Erklärung zum Datenschutz bei Onlineveranstaltungen über MS Teams
Der Schutz personenbezogener Daten unserer Kunden, Geschäftspartner, Prüfungs- oder Schulungsteilnehmenden, Mitglieder und Mitarbeitenden (nachfolgend „Teilnehmende“) bei der Teilnahme an Onlinebesprechungen und -veranstaltungen ist uns ein wichtiges Anliegen. Deshalb verarbeitet die IHK Fulda personenbezogene Daten in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.
1. Kontaktdaten des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Da-tenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Industrie- und Handelskammer (IHK) Fulda Körperschaft des öffentlichen Rechts (KdöR)
Präsident: Dr. Christian Gebhardt
Hauptgeschäftsführer: Michael Konow
Vertreten durch: Geschäftsführer / Vorstand
Heinrichstraße 8, 36037 Fulda, Deutschland
Telefon: 0661 284-0
E-Mail: info@fulda.ihk.de
Internetseite: www.ihk.de/fulda
Präsident: Dr. Christian Gebhardt
Hauptgeschäftsführer: Michael Konow
Vertreten durch: Geschäftsführer / Vorstand
Heinrichstraße 8, 36037 Fulda, Deutschland
Telefon: 0661 284-0
E-Mail: info@fulda.ihk.de
Internetseite: www.ihk.de/fulda
2. Kontaktdaten des (externen) Datenschutzbeauftragten
Wir haben einen externen Datenschutzbeauftragten bestellt:
Sie erreichen den Datenschutzbeauftragten postalisch unter IHK Fulda, z. Hd. des Datenschutzbeauftragten, Heinrichstraße 8, 36037 Fulda oder per E-Mail unter datenschutz@berisda.de.
3. Beschreibung der Verarbeitung
3.1. Beschreibung und Umfang der Datenverarbeitung
Wir verwenden MS Teams, um Onlinebesprechungen und -veranstaltungen durchzuführen. Für die Durchführung verarbeiten wir folgende Kategorien personenbezogener Daten:
- Angaben zum Benutzer: Vorname + Nachname (nur bei Nutzung als Mode-rator oder autorisierter Teilnehmer), Anzeigename, Telefonnummer (optional), E-Mail-Adresse, Passwort, Profilbild (optional)
- Meeting-Metadaten: Thema, Beschreibung (optional), verbindungsspezifische Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
- Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername des Standorts, Start- und Endzeit. Ggf. können wei-tere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
- Bei Aufzeichnungen (nur bei Einwilligung): Bild- und Tondaten in einer MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des allgemeinen Online-Meeting-Chats.
- Text-, Audio- und Videodaten (bei Bereitstellung durch den Benutzer): Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren.
Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Teams-Applikationen abschalten bzw. stummstellen.
Wir verwenden MS TEAMS, um Onlinebesprechungen und -veranstaltungen durchzuführen. Wenn wir diese aufzeichnen wollen, werden wir Ihnen das vorher transparent mitteilen und eine Einwilligung einholen. Wenn es für die Zwecke der Protokollierung von Ergebnissen einer Onlinebesprechung oder -veranstaltung erforderlich ist, werden die allgemeinen Chatinhalte gespeichert. Dies wird jedoch in der Regel nicht der Fall sein.
Ihre personenbezogenen Daten erhalten wir grundsätzlich direkt von Ihnen oder Ihrem Unter-nehmen zur Kontaktaufnahme und Vertragserfüllung. Darüber hinaus weitere (technische) Daten werden bei Ihrer Teilnahme an einem Online-Meeting mit Microsoft Teams automa-tisch von der Plattform erhoben. Sofern Sie sich mit einem bestehenden Microsoft-Konto anmelden, ist Ihnen darüber hinaus die weitere Angabe von Daten möglich.
Die Bereitstellung der personenbezogenen Daten für die Teilnahme an unseren Onlinemeetings und -veranstaltungen ist weder gesetzlich noch vertraglich vorgeschrieben. Die Bereit-stellung Ihrer Daten ist für die Teilnahme erforderlich; eine Verpflichtung zur Bereitstellung besteht nicht. Die Nichtbereitstellung kann jedoch dazu führen, dass Sie nicht an unseren On-linebesprechungen und -veranstaltungen teilnehmen können.
Zur Verarbeitung der von Ihnen überlassenen Daten kommt keine vollautomatisierte Ent-scheidungsfindung (einschließlich Profiling) gem. Art. 22 DSGVO zum Einsatz.
3.2. Rechtsgrundlage der Verarbeitung
Zielt der Kontakt auf den Abschluss eines Vertrags ab oder ist dieser zur Vertragserfüllung notwendig, so ist die zusätzliche Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Die Verarbeitung sonstiger Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die IHK Fulda hat ein berechtigtes Interesse an einer sicheren und effizienten Bereitstellung des Konferenzdienst. Sofern eine Einwilligung für die Verarbeitung der Daten vorliegt, ist diese die Rechtsgrundlage für die Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 49 Abs. 1 S. 1 lit. a DSGVO.
