Datenschutzerklärung zur Nutzung von Microsoft 365 Services
Mit diesen Datenschutzinformationen möchten wir Sie über die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft (MS) 365 Services informieren, die Ihnen von dem nachfolgend genannten Verantwortlichen bereitgestellt werden.
Unter „Microsoft 365 Services“ nachfolgend MS 365 verstehen wir all jene Microsoft Anwendungen, die der Verantwortliche einsetzt. Unter www.office.com haben Sie die Möglichkeit, eine Auflistung dieser Microsoft Services zu erhalten.
MS 365 dient vorwiegend der Kommunikation und Zusammenarbeit innerhalb der Fränkel AG.
Bei der Nutzung der MS 365 Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns als Verantwortlichen informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft nutzen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die entsprechenden Erklärungen von Microsoft einzusehen.
MS 365 ist ein Produkt der Firma
Microsoft Corporation
One Microsoft Way Redmond
WA 98052-6399, USA
Wir haben mit dem Anbieter Microsoft Datenschutzvereinbarungen abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren. Diese werden regelmäßig aktualisiert. Beachten Sie bitte, dass wir auf die Datenverarbeitungen von Microsoft keinen Einfluss haben. In dem Umfang, in dem Microsoft personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft unabhängiger Datenverantwortlicher für diese Nutzung und als solcher verantwortlich für die Einhaltung aller geltenden Gesetze und Verpflichtungen eines Datenverantwortlichen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft erhalten Sie in den Datenschutzerklärung von Microsoft unter:
https://privacy.microsoft.com/de-de/privacystatement
Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen können sich Betroffene wenden?
Verantwortlich für die Verarbeitung Ihrer Daten ist:
Fränkel AG
Allmandstr. 6
D-88045 Friedrichshafen
Telefon: 07541-92 10 90
E-Mail: kontakt@fraenkel-fn.de
Für allgemeine Fragen zu MS365 wenden Sie sich bitte an: kontakt@fraenkel-fn.de
Unseren Datenschutzbeauftragten erreichen Sie unter: datenschutz@fraenkel-fn.de
2. Wie werden Ihre Daten verarbeitet?
Wir erhalten Ihre personenbezogenen Daten auf unterschiedlichen Wegen.
Dies sind insbesondere:
- Die von Ihnen selbst bereitgestellten Stammdaten, die Sie ggf. in MS 365 hinterlegen.
- Daten, die mittels des Einsatzes sowie der Nutzung der jeweiligen MS 365 Services erhoben werden
- Daten, die wir von Ihnen beim Zugriff auf MS 365 Services erhalten, oder die Sie uns im Rahmen einer Kooperation oder eines Dienstleistungsverhältnisses mitgeteilt haben.
3. Welche personenbezogenen Daten werden verarbeitet und zu welchen Zwecken?
Im Rahmen des Einsatzes von MS365 werden je nach Einsatzzweck unterschiedliche personenbezogene Daten von Ihnen verarbeitet.
Insbesondere können dies sein:
Stammdaten wie z.B.:
- Namen (Vornamen, Nachname, Geburtsname, Titel);
- Profilbilder, die Sie uns übermittelt haben;
- Geschäftliche Adress- und Kontaktdaten (Straße, Hausnummer, Postleitzahl, Ort, E-Mailadresse, Telefonnummer);
- Organisatorische Angaben (Abteilung, Beschreibung der Position, Titel der Position (intern/extern), etc.)
Inhaltsdaten wie z.B.:
- Video- und Tonaufnahmen im Zusammenhang mit der Nutzung von Microsoft 365 Teams/ Skype;
- Kommunikationsdaten (wie z. B. E-Mail-Daten, Telefondaten oder Chat-Nachrichten);
- Kalenderdaten sowie Termindaten;
- Daten Ihrer Person im Rahmen von technischen Back-Ups.
Meta-Anwendungsdaten wie z.B.:
- System-Identifikatoren, Identifikator für die Einmalanmeldung, System- und Gerätepasswörter, Logfiles;
- Instant-Messaging-Konten, Videokonferenz- und andere Nachrichtenkonten, Netzwerk-ID und Infrastruktur-Informationen, IP-Adresse, geographische Standortinformationen, Workflow-Daten (Rollen, Aktivitäten);
- System- und Geräteprotokolle, Zeitstempel (Datum sowie Uhrzeit) und von Ihnen mittels unserer Unternehmenssysteme und Geräte generierte elektronische Inhalte;
Internetnutzung (welche Internetseiten wann besucht wurden, sofern diese Seiten zu Microsoft 365 gehören und hierüber Zugriffe erfolgen);
- Daten Ihrer Person im Rahmen von technischen Back-Ups.
Analysedaten wie z.B.:
- Nutzungsanalyse enthalten Daten der Kategorie „Metadaten“ (wie z. B. im Rahmen von Qualitätssicherungsmaßnahmen und Fehlerbehebung);
- Statistische Nutzungsdaten zur Kommunikation der Kategorien „Stammdaten“, „Inhaltsdaten“ sowie „Metadaten“.
