Überblick (Stand: 17.02.2021)

Für die Bearbeitung Ihrer Aufgaben setzen wir unternehmensweit Microsoft 365 ein. Microsoft 365 ist kein eigenständiges Produkt, sondern letztlich eine Zusammenstellung verschiedener Produkte des Anbieters Microsoft Inc., One Microsoft Way, Redmond, WA 98052-6399, USA. Es besteht z.B. eine Möglichkeit auch innerhalb der Microsoft Teams – Plattform (als Teil von Microsoft 365) verschiedene Anwendungen für unterschiedliche Zwecke zu Nutzen.

Je nach Anwendung kann Microsoft 365 auf den Computern und Laptops der Mitarbeitenden installiert werden, aber auch auf den Smartphones und Tablets (mobile Office-Anwendungen für iOS und Android) oder als Online-Anwendungen, die in einem Browser laufen (Office Online), genutzt werden.

Microsoft 365 vereint in einem Paket verschiedene Komponenten, die ein moderner Arbeitsplatz von heute benötigt: eine aktuelle Büroverwaltungs-Software (Office-Programme), verschiedene Tools zur Kommunikation mit Geschäftspartnern, Kunden und Behörden und die Möglichkeit zur zentralen Verwaltung von mobilen Geräten und Apps.

Grundsätzlich haben wir darauf geachtet, dass in Microsoft 365 bzw. Microsoft Teams nur die Optionen aktiviert werden, die auch tatsächlich Anwendung finden und soweit erforderlich vor Aktivierung mancher Optionen eine Datenschutzrechtliche Prüfung vorgenommen.

Microsoft 365 bietet viele Nutzungsmöglichkeiten und kann die tägliche Arbeit erleichtern. Allerdings wird auch eine Vielzahl an personenbezogenen Daten von Ihnen verarbeitet.

Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Microsoft 365“ informieren.

Verantwortlicher

Verantwortlicher für die Datenverarbeitung ist im Sinne der DSGVO die Schörghuber Stiftung & Co. Holding KG. Den Verantwortlichen können Sie unter datenschutz@schoerghuber.group erreichen.

In Ausnahmefällen verarbeitet aber auch die Microsoft Inc. Ihre Daten eigenverantwortlich und ist damit Verantwortlicher für die Datenverarbeitung. Wann dies erfolgt, wird im Abschnitt „Zwecke und Rechtsgrundlagen der Verarbeitung“, Unterabsatz “Microsoft als Verantwortlicher der Datenverarbeitung“ erläutert.  In diesen Fällen wenden Sie sich bitte direkt an Microsoft unter https://www.microsoft.com/de-DE/concern/privacy.

Weitere Informationen werden seitens Microsoft auch unter folgenden Links zur Verfügung gestellt: https://support.microsoft.com/de-de/privacy und https://privacy.microsoft.com/de-de/privacy

Datenschutzbeauftragter

Den Datenschutzbeauftragten des Verantwortlichen können Sie unter den Ihnen bekannten Kontaktdaten erreichen, zusätzlich können Sie sich auch an den Datenschutzbeauftragten der Schörghuber Gruppe, in ihrer Rolle als Auftragsverarbeiter wenden.

Sie erreichen diesen wie folgt: Schörghuber Gruppe, Datenschutzbeauftragter, Möhlstraße 10, 81675 München; E-Mail: datenschutz@schoerghuber.group.

Welche Daten werden verarbeitet?

Je nach konkreter Anwendung und Funktion werden verschiedene personenbezogene Daten von Ihnen erhoben und verarbeitet. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Folgende personenbezogene Daten werden von Ihnen bei der Nutzung von Microsoft 365 u.a. verarbeitetet:

Angaben zum Benutzer: z. B.

-        Anzeigename; eventuell übereinstimmend mit Vorname, Nachname und Passwort zur Online-Identifikation

-        ggf. geschäftliche Kontaktdaten wie: E-Mail-Adresse, Telefonnummer und Postanschrift;

-        Profilbild (optional);

-        Bevorzugte Sprache

 

Metadaten: z. B.

-        IP-Adresse,

-        Datum, Uhrzeit, Ort, IP-Adresse

-        Meeting-ID,

-        Gerätedaten, mit denen Sie die Dienste von Microsoft nutzen (z. B. Browser, Betriebssystem),

-        Funktionsdaten (z. B. Log Daten);

-        Diagnosedaten (Daten zur Nutzung der Software und Dienste)
 

Text-, Audio- und Videodaten: Sie haben die Möglichkeit, in einer Teams Besprechung die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese in der Teams Besprechung anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts, sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen. 

