Nutzer von Microsoft 365
Allgemeines
Bei der Nutzung von Microsoft 365 (und der darin enthaltenen Anwendungen) werden personenbezogene Daten (im Folgenden auch „Daten“) verarbeitet, was teilweise im Hintergrund geschieht und nicht immer offensichtlich erkennbar ist.
Die Datenschutz-Grundverordnung (DS-GVO) enthält einige Vorgaben zur Verarbeitung dieser Daten. Wir sind z. B. nach Art. 13 DS-GVO verpflichtet, Ihnen bestimmte Informationen zur Verarbeitung Ihrer Daten mitzuteilen. Diese Datenschutzinformationen klären Sie daher darüber auf, welche Datenverarbeitungen wir im Rahmen der Durchführung eines Online-Meetings vornehmen.
Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kommt es nicht darauf an, wer den Bezug herstellen kann. Es genügt, dass dies möglich ist. Beispiele für personenbezogene Daten sind Name, Anschrift, IP-Adresse, Bild- und Tonaufnahmen, E-Mail-Adresse, Telefonnummer.
Der Begriff der Verarbeitung umfasst alles von der Erhebung bis zur Löschung. Personenbezogene Daten können erhoben, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt, übermittelt oder bereitgestellt werden. Alle diese Vorgänge stellen eine Verarbeitung dar.
Verantwortlicher und Datenschutzbeauftragter
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die Industrie- und Handelskammer für Rheinhessen, Schillerplatz 7, 55116 Mainz (nachfolgend „Wir“ oder „IHK Rheinhessen“), vertreten durch die Geschäftsführung. Die Kontaktdaten des Verantwortlichen sind:
IHK für Rheinhessen
Schillerplatz 7
55116 Mainz
E-Mail: service@rheinhessen.ihk24.de
Telefon: 06131 262-0
Telefax: 06131 262-1113
Schillerplatz 7
55116 Mainz
E-Mail: service@rheinhessen.ihk24.de
Telefon: 06131 262-0
Telefax: 06131 262-1113
Wir haben einen Datenschutzbeauftragten bestellt. Dieser ist unter privacy@morgenstern-privacy.com zu erreichen.
Details zur Datenverarbeitung
Wir verfolgen mit der Nutzung von Microsoft 365 verschiedene Zwecke. Hauptsächlich geht es darum, die einfachere Zusammenarbeit innerhalb der IHK für Rheinhessen sowie mit Externen durch die Verwendung einer offenen und marktüblichen Plattform zu ermöglichen. Dabei werden Funktionen genutzt, um beispielsweise Inhalte zu erstellen und zu speichern oder (Online-)Besprechungen zu planen sowie durchzuführen und um zu kommunizieren. Um mit Externen einen ebenso effektiven Informationsaustausch zu erreichen, sollen auch diese als externe Nutzer einzelne Funktionen von Microsoft 365 (z. B. Microsoft Teams Meetings) nutzen können. Auf diese Weise kann die IHK für Rheinhessen Mitarbeiter und Externe vernetzen und Projekte gemeinsam bearbeiten, ohne am gleichen Ort sein zu müssen. Die Verarbeitung Ihrer personenbezogenen Daten dient hierbei der Abwicklung von Verträgen mit der IHK für Rheinhessen und der Zusammenarbeit in Projekten.
Je nach konkreter Nutzung werden insbesondere folgende Datenkategorien verarbeitet: Stammdaten (Name, Anzeigename, ggf. E-Mail-Adresse/Organisation), Meeting- und Kommunikationsmetadaten (z. B. Datum/Uhrzeit, Teilnehmendenliste, Meeting-ID, Chat-Metadaten), Inhaltsdaten (Chatnachrichten, geteilte Dateien/Dokumente, Bildschirmfreigaben), technische Nutzungsdaten (z. B. IP-Adresse, Geräte-/Clientinformationen, Protokoll-/Auditdaten) sowie Diagnosedaten zur Bereitstellung, Sicherheit und Fehlerbehebung der Dienste.
