrer Person erforderlich:

• Name
• Name des betreuten Kindes
• Angaben zu Schule und Klasse
• Angaben zu Ihren Betreuungswünschen
• Lebensmittelunverträglichkeiten (Gesundheitsdaten)

Diese Angaben sind erforderlich, um Ihren Betreuungsbedarf zu erfüllen. Ihre Angaben werden gelöscht, sobald Sie für die Organisation nicht mehr erforderlich sind

Rechtsgrundlage ist Ihr Betreuungsvertrag, Art. 6 Abs. 1 lit b DSGVO. Soweit besondere Kategorien wie Gesundheitsdaten betroffen sind, sind wir auf Ihre Einwilligung angewiesen. Rechtsgrundlage ist insofern Art. 9 Abs. 2 lit. a DSGVO.

… bei der Nutzung von MS Forms für Übungen und Quizze

Das Tool Forms können wir auch dafür einsetzen, um Übungen für Sie als Teilnehmenden bereitzustellen und Quizze durchzuführen. Wir können diese Funktionen auch dafür nutzen, um einen Wissensstand bei Ihnen zu überprüfen. Aus diesem Grund erfassen wir dazu auch folgende Informationen:

• Ihren Namen, ggf. Ihre Nutzerdaten
• der Kurs, an dem Sie teilnehmen.

Wir benötigen solche Informationen, um die Ausbildungsmaßnahme mit Ihnen durchzuführen. Rechtsgrundlage ist dementsprechend unser Vertrag über die Ausbildungsmaßnahme, Art. 6 Abs. 1 lit b DSGVO.

…bei der Nutzung von MS Teams

Das Tool MS Teams nutzen wir als Austauschplattform für vielfältige Kommunikationen, unter anderem

• zur Durchführung von Schulungsmaßnahmen/ Online-Seminare
• für virtuelle Einzelbesprechungen
• für Gruppenbesprechungen

Teilweise ist die Teilnahme ohne Anmeldedaten möglich, teilweise müssen Sie sich für die Teilnahme an solchen Besprechungen mit Ihren Zugangsdaten anmelden.

Folgende Daten werden dabei erfasst, die im Regelfall auch den übrigen Teilnehmern angezeigt werden können:

• Ihr Benutzername (Zugangsdaten zu den Office365-Anwendungen)
• im Mindesten Ihr selbst eingetragener Anzeigename
• eine Einwahlnummer, die Sie bei der telefonischen Einwahl in eine Besprechung verwenden
• möglicherweise weitere Identifikationsmerkmale:

Informationen zu Ihrer Person, die Sie als Nutzer innerhalb von Office365 hinterlegt haben, insbesondere nachfolgende Stammdaten:

Name, Vorname, Kontaktdaten wie Telefonnummer, E-Mailadresse, Faxnummer, sofern von Ihnen oder der Organisation, von der Sie die Zugangsdaten erhalten haben, eingetragen wurde.

• weitere freiwillige Daten (wie z. B. ein von Ihnen hinterlegtes Profilbild)
• Kommunikationsinhalte (Text, Audio, Video)
• soweit eine Aufzeichnung von Audio- oder Videoinhalten erfolgt, werden Sie darauf gesondert hingewiesen.

Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Videokonferenz-Applikation abschalten bzw. stummstellen.

Weitere technische Nutzungsdaten werden dabei erfasst:

• Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z. B. optional die (private) Handynummer)
• Angabe zu den Daten/Dateien/Dokumenten, auf die zugegriffen wurde
• sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat

Soweit die Besprechungen im Rahmen einer vertraglichen Beziehung zwischen uns stattfinden, basiert die Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Hier besteht unser Interesse an der effektiven Durchführung von Online-Meetings.

4. Empfänger / Weitergabe von Daten

Personenbezogene Daten, die im Zusammenhang mit dem Einsatz von Office365-Produkten verarbeitet werden, werden außer in den beschriebenen Fällen grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

5. Datenverarbeitung außerhalb der Europäischen Union

Ihre Daten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR verarbeitet, und zwar in den USA. Das angemessene Schutzniveau ergibt sich durch den Abschluss von Standarddatenschutzklauseln nach Art 46 Abs. 2 lit. c oder d DSGVO.

6. Löschung von Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zu erfüllen, Aufbewahrungspflichten zu erfüllen oder Rechtsansprüche durchsetzen oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht. Wenn Sie bei Office365 als Benutzer registriert sind, dann können Berichte über Ihre Nutzungsdaten (Login-Daten und IP-Adressen, weitere Metadaten, Daten zur Telefoneinwahl, u.ä.) ggf. bis zu 90 Tagen beim Anbieter gespeichert werden.

Sofern wir Ihre Daten in Datensicherungen speichern, werden diese regelmäßig und betrieblich angemessen überschrieben.

7. Ihre Rechte

Nach den Artikeln 15-21 DSGVO können Sie bei Vorliegen der dort beschriebenen Voraussetzungen die nachfolgenden Rechte in Bezug auf die bei uns verarbeiteten personenbezogenen Daten geltend machen.

Sie können Auskunft gemäß Art. 15 DSGVO über Ihre von uns verarbeitenden personenbezogenen Daten verlangen.

Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen gemäß Art. 16 DSGVO ein Recht auf Berichtigung zu.

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17, 18 DSGVO).

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Widerspruchsrecht gemäß Art. 21 DSGVO

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Absatz 1 Buchstaben e) oder f) DSGVO erfolgt, Widerspruch einzulegen.

8. Beschwerderecht bei einer Aufsichtsbehörde

Jede betroffene Person hat nach Art 77 DSGVO ein Beschwerderecht bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.

Der Landesbeauftragte für den Datenschutz

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Bettina Gayk
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211 38 42 40
Fax: 0211 38 42 49 99
E-Mail: poststelle@ldi.nrw.de