Wir verwenden „Microsoft Teams“ auch um die Funktion „Liveereignisse“ zu nutzen. Wenn wir „Liveereignisse“ aufzeichnen wollen, werden wir Ihnen das vorweg transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. 

Der Umfang der Daten hängt teilweise auch davon ab, welche Einstellungen Sie vor bzw. während der Teilnahme an einem Teams Besprechung machen.

Es lassen sich drei Gruppen von Daten zusammenfassen, die bei der Verwendung von Microsoft-Produkten über den Nutzer verarbeitet werden:

Inhaltsdaten

Informationen, die von den Nutzern, zur Verfügung gestellt werden alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung des Online-Dienstes zur Verfügung gestellt werden

 

z. B. Kundenpasswort, Inhalt des E-Mail-Kontos des Kunden oder der Azure-Datenbank, Betreffzeile der E-Mail

 

Diagnosedaten

spezifische Telemetriedaten, die mittels Microsoft 365 über die Verwendung der Software gesammelt werden; alle in Ereignisprotokollen gespeicherten Beobachtungen über das Verhalten der einzelnen Nutzer der Dienste

 

z. B. Client-ID, User-ID, Dauer der Nutzung eines Office-Diensts, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache

 

Funktionsdaten

Daten, die zur Ausführung von Anwendungs-Prozessen notwendig sind und die nach Abschluss der Übermittlung der Mitteilung unverzüglich gelöscht oder anonymisiert werden sollten; Daten werden also nur temporär gespeichert

 

 

Der Zugriff auf Microsoft 365 / Teams kann über einen geeigneten Webbrowser, den Teams Client oder per Microsoft Teams App erfolgen. Hierzu kann der Anwender sowohl sein Smartphone, Tablet als auch PC, Laptop und Virtuellen Desktop (VD) nutzen.

Microsoft 365 / Teams bietet die Möglichkeit Word, Excel, PowerPoint online zu bearbeiten, in diesem Fall werden die Dateien in der Cloud von Microsoft geöffnet und gespeichert.

Dateien im Word, Excel, PowerPoint Format können aber auch teilweise On-Premises mit dem lokal installierten Microsoft Office bearbeitet werden.

Auch bei der Nutzung von Teams werden die geteilten Dateien, Video- und Tonaufnahmen und Chatnachrichten in der Cloud von Microsoft gespeichert.

Eine automatisierte Entscheidungsfindung in Sinne des Art. 22 DSGVO “Automatisierte Entscheidungen im Einzelfall einschließlich Profiling” kommt nicht zum Einsatz.

Zwecke und Rechtsgrundlage der Verarbeitung

 

Soweit Ihre personenbezogenen Daten im Rahmen von Microsoft 365 durch den jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe als eigenverantwortliche Stelle verarbeitet werden, erfolgt dies u. a. wie folgt:

 

Zweck

Rechtsgrundlage

Beispiele

Zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses

Betriebsvereinbarung und/ oder § 26 Abs. 1 BDSG

Anlegen eines Microsoft-Nutzerkontos für jeden Mitarbeitenden; Erstellung von Inhaltsdaten durch Mitarbeitende (Word-Dokumente, Excel-Tabellen etc.)

Überwiegende berechtigte Interesse des jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe

Art. 6 Abs. 1 lit. f DSGVO

Nutzung von Teams (z.B. mit SharePoint, OneDrive, Planner, Forms, Microsoft Lists, Power Platform) als interne und externe Austauschplattform zum Teilen von Dateien

Einwilligung

§ 26 Abs. 2 BDSG und Art. 6 Abs. 1 lit. a DSGVO

Profilbildes bei Teams, welches über das lokale AD bereitgestellt wird; Nutzen der Chatfunktion bei Teams

 

Soweit personenbezogene Daten von Beschäftigten des jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten, im Zusammenhang mit der Nutzung von Microsoft 365 – Produkten, personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Microsoft Teams“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von Teams Besprechungen oder SharePoint und/oder OneDrive als interne und externe Austauschplattform zum Teilen von Dateien sowie, um die Sicherheit der Systeme zu gewährleisten.

