Microsoft Teams

Hinweis:

Bei MS Teams handelt es sich um einen Service der Microsoft Ireland Ltd. („Microsoft“). Es kann nicht ausgeschlossen werden, dass in diesem Zusammenhang Daten an die Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399, USA in die USA übermittelt werden. Fernwartungszugriffe kann Microsoft auch aus anderen Drittstaaten vornehmen. Wir haben mit Microsoft die Standarddatenschutzklauseln der Europäischen Kommission abgeschlossen. Weitere Informationen erhalten Sie in Punkt 4.

Soweit Sie die Internetseite von MS Teams oder Microsoft aufrufen, ist Microsoft für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von MS Teams jedoch nur erforderlich, um sich die Software für die Nutzung von MS Teams herunterzuladen.

Wenn Sie die MS Teams-App nicht nutzen wollen oder können, können Sie MS Teams auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Website von MS Teams erbracht.

Welche Daten werden verarbeitet?

Bei der Nutzung von MS Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting selbst eingeben. Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Angaben zum Benutzer:

z.B. Anzeigename („Display Name“), ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache

Meeting-Metadaten:

z.B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort

Text-, Audio- und Videodaten:

Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die MS Teams-Applikationen abschalten bzw. stummstellen.

Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Umfang der Verarbeitung

Wir verwenden MS Teams, um Online-Meetings, Telefon- und Videokonferenzen, Webcasts etc. durchzuführen. Um an einem Online-Meeting teilzunehmen bzw. den „Meeting-Raum“ betreten, können Sie auch ein Pseudonym verwenden.

Die Chatinhalte werden bei der Verwendung von MS Teams protokolliert. Wir speichern die Chatinhalte i.d.R. für einen Zeitraum von einem Monat. Wenn es für den Zweck der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, können wir die Chatinhalte auch für einen längeren Zeitraum protokollieren, längstens jedoch, bis der verfolgte Zweck erfüllt ist. Das wird jedoch in der Regel nicht der Fall sein.

Wenn wir Meetings aufzeichnen möchten, werden wir Ihnen das im Vorfeld transparent mitteilen und, sofern erforderlich, um Ihre Einwilligung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App bzw. in der Webbrowseransicht angezeigt. Der Organisator kann zudem festlegen, welche Teilnehmer zur Aufzeichnung berechtigt sind.

Im Falle von Webcasts können wir für Zwecke der Aufzeichnung und Nachbereitung von Webcasts auch die gestellten Fragen der Teilnehmenden verarbeiten. Sie können ebenfalls von der Möglichkeit Gebrauch machen, eine Freigabe für Ihren Bildschirm zu erteilen. In diesem Fall haben wir Kenntnis von den Daten und Inhalten, die Sie über Ihren Bildschirm teilen.

Keinen Einfluss haben wir auf die systemseitige Verarbeitung technischer Informationen wie Gerät- bzw. Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten des Endgeräts sowie Zeitpunkt und Datum des Zugriffs) durch den Dienstanbieter. Microsoft verarbeitet sog. Telemetriedaten selbst. Die Nutzungsbedingungen von MS Teams bzw. von Microsoft werden unter https://privacy.microsoft.com/de-DE/privacystatement und https://docs.microsoft.com/de-de/microsoftteams/teams-privacy?view=o365-worldwide erklärt und die Verarbeitungen personenbezogener Daten beschrieben.

Rechtsgrundlagen

Soweit personenbezogene Daten von Beschäftigten unseres Unternehmens verarbeitet werden, ist §26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von MS Teams personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von MS Teams sein, so ist Art. 6 Abs. 1 lit. f DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von Online-Meetings.

Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings Art. 6 Abs. 1 lit. b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.

Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von Online-Meetings.

Wer bekommt meine Daten?

In unserem Unternehmen haben grundsätzlich nur diejenigen Personen Zugriff auf Ihre Daten, die diese für die reibungslose Durchführung der Online-Meetings benötigen, also z.B. die Organisatoren und Teilnehmer an Meetings aus unserem Unternehmen. Dabei kann es sich auch um mehrere Fachabteilungen in unserem Hause handeln, abhängig davon, welche Leistungen oder Produkte Sie von uns beziehen. Weiterhin hat unsere IT-Abteilung zur ausschließlich technischen Verarbeitung Zugriff auf Ihre Daten.

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

Microsoft erhält als Anbieter von MS Teams notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit MS Teams vorgesehen ist. Auch von uns eingesetzte Dienstleister können im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO Empfänger von Daten zu Ihrer Person sein.