3.3. Zweck der Verarbeitung
Die Verarbeitung Ihrer personenbezogenen Daten dient zur Teilnahme an Onlinebesprechungen und -veranstaltungen der IHK Fulda.
3.4. Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit
Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt oder Sie Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten durch uns widerrufen. Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie können den Widerruf per E-Mail oder per Post an den Verantwortlichen übermitteln. Nach dem Entfall des Zweckes oder Ihres Widerrufs bzw. Rückzug Ihrer Einwilligung werden die von Ihnen überlassenen Daten zur Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund unserer berechtigten Interessen verarbeitet.
Die Verarbeitung der sonstigen von Ihnen überlassenen Daten erfolgt so lange, wie sie zur Wahrung unserer berechtigten Interessen erforderlich ist. Nach Wegfall unserer berechtigten Interessen werden Ihre Daten gelöscht.
3.5. Empfänger der Daten
Innerhalb unserer Organisation erhalten diejenigen Stellen und Bereiche Zugriff auf Ihre per-sonenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten bzw. der o.g. Zwecke benötigen und die zur Verarbeitung dieser Daten berechtigt sind.
Im Rahmen unserer Leistungserbringung beauftragen wir Auftragsverarbeiter, die zur Erfüllung der vertraglichen Pflichten beitragen. Der Verantwortliche arbeitet mit Dienstleistern, wie beispielsweise Dienstleistern für IT-Wartungsleistungen, Videokonferenztools oder Newsletter Versand, zusammen (sog. Auftragsverarbeiter). Diese Dienstleister werden nur nach Weisung des Verantwortlichen tätig und sind vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Dazu schließen wir schriftlich entsprechende Auftragsverarbeitungsverträge mit diesen Dienstleistern ab. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass unsere Dienstleister die personenbezogenen Daten der Meeting-/Veranstaltungsteilnehmer nur nach unseren Weisungen und unter Einhaltung der datenschutzrechtlichen Bestimmungen (DSGVO, BDSG, usw.) verarbeiten.
Im Rahmen unserer Leistungserbringung beauftragen wir Auftragsverarbeiter, die zur Erfüllung der vertraglichen Pflichten beitragen. Der Verantwortliche arbeitet mit Dienstleistern, wie beispielsweise Dienstleistern für IT-Wartungsleistungen, Videokonferenztools oder Newsletter Versand, zusammen (sog. Auftragsverarbeiter). Diese Dienstleister werden nur nach Weisung des Verantwortlichen tätig und sind vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Dazu schließen wir schriftlich entsprechende Auftragsverarbeitungsverträge mit diesen Dienstleistern ab. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass unsere Dienstleister die personenbezogenen Daten der Meeting-/Veranstaltungsteilnehmer nur nach unseren Weisungen und unter Einhaltung der datenschutzrechtlichen Bestimmungen (DSGVO, BDSG, usw.) verarbeiten.
Die Datenverarbeitung für Online-Meetings über Microsoft Teams wird ausgelagert und findet auf den Systemen der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland statt. In Verbindung mit den Volumenlizenzierungen sowie in den Programmvereinbarungen werden mit Microsoft Regelungen zum Datenschutz vorgenommen, um die Sicherheit der Daten zu gewährleisten. Diese Regelungen (Bestimmungen für Onlinedienste (OSTs) und Nachtrag zum Datenschutz für Onlinedienste (DPA)) verwenden unter anderem die EU-Standardvertragsklauseln und weitere Bestimmungen zur DSGVO (https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx).
Sofern Sie sich mit einem bestehenden Microsoft-Konto anmelden, gelten die zwischen Ihnen und Microsoft getroffenen Vereinbarungen.
Der Verantwortlichen übermittelt gegebenenfalls personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien, soweit hierfür nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht oder nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zu der Annahme besteht, dass unsere Mitglieder ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten haben.
Der Verantwortlichen übermittelt gegebenenfalls personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien, soweit hierfür nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht oder nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zu der Annahme besteht, dass unsere Mitglieder ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten haben.
3.6. Datenübermittlung an ein Drittland oder eine internationale Organisation
Die Europäische-Datenschutzgrundverordnung (DSGVO) setzt voraus, dass die Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig ist, wenn ein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau gewährleistet ist. Wenn also sichergestellt ist, dass die Bestimmungen der DSGVO eingehalten werden - dazu kann beispielsweise das Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission i.S.d. Art. 45 Abs. 1, 3 DSGVO oder die Einführung unternehmensinterner, von einer Aufsichtsbehörde genehmigter Datenschutzvorschriften (sog. „geeignete Garantien“, Art. 46 Abs. 2, 3 DSGVO) zählen.