Zweck der Verarbeitung
Der Zweck der Verarbeitung ist die Bereitstellung eines modernen Arbeitsplatzes, der eine optimale Lösung für Kollaboration und Kommunikation innerhalb und außerhalb des verantwortlichen Unternehmens bietet. Dies kann beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen, Terminabsprachen, Aufgabenplanungen oder auch die Nutzung innovativer Werkzeuge zur Automatisierung von Abläufen sein.
Die Bereitstellung und der sichere, reibungslose Betrieb von MS 365 Anwendungen gehört ebenfalls zu einem der Zwecke, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z.B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden.
Zweckänderungen
Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.
4. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten
Die Verarbeitung Ihrer personenbezogenen Daten kann auf Grundlage einer der folgenden Rechtsgrundlagen erfolgen:
Zur Erfüllung eines Vertrages, dessen Vertragspartei Sie sind (Art. 6 Abs. 1 lit. b) DSGVO);
Auf Grund ein berechtigtes Interesse von uns oder Dritten, ohne dass ein überwiegendes Interesse Ihrerseits entgegensteht. (Art. 6 Abs. 1 lit. f) DSGVO)
Berechtigte Interessen unsererseits bezüglich des Einsatzes von MS365 sind dabei:
- Technische Unterstützung bei der täglichen Ausübung Ihrer Tätigkeit,
- Aufrechterhaltung und Sicherstellung eines ordnungsgemäßen Betriebes der IT,
- Performance- und Lastenmessung im Netzwerk zur Optimierung der Dienste,
- Sicherstellung von Geschäftsunterlagen im Falle möglicher Gerichtsverhandlungen, Aufdeckung und Untersuchung von Straftaten bei Vorliegen tatsächlicher Anhaltspunkte (begründeter zu dokumentierender Verdacht),
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
- Zur Erfüllung einer gesetzlichen Pflicht, wie z. B. im Rahmen eines Legal Holds (bspw. im Rahmen eines Rechtsstreits oder einer internen Investigation) oder einer Betriebsprüfung;
Darüber hinaus kann der Verantwortliche Ihre Daten auf Basis einer von Ihnen abgegebenen Einwilligung verarbeiten. Ihre unmittelbare Einwilligung geben Sie z. B. für die Verarbeitung Ihres eigenen (Video-)Bildes und Audiosignals in allen MS 365 Services, bei denen Sie ein Bild bereitstellen oder Ihre Kamera oder ihr Mikrofon aktivieren. Ihre Einwilligung geben Sie auch, wenn Sie aktiv an einer Umfrage oder MS Forms teilnehmen, die freiwillig erfolgt.
5. Besondere Verarbeitungen
5.1 Videokonferenzen und Aufzeichnungen von Bild und Ton
Soweit nicht vertraglich anders vereinbart, erfolgt die Nutzung von Videokonferenzsystemen durch unsere Gäste und Kooperationspartner immer freiwillig. Sie können jederzeit Bild- und Tonübertragung deaktivieren, wenn Sie diese vorübergehend oder dauerhaft nicht bereitstellen wollen. Sollten Sie eine andere Kommunikationsform wüschen, sprechen Sie uns an. Wir werden dann, wenn möglich, eine andere Kommunikationsform beispielsweise eine Telefonkonferenz anbieten. Sollte dies nicht möglich sein, können Sie auch auf die Teilnahme verzichten. Bei freiwilligen Angeboten entstehen Ihnen hierdurch keine Nachteile.
Eine Bild- und Tonaufzeichnung in Videokonferenzen erfolgt nur, wenn Sie uns hierzu Ihre Einwilligung erteilt haben. Die genauen Umstände werden Ihnen im Vorfeld oder im Rahmen der Videokonferenz mitgeteilt.
Soweit nicht anders angegeben, können Sie auch unter einem Pseudonym als Benutzername an Veranstaltungen teilnehmen.
5.2 Umfragen und Tests
Soweit nicht vertraglich anders vereinbart, erfolgt die Teilnahme an Umfragen oder Tests durch unsere Gäste und Kooperationspartner immer freiwillig. Sie können Umfragen jederzeit Abbrechen. Soweit nicht anders angegeben werden Umfragen immer anonymisiert. Die bedeutet, dass keine personenbezogenen Daten in der Umfrage erhoben werden. Die übermittelte IP-Adresse wird nicht zusammen mit der Umfrage gespeichert.
Umfragen werden unmittelbar nach Abschluss des Umfragezeitraumes anonymisiert.
Bei Test werden nur die personenbezogenen Daten abgefragt, die für den Test erforderlich sind. Ergebnisse werden regelmäßig aus den Umfragetools in eine interne Dokumentation überführt.
5.3 Microsoft Bookings
Auf unserer Website haben Sie die Möglichkeit, Termine mit uns zu vereinbaren. Für die Terminbuchung nutzen wir Microsoft Bookings. Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland, https://learn.microsoft.com/de-de/microsoft-365/bookings/?view=o365-worldwide.