Microsoft als Verantwortlicher der Datenverarbeitung

In folgenden Fällen verarbeitet Microsoft eigenverantwortlich und somit außerhalb unserer Weisung Ihre personenbezogenen Daten:

·        Optionalen “Connected Experiences”

·        bei Online-Diensten, die ausdrücklich nicht dem Auftragsverarbeitungsvertrag zwischen der Schörghuber Corporate IT GmbH und Microsoft (als Unterauftragsverarbeiter) unterliegen (s.u.)

·        Diagose- bzw. Telemetriedaten

Zu den optionalen „Connected Experiences“ gehören beispielsweise: 3D Maps

·        Insert online 3D Models

·        Map Chart, Office Store

·        Insert Online Video, Research, Researcher

·        Smart Lookup

·        Insert Online Pictures

·        LinkedIn Resume Assistant

·        Weather Bar in Outlook

·        PowerPoint QuickStarter

·        Giving Feedback to Microsoft

·        Suggest a Feature

 

Weitere Informationen werden seitens Microsoft auch unter folgenden Links zur Verfügung gestellt: https://docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences

Zu den vom Auftragsverarbeitungsvertrag ausgeschlossenen Onlinediensten gehören:

·        Bing Maps Mobile Asset Management-Plattform

·        Bing Maps Transactions and Users

·        Bing-Suchdienste

·        Cognitive Services in Containern, die auf der dedizierten Hardware des Kunden installiert sind

·        GitHub-Angebote

·        LinkedIn Sales Navigator

·        Azure Stack Hub

Microsoft Graph data connect für ISVs

·        Microsoft Genomics

·        Visual Studio App Center Test

 

Microsoft hat angegeben, Diagnose- bzw. Telemetriedaten für folgende Zwecke zu verwenden: (1) Bereitstellen und Verbessern der Microsoft Dienste, (2) Aktualisierung des Dienstes und (3) zur Gewährleistung und Verbesserung der Sicherheit. Weiterhin bestätigte Microsoft die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung zu verwenden.

Genauere Informationen zur Verarbeitung bei Nutzung unterschiedlicher Funktionalitäten

Die Schörghuber Corporate IT GmbH stellt ihren konzerninternen Kunden im Tenant “suggruppe.onmicrosoft.com” ausgewählte und mit den Unternehmensbereichen abgestimmte Funktionen von Microsoft 365 Cloud-Services zur Verfügung.

 

Wichtiger Hinweis: Aufgrund der Datenschutz- und Datensicherheitsanforderungen werden nicht alle von Microsoft 365 verfügbaren Funktionen angeboten.

Die Bereitstellung der Funktionen erfolgt in enger Abstimmung mit den IT-Koordinatoren der Unternehmensbereiche der Schörghuber Unternehmensgruppe, dem Datenschutzbeauftragen der SCITG / SHKG und dem Leiter Informationssicherheit. 

Alle hier aufgelisteten Beschreibungen zu den Services beziehen sich ausschließlich auf die im Produktiv-Tenant aktivieren Apps und Funktionen.

Allgemeine Microsoft 365 Servicebeschreibungen sind unter dem folgenden Link verfügbar.

URL: https://docs.microsoft.com/de-de/office365/servicedescriptions/office-365-service-descriptions-technet-library 

 

Serviceübergreifende Angaben zu Löschfristen:

 

Cloud-Logs 

Log-Daten werden nach 30 Tagen automatisch aus der SUG-Cloud gelöscht. Es gilt die Standard-Frist aus der Office 365 E3-Lizenz. 

 

Audit-Logs 

Überwachungsprotokolle, Anmeldeberichte, Sicherheitsberichte dienen der Systemintegrität und Betriebssicherheit, diese werden via PowerShell ausgelesen in die SUG-Infrastruktur heruntergeladen und in die SIEM On-Premise-Lösung der SCITG importiert. Die Aufbewahrungsfristen richten sich nach den Aufbewahrungs- und Löschfristen der On-Premise-Audit-Logs. 

 

 

Servicegruppe: Azure / Azure AD / MFA / Intune

 

Service 

Azure 

Funktion / Zweck

Azure ermöglicht die Bereitstellung und die Verwaltung von IT-Ressourcen in der Cloud. Neben den Ressourcen (Speicher, Server, Load Balancer, SQL-Datenbanken und Virtuelle Netzwerke) werden Verwaltungsoberflächen, unter anderem für die Themen Lizenzmanagement, Überwachung, Sicherheit und Problembehebung zur Verfügung gestellt. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Siehe Azure AD 

 

Löschfristen 

Abhängig vom genutzten Service 

 

Zugriff 

Nur Administratoren (Die Zugriffsmöglichkeit für Standard-Benutzer wurde gesperrt) 