Die Freigabe von personenbezogenen Daten in der Cloud (OneDrive und SharePoint) und die Nutzung von Cloud-Computing insgesamt dient dabei konkret den folgenden Zwecken: dauerhafte und ortsunabhängige Verfügbarkeit der Dokumente, Ermöglichung eines standortunabhängigen Arbeitens, Einbeziehung Dritter / Externer bei der Bearbeitung von Dokumenten und Daten, effizientere und schnellere Abläufe, vereinfachte Planung, Auslagerung der IT-Leistungen zur Einsparung eigener Ressourcen, reduzierter IT-Administrationsaufwand und Steigerung der Flexibilität. Der Dienst SharePoint wird dabei als Plattform für die Datenablage und den Datenaustausch zwischen den Mitarbeitern und ggf. Externen genutzt.
Mit der Nutzung von Teams werden insbesondere folgende Ziele verfolgt: vereinfachte und unkomplizierte Kommunikation zwischen den Mitarbeitern und ggf. Externen durch Übertragung von Meetings in Echtzeit und unmittelbarer Austausch im Chat, erleichterte und effizientere Gruppenarbeit, Flexibilität sowie orts- und zeitunabhängige Zusammenarbeit. Hierbei werden je nach Fall personenbezogene Daten wie Name und E-Mail-Adresse verarbeitet. Die Teilnahme kann auch als Gast erfolgen (mit Angabe bestimmter personenbezogener Daten).Alternativ kann für eine einmalige Teilnahme ein Link zum Meeting (Videokonferenz) zur Verfügung gestellt werden.
Für die Teilnahme an einem Online-Meeting ist die Verarbeitung bestimmter personenbezogener Daten (insbesondere Name/Anzeigename, technische Verbindungsdaten wie IP-Adresse sowie ggf. Audio-/Videodaten bei Nutzung dieser Funktionen) erforderlich. Ohne diese Verarbeitung ist eine Teilnahme technisch nicht möglich. Die Angabe eines Klarnamens kann – je nach Einladungs- und Meetingkonfiguration – optional sein; in diesem Fall kann auch ein frei gewählter Anzeigename verwendet werden, sofern dies vom Organisator zugelassen ist.
Darüber hinaus verfügt Microsoft Teams über eine Zusatzfunktion, die das Aufzeichnen von Teams-Meetings ermöglicht. Die IHK für Rheinhessen verfolgt mit dieser Datenverarbeitung insbesondere folgende Zwecke: Nachvollziehung von Teilnehmenden an Meetings und Dokumentation, Speicherung der Aufzeichnung zu Schulungszwecken sowie Nachbereitung von Terminen. Findet eine Aufzeichnung statt, werden hierbei insbesondere Ihr Vor- und Nachname, Gesprächsinhalte sowie Bilddaten (Video, Audio) verarbeitet. Sie können die Datenverarbeitung jedoch einschränken. Bevor eine Aufzeichnung stattfindet, werden Sie darüber benachrichtigt und um Ihr Einverständnis gebeten. Sollten Sie Ihre Zustimmung nicht abgeben, wird Ihr Mikro und Video automatisch deaktiviert. Ihr Vor- und Nachname können jedoch noch weiterhin sichtbar sein. Sie können auch zu einem späteren Zeitpunkt des Meetings Ihre Zustimmung zur Aufzeichnung erteilen. Die Aufzeichnung umfasst – abhängig von den gewählten Einstellungen – insbesondere Anzeigename, Audio-/Videobeiträge sowie geteilte Inhalte.
