Datenschutz­informationen für die Nutzung von Microsoft 365 und Microsoft Teams

An der Universität Mannheim wird der Cloud-Dienst “Microsoft 365” eingesetzt, in dem Microsoft als Auftragsverarbeiter gemäß Art. 28 der Datenschutz-Grundverordnung (DS-GVO) auftritt. Bei der Nutzung von Microsoft 365 (und der darin enthaltenen Anwendungen) werden personenbezogene Daten (im Folgenden auch „Daten“) verarbeitet, was teilweise im Hintergrund geschieht und nicht immer offensichtlich erkennbar ist.

Die DS-GVO enthält einige Vorgaben zur Verarbeitung dieser Daten. Wir sind z. B. nach Art. 13, 14 DS-GVO verpflichtet, Ihnen bestimmte Informationen zur Verarbeitung Ihrer Daten mitzuteilen. Diese Datenschutz­informationen klären Sie daher beispielsweise darüber auf, welche Datenverarbeitungen wir im Rahmen der Durchführung eines Online-Meetings vornehmen.

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kommt es nicht darauf an, wer den Bezug herstellen kann. Es genügt, dass dies möglich ist. Beispiele für personenbezogene Daten sind Name, Anschrift, IP-Adresse, Bild- und Tonaufnahmen, E-Mail-Adresse, Telefonnummer.

Der Begriff der Verarbeitung umfasst alles von der Erhebung bis zur Löschung. Personenbezogene Daten können erhoben, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt, übermittelt oder bereitgestellt werden. Alle diese Vorgänge stellen eine Verarbeitung dar.

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die Universität Mannheim, L1, 1, 68161 Mannheim (nachfolgend „Wir“ oder „Universität Mannheim“). Die Kontaktdaten des Verantwortlichen sind:

Universität Mannheim
L1, 1
68131 Mannheim
Tel.: 0621-181-1001
E-Mail: rektormail-uni-mannheim.de

Wir haben einen Datenschutz­beauftragten bestellt. Dieser ist unter datenschutzbeauftragtermail-uni-mannheim.de zu erreichen.

Wir verfolgen mit der Nutzung von Microsoft 365 verschiedene Zwecke. Hauptsächlich geht es darum, die einfach­ere Zusammenarbeit zwischen Beschäftigten und Studierenden innerhalb der Universität Mannheim sowie die Zusammenarbeit mit Externen durch die Verwendung einer offenen und markt­üblichen Plattform zu ermöglichen. Dabei werden Funktionen genutzt, um beispielsweise Inhalte zu erstellen und zu speichern oder (Online-)Besprechungen zu planen sowie durchzuführen und um zu kommunizieren. Um mit Externen einen ebenso effektiven Informations­austausch zu erreichen, sollen auch diese als externe Nutzer einzelne Funktionen von Microsoft 365 (z. B. Microsoft Teams Meetings) nutzen können. Auf diese Weise können wir Mitarbeitende, Studierende und Externe vernetzen, sodass Projekte gemeinsam bearbeitet werden können, ohne am gleichen Ort sein zu müssen. Hierfür werden Ihre personenbezogenen Daten verarbeitet.

Die Nutzung von Microsoft 365 und Cloud-Computing insgesamt dient dabei den folgenden Zwecken: Dauerhafte und ortsunabhängige Verfügbarkeit der Dokumente, Ermöglichung eines standortunabhängigen Arbeitens und Zusammenarbeitens, Einbeziehung Dritter / Externer bei der Bearbeitung von Dokumenten und Daten, effizientere und schnellere Abläufe, vereinfachte Planung, Auslagerung der IT-Leistungen zur Einsparung eigener Ressourcen, reduzierter IT-Administrations­aufwand und Steigerung der Flexibilität.

Mit der Nutzung von Teams werden insbesondere folgende Zwecke verfolgt: Vereinfachte und unkomplizierte Kommunikation zwischen den Mitarbeitenden, Studierenden und ggf. Externen durch Über­tragung von Meetings in Echtzeit und unmittelbaren Austausch im Chat, erleichterte und effizientere Gruppen­arbeit, Flexibilität sowie orts- und zeitunabhängige Zusammenarbeit. Hierbei werden je nach Fall personenbezogene Daten wie Name und E-Mail-Adresse verarbeitet. Die Teilnahme kann auch als Gast erfolgen (mit Angabe bestimmter personenbezogener Daten).

Alternativ kann für eine einmalige Teilnahme ein Link zum Meeting (Videokonferenz) zur Verfügung gestellt werden. Die Eröffnung eines Nutzerkontos oder die Eingabe personenbezogener Daten ist dabei nicht erforderlich. Sie können jedoch Ihren Namen eingeben. In jedem Fall werden Nutzungs­daten wie die IP-Adresse und – soweit aktiviert – Ihre Video- und Audiodaten verarbeitet.