 

 

 

Service 

Azure AD 

Funktion / Zweck

Das Azure AD (Active Directory) ist der zentrale Verzeichnisdienst für alle Microsoft 365 Anwendungen. Es dient der Authentifizierung der Benutzer, der Verwaltung von Azure AD-Gruppen, von Apps (Application Proxy) und der Registrierung von Geräten, um Single-Sign-On zu ermöglichen. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

In der Regel werden die Daten (Benutzer / Gruppen / Ressourcen) automatisiert über den “Azure Active Directory Sync” (Directory Synchronisation) vom lokalen MYSUG-Active Directory (AD) in das Azure AD synchronisiert.  

 

Name, Vorname, E-Mail-Adresse, ausgewählte Daten von AD-Objekten aus dem MYSUG-AD sowie Metadaten zu Anmeldungen und sicherheitsrelevanten Vorgängen (An-Abmeldungen, Rechteänderungen, etc.). 

 

Hinweis: Administrative Accounts, Service-Accounts sowie Daten zu externen Benutzern (Gäste) werden teilweise direkt im Azure AD bzw. Über automatisierte PowerShell-Prozesse angelegt und verwaltet. 

 

Löschfristen 

Benutzerkonten werden über den Mitarbeiteraustrittsprozess im MYSUG-AD deaktiviert und in die OU „Ausgeschiedene Mitarbeiter“ verschoben. 

 

Durch die Verschiebung wird das betreffende Benutzerkonto nicht mehr in das Azure AD der SUG-Cloud synchronisiert. Das Konto wird im Azure AD in den Bereich “Gelöschte Konten” verschoben und nach 30 Tagen endgültig gelöscht. 

 

Zugriff

Nur Administratoren 

 

 

 

Service 

Multi-Faktor-Authentifizierung 

Funktion / Zweck 

Beim Zugriff auf die SUG-Cloud von außerhalb der SUG-Infrastruktur ist bei der Anmeldung die Angabe eines zweiten Faktors erforderlich. Der zweite Faktor wird vom Benutzer selbst verwaltet. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Azure AD-Daten und die vom Benutzer in der Self-Service-Maske angegeben Daten. z.B. Telefonnummern. 

 

Löschfristen 

Siehe „Service-übergreifende Angaben zu Löschfristen“. 

 

Zugriff

Nur Administratoren 

 

 

Service 

Intune / Endpoint Manager 

Funktion / Zweck 

Intune ermöglicht die Verwaltung von Geräten, inklusive der Installation von Applikationen, Updates und den Einsatz von Richtlinien, z.B. Bedingte Zugriffsrichtlinien für Windows 10, Mac OS, iOS und Android-Geräte. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Benutzerprofile, inklusive zwischengespeicherter OneDrive Dateien, Namen der Rechner, benutzerbezogene Rechtezuweisungen für die Nutzung von Geräteeigenschaften und –Geräteeinstellungen. 

 

Löschfristen 

Siehe Azure AD. Zusätzlich: Administratoren können Geräte im Problemfall auf den Auslieferungszustand zurücksetzen. 

 

Zugriff

Nur Administratoren 

 

 

Servicegruppe: Exchange Online

 

Service 

Exchange 

Funktion / Zweck 

Exchange Online ist eine Groupware- und E-Mail-Transport-Server-Software. Sie dient der zentralen Ablage und Verwaltung von geschäftlichen E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer und ermöglicht so die Zusammenarbeit in einer Arbeitsgruppe oder in der gesamten Organisation. 

 

Status 

Die von der SCITG verwalteten Postfächer werden in der Regel auf lokalen Exchange Servern (On-Premise) gehostet. 

 

Die SUG-Cloud ist durch ein sog. „Exchange hybrid“-Szenario angebunden über welches sichergestellt wird, dass der komplette E-Mail-Verkehr über die bestehende On-Premise-Exchange-Infrastruktur geleitet wird.  

 

Dadurch das Exchange hybrid Szenario stehen in der SUG-Cloud nicht alle Funktionen von Microsoft / Office 365 zur Verfügung. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Exchange – On-Premise 

 

Löschfristen 

Exchange – On-Premise 

 

Zugriff

Nur Administratoren + Benutzer, die von der betreffenden Person berechtigt wurden 

 

 

Servicegruppe: Security & Compliance 

 

Service 

Security & Compliance 

Funktion / Zweck 

Office 365 enthält eine Vielzahl von Funktionen, welche die IT und ihre Benutzer dabei unterstützen, die Systemsicherheit sowie die Compliance der Organisation sicher zu stellen. Hierzu gehört unter anderem das Audit-Log und Funktionen zur Verhinderung von Datenverlust und Bedrohungsmanagement. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Name, Vorname, E-Mail-Adresse, Weitere Profileigenschaften eines Benutzers, Metadaten zur Kommunikation und Produktnutzung Berichte zwecks Sicherstellung der Systemintegrität und Vertraulichkeit. 

