IHK Hannover

Informationspflichten Microsoft Forms

1. Bezeichnung der Verarbeitungstätigkeit:

Mit diesen Datenschutzhinweisen informieren wir über die Verarbeitung Ihrer personenbezogenen Daten Diese Datenschutzhinweise erfolgen gegenüber Externen und Mitarbeitenden im Zusammenhang mit dem Einsatz von Microsoft Forms.


2. Zwecke und Rechtsgrundlagen der Verarbeitung:

Mit Microsoft Forms kann die IHK Hannover Umfragen erstellen, Terminabstimmungen inkl. Anmeldung zu Prüfungsterminen/Veranstaltungen und (Prüfer-)Schulungen ermöglichen, Antworten der angefragten Personen/Unternehmen hierzu erhalten und diese je nach Einstellung anonymisiert bzw. personenbezogen auswerten. Nach der Erstellung eines Formulars können interne und externe Personen dazu eingeladen werden, dieses auszufüllen und an uns übermitteln. Für Externe ist kein Microsoft-Konto erforderlich.
Die angegebenen Daten benötigen wir, um Ihre Anfrage zu bearbeiten und Sie zu kontaktieren. Soweit Sie Daten eines Dritten angeben, sollten Sie bitte dessen Einverständnis einholen.
Die Teilnahme an unseren Befragungen ist grundsätzlich freiwillig. Wenn Sie durch die Teilnahme an der Befragung Ihre Einwilligung erteilen, erfolgt die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung der betroffenen Person). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Sollten Umfragen zur Anbahnung und/oder Erfüllung von Verträgen erforderlich sein, erfolgt die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags).Ihre Daten werden auf Grundlage von Art. 6 Abs. 1 lit. b), Art. 6 Abs. 1 lit. e) und Art. 6 Abs. 3 lit. b) DS-GVO verarbeitet.

3. Kategorien der personenbezogenen Daten:

Folgende Kategorien personenbezogener Daten werden beim Einsatz von Microsoft Forms verarbeitet:
  • Vor- und Zuname
  • E-Mail-Adresse
  • Telefonnummer
  • Thema und Fragen der jeweiligen Umfrage
  • Antworten zu Fragestellungen
  • Statistische Auswertung (je nach Einstellung personenbezogen oder anonymisiert) - Zahl der Antworten, Durchschnittliche Zeit für das Ausfüllen, Status (aktiv, nicht aktiv), ID-Nummer, Anrede
  • Ergebnisse der Auswertungen
  • Einstellungen (individuell voreinstellbar)

Wer dieses Formular ausfüllen kann
  • Jeder kann antworten
  • Nur Personen in meiner Organisation können antworten
    o Namen erfassen
    o Eine Antwort pro Person
    o Bestimmte Personen in meiner Organisation können antworten
Optionen für Antworten
  • Antwort akzeptieren
  • Startdatum
  • Enddatum
  • Zeitdauer festlegen
  • Fragen in zufälliger Reihenfolge
  • Statusanzeige anzeigen
  • Ausblenden Weitere Antworten senden
  • Anpassen der Dankeschön-Nachricht (Freitextfeld)
  • Erstellung von Freitextfeldern für Pflicht- und freiwillige Angaben

4. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten:

Unsere im Wege der Auftragsverarbeitung (jeweils aktueller Stand) eingebundenen Dienstleister haben Zugriff auf die Daten wie folgt:
Datenkranz: s. o. Ziffer 2
Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
Ireland
Microsoft Enterprise Service Privacy (Processor 2 Processor / P2P)
Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052, USA
Zweck: Zugriff auf Microsoft Multifaktor Authentifizierung zum Zwecke der Serviceerbringung in der Georegion Deutschland oder Georegion Europa; ferner Zugriff auf Dokumente und Kommunikation über M365-Dienste und Software
Die Rechenzentren, welche die IHK nutzt, sind vorrangig in Deutschland und im Übrigen in der EU ansässig.
Drittstaatentransfers sind bis auf die unter dieser Ziffer 4 aufgeführten Ausnahmen unterbunden.
Verbleibende Drittstaatentransfers werden DSGVO-konform von Microsoft Enterprise Service Privacy gestützt auf einen Vertrag über Auftragsverarbeitung (Data Processing Addendum/DPA) und Standardvertragsklauseln (SCC) mit Microsoft Enterprise Service Privacy (P2P, d. h. zwischen Auftragsverarbeiter und Subunternehmer) sowie durch zusätzliche Sicherungen von MS, sofern nicht auch hier wegen der Anonymisierung der Daten Datenschutz nicht zu beachten ist. Es handelt sich hierbei um erweiterte Informationspflichten, Haftungsklauseln und Vereinbarungen, dass Microsoft Anfragen von US-Behörden vorab gerichtlich klären lässt.
Soweit Daten in Drittstaaten übermittelt werden, verwendet Microsoft stets eine dem aktuellen Stand der Technik entsprechende Verschlüsselung. Microsoft sichert zu, dass das Unternehmen – selbst wenn es zu einer Offenlegung der Daten gegenüber Sicherheitsbehörden gesetzlich verpflichtet sein sollte – nicht den Verschlüsselungsschlüssel preisgibt oder die Umgehung der Verschlüsselung ermöglicht.