Die Aufzeichnungen werden gemäß der geltenden Aufbewahrungs- und Löschregelung der IHK gespeichert und anschließend gelöscht; abweichende längere Aufbewahrungen (z. B. zu Schulungs- oder Nachweiszwecken) erfolgen nur, wenn hierfür eine entsprechende Rechtsgrundlage besteht. Der Zugriff ist auf die hierfür berechtigten Personen beschränkt. Nach Ablauf von 60 Tagen wird die Aufzeichnung automatisch in Microsoft Teams bzw. in OneDrive gelöscht. In Einzelfällen kann es sein, dass die Aufzeichnungen jedoch von der IHK für Rheinhessen zu Schulungszwecken weiterverwendet werden.
Eine weitere genutzte Zusatzfunktion ist die Funktion der Transkription von Besprechungen. Dies ermöglicht es Benutzern, nach einer Besprechung eine durchsuchbare, schriftliche Kopie des gesprochenen Texts einzusehen, die zusammen mit der Besprechungsaufzeichnung gespeichert wird. Zudem ist eine KI-gestützte Verarbeitung mit Microsoft Copilot möglich, um gesprochene Inhalte aus Besprechungen zu verarbeiten, z.B. zum Zweck der Erstellung von Zusammenfassungen.
Die Verarbeitung Ihrer gesprochenen Inhalte zur Erstellung von Transkriptionen dient der Verbesserung der Nachvollziehbarkeit und Dokumentation von Besprechungsinhalten, sowie der Erleichterung des Zugriffs auf Besprechungsinhalte für Teilnehmer. Hierbei werden insbesondere Ihre gesprochenen Beiträge während der Besprechung verarbeitet, um die Transkription zu erstellen. Die resultierenden Textdateien werden – sofern vorhanden – zusammen mit den Besprechungsaufzeichnungen gespeichert und können von Teilnehmern der jeweiligen Besprechung eingesehen werden.
Sofern Copilot in Microsoft Teams/Microsoft 365 durch die IHK in Einzelfällen genutzt wird, können – abhängig von der konkreten Funktion – Eingaben (Prompts), Besprechungsinhalte (z. B. Transkripte/Chat) sowie Kontextinformationen verarbeitet werden, um z. B. Zusammenfassungen, Aufgabenlisten oder Antwortvorschläge zu erstellen. Copilot greift dabei nur auf Inhalte zu, für die die jeweilige nutzende Person im Microsoft-365-Tenant berechtigt ist.
Die Verarbeitung dient der effizienteren Nachbereitung und Dokumentation von Besprechungen bzw. der Unterstützung der Zusammenarbeit. Copilot-Ergebnisse ersetzen keine menschliche Bewertung; eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet nicht statt.
Bei der Nutzung von Microsoft 365 findet darüber hinaus eine Übermittlung von Diagnosedaten an Microsoft statt, damit die Dienste insgesamt (fehlerfrei) bereitgestellt werden können. Da sämtliche Anwendungen von Microsoft 365 cloudbasiert sind, werden diese in der Regel durchgehend geprüft. Die Verarbeitung der Diagnosedaten dient auch der Verbesserung und Aktualisierung der Software durch das Einspielen von neuen Versionen. Schließlich dient die Verarbeitung auch dazu, die Sicherheit der Dienste und eine schnelle Fehlerbehebung durch Microsoft zu gewährleisten.
Die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von Microsoft 365/Microsoft Teams erfolgt – abhängig vom jeweiligen Nutzungskontext – auf Basis folgender Rechtsgrundlagen:
- (1) Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt) für die Durchführung der gesetzlichen Aufgaben der IHK sowie die hiermit verbundene Kommunikation und Zusammenarbeit.
- (2) Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags mit der IHK erforderlich ist (z. B. Kommunikation mit Vertragspartnern/Teilnehmenden in vertraglichen Zusammenhängen).
- (3) Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Funktionen, insbesondere Aufzeichnungen, Transkriptionen sowie KI-gestützte Auswertungen (z. B. Copilot), sofern diese im Einzelfall aktiviert werden.