 

Löschfristen 

Siehe „Serviceübergreifende Angaben zu Löschfristen“. 

 

Zugriff

Nur Administratoren 

 

 

Servicegruppe: SharePoint Online, Microsoft Lists und OneDrive 

 

 

Service 

SharePoint-Online 

Funktion / Zweck 

SharePoint Online ist der Ablageort für Teams-Arbeitsbereiche, für private Kanäle sowie für Teamsites in der Cloud. 

 

Speicherort 

EU 

 

Datenhaltung 

SharePoint 

 

Verarbeitete Daten: Benutzerprofile 

Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. 

 

Verarbeitete Daten: SharePoint 

Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. 

 

Löschfristen 

In den Papierkorb verschobene Daten werden automatisch nach 30 Tagen gelöscht. Aus dem Administrationspapierkorb werden die Daten nach 93 Tagen gelöscht.

 

Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. 

 

Zugriff

Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) 

 

 

 

Service 

Microsoft Lists 

Funktion / Zweck 

Mit Microsoft Lists können Ereignisse, Themenbereiche und Aufgaben leichter organisiert werden. Technologisch verbirgt sich hinter einer Microsoft List eine SharePoint-Liste. Die SharePoint-Liste lässt sich in Microsoft Teams einbinden. 

 

Speicherort 

EU 

 

Datenhaltung  

SharePoint 

 

Verarbeitete Daten: Benutzerprofile 

Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. 

 

Verarbeitete Daten: SharePoint 

Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. 

 

Löschfristen 

In den Papierkorb verschobene Daten werden automatisch nach 30 Tagen gelöscht. Aus dem Administrationspapierkorb werden die Daten nach 93 Tagen gelöscht.

 

Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. 

 

Zugriff

Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) 

 

 

 

Service 

OneDrive 

Funktion / Zweck 

Der OneDrive Service dient ausschließlich der Ablage geschäftlicher Dokumente, die der Nutzer selbst lesen, schreiben und löschen kann. Fälschlich gelöschte Dateien können für einen Zeitraum von maximal  
30 Tagen vom Nutzer wiederhergestellt werden. Einzelne Dateien oder Ordner können anderen Benutzern zum Lesen oder zum Lesen und Schreiben freigegeben werden.

 

In Teams-Chats vom Benutzer hochgeladene Dokumente werden im persönlichen OneDrive des Benutzers gespeichert. 

 

Speicherort 

EU 

 

Datenhaltung 

OneDrive 
 

Verarbeitete Daten 

Scheidet ein Mitarbeiter aus, werden die Inhaltsdaten 180 Tage nach der letzten Synchronisation des Benutzers in die Cloud gelöscht. 

 

Löschfristen 

In den Papierkorb verschobene Dokumente werden automatisch nach  
30 Tagen gelöscht. Aus dem Administrationspapierkorb werden die Daten nach 93 Tagen gelöscht. 

 

Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. 

 

Zugriff

Nur Administratoren +  
Benutzer, die der betreffende Benutzer berechtigt hat 

 

 

Servicegruppe: Teams, Forms und Tasks / Planner 

 

Service 

Teams 

Funktion / Zweck 

Microsoft Teams ist einerseits eine WhatsApp-ähnliche Chatumgebung mit der Möglichkeit, private 1-zu-1 und 1 zu N-Chats zu führen und Dokumente und Daten einer Gruppe von Personen – auch Externen (Gästen) - zur Verfügung zu stellen. 

 

Darüber hinaus ist es möglich, den berechtigten Benutzern durch Einbindung von Notizbüchern, Formularen, Listen, Aufgaben sowie von weiteren flexiblen Apps eine prozess- bzw. themenorientiere Arbeitsumgebung zur Verfügung zu stellen. 

 

Speicherort 

EU 

 

Datenhaltung 

SharePoint / Exchange / Azure AD-Gruppe / Cloud-Services (Forms, Tasks / Planner)
 

Verarbeitete Daten 

Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Präsenzinformationen, Metadaten zur Kommunikation und Produktnutzung, Inhalte von Notizbüchern. Daten und Dateien aus SharePoint-Online sowie von eingebundenen Apps. 