5. Dauer der Speicherung der personenbezogenen Daten:

Wir verarbeiten die personenbezogenen Daten nur so lange, wie dies für die Bearbeitung Ihrer Anfrage erforderlich ist.
Die personenbezogene Daten werden gelöscht, wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind (IHK-Löschkonzept).
Anmeldeprotokolle werden 1 Jahr aufbewahrt.

6. Microsoft Forms - Einsatz von Cookies

Ferner kommen beim Einsatz von Micrsoft Forms ausschließlich notwendige Cookies (Funktionscookies) und damit solche gem. § 25 Abs. 2 Nr. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zur Anwendung wie folgt:
Cookie Name Beschreibung Dauer
ai_session Dieser Cookie ist mit der Software Microsoft Application Insights verknüpft, die statistische Nutzungs- und Telemetriedaten für auf der Azure-Cloud-Plattform erstellte Anwendungen sammelt. Dies ist ein eindeutiger anonymer Sitzungsbezeichner-Cookie. Der Hauptzweck dieses Cookies ist die Performancestabilisierung. Sitzung
MicrosoftApplications
TelemetryDeviceId
Cookie zur Installation einer eindeutigen Geräte-ID, die dazu dient, das Verhalten der Benutzer und ihre Interaktion mit der Microsoft-Anwendung auf dem Gerät zu verfolgen. 10 Jahre
__RequestVerificationToken Verhindern von Angriffen durch websiteübergreifende Anforderungsfälschung. Sitzungsende
MS0 Speichert das Sitzungsidentifikations-Cookie. 90 Tage
RpsAuthNonce Ermöglichen die Platzierung von Microsoft-Formularen auf der Website. Es wird verwendet, um Benutzer zu unterscheiden. 1 Monat oder Sitzung
MSFPC Kritisches Service-Cookie zur anonymen Analyse der Servicenutzung und zu statistischen Zwecken aggregiert. 1 Jahr

Folgende notwendige Cookies werden gem. § 25 Abs. 2 Nr. 2 TDDDG nur bei der Authentifizierung gegen ein Active Directory verwendet.
Cookie Name Beschreibung Dauer
AADNonce.forms Eindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern. Sitzung
AADAuth.forms Azure Active Directory Token für die Authentifizierung. 90 Tage
AADAuthCode.forms Ein Authentifizierungscode, der zum Einlösen vom Azure Active Directory Authentifizierungstoken verwendet wird. 90 Tage
AADSID.forms Azure Active Directory Authentifizierungssitzungs-ID 90 Tage
AADState.forms Authentifizierungsstatus, um anzugeben, ob der Benutzer authentifiziert ist. 90 Tage
AADNonce.forms Eindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern. Sitzung

Rechtsgrundlagen:
  • Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG§ 3 Abs. 2 NDSG ·
  • Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 Abs. 2 NDSGArt. 4 Abs. 1 BayDSG.
Allgemeine Einstellungen - Technischer Datenschutz
(Datenschutzfreundliche Grundeinstellung)
Die IHK setzt die M365-Software und Dienste dieser Lizenzen nur insoweit ein bzw. lässt dies zu (Privacy by Design bzw. Privacy by Default), als dies datenschutzrechtskonform möglich ist und bei denen Microsoft Auftragsverarbeiter ist.
Nicht datenschutzkonforme Anwendungen sind zentral über die IT deaktiviert bzw. datenschutzkonform eingestellt. Dies gilt auch für Microsoft Forms.

7. Die Datenschutzgrundverordnung sieht für Sie folgende Rechte vor:

Nach der EU-Datenschutzgrundverordnung stehen Ihnen folgende Rechte zu:
Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).


8. Name und Kontaktdaten Ihres Ansprechpartner sowie des Datenschutzbeauftragten und der verantwortlichen Stelle:


Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die IHK Hannover, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten.
Den Datenschutzbeauftragten der IHK Hannover erreichen Sie telefonisch unter
0511 3107-239338 sowie per E-Mail an datenschutz@hannover.ihk.de.

Bei datenschutzrechtlichen Beschwerden können Sie sich zudem an den Landesbeauftragten für den Datenschutz Niedersachsen, Prinzenstr. 5, 30159 Hannover, Telefon: 0511-1204500, Fax 0511-1204599 wenden.

Bei Fragen zur Anwendung wenden Sie sich bitte an die auf der Seite angegebenen Ansprechpartner.
Verantwortliche Stelle:
Industrie- und Handelskammer Hannover
Bischofsholer Damm 91
30173 Hannover
Telefon: 0511-3107-0
Fax: 0511-3107-333
E-Mail: info@hannover.ihk.de

9. Widerrufsrecht bei Einwilligung:

Wenn Sie durch eine entsprechende Erklärung in die Verarbeitung Ihrer personenbezogenen Daten durch die IHK eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.

10. Automatisierte Entscheidungsfindung, Profiling‎:

Die IHK Hannover setzt keine Tools ein, die eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ermöglichen.


Hannover, den 21.02.2025