Darüber hinaus verfügt Microsoft Teams über eine Zusatzfunktion, die das Aufzeichnen von Teams-Meetings ermöglicht. Die Universität Mannheim verfolgt mit dieser Datenverarbeitung insbesondere folgende Zwecke: Nachvollziehung von Teilnehmenden an Meetings und Dokumentation, sowie die Nachbereitung von Terminen. Findet eine Aufzeichnung statt, werden hierbei insbesondere Ihr Vor- und Nachname, Gesprächsinhalte sowie Bilddaten (Video, Audio) verarbeitet. Sie können die Datenverarbeitung jedoch einschränken. Bevor eine Aufzeichnung stattfindet, werden Sie darüber benachrichtigt und um Ihr Einverständnis gebeten. Sollten Sie Ihre Zustimmung nicht abgeben, wird Ihr Mikro und Video automatisch deaktiviert. Ihr Vor- und Nachname können jedoch noch weiterhin sichtbar sein. Sie können auch zu einem späteren Zeitpunkt des Meetings Ihre Zustimmung zur Aufzeichnung erteilen. Nach Ablauf von 60 Tagen wird die Aufzeichnung automatisch in Microsoft Teams bzw. in OneDrive gelöscht. In Einzelfällen kann es jedoch sein, dass wir die Aufzeichnungen zu Archivzwecken in der Wissensdatenbank länger aufbewahren. 

Die verarbeiteten Kategorien von personenbezogenen Daten unter­scheiden sich je nach Zweck der Verarbeitung bzw. der jeweils genutzten Microsoft 365 Anwendung. Eine detaillierte Auflistung dessen ist in Anhang 1 dargestellt.

Ergänzend dazu stellt Microsoft Informationen zu den erhobenen Dienst- und Diagnosedaten fortlaufend aktualisiert unter folgenden Verlinkungen bereit:

• https://learn.microsoft.com/de-de/microsoft-365-apps/privacy/required-service-data
• learn.microsoft.com/de-de/microsoft-365-apps/privacy/required-diagnostic-data

Die Zulässigkeit der dargestellten Datenverarbeitung richtet sich bei der Verarbeitung von personenbezogenen Daten von Studierenden nach Art. 6 Abs. 1 lit. e DS-GVO in Verbindung mit § 2 Abs. 1 Landes­hochschul­gesetz Baden-Württemberg (LHG BW), das Lehre, Studium und Forschung ausdrücklich als öffentliche Aufgaben definiert, sowie auf § 4 Abs. 1 Landes­datenschutz­gesetz Baden-Württemberg (LDSG BW), der die Datenverarbeitung durch öffentliche Stellen zur Aufgabenerfüllung zulässt. Bei Beschäftigten bildet neben Art. 6 Abs. 1 lit. e DS-GVO insbesondere Art. 6 Abs. 1 lit. b i.V.m. § 15 LDSG BW die spezielle Rechts­grundlage für alle Verarbeitungen, die „zur Eingehung, Durchführung oder Beendigung des Dienst- oder Arbeits­verhältnisses“ erforderlich sind. Ergänzt wird dies durch die abgeschlossene Dienst­vereinbarung. Je nach rechtlicher Natur des Beschäftigungs­verhältnisses ist ergänzend dazu Art. 6 Abs. 1 lit. b DS-GVO i.V.m. § 26 BDSG einschlägig. 

Für externe User, welche die Microsoft 365 Dienste der Universität Mannheim nutzen (z. B. durch Teilnahme an einem Teams-Meeting), greift vorrangig ebenfalls Art. 6 Abs. 1 lit. e DS-GVO in Verbindung mit den oben genannten LHG- und LDSG-Bestimmungen, sofern die Teilnahme unmittelbar der öffentlichen Aufgabe (z. B. Lehr- oder Forschungs­kooperation) dient. Besteht darüber hinaus ein vertraglicher oder vorvertraglicher Bezug – etwa ein Schulungs- oder Kooperations­vertrag – bildet Art. 6 Abs. 1 lit. b DS-GVO die passende Grundlage.

Wir möchten die Arbeit mit internen Beschäftigten, Studierenden, Vertrags­partnern und sonstigen Externen ortsunabhängig, effizient und flexibel gestalten, Arbeits­abläufe optimieren und die Digitalisierung vorantreiben. Auch die bessere Planung von Arbeits­kapazitäten, die vereinfachte Kommunikation und die fehler- sowie unter­brechungs­freie Bereitstellung der Dienste stehen in unserem Fokus. Die Zulässigkeit der Verarbeitung kann sich in Einzelfällen, z. B. im Falle von Aufzeichnungen oder Trans­kriptionen, nach Art. 6 Abs. 1 lit. a DS-GVO richten (Einwilligung). In dem Fall werden Sie von uns bzw. den dafür vorgesehenen Funktionen innerhalb der Microsoft 365 Anwendungen ausdrücklich danach gefragt, ob Sie mit der Datenverarbeitung einverstanden sind.