 

Löschfristen 

Teams-Arbeitsbereiche werden auf Anforderung der Seitenbesitzer gelöscht.  

 

Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. 

 

Zugriff

Durch den jeweiligen Gruppenbesitzer berechtigte Benutzer und Administratoren. 

 

 

 

Service 

Planner / Tasks

Funktion / Zweck 

Verwalten von Aufgaben im Rahmen von Projekten, Organisationseinheiten oder für persönliche Aufgaben. Ähnlich der Outlook-Aufgaben, - jedoch mit der Möglichkeit diese mittels Buckets „Kanban-Board ähnlich“ zu verwalten. 

 

To-Do ist ein Service, der es dem jeweiligen Benutzer ermöglicht, seine persönlichen Aufgaben zu verwalten. Die Aufgaben sind über die Teams-Oberfläche verwaltbar. 

 

Speicherort 

EU 

 

Datenhaltung 

SUG-Cloud | Postfächer 

 

Verarbeitete Daten 

Name, Vorname, E-Mail-Adresse. 

 

Löschfristen 

Da ein Planner in der SUG-Cloud-365 immer an einem Teams-Arbeitsbereich hängt, entspricht die Löschfrist für den betreffenden Planner-Plan den Löschfristen des betreffenden Teams-Arbeitsbereichs. 

 

Zugriff

Durch den jeweiligen Gruppenbesitzer berechtigte Benutzer und Administratoren. 

 

 

 

Service 

Forms 

Funktion / Zweck 

Mittels Forms kann bequem Feedback mit Umfragen, Abstimmungen und mit Quiz-Fragebögen eingesammelt werden. Autoren können in den Umfrageeinstellungen festlegen, ob die Umfrage anonym durchgeführt werden soll oder der Name des Teilnehmers erfasst wird.  

 

Autoren können in Microsoft Forms die Einstellungen so festlegen, dass Benutzer außerhalb ihrer Organisation auf ihre Umfrage oder Prüfung antworten können. In diesem Fall übermitteln die Benutzer ihre Antworten anonym. 

 

Speicherort 

EU 

 

Datenhaltung 

SUG-Cloud 

 

Verarbeitete Daten 

Bei Option: „Jeder mit dem Link kann antworten“:  
Keine Benutzer-bezogenen Daten. Es werden nur Inhaltsdaten verarbeitet, die der Formularersteller erzeugt hat. 

 

Bei Option: „Nur Personen in meiner Organisation können antworten“ und der Einstellung „Name erfassen“: Name, Vorname, E-Mail-Adresse. 

 

Löschfristen 

Der Ersteller kann gelöschte Formulare endgültig aus dem Papierkorb löschen. 

 

Zugriff

Durch den Ersteller berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) und Administratoren. 

 

 

 

 

Servicegruppe: Stream

 

Service 

Stream – Liveereignisse 

Funktion / Zweck 

Mit Microsoft Stream können berechtigte / lizenzierte Benutzer andere Mitarbeiter und Kunden in Webinare und Konferenzen einbinden.  

 

Stream-Veranstaltungen können aufgezeichnet werden und dem Mitarbeiter optional als Onlinevideo auf der Stream – Videoplattform zur Verfügung gestellt werden (z.B. Schulungsvideos). 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Metadaten und Daten zur Verwendung der Produktnutzung.  
Optional: Inhaltsdaten der Videos (Aufzeichnungen). 

 

Datenhaltung 

Stream / Siehe SharePoint / OneDrive 

 

Löschfristen 

Die Redakteure können Aufzeichnungen endgültig löschen. 

 

Zugriff

Abhängig von der gewählten Berechtigung bei der Erstellung eines Liveereignisses. 

 

·        Personen und Gruppen 
Durch den Ersteller berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) 

 

·        Organisationsweit 
Alle angemeldeten / lizenzierten SUG-Cloud-Benutzer 

 

·        Öffentlich  

Teilnehmer ohne Anmeldung (auch außerhalb der Organisation) 

 

und Administratoren. 

 

 

 

Service 

Stream - Videoportal 

Funktion / Zweck 

Mit Streams können Redakteure Onlinevideos anderen Mitarbeitern zur Verfügung stellen. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Inhaltsdaten in Videos (Aufzeichnungen), Metadaten und Daten zur Verwendung der Produktnutzung. 

