Datenschutzinformation für die Nutzung von Microsoft 365
Im Folgenden informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch uns und die Ihnen nach den datenschutzrechtlichen Regelungen zustehenden Ansprüche und Rechte.
Diese Datenschutzinformation ist anwendbar sofern Sie eine Einladung oder Freigabe zur Nutzung einer Microsoft 365 Anwendung z. B. Microsoft Teams, Microsoft SharePoint Online, oder ähnliches (nachfolgend „M365-Anwendung“) durch die Technischen Werke Dresden oder eines ihrer verbundenen Konzernunternehmen erhalten haben.
1. Wer ist für die Datenverarbeitung verantwortlich?
Technische Werke Dresden GmbH
Friedrich-List-Platz 2
01069 Dresden
E-Mail-Adresse: info@twd-dresden.de
Unseren Datenschutzbeauftragten erreichen Sie unter:
datenschutz@twd-dresden.de
M365-Anwendungen werden durch die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (im Folgenden „Microsoft“) bereitgestellt. Dabei wird Microsoft als sog. Auftragsverarbeiter für uns tätig und unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der Anwendung „Microsoft Teams“ unseren Weisungen. Daneben verarbeitet Microsoft im Rahmen der Bereitstellung der M365-Anwendungen personenbezogene Daten auch zu eigenen Zwecken als eigenständiger Verantwortlicher im Sinne der DSGVO.
Bitte beachten Sie, dass diese Datenschutzinformation Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns für die Bereitstellung der M365 Anwendungen informiert.
Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten durch Microsoft verweisen wir auf die Datenschutzinformation von Microsoft unter https://privacy.microsoft.com/de-de/privacystatement.
2. Welche Quellen und Datenkategorien nutzen wir?
Soweit es für einen Zugriff auf bzw. bei der Nutzung von M365-Anwendungen erforderlich ist, verarbeiten wir nachfolgende personenbezogenen Daten, welche von Ihnen selbst oder von Ihrem Unternehmen/Arbeitgeber in Ihrem M365-Account hinterlegt wurden oder die Sie uns im Rahmen der Nutzung von M365-Anwendungen zur Verfügung stellen.
Relevante personenbezogene Daten sind regelmäßig,
Daten im Rahmen des Zugriffs:
IP-Adresse, Benutzername (Zugangsdaten Microsoft), sowie Daten im Rahmen der Multifaktor-Authentifizierung (MFA), welche in Ihrem Microsoft Account hinterlegt sind.
Daten im Rahmen der Nutzung:
Name, Vorname, geschäftliche Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse, Funktion, Profilbild), soweit von Ihnen angegeben oder von Ihrem Unternehmen/Arbeitgeber übermittelt.
Es erfolgt grundsätzlich keine Aufzeichnung von Audio- und Videoinhalten. Dennoch können Daten, welche Sie während der Nutzung von M365-Anwendungen zur Verfügung stellen, verarbeitet werden, z. B. Chatverlauf. Sofern ausnahmsweise eine Aufzeichnung erfolgen soll, werden Sie vorab informiert und soweit erforderlich eine Einwilligung eingeholt.
Sie selbst können jederzeit entscheiden, ob Sie Ihre Kamera oder das Mikrofon aktivieren. Im Fall einer Aufzeichnung haben Sie alternativ die Möglichkeit, Ihre Fragen/Beiträge im Chat zu stellen, welcher nicht aufgezeichnet wird.
Sofern Sie nicht nur als Gast teilnehmen verarbeiten wir folgende Daten zusätzlich, Log- und Inhaltsdaten:
Zur Gewährleistung von IT-Sicherheitsanforderungen, des ordnungsgemäßen Lizenzgebrauchs und zur Missbrauchserkennung werden Ihre Aktivitäten im Zusammenhang mit der Nutzung von M365-Anwendungen, wie das Anlegen, Ändern oder Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat, sowie Nutzungsdaten hinsichtlich dieser Aktivitäten, wie z. B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angaben zu den Daten/Dateien/Dokumenten, auf die zugegriffen wurde, protokolliert.
3. Besteht eine Pflicht zur Bereitstellung von Daten?
Sie müssen nur diejenigen personenbezogenen Daten bereitstellen, die im Rahmen des Zugriffs auf und /oder Nutzung von M365-Anwendungen erforderlich oder zu deren Erhebung wir gesetzlich verpflichtet sind. Bitte beachten Sie, dass bestimmte M365-Anwendungen nur zur Verfügung gestellt werden können, sofern weitere Nutzungsdaten bereitgestellt werden.
4. Wofür verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage?
4.1 Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b) DSGVO)
Die Datenverarbeitung kann auch insoweit erfolgen, wie sie für die Anbahnung, die Durchführung oder Beendigung unserer Geschäftsbeziehungen mit Ihnen oder Ihrem Unternehmen/Arbeitgeber erforderlich ist.