Die Verarbeitung sicherheits­relevanter Ereignis- und Telemetriedaten auf dienstlichen Geräten zur Gewährleistung der IT-Sicherheit (durch Sicherheits­funktionen, wie z. B. den Microsoft Defender for Endpoint) erfolgt zur Wahrnehmung unserer öffentlichen Aufgaben gemäß Art. 6 Abs. 1 lit. e DS-GVO i. V. m. § 2 Abs. 1 LHG BW und § 4 Abs. 1 LDSG BW sowie ergänzend zur Erfüllung unserer rechtlichen Verpflichtung, ein angemessenes Schutz­niveau sicherzustellen (Art. 6 Abs. 1 lit. c i. V. m. Art. 32 DS-GVO). Soweit ausnahmsweise Verarbeitungen nicht der Erfüllung unserer öffentlichen Aufgaben zuzurechnen sind, kann die Verarbeitung sicherheits­relevanter Daten zur Aufrechterhaltung der Betriebs- und Informations­sicherheit auf Art. 6 Abs. 1 lit. f DS-GVO gestützt werden.

Die erstmalige Speicherung Ihrer Daten erfolgt mit dem Anlegen des Benutzeraccounts im Tenant Microsoft 365-Umgebung, also zu Beginn der Tätigkeit an der Universität Mannheim. Die Daten werden nach Ende der Tätigkeit für weitere 16 Monate aufbewahrt, bevor sie endgültig gelöscht werden. Die Speicherung setzt sich zusammen aus einer einjährigen Aufbewahrung des deaktivierten Accounts in der Microsoft 365-Umgebung, 30 Tagen Aufbewahrung des gelöschten Accounts und einer dreimonatigen Aufbewahrungs­dauer der Backups.

Microsoft selbst bewahrt die Daten für einen gewissen Zeitraum auf. Diese Aufbewahrungs­zeiten können Sie unter der folgenden URL einsehen: www.docs.microsoft.com/de-de/office365/enterprise/office-365-data-retention-deletion-and-destruction-overview. 

Ihre personenbezogenen Daten können im Rahmen der Nutzung von Microsoft 365 an verschiedene Empfänger weitergegeben oder von diesen eingesehen werden. Dazu gehören insbesondere sämtliche Mitarbeitenden der Universität Mannheim sowie die Microsoft Ireland Operations Ltd und die Microsoft Corporation und andere Unter­auftragsverarbeiter, die für Copilot für M365 in der jeweils neuesten Fassung der Liste der Unter­auftragsverarbeiter unter servicetrust.microsoft.com aufgeführt sind. 

Wir beabsichtigen nicht, Ihre personenbezogenen Daten an ein Drittland außerhalb der EU oder des EWR zu übermitteln. Allerdings werden regelmäßig Diagnosedaten an die Microsoft Corporation gesendet und dort ausgewertet. Der Drittstaatentrans­fer ist ohne weitere Genehmigung zulässig, da es für den Datentrans­fer in die USA einen Angemessenheits­beschluss der EU-Kommission gemäß Art. 45 Abs. 3 DS-GVO gibt, das EU-U.S. Data Privacy Framework. Die Microsoft Corporation hat sich nach dem Data Privacy Framework zertifiziert und damit verpflichtet, europäische Datenschutz­grundsätze einzuhalten. Weitere Informationen zum Data Privacy Framework gibt es hier[IR1] . Zusätzlich wurden mit Microsoft Standard­datenschutz­klauseln gemäß Art. 46 Abs. 2 lit. c DS-GVO vereinbart. Informationen zu den Standard­datenschutz­klauseln können Sie auf der Webseite der Europäischen Kommission abrufen: https://ec.europa.eu/info/index_de. Die von Microsoft abgeschlossenen Standard­datenschutz­klauseln können Sie als registrierter Benutzer hier abrufen: https://servicetrust.microsoft.com/DocumentPage/d4e2c91a-1c8f-40f6-a1ae-432f5dc2d6f5. 

Mehr Informationen zur Datenverarbeitung bei der Microsoft Corporation erhalten Sie hier: https://www.microsoft.com/de-de/trust-center/privacy.

Sie haben ein Recht auf Auskunft (Art. 15 DS-GVO), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO) sowie auf Datenübertragung (Art. 20 DS-GVO).

Erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse), steht Ihnen das Recht zu, Widerspruch gegen die Datenverarbeitung einzulegen.

(Haben Sie eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt, können Sie diese gemäß Art. 7 Abs. 3 DS-GVO jederzeit mit Wirkung für die Zukunft widerrufen.)

Sie können diese Rechte jederzeit ausüben. Das heißt allerdings nicht, dass sie auch erfüllt werden. Wir können Ihre Daten z. B. nicht löschen, wenn wir aufgrund gesetzlicher Vorschriften zur Speicherung verpflichtet sind.

Sofern Sie eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben und diese widerrufen, bleibt die bis zum Zeitpunkt dieses Widerrufs erfolgte Verarbeitung hiervon unberührt.

Sie haben jederzeit das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Die Aufsichtsbehörde in Baden-Württemberg ist der Landes­beauftragte für den Datenschutz und die Informations­freiheit Baden-Württemberg.