Unter Umständen müssen wir im Rahmen unserer gesetzlichen Verpflichtungen bestimmte Daten gegenüber den entsprechend berechtigten Stellen offenlegen.

Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing oder eine Speicherung von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an Online-Meeting in einem Drittland aufhalten.

Ein sicheres Datenschutzniveau wird durch den Abschluss von ergänzenden EU-Standarddatenschutzklauseln und technisch-organisatorischer Maßnahmen gewährleistet. Bei der Verwendung von Standarddatenschutzklauseln streben wir an, soweit erforderlich, zusätzliche Maßnahmen zum Schutz ihrer Daten zu implementieren. Dazu werden u.a. die Daten bei der Übertragung über das Internet und im Ruhezustand verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte geschützt. Microsoft verwendet Standardtechnologien wie TLS und SRTP, um alle Daten während der Übertragung zwischen den Geräten der Benutzer und den Microsoft-Rechenzentren sowie zwischen Microsoft-Rechenzentren zu verschlüsseln. Dies umfasst Nachrichten, Dateien (Video, Audio etc.), Besprechungen und andere Inhalte. Ruhende Unternehmensdaten in Microsoft-Rechenzentren werden zudem auf eine Weise verschlüsselt, die es Organisationen ermöglicht, Inhalte bei Bedarf zu entschlüsseln. MS Teams verwendet darüber hinaus TLS und MTLS zum Verschlüsseln von Chatnachrichten. Der gesamte Server-zu-Server-Datenverkehr erfordert MTLS – unabhängig davon, ob der Datenverkehr auf das interne Netzwerk beschränkt ist oder den internen Netzwerkperimeter überschreitet. Weitere Informationen, wie Microsoft Teams die Daten verschlüsselt finden Sie hier: https://docs.microsoft.com/de-de/microsoftteams/teams-security-guide.

Im Hinblick auf personenbezogene Daten, die durch Microsoft in den USA und Europa gespeichert werden und ggf. behördlichen Auskunftsersuchen von Behörden in den USA unterliegen können, garantiert Microsoft in einer Stellungnahme vom 20. Juli 2020, dass solche Verfügungen vor Gericht angefochten werden, mit denen der Zugang zu personenbezogenen Daten möglich wäre. Darüber hinaus hat Microsoft im Rahmen eines rechtlichen Vergleichs das Recht erworben, transparente Berichte über die Anzahl der an Microsoft gerichteten amerikanischen Anweisungen zur nationalen Sicherheit offen zu legen, des Weiteren wurden neue Richtlinien innerhalb der US-Regierung eingeführt, welche die Verwendung von Geheimhaltungsanweisungen eingeschränkt haben (vgl. https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/). Das Datenschutzniveau wird, gemessen an den voraussichtlichen Inhalten der unserer MS-Teams-Meetings, die in der Regel abseits der Namen der an der Videokonferenz teilnehmenden Personen keine personenbezogenen Daten beinhalten, als ausreichend angesehen.

Wir weisen Sie dennoch hiermit ausdrücklich darauf hin, dass MS Teams ein Dienst ist, der von einem Anbieter aus den USA erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt, welches derzeit im Sinne der DSGVO als datenschutzrechtlich unsicher gilt. Hierdurch können sich für die Nutzer Risiken ergeben, da sich bspw. die Durchsetzung der Betroffenenrechte erschweren können. Zur Lösung der Situation werden auf politischer, datenschutzrechtlicher und bilateraler Ebenen Verhandlungen geführt. Zum aktuellen Zeitpunkt liegen jedoch noch keine Ergebnisse vor. Wenn Sie für sich persönlich entscheiden, dass Ihnen auf dieser Rechtslage kein ausreichender Schutz gewährt werden kann (entsprechend dem Urteil des EuGHs), ist die Teilnahme an einem Online-Meeting per MS Teams zurzeit nicht möglich.

Wie lange werden meine Daten gespeichert?

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO).

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Gibt es eine Pflicht zur Bereitstellung von Daten?

Die Bereitstellung Ihrer personenbezogenen Daten ist zunächst weder gesetzlich noch vertraglich vorgeschrieben, noch sind Sie verpflichtet, diese Daten bereitzustellen. Um an einem Online-Meeting teilzunehmen bzw. den Meeting-Raum zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen. Sollten Sie dies nicht wünschen, ist Ihre Teilnahme an unseren Online-Meetings leider nicht möglich.

Inwieweit gibt es eine automatisierte Entscheidungsfindung?

Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

Findet ein Profiling statt?

Wir verarbeiten Ihre Daten nicht mit dem Ziel, bestimmte persönliche Aspekte automatisiert zu bewerten.