Für die Bearbeitung Ihrer Aufgaben setzen wir unternehmensweit Microsoft 365 ein. Microsoft 365 ist kein eigenständiges Produkt, sondern letztlich eine Zusammenstellung verschiedener Produkte des Anbieters Microsoft Inc., One Microsoft Way, Redmond, WA
Je nach Anwendung kann Microsoft 365 auf den Computern und Laptops der Mitarbeitenden installiert werden, aber auch auf den Smartphones und Tablets (mobile Office-Anwendungen für iOS und Android) oder als Online-Anwendungen, die in einem Browser laufen (Office Online), genutzt werden.
Microsoft 365 vereint in einem Paket verschiedene Komponenten, die ein moderner Arbeitsplatz von heute benötigt: eine aktuelle Büroverwaltungs-Software (Office-Programme), verschiedene Tools zur Kommunikation mit Geschäftspartnern, Kunden und Behörden und die Möglichkeit zur zentralen Verwaltung von mobilen Geräten und Apps.
Grundsätzlich haben wir darauf geachtet, dass in Microsoft 365 bzw. Microsoft Teams nur die Optionen aktiviert werden, die auch tatsächlich Anwendung finden und soweit erforderlich vor Aktivierung mancher Optionen eine Datenschutzrechtliche Prüfung vorgenommen.
Microsoft 365 bietet viele Nutzungsmöglichkeiten und kann die tägliche Arbeit erleichtern. Allerdings wird auch eine Vielzahl an personenbezogenen Daten von Ihnen verarbeitet.
Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Microsoft 365“ informieren.
Verantwortlicher für die Datenverarbeitung ist im Sinne der DSGVO die Schörghuber Stiftung & Co. Holding KG. Den Verantwortlichen können Sie unter datenschutz@schoerghuber.group erreichen.
In Ausnahmefällen verarbeitet aber auch die Microsoft Inc. Ihre Daten eigenverantwortlich und ist damit Verantwortlicher für die Datenverarbeitung. Wann dies erfolgt, wird im Abschnitt „Zwecke und Rechtsgrundlagen der Verarbeitung“, Unterabsatz “Microsoft als Verantwortlicher der Datenverarbeitung“ erläutert. In diesen Fällen wenden Sie sich bitte direkt an Microsoft unter https://www.microsoft.com/de-DE/concern/privacy.
Weitere Informationen werden seitens Microsoft auch unter folgenden Links zur Verfügung gestellt: https://support.microsoft.com/de-de/privacy und https://privacy.microsoft.com/de-de/privacy
Den Datenschutzbeauftragten des Verantwortlichen können Sie unter den Ihnen bekannten Kontaktdaten erreichen, zusätzlich können Sie sich auch an den Datenschutzbeauftragten der Schörghuber Gruppe, in ihrer Rolle als Auftragsverarbeiter wenden.
Sie erreichen diesen wie folgt: Schörghuber Gruppe, Datenschutzbeauftragter, Möhlstraße 10, 81675 München; E-Mail: datenschutz@schoerghuber.group.
Je nach konkreter Anwendung und Funktion werden verschiedene personenbezogene Daten von Ihnen erhoben und verarbeitet. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Folgende personenbezogene Daten werden von Ihnen bei der Nutzung von Microsoft 365 u.a. verarbeitetet:
Angaben zum Benutzer: z. B.
- Anzeigename; eventuell übereinstimmend mit Vorname, Nachname und Passwort zur Online-Identifikation
- ggf. geschäftliche Kontaktdaten wie: E-Mail-Adresse, Telefonnummer und Postanschrift;
- Profilbild (optional);
- Bevorzugte Sprache
Metadaten: z. B.
- IP-Adresse,
- Datum, Uhrzeit, Ort, IP-Adresse
- Meeting-ID,
- Gerätedaten, mit denen Sie die Dienste von Microsoft nutzen (z. B. Browser, Betriebssystem),
- Funktionsdaten (z. B. Log Daten);
- Diagnosedaten (Daten zur Nutzung der Software und Dienste)
Text-, Audio- und Videodaten: Sie haben die Möglichkeit, in einer Teams Besprechung die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese in der Teams Besprechung anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts, sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.