 

Löschfristen 

Stream-Videos werden durch den jeweiligen Redakteur verwaltet und gelöscht. 

 

Zugriff

Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) 

 

 

Servicegruppe: Office Web 

 

Service 

Excel, OneNote, PowerPoint, Word, Visio 

Funktion / Zweck 

Web-basierte Office Anwendungen zur Erstellung und Bearbeitung von Office-Dokumenten im Browser. Die Ablage von neu erzeugten Dokumenten erfolgt in der SUG-Cloud. 

 

Zusätzlich stehen weitere Office-Tools, die aus dem On-Premises-Bereich zusätzlich lizenziert werden, zur Verfügung. Hierzu gehören die Anwendungen: Project und Visio. 

 

Lizenzen für Zusatzprodukte 

MS Project Online: Zusätzliche Lizenz erforderlich 

MS Visio Online: Zusätzliche Lizenz erforderlich 

 

Speicherort 

EU 

 

Datenhaltung 

SharePoint, OneDrive, Tenant 

 

Verarbeitete Daten 

Name, Vorname, E-Mail-Adresse, Weitere Profileigenschaften eines Benutzers, Metadaten zur Kommunikation und Produktnutzung, Berichte zwecks Sicherstellung der Systemintegrität und Vertraulichkeit. 

 

Löschfristen 

Abhängig vom Speicherort. 

 

Zugriff

Abhängig vom Speicherort. 

 

 

Servicegruppe: Power Platform

 

Service 

Power Apps 

Funktion / Zweck 

Mit der Power Apps Technologie können Benutzer Low-Code-Apps entwickeln, die das Unternehmen bei der Abbildung von Prozessen unterstützt. Mit Power Apps entwickelte Apps stellen eine umfassende Geschäftslogik und zahlreiche Workflowfunktionen bereit, um manuelle Geschäftsprozesse in digitale und automatisierte Prozesse zu transformieren. Power Apps können auf mobilen Endgeräten (Smartphones oder Tablets) ausgeführt werden. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Abhängig vom verwendeten Connector: Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. 

 

Premium-Connector: Abhängig von den verwendeten Datenquellen. 

 

Löschfristen 

Abhängig vom verwendeten Connector / der verwendeten Datenquelle. 

 

Zugriff

Abhängig vom verwendeten Connector / der verwendeten Datenquelle. 

 

 

 

Service 

Power Automate / Flows 

Funktion / Zweck 

Power Automate ist ein Service, mit dem sich Geschäftsprozesse automatisieren lassen und mittels Connectoren der Zugriff auf Cloud oder auf lokale Services ermöglicht werden kann.

 

Wichtiger Hinweis: Für die Ausführung der Funktionen ist teilweise der Erwerb von zusätzlichen Lizenzen erforderlich. 

 

Speicherort 

EU 

 

Verarbeitete Daten 

Daten aus Office 365, abhängig vom gewünschten Szenario. 

 

Löschfristen 

Abhängig von den beteiligten Services und Datenquellen. 

 

Zugriff

Daten aus Office 365, abhängig vom gewünschten Szenario. 

 

 

Service 

Power BI 

Funktion / Zweck 

Power BI ist eine Sammlung von Software-Services, Apps und Connectoren, mittels denen man Daten aus nicht verbundenen Datenquellen in interaktiven Berichten auswerten und die Daten visualisieren kann.  

 

Dabei können die Daten aus unterschiedlichsten Quellen, z.B. aus einer Excel-Datei oder auch aus einer lokalen Data Warehouse-Instanz kommen. 

 

Speicherort 

Abhängig von der Datenquelle 

 

Verarbeitete Daten 

Abhängig von den verwendeten Datenquellen. i.d.R. werden die Daten nicht in Power BI-Reports persistiert. 

 

Löschfristen 

Nicht erforderlich, da i.d.R. die Daten in Power-BI nicht persistiert werden. Die Löschfristen sind in der jeweiligen Datenquelle zu beachten. 

 

Zugriff

Je nach verwendetem Zugriffsmodell: Abhängig vom ausführenden Benutzer bzw. vom verwendeten Service-Account. 

 

 

 

 

Empfänger / Weitergabe von Daten und Datenverarbeitung außerhalb der Europäischen Union

Bei der Nutzung von Microsoft 365 werden unterschiedliche personenbezogene Daten an Microsoft übermittelt. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen, wonach Microsoft die Einhaltung verschiedener Pflichten aus der DSGVO einzuhalten hat.

Grundsätzlich haben wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden.