Soweit im Einzelfall Verarbeitungen außerhalb der Aufgabenerfüllung erfolgen, kann ergänzend Art. 6 Abs. 1 lit. f DSGVO einschlägig sein.
Die erstmalige Speicherung Ihrer Daten erfolgt mit dem Versand der Einladung zur Mitarbeit in der Microsoft 365 Umgebung bzw. zur Teilnahme an einer Videokonferenz der IHK für Rheinhessen. Die Dauer richtet sich in erster Linie nach den gesetzlichen Aufbewahrungspflichten in Bezug auf bestimmte Dokumente und Vorgänge sowie nach dem berechtigten Interesse der IHK für Rheinhessen.
Microsoft selbst bewahrt die Daten für einen gewissen Zeitraum auf. Diese Aufbewahrungszeiten können Sie unter der folgenden URL einsehen: www.docs.microsoft.com/de-de/office365/enterprise/office-365-data-retention-deletion-and-destruction-overview.
Empfänger von Daten und Drittlandübermittlung
Ihre personenbezogenen Daten können im Rahmen der Nutzung von Microsoft 365 an verschiedene Empfänger weitergegeben oder von diesen eingesehen werden.
Zugriff auf personenbezogene Daten erhalten innerhalb der IHK ausschließlich diejenigen Mitarbeitenden, die diese zur Aufgabenerfüllung benötigen (Need-to-know).
Im Rahmen von Online-Meetings können andere Teilnehmende (intern/extern) bestimmte Daten einsehen (z. B. Anzeigename, Chatbeiträge, ggf. Audio/Video, geteilte Inhalte).
Microsoft verarbeitet personenbezogene Daten als Auftragsverarbeiter im Rahmen der Bereitstellung von Microsoft 365/Teams.
Die IHK für Rheinhessen beabsichtigt nicht, Ihre personenbezogenen Daten an ein Drittland außerhalb der EU oder des EWR zu übermitteln. Allerdings werden regelmäßig Diagnosedaten an die Microsoft Corporation gesendet und dort ausgewertet. Der Drittstaatentransfer ist ohne weitere Genehmigung zulässig, da es für den Datentransfer in die USA einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 Abs. 3 DS-GVO gibt, das EU-U.S. Data Privacy Framework. Die Microsoft Corporation hat sich nach dem Data Privacy Framework zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten. Weitere Informationen zum Data Privacy Framework gibt es hier. Zusätzlich wurden mit Microsoft Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 c) DS-GVO vereinbart. Informationen zu den Standarddatenschutzklauseln können Sie auf der Webseite der Europäischen Kommission abrufen: https://ec.europa.eu/info/index_de. Die von Microsoft abgeschlossenen Standarddatenschutzklauseln können Sie als registrierter Benutzer hier abrufen: https://servicetrust.microsoft.com/DocumentPage/d4e2c91a-1c8f-40f6-a1ae-432f5dc2d6f5.
Mehr Informationen zur Datenverarbeitung bei der Microsoft Corporation erhalten Sie hier: https://www.microsoft.com/de-de/trust-center/privacy.
Ihre Rechte
Sie haben ein Recht auf Auskunft (Art. 15 DS-GVO), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO) sowie auf Datenübertragung (Art. 20 DS-GVO).
Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 f) DS-GVO verarbeitet werden, haben Sie ein Widerspruchsrecht, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Sie können diese Rechte jederzeit ausüben. Das heißt allerdings nicht, dass sie auch erfüllt werden. Wir können Ihre Daten z. B. nicht löschen, wenn wir aufgrund gesetzlicher Vorschriften zur Speicherung verpflichtet sind.
Sofern Sie eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben und diese widerrufen, bleibt die bis zum Zeitpunkt dieses Widerrufs erfolgte Verarbeitung hiervon unberührt.
Sie haben jederzeit das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Eine Übersicht der zuständigen Aufsichtsbehörden erhalten Sie, wenn Sie diesem Link folgen.