Wir verwenden „Microsoft Teams“ auch um die Funktion „Liveereignisse“ zu nutzen. Wenn wir „Liveereignisse“ aufzeichnen wollen, werden wir Ihnen das vorweg transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Der Umfang der Daten hängt teilweise auch davon ab, welche Einstellungen Sie vor bzw. während der Teilnahme an einem Teams Besprechung machen.
Es lassen sich drei Gruppen von Daten zusammenfassen, die bei der Verwendung von Microsoft-Produkten über den Nutzer verarbeitet werden:
Inhaltsdaten |
Informationen, die von den Nutzern, zur Verfügung gestellt werden alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung des Online-Dienstes zur Verfügung gestellt werden z. B. Kundenpasswort, Inhalt des E-Mail-Kontos des Kunden oder der Azure-Datenbank, Betreffzeile der E-Mail |
Diagnosedaten |
spezifische Telemetriedaten, die mittels Microsoft 365 über die Verwendung der Software gesammelt werden; alle in Ereignisprotokollen gespeicherten Beobachtungen über das Verhalten der einzelnen Nutzer der Dienste z. B. Client-ID, User-ID, Dauer der Nutzung eines Office-Diensts, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache |
Funktionsdaten |
Daten, die zur Ausführung von Anwendungs-Prozessen notwendig sind und die nach Abschluss der Übermittlung der Mitteilung unverzüglich gelöscht oder anonymisiert werden sollten; Daten werden also nur temporär gespeichert |
Der Zugriff auf Microsoft 365 / Teams kann über einen geeigneten Webbrowser, den Teams Client oder per Microsoft Teams App erfolgen. Hierzu kann der Anwender sowohl sein Smartphone, Tablet als auch PC, Laptop und Virtuellen Desktop (VD) nutzen.
Microsoft 365 / Teams bietet die Möglichkeit Word, Excel, PowerPoint online zu bearbeiten, in diesem Fall werden die Dateien in der Cloud von Microsoft geöffnet und gespeichert.
Dateien im Word, Excel, PowerPoint Format können aber auch teilweise On-Premises mit dem lokal installierten Microsoft Office bearbeitet werden.
Auch bei der Nutzung von Teams werden die geteilten Dateien, Video- und Tonaufnahmen und Chatnachrichten in der Cloud von Microsoft gespeichert.
Eine automatisierte Entscheidungsfindung in Sinne des Art. 22 DSGVO “Automatisierte Entscheidungen im Einzelfall einschließlich Profiling” kommt nicht zum Einsatz.
Soweit Ihre personenbezogenen Daten im Rahmen von Microsoft 365 durch den jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe als eigenverantwortliche Stelle verarbeitet werden, erfolgt dies u. a. wie folgt:
Zweck |
Rechtsgrundlage |
Beispiele |
Zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses |
Betriebsvereinbarung und/ oder § 26 Abs. 1 BDSG |
Anlegen eines Microsoft-Nutzerkontos für jeden Mitarbeitenden; Erstellung von Inhaltsdaten durch Mitarbeitende (Word-Dokumente, Excel-Tabellen etc.) |
Überwiegende berechtigte Interesse des jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe |
Art. 6 Abs. 1 lit. f DSGVO |
Nutzung von Teams (z.B. mit SharePoint, OneDrive, Planner, Forms, Microsoft Lists, Power Platform) als interne und externe Austauschplattform zum Teilen von Dateien |
Einwilligung |
§ 26 Abs. 2 BDSG und Art. 6 Abs. 1 lit. a DSGVO |
Profilbildes bei Teams, welches über das lokale AD bereitgestellt wird; Nutzen der Chatfunktion bei Teams |
Soweit personenbezogene Daten von Beschäftigten des jeweiligen Verantwortlichen der Schörghuber Unternehmensgruppe verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten, im Zusammenhang mit der Nutzung von Microsoft 365 – Produkten, personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Microsoft Teams“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von Teams Besprechungen oder SharePoint und/oder OneDrive als interne und externe Austauschplattform zum Teilen von Dateien sowie, um die Sicherheit der Systeme zu gewährleisten.
Microsoft als Verantwortlicher der Datenverarbeitung
In folgenden Fällen verarbeitet Microsoft eigenverantwortlich und somit außerhalb unserer Weisung Ihre personenbezogenen Daten:
· Optionalen “Connected Experiences”
· bei Online-Diensten, die ausdrücklich nicht dem Auftragsverarbeitungsvertrag zwischen der Schörghuber Corporate IT GmbH und Microsoft (als Unterauftragsverarbeiter) unterliegen (s.u.)