Zum Zweck der Terminbuchung geben Sie die abgefragten Daten und den Wunschtermin in die dafür vorgesehene Maske ein. Die eingegebenen Daten werden für die Planung, Durchführung und ggf. für die Nachbereitung des Termins verwendet. Die Termindaten werden für uns auf den Servern von Microsoft Bookings gespeichert, dessen Datenschutzerklärung Sie hier einsehen können: https://privacy.microsoft.com/de-de/privacystatement.
Die von Ihnen eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
6. Übermittlung von personenbezogenen Daten an Dritte
Um die oben genannten Zwecke zu erfüllen, kann es vorkommen, dass wir Ihre personenbezogenen Daten an andere übermitteln müssen. Dabei handelt es sich z. B. um Dienstleister, d. h. Unternehmen, die uns die zur Verfügung gestellten Produkte und Services anbieten, wie etwa Anbieter von IT-Systemen und IT-Support.
Wir informieren Sie nachfolgend darüber, an welche Empfänger wir Ihre personenbezogenen Daten übermitteln können. Die Einhaltung der Verarbeitungsvoraussetzungen im nationalen/internationalen Kontext wird durch den Verantwortlichen im Sinne der DSGVO sichergestellt.
Diese Empfänger sind u. a.:
- Support- und IT-Dienstleister, die Ihre Daten in unserem Auftrag verarbeiten;
- Professionelle Berater, wie Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und andere professionelle Berater
Weitere Empfänger sind die folgenden Unternehmen des Microsoft Konzerns, von denen wir den MS 365 Service beziehen.
- Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
- Sowie deren Unterauftragsverarbeiter und Supportdienstleister
7. Übermittlung von personenbezogenen Daten an Empfänger im außereuropäischen Ausland
Wir übermitteln Ihre Daten auch an Dienstleister und Erfüllungsgehilfen, die sich in Drittstaaten befinden und dort eine Datenverarbeitung vornehmen. Die Einhaltung eines angemessenen Datenschutzniveaus ist in allen Fällen sichergestellt, in denen wir nicht explizit bei der Abfrage Ihrer Einwilligung darauf hingewiesen haben, dass eventuell kein dem europäischen Datenschutzniveau vergleichbares Datenschutzniveau vorliegt. Sämtliche unserer Dienstleister in Drittstaaten verarbeiten die Daten entsprechend unseren Weisungen und sind vertraglich gebunden. Im Einzelnen übermitteln wir Ihre Daten an folgende Drittländer:
Die mit der Microsoft Corporation abgeschlossenen Datenschutzklauseln finden Sie hier: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14
Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?contact=true&id=a2zt0000000KzNaAAK&status=Active
Für Datenübermittlungen im Wege von Administrationszugriffen ist auch ein Zugriff aus einem anderen Land möglich, da oftmals die Betriebsfähigkeit der Systeme nach dem Follow-the-Sun Prinzip sichergestellt wird. Ihre Daten werden jedoch nicht in weiteren Ländern gespeichert. Ein Datenzugriff erfolgt in diesen Fällen ebenfalls nur, wenn die Einhaltung eines adäquaten Datenschutzniveaus durch uns sichergestellt wurde.
8. Wie lange werden Ihre Daten gespeichert?
Wir speichern Ihre Daten so lange, wie dies zur Nutzung der MS 365 Anwendungen erforderlich ist bzw. solange ein Zweck oder eine Rechtsgrundlage gegeben ist.
Vom Anwender explizit freigegebene Positionsdaten bzw. Standortdaten werden ausschließlich während der Besprechung verarbeitet. Eine darüber hinaus gehende Speicherung dieser Daten erfolgt nicht.
Metadaten von Anrufen und Besprechungen werden maximal 120 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht. Eine Anpassung der Fristen für Live Events (120 Tage) und Teams Besprechungen/Anrufe (90) Tage können nicht angepasst werden. Diese werden jedoch für die Stabilität des Systems, Support und auch zur Abwehr von Angriffen in diesem Vektor benötigt. Zugriff haben nur bestimmte berechtigte und überwachte Administratoren.
Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.
E-Mails und Anlagen werden im Rahmen der gesetzlichen Aufbewahrungsfristen aufbewahrt und sodann gelöscht, wenn keine anderen Zwecke vorhanden sind.
Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.
Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.
9. Die Löschung Ihrer personenbezogenen Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
10. Welche Rechte habe ich in Bezug auf meine Daten?
In Bezug auf die Verarbeitung ihrer personenbezogenen Daten haben Sie gemäß Art. 15 DSGVO das Recht, Auskunft über die durch uns zu Ihrer Person verarbeiteten Daten zu verlangen. Des Weiteren stehen Ihnen die Rechte zu, Daten gemäß Art. 16 DSGVO berichtigen oder gemäß Art. 17 DSGVO löschen zu lassen, sowie die Verarbeitung gemäß