Eine Übermittlung der von Ihnen überlassenen Daten an ein Drittland oder eine internationale Organisation ist nicht auszuschließen, da Microsoft ein internationales Unternehmen mit Hauptsitz in den USA ist und dementsprechend ein Zugriff aus den USA oder anderen Dritt-ländern zur Wartung oder Supportdienstleistungen auf die Daten stattfinden kann. Des Weiteren ist es staatlichen Stellen aus den USA möglich legal auf personenbezogene Daten auf den Systemen von Microsoft zuzugreifen, ohne dass wir oder Sie davon erfahren.
Eine Übermittlung der Daten in die USA ist zulässig, wenn der Empfänger eine Zertifizierung unter dem „EU-US Data Privacy Framework“ (DPF) besitzt oder über geeignete zusätzliche Garantien verfügt. Das DPF ist ein (individuelles) Übereinkommen zwischen der Europäi-schen Union und den USA, welches die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF-zertifizierte Unter-nehmen verpflichtet sich, diese Datenschutzstandards einzuhalten.
Eine Übermittlung der Daten in die USA ist zulässig, wenn der Empfänger eine Zertifizierung unter dem „EU-US Data Privacy Framework“ (DPF) besitzt oder über geeignete zusätzliche Garantien verfügt. Das DPF ist ein (individuelles) Übereinkommen zwischen der Europäi-schen Union und den USA, welches die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF-zertifizierte Unter-nehmen verpflichtet sich, diese Datenschutzstandards einzuhalten.
Der Hauptsitz des Mutterkonzern (Microsoft Corporation) von Microsoft Ireland Operations Limited liegt aus Datenschutzsicht in einem Drittland. Microsoft wird, wie beschrieben, nur nach unserer Weisung tätig und ist vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Wir achten bei der Vertragsgestaltung darauf, dass die Verarbeitung der personenbezogenen Daten innerhalb der Europäischen Union stattfindet.
Microsoft Corporation verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Die Liste der zertifizierten Unternehmen finden Sie unter https://www.dataprivacyframework.gov/list. Dort können Sie nach dem Anbietername suchen und die Zertifizierung direkt einsehen.
4. Rechte der betroffenen Person
Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie als Betroffener folgende Rechte gegenüber uns als Verantwortlichen:
4.1. Recht auf Auskunft, Art. 15 DSGVO
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf (unentgeltliche) Auskunft über Ihre erhobenen und gespeicherten personenbezogenen Daten. Dazu gehört u.a. auch die Auskunft über deren Verarbeitungszwecke, deren Herkunft und Empfänger, die Speicherdauer sowie das Bestehen verschiedener Rechte.
Recht auf Berichtigung, Art. 16 DSGVO
Sie haben gegenüber dem Verantwortlichen ein Recht auf Berichtigung (auch im Sinne einer Vervollständigung) Ihrer Daten, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder für den Zweck der Verarbeitung unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
4.2. Recht auf Löschung, Art. 17 DSGVO
Sie können unter den Bedingungen des Art. 17 DSGVO jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, es sei denn, dass noch Umstände zum Tragen kommen, die den Verantwortlichen berechtigen oder verpflichten, Ihre personenbezogenen Daten weiterhin zu verarbeiten (wie bspw. gesetzliche Aufbewahrungspflichten).
4.3. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Bei Vorliegen der gesetzlichen Voraussetzungen können Sie im Umfang von Art. 18 DSGVO eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
4.4. Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Haben Sie uns personenbezogene Daten bereitgestellt, und erfolgt eine automatisierte Verarbeitung auf Grundlage Ihrer Einwilligung oder auf Grundlage eines Vertrags so haben Sie im Umfang von Art. 20 DSGVO ein Recht auf Übertragung der von Ihnen bereitgestellten Daten, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Die Bereitstellung erfolgt in einem gängigen, maschinenlesbaren Format. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
4.5. Widerspruchsrecht, Art. 21 DSGVO
Sie haben das Recht, im Umfang von Art. 21 DSGVO gegen eine Verarbeitung Widerspruch zu erheben, soweit die Datenverarbeitung zum Zwecke der Direktwerbung oder des Profilings erfolgt. Einer Verarbeitung auf Grund einer Interessenabwägung können Sie unter Angabe von Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
4.6. Recht auf Widerruf Ihrer Einwilligung, Art. 7 Abs. 3 DSGVO
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerru-fen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Wider-ruf unberührt. Sie können den Widerruf per E-Mail oder per Post an den Verantwortlichen übermitteln.
4.7. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die für uns zuständige Aufsichtsbehörde ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.