· Diagose- bzw. Telemetriedaten
Zu den optionalen „Connected Experiences“ gehören beispielsweise: 3D Maps
· Insert online 3D Models
· Map Chart, Office Store
· Insert Online Video, Research, Researcher
· Smart Lookup
· Insert Online Pictures
· LinkedIn Resume Assistant
· Weather Bar in Outlook
· PowerPoint QuickStarter
· Giving Feedback to Microsoft
· Suggest a Feature
Weitere Informationen werden seitens Microsoft auch unter folgenden Links zur Verfügung gestellt: https://docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences
Zu den vom Auftragsverarbeitungsvertrag ausgeschlossenen Onlinediensten gehören:
· Bing Maps Mobile Asset Management-Plattform
· Bing Maps Transactions and Users
· Bing-Suchdienste
· Cognitive Services in Containern, die auf der dedizierten Hardware des Kunden installiert sind
· GitHub-Angebote
· LinkedIn Sales Navigator
· Azure Stack Hub
Microsoft Graph data connect für ISVs
· Microsoft Genomics
· Visual Studio App Center Test
Microsoft hat angegeben, Diagnose- bzw. Telemetriedaten für folgende Zwecke zu verwenden: (1) Bereitstellen und Verbessern der Microsoft Dienste, (2) Aktualisierung des Dienstes und (3) zur Gewährleistung und Verbesserung der Sicherheit. Weiterhin bestätigte Microsoft die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung zu verwenden.
Genauere Informationen zur Verarbeitung bei Nutzung unterschiedlicher Funktionalitäten
Die Schörghuber Corporate IT GmbH stellt ihren konzerninternen Kunden im Tenant “suggruppe.onmicrosoft.com” ausgewählte und mit den Unternehmensbereichen abgestimmte Funktionen von Microsoft 365 Cloud-Services zur Verfügung.
Wichtiger Hinweis: Aufgrund der Datenschutz- und Datensicherheitsanforderungen werden nicht alle von Microsoft 365 verfügbaren Funktionen angeboten.
Die Bereitstellung der Funktionen erfolgt in enger Abstimmung mit den IT-Koordinatoren der Unternehmensbereiche der Schörghuber Unternehmensgruppe, dem Datenschutzbeauftragen der SCITG / SHKG und dem Leiter Informationssicherheit.
Alle hier aufgelisteten Beschreibungen zu den Services beziehen sich ausschließlich auf die im Produktiv-Tenant aktivieren Apps und Funktionen.
Allgemeine Microsoft 365 Servicebeschreibungen sind unter dem folgenden Link verfügbar.
Serviceübergreifende Angaben zu Löschfristen:
Cloud-Logs |
Log-Daten werden nach 30 Tagen automatisch aus der SUG-Cloud gelöscht. Es gilt die Standard-Frist aus der Office 365 E3-Lizenz. |
Audit-Logs |
Überwachungsprotokolle, Anmeldeberichte, Sicherheitsberichte dienen der Systemintegrität und Betriebssicherheit, diese werden via PowerShell ausgelesen in die SUG-Infrastruktur heruntergeladen und in die SIEM On-Premise-Lösung der SCITG importiert. Die Aufbewahrungsfristen richten sich nach den Aufbewahrungs- und Löschfristen der On-Premise-Audit-Logs. |
Servicegruppe: Azure / Azure AD / MFA / Intune
Service |
Azure |
Funktion / Zweck |
Azure ermöglicht die Bereitstellung und die Verwaltung von IT-Ressourcen in der Cloud. Neben den Ressourcen (Speicher, Server, Load Balancer, SQL-Datenbanken und Virtuelle Netzwerke) werden Verwaltungsoberflächen, unter anderem für die Themen Lizenzmanagement, Überwachung, Sicherheit und Problembehebung zur Verfügung gestellt. |
Speicherort |
EU |
Verarbeitete Daten |
Siehe Azure AD |
Löschfristen |
Abhängig vom genutzten Service |
Zugriff |
Nur Administratoren (Die Zugriffsmöglichkeit für Standard-Benutzer wurde gesperrt) |
Service |
Azure AD |
Funktion / Zweck |