Insbesondere werden die personenbezogenen Daten zu Zwecken der Kontaktaufnahme verwendet.
4.2 Aufgrund unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO)
Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten - sofern Ihre schutzwürdigen Interessen nicht überwiegen - beispielsweise in folgenden Fällen:
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
- Sicherstellung der Sicherheit und des Betriebs unserer IT-Systeme sowie Weiterentwicklung dieser Maßnahmen
- Betrugsprävention
4.3 Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1a) DSGVO)
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Aufzeichnung oder Hinterlegen eines Profilbildes in Ihrem M365-Account) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben.
Eine erteilte Einwilligung kann jederzeit widerrufen werden. Ein Widerruf wirkt nur für die Zukunft. Verarbeitungen, die vor dem Widerruf erfolgt sind, bleiben davon unberührt.
4.4 Zur Erfüllung rechtlicher Vorgaben (Artikel 6 Abs. 1 lit. c) DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt zudem zum Zweck der Erfüllung gesetzlicher Vorgaben, z. B. Aufbewahrungspflichten nach HGB, AO und GoBD, Sozialgesetzbuch und anderer relevanter rechtlicher Vorgaben.
5. Werden Ihre personenbezogenen Daten für eine Profilbildung (Scoring) genutzt bzw. findet eine automatisierte Entscheidungsfindung im Einzelfall statt?
Es findet keine vollautomatisierte Entscheidungsfindung oder Profilbildung statt.
6. Wer bekommt Ihre Daten?
Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen.
Eine Übermittlung an Dritte findet nur statt, wenn dies für die vorgenannten Zwecke erforderlich und eine Rechtsgrundlage vorhanden ist oder Sie zuvor eingewilligt haben. Sofern Dienstleister für die Verarbeitung von personenbezogenen Daten oder der dazugehörigen Dienstbereitstellung beauftragt werden, erfolgt die Weitergabe in der Regel auf Basis eines Auftragsverarbeitungsvertrages gem. Art. 28 DSGVO.
Folgende Empfängerkategorien können Daten erhalten:
- IT-Dienstleister
- Akten- und Datenträgerentsorgungsdienstleister.
Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben.
7. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Für eine performante Zusammenarbeit im Rahmen der Nutzung von M365-Anwendungen sind wir auf Microsoft angewiesen. Entsprechend der gesetzlichen Verpflichtung haben wir mit Microsoft als Auftragsverarbeiter vertragliche Vereinbarungen zur Weitergabe der Daten getroffen. Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt grundsätzlich auf Servern in der EU. Da jedoch ein Zugriff aus Drittstaaten wie den USA nicht ausgeschlossen werden kann, haben wir zusätzlich sog. Standardvertragsklauseln gem. Art. 46 DSGVO mit Microsoft abgeschlossen.
Inwieweit Microsoft als eigener Verantwortlicher personenbezogene Daten außerhalb der EU bzw. des EWR verarbeitet, entnehmen Sie bitte der Datenschutzinformation von Microsoft unter https://privacy.microsoft.com/de-de/privacystatement.
8. Wie lange werden Ihre Daten gespeichert?
Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die genannten Zwecke. Hat sich der Zweck erfüllt und es bestehen keine Aufbewahrungspflichten, so werden die Daten regelmäßig gelöscht.
Dies ist im Rahmen der Teilnahme an einer Microsoft Teams Konferenz regelmäßig bis zu deren Beendigung der Fall. Soweit im Rahmen der Nutzung von M365-Anwendungen weitere Daten verarbeitet werden, erfolgt eine Speicherung längstens bis zum Ende der Geschäftsbeziehung und werden bis zur Erfüllung sämtlicher gegenseitiger Ansprüche gespeichert. Eine weitergehende Speicherung ist zulässig, sofern Sie uns eine Einwilligung, z. B. eine Aufzeichnung, erteilt haben. Hier gelten individuelle Löschfristen, welche sich aus dem Zweck der Aufzeichnung ergeben.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre.
Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.
9. Welche Rechte im Hinblick auf Ihre Daten haben Sie?
Sie haben unter den jeweiligen rechtlichen Voraussetzungen uns gegenüber folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO, § 34 BDSG)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung bzw. „Recht auf Vergessenwerden“ (Art. 17 DSGVO, § 35 BDSG)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Ferner haben Sie das Recht, sich jederzeit gemäß Art. 77 DSGVO an eine Datenschutzaufsichtsbehörde zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen geltendes Recht verstößt.
Jederzeitiger Widerspruch gegen die Datenverarbeitung
Sofern eine Verarbeitung auch gemäß Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung eigener berechtigter Interessen oder berechtigter Interessen Dritter erfolgt, haben Sie ferner jederzeit das Recht, aus persönlichen Gründen Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen. Ihren Widerspruch und dessen Begründung richten Sie bitte an Technische Werke Dresden GmbH, Friedrich-List-Platz 2, 01069 Dresden oder per E-Mail an info@twd-dresden.de.