Da eine Übermittlung von Daten in die USA demnach nicht ausgeschlossen werden kann, haben wir sog. EU-Standardvertragsklauseln mit Microsoft geschlossen. Eine Übermittlung von Daten an/über Internetserver, die sich außerhalb der EU befinden kommt insbesondere in Betracht, soweit Inhaltsdaten in der Cloud von Microsoft (über OneDrive oder SharePoint) gespeichert werden oder bei Diagnosedaten bzw. Telemetriedaten und Funktionsdaten, die ebenfalls an die Server von Microsoft gesendet werden.

Ein weiterer Fall kann sein, wenn sich Teilnehmende an einer Teams Besprechung in einem Drittland aufhalten. Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.

Microsoft arbeitet im Rahmen des Auftragsverarbeitungsvertrages und EU-Standardvertragsklauseln nach unserer Weisung, was durch strenge vertragliche Regelungen, durch technische und organisatorische Maßnahmen und durch ergänzende Kontrollen sichergestellt wird. Microsoft ist u. a. nach ISO 27001, ISO 27002 und ISO 27018 zertifiziert.

Hinweis: Diese beiden Vertragstexte finden dann keine Anwendung, soweit Microsoft eigenverantwortlich personenbezogene Daten verarbeitet (siehe hierzu den vorherigen Textabschnitt „Microsoft als Verantwortlicher der Datenverarbeitung“).

Darüber hinaus werden personenbezogene Daten, die im Zusammenhang mit der Nutzung von Microsoft 365 verarbeitet werden, grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Beachten Sie bitte, dass z.B. Inhalte aus Teams Besprechungen wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

 

Weitere Schutzmaßnahmen

Die Nutzung von Microsoft 365 ist aufgrund seiner Komplexität und den grundsätzlichen Unwägbarkeiten bei Clouddiensten mit einem gewissen Risiko behaftet. Wir haben jedoch viele Maßnahmen ergriffen, um Ihnen den größtmöglichen Schutz bieten zu können.

So wurde die Einführung von Microsoft 365 eng mit dem Datenschutzbeauftragten abgestimmt.

Soweit dies durch uns einstellbar ist, werden die optionalen “Connected Experiences” von uns deaktiviert, sowie die Datenübermittlung von Diagnose- und Telemetriedaten an Microsoft so gering wie möglich gehalten

Folgenden Funktionen wurden deaktiviert bzw. werden NICHT genutzt:

·        Workplace Analytics

·        Delve

·        Insights MyAnalytics

·        Microsoft Kaizala Pro

·        Microsoft StaffHub

·        Productivity Score

·        Yammer Enterprise

 

Ihre Rechte als Betroffene/r

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben

Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren

Löschung von Daten

Aufgrund der Vielfältigkeit der Daten und Nutzungsmöglichkeiten greifen unterschiedliche Aufbewahrungsfristen und –routinen. Grundsätzlich gilt: Wir speichern Ihre Daten nur so lange, wie sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (z.B. Microsoft-Kundenkonto), erforderlich sind oder sofern dies gesetzlich vorgesehen ist.

Ein Erfordernis zur Speicherung kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Daten, die Microsoft von Ihnen aufgrund technischer Notwendigkeiten erhebt, werden nur vorübergehend gespeichert und schnellstmöglich wieder gelöscht

Sie können Dateien, die in Ihrem OneDrive Cloud-Ordner liegen, selbständig löschen. Gleiches gilt für Dateien, die Sie über Teams mit anderen Personen teilen, da diese ebenfalls in OneDrive gespeichert werden. Wenn Sie solche Dateien löschen, werden diese zunächst für 90 Tage im „Papierkorb“ aufbewahrt. Erst danach werden die Daten unwiderruflich gelöscht. Insoweit obliegt es Ihnen, eine Löschung dieser Dateien zu veranlassen

Das Löschen eines gesamten Nutzerkontos erfolgt automatisch 90 Tage nach Deaktivierung des Konto

Soweit das Abonnement mit Microsoft endgültig endet, werden alle Daten noch für 90 Tage in einem Funktionskonto aufbewahrt, auf welches nur ausgewählte Mitarbeitende Zugriff haben, um die Daten bei Bedarf zu extrahieren. Nach Ablauf dieser Frist werden die Daten von Microsoft binnen 90 weiterer Tage endgültig gelösch

Äderung dieser Datenschutzhinweise

Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf der Internetseite der Schörghuber Unternehmensgruppe/im Intranet unter https://www.sug-munich.com/de/datenschutz