Das Azure AD (Active Directory) ist der zentrale Verzeichnisdienst für alle Microsoft 365 Anwendungen. Es dient der Authentifizierung der Benutzer, der Verwaltung von Azure AD-Gruppen, von Apps (Application Proxy) und der Registrierung von Geräten, um Single-Sign-On zu ermöglichen. |
Speicherort |
EU |
Verarbeitete Daten |
In der Regel werden die Daten (Benutzer / Gruppen / Ressourcen) automatisiert über den “Azure Active Directory Sync” (Directory Synchronisation) vom lokalen MYSUG-Active Directory (AD) in das Azure AD synchronisiert. Name, Vorname, E-Mail-Adresse, ausgewählte Daten von AD-Objekten aus dem MYSUG-AD sowie Metadaten zu Anmeldungen und sicherheitsrelevanten Vorgängen (An-Abmeldungen, Rechteänderungen, etc.). Hinweis: Administrative Accounts, Service-Accounts sowie Daten zu externen Benutzern (Gäste) werden teilweise direkt im Azure AD bzw. Über automatisierte PowerShell-Prozesse angelegt und verwaltet. |
Löschfristen |
Benutzerkonten werden über den Mitarbeiteraustrittsprozess im MYSUG-AD deaktiviert und in die OU „Ausgeschiedene Mitarbeiter“ verschoben. Durch die Verschiebung wird das betreffende Benutzerkonto nicht mehr in das Azure AD der SUG-Cloud synchronisiert. Das Konto wird im Azure AD in den Bereich “Gelöschte Konten” verschoben und nach 30 Tagen endgültig gelöscht. |
Zugriff |
Nur Administratoren |
Service |
Multi-Faktor-Authentifizierung |
Funktion / Zweck |
Beim Zugriff auf die SUG-Cloud von außerhalb der SUG-Infrastruktur ist bei der Anmeldung die Angabe eines zweiten Faktors erforderlich. Der zweite Faktor wird vom Benutzer selbst verwaltet. |
Speicherort |
EU |
Verarbeitete Daten |
Azure AD-Daten und die vom Benutzer in der Self-Service-Maske angegeben Daten. z.B. Telefonnummern. |
Löschfristen |
Siehe „Service-übergreifende Angaben zu Löschfristen“. |
Zugriff |
Nur Administratoren |
Service |
Intune / Endpoint Manager |
Funktion / Zweck |
Intune ermöglicht die Verwaltung von Geräten, inklusive der Installation von Applikationen, Updates und den Einsatz von Richtlinien, z.B. Bedingte Zugriffsrichtlinien für Windows 10, Mac OS, iOS und Android-Geräte. |
Speicherort |
EU |
Verarbeitete Daten |
Benutzerprofile, inklusive zwischengespeicherter OneDrive Dateien, Namen der Rechner, benutzerbezogene Rechtezuweisungen für die Nutzung von Geräteeigenschaften und –Geräteeinstellungen. |
Löschfristen |
Siehe Azure AD. Zusätzlich: Administratoren können Geräte im Problemfall auf den Auslieferungszustand zurücksetzen. |
Zugriff |
Nur Administratoren |
Servicegruppe: Exchange Online
Service |
Exchange |
Funktion / Zweck |
Exchange Online ist eine Groupware- und E-Mail-Transport-Server-Software. Sie dient der zentralen Ablage und Verwaltung von geschäftlichen E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer und ermöglicht so die Zusammenarbeit in einer Arbeitsgruppe oder in der gesamten Organisation. |
Status |
Die von der SCITG verwalteten Postfächer werden in der Regel auf lokalen Exchange Servern (On-Premise) gehostet. Die SUG-Cloud ist durch ein sog. „Exchange hybrid“-Szenario angebunden über welches sichergestellt wird, dass der komplette E-Mail-Verkehr über die bestehende On-Premise-Exchange-Infrastruktur geleitet wird. Dadurch das Exchange hybrid Szenario stehen in der SUG-Cloud nicht alle Funktionen von Microsoft / Office 365 zur Verfügung. |
Speicherort |
EU |
Verarbeitete Daten |
Exchange – On-Premise |
Löschfristen |
Exchange – On-Premise |
Zugriff |
Nur Administratoren + Benutzer, die von der betreffenden Person berechtigt wurden |
Servicegruppe: Security & Compliance
Service |
Security & Compliance |
Funktion / Zweck |
Office 365 enthält eine Vielzahl von Funktionen, welche die IT und ihre Benutzer dabei unterstützen, die Systemsicherheit sowie die Compliance der Organisation sicher zu stellen. Hierzu gehört unter anderem das Audit-Log und Funktionen zur Verhinderung von Datenverlust und Bedrohungsmanagement. |
Speicherort |
EU |
Verarbeitete Daten |
Name, Vorname, E-Mail-Adresse, Weitere Profileigenschaften eines Benutzers, Metadaten zur Kommunikation und Produktnutzung Berichte zwecks Sicherstellung der Systemintegrität und Vertraulichkeit. |
Löschfristen |
Siehe „Serviceübergreifende Angaben zu Löschfristen“. |
Zugriff |
Nur Administratoren |
Servicegruppe: SharePoint Online, Microsoft Lists und OneDrive
Service |
SharePoint-Online |
Funktion / Zweck |
SharePoint Online ist der Ablageort für Teams-Arbeitsbereiche, für private Kanäle sowie für Teamsites in der Cloud. |
Speicherort |
EU |
Datenhaltung |
SharePoint |
Verarbeitete Daten: Benutzerprofile |
Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. |
Verarbeitete Daten: SharePoint |
Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. |
Löschfristen |
In den Papierkorb verschobene Daten werden automatisch nach 30 Tagen gelöscht. Aus dem Administrationspapierkorb werden die Daten nach 93 Tagen gelöscht. Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. |
Zugriff |
Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) |
Service |
Microsoft Lists |
Funktion / Zweck |
Mit Microsoft Lists können Ereignisse, Themenbereiche und Aufgaben leichter organisiert werden. Technologisch verbirgt sich hinter einer Microsoft List eine SharePoint-Liste. Die SharePoint-Liste lässt sich in Microsoft Teams einbinden. |
Speicherort |
EU |
Datenhaltung |
SharePoint |
Verarbeitete Daten: Benutzerprofile |
Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. |
Verarbeitete Daten: SharePoint |
Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. |
Löschfristen |
In den Papierkorb verschobene Daten werden automatisch nach 30 Tagen gelöscht. Aus dem Administrationspapierkorb werden die Daten nach 93 Tagen gelöscht. Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. |
Zugriff |
Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) |
Service |
OneDrive |
Funktion / Zweck |
Der OneDrive Service dient ausschließlich der Ablage geschäftlicher Dokumente, die der Nutzer selbst lesen, schreiben und löschen kann. Fälschlich gelöschte Dateien können für einen Zeitraum von maximal In Teams-Chats vom Benutzer hochgeladene Dokumente werden im persönlichen OneDrive des Benutzers gespeichert. |
Speicherort |
EU |
Datenhaltung |
OneDrive |
Verarbeitete Daten |
Scheidet ein Mitarbeiter aus, werden die Inhaltsdaten 180 Tage nach der letzten Synchronisation des Benutzers in die Cloud gelöscht. |
Löschfristen |
In den Papierkorb verschobene Dokumente werden automatisch nach Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. |
Zugriff |
Nur Administratoren + |
Servicegruppe: Teams, Forms und Tasks / Planner
Service |
Teams |
Funktion / Zweck |
Microsoft Teams ist einerseits eine WhatsApp-ähnliche Chatumgebung mit der Möglichkeit, private 1-zu-1 und 1 zu N-Chats zu führen und Dokumente und Daten einer Gruppe von Personen – auch Externen (Gästen) - zur Verfügung zu stellen. Darüber hinaus ist es möglich, den berechtigten Benutzern durch Einbindung von Notizbüchern, Formularen, Listen, Aufgaben sowie von weiteren flexiblen Apps eine prozess- bzw. themenorientiere Arbeitsumgebung zur Verfügung zu stellen. |
Speicherort |
EU |
Datenhaltung |
SharePoint / Exchange / Azure AD-Gruppe / Cloud-Services (Forms, Tasks / Planner) |
Verarbeitete Daten |
Name, Vorname, E-Mail-Adresse, weitere Profileigenschaften eines Benutzers aus dem MYSUG-AD, Präsenzinformationen, Metadaten zur Kommunikation und Produktnutzung, Inhalte von Notizbüchern. Daten und Dateien aus SharePoint-Online sowie von eingebundenen Apps. |
Löschfristen |
Teams-Arbeitsbereiche werden auf Anforderung der Seitenbesitzer gelöscht. Hinweis: Gesicherte Daten verbleiben im Backup und sind dann nur noch durch Administratoren wiederherstellbar. |
Zugriff |
Durch den jeweiligen Gruppenbesitzer berechtigte Benutzer und Administratoren. |
Service |
Planner / Tasks |
Funktion / Zweck |
Verwalten von Aufgaben im Rahmen von Projekten, Organisationseinheiten oder für persönliche Aufgaben. Ähnlich der Outlook-Aufgaben, - jedoch mit der Möglichkeit diese mittels Buckets „Kanban-Board ähnlich“ zu verwalten. To-Do ist ein Service, der es dem jeweiligen Benutzer ermöglicht, seine persönlichen Aufgaben zu verwalten. Die Aufgaben sind über die Teams-Oberfläche verwaltbar. |
Speicherort |
EU |
Datenhaltung |
SUG-Cloud | Postfächer |
Verarbeitete Daten |
Name, Vorname, E-Mail-Adresse. |
Löschfristen |
Da ein Planner in der SUG-Cloud-365 immer an einem Teams-Arbeitsbereich hängt, entspricht die Löschfrist für den betreffenden Planner-Plan den Löschfristen des betreffenden Teams-Arbeitsbereichs. |
Zugriff |
Durch den jeweiligen Gruppenbesitzer berechtigte Benutzer und Administratoren. |
Service |
Forms |
Funktion / Zweck |
Mittels Forms kann bequem Feedback mit Umfragen, Abstimmungen und mit Quiz-Fragebögen eingesammelt werden. Autoren können in den Umfrageeinstellungen festlegen, ob die Umfrage anonym durchgeführt werden soll oder der Name des Teilnehmers erfasst wird. Autoren können in Microsoft Forms die Einstellungen so festlegen, dass Benutzer außerhalb ihrer Organisation auf ihre Umfrage oder Prüfung antworten können. In diesem Fall übermitteln die Benutzer ihre Antworten anonym. |
Speicherort |
EU |
Datenhaltung |
SUG-Cloud |
Verarbeitete Daten |
Bei Option: „Jeder mit dem Link kann antworten“: Bei Option: „Nur Personen in meiner Organisation können antworten“ und der Einstellung „Name erfassen“: Name, Vorname, E-Mail-Adresse. |
Löschfristen |
Der Ersteller kann gelöschte Formulare endgültig aus dem Papierkorb löschen. |
Zugriff |
Durch den Ersteller berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) und Administratoren. |
Servicegruppe: Stream
Service |
Stream – Liveereignisse |
Funktion / Zweck |
Mit Microsoft Stream können berechtigte / lizenzierte Benutzer andere Mitarbeiter und Kunden in Webinare und Konferenzen einbinden. Stream-Veranstaltungen können aufgezeichnet werden und dem Mitarbeiter optional als Onlinevideo auf der Stream – Videoplattform zur Verfügung gestellt werden (z.B. Schulungsvideos). |
Speicherort |
EU |
Verarbeitete Daten |
Metadaten und Daten zur Verwendung der Produktnutzung. |
Datenhaltung |
Stream / Siehe SharePoint / OneDrive |
Löschfristen |
Die Redakteure können Aufzeichnungen endgültig löschen. |
Zugriff |
Abhängig von der gewählten Berechtigung bei der Erstellung eines Liveereignisses. · Personen und Gruppen · Organisationsweit · Öffentlich Teilnehmer ohne Anmeldung (auch außerhalb der Organisation) und Administratoren. |
Service |
Stream - Videoportal |
Funktion / Zweck |
Mit Streams können Redakteure Onlinevideos anderen Mitarbeitern zur Verfügung stellen. |
Speicherort |
EU |
Verarbeitete Daten |
Inhaltsdaten in Videos (Aufzeichnungen), Metadaten und Daten zur Verwendung der Produktnutzung. |
Löschfristen |
Stream-Videos werden durch den jeweiligen Redakteur verwaltet und gelöscht. |
Zugriff |
Berechtigte Benutzer (Einzelnutzer- oder Gruppen-Zuweisung) |
Servicegruppe: Office Web
Service |
Excel, OneNote, PowerPoint, Word, Visio |
Funktion / Zweck |
Web-basierte Office Anwendungen zur Erstellung und Bearbeitung von Office-Dokumenten im Browser. Die Ablage von neu erzeugten Dokumenten erfolgt in der SUG-Cloud. Zusätzlich stehen weitere Office-Tools, die aus dem On-Premises-Bereich zusätzlich lizenziert werden, zur Verfügung. Hierzu gehören die Anwendungen: Project und Visio. |
Lizenzen für Zusatzprodukte |
MS Project Online: Zusätzliche Lizenz erforderlich MS Visio Online: Zusätzliche Lizenz erforderlich |
Speicherort |
EU |
Datenhaltung |
SharePoint, OneDrive, Tenant |
Verarbeitete Daten |
Name, Vorname, E-Mail-Adresse, Weitere Profileigenschaften eines Benutzers, Metadaten zur Kommunikation und Produktnutzung, Berichte zwecks Sicherstellung der Systemintegrität und Vertraulichkeit. |
Löschfristen |
Abhängig vom Speicherort. |
Zugriff |
Abhängig vom Speicherort. |
Servicegruppe: Power Platform
Service |
Power Apps |
Funktion / Zweck |
Mit der Power Apps Technologie können Benutzer Low-Code-Apps entwickeln, die das Unternehmen bei der Abbildung von Prozessen unterstützt. Mit Power Apps entwickelte Apps stellen eine umfassende Geschäftslogik und zahlreiche Workflowfunktionen bereit, um manuelle Geschäftsprozesse in digitale und automatisierte Prozesse zu transformieren. Power Apps können auf mobilen Endgeräten (Smartphones oder Tablets) ausgeführt werden. |
Speicherort |
EU |
Verarbeitete Daten |
Abhängig vom verwendeten Connector: Inhaltsdaten von Dokumenten und Listen, Metadaten zur Verwendung und Produktnutzung. Premium-Connector: Abhängig von den verwendeten Datenquellen. |
Löschfristen |
Abhängig vom verwendeten Connector / der verwendeten Datenquelle. |
Zugriff |
Abhängig vom verwendeten Connector / der verwendeten Datenquelle. |
Service |
Power Automate / Flows |
Funktion / Zweck |
Power Automate ist ein Service, mit dem sich Geschäftsprozesse automatisieren lassen und mittels Connectoren der Zugriff auf Cloud oder auf lokale Services ermöglicht werden kann. Wichtiger Hinweis: Für die Ausführung der Funktionen ist teilweise der Erwerb von zusätzlichen Lizenzen erforderlich. |
Speicherort |
EU |
Verarbeitete Daten |
Daten aus Office 365, abhängig vom gewünschten Szenario. |
Löschfristen |
Abhängig von den beteiligten Services und Datenquellen. |
Zugriff |
Daten aus Office 365, abhängig vom gewünschten Szenario. |
Service |
Power BI |
Funktion / Zweck |
Power BI ist eine Sammlung von Software-Services, Apps und Connectoren, mittels denen man Daten aus nicht verbundenen Datenquellen in interaktiven Berichten auswerten und die Daten visualisieren kann. Dabei können die Daten aus unterschiedlichsten Quellen, z.B. aus einer Excel-Datei oder auch aus einer lokalen Data Warehouse-Instanz kommen. |
Speicherort |
Abhängig von der Datenquelle |
Verarbeitete Daten |
Abhängig von den verwendeten Datenquellen. i.d.R. werden die Daten nicht in Power BI-Reports persistiert. |
Löschfristen |
Nicht erforderlich, da i.d.R. die Daten in Power-BI nicht persistiert werden. Die Löschfristen sind in der jeweiligen Datenquelle zu beachten. |
Zugriff |
Je nach verwendetem Zugriffsmodell: Abhängig vom ausführenden Benutzer bzw. vom verwendeten Service-Account. |
Bei der Nutzung von Microsoft 365 werden unterschiedliche personenbezogene Daten an Microsoft übermittelt. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen, wonach Microsoft die Einhaltung verschiedener Pflichten aus der DSGVO einzuhalten hat.
Grundsätzlich haben wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden.
Da eine Übermittlung von Daten in die USA demnach nicht ausgeschlossen werden kann, haben wir sog. EU-Standardvertragsklauseln mit Microsoft geschlossen. Eine Übermittlung von Daten an/über Internetserver, die sich außerhalb der EU befinden kommt insbesondere in Betracht, soweit Inhaltsdaten in der Cloud von Microsoft (über OneDrive oder SharePoint) gespeichert werden oder bei Diagnosedaten bzw. Telemetriedaten und Funktionsdaten, die ebenfalls an die Server von Microsoft gesendet werden.
Ein weiterer Fall kann sein, wenn sich Teilnehmende an einer Teams Besprechung in einem Drittland aufhalten. Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
Microsoft arbeitet im Rahmen des Auftragsverarbeitungsvertrages und EU-Standardvertragsklauseln nach unserer Weisung, was durch strenge vertragliche Regelungen, durch technische und organisatorische Maßnahmen und durch ergänzende Kontrollen sichergestellt wird. Microsoft ist u. a. nach ISO 27001, ISO 27002 und ISO 27018 zertifiziert.
Hinweis: Diese beiden Vertragstexte finden dann keine Anwendung, soweit Microsoft eigenverantwortlich personenbezogene Daten verarbeitet (siehe hierzu den vorherigen Textabschnitt „Microsoft als Verantwortlicher der Datenverarbeitung“).
Darüber hinaus werden personenbezogene Daten, die im Zusammenhang mit der Nutzung von Microsoft 365 verarbeitet werden, grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.
Beachten Sie bitte, dass z.B. Inhalte aus Teams Besprechungen wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Schutzmaßnahmen
Die Nutzung von Microsoft 365 ist aufgrund seiner Komplexität und den grundsätzlichen Unwägbarkeiten bei Clouddiensten mit einem gewissen Risiko behaftet. Wir haben jedoch viele Maßnahmen ergriffen, um Ihnen den größtmöglichen Schutz bieten zu können.
So wurde die Einführung von Microsoft 365 eng mit dem Datenschutzbeauftragten abgestimmt.
Soweit dies durch uns einstellbar ist, werden die optionalen “Connected Experiences” von uns deaktiviert, sowie die Datenübermittlung von Diagnose- und Telemetriedaten an Microsoft so gering wie möglich gehalten
Folgenden Funktionen wurden deaktiviert bzw. werden NICHT genutzt:
· Workplace Analytics
· Delve
· Insights MyAnalytics
· Microsoft Kaizala Pro
· Microsoft StaffHub
· Productivity Score
· Yammer Enterprise
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben
Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren
Aufgrund der Vielfältigkeit der Daten und Nutzungsmöglichkeiten greifen unterschiedliche Aufbewahrungsfristen und –routinen. Grundsätzlich gilt: Wir speichern Ihre Daten nur so lange, wie sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (z.B. Microsoft-Kundenkonto), erforderlich sind oder sofern dies gesetzlich vorgesehen ist.
Ein Erfordernis zur Speicherung kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Daten, die Microsoft von Ihnen aufgrund technischer Notwendigkeiten erhebt, werden nur vorübergehend gespeichert und schnellstmöglich wieder gelöscht
Sie können Dateien, die in Ihrem OneDrive Cloud-Ordner liegen, selbständig löschen. Gleiches gilt für Dateien, die Sie über Teams mit anderen Personen teilen, da diese ebenfalls in OneDrive gespeichert werden. Wenn Sie solche Dateien löschen, werden diese zunächst für 90 Tage im „Papierkorb“ aufbewahrt. Erst danach werden die Daten unwiderruflich gelöscht. Insoweit obliegt es Ihnen, eine Löschung dieser Dateien zu veranlassen
Das Löschen eines gesamten Nutzerkontos erfolgt automatisch 90 Tage nach Deaktivierung des Konto
Soweit das Abonnement mit Microsoft endgültig endet, werden alle Daten noch für 90 Tage in einem Funktionskonto aufbewahrt, auf welches nur ausgewählte Mitarbeitende Zugriff haben, um die Daten bei Bedarf zu extrahieren. Nach Ablauf dieser Frist werden die Daten von Microsoft binnen 90 weiterer Tage endgültig gelösch
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf der Internetseite der Schörghuber Unternehmensgruppe/im Intranet unter https://www.sug-munich.com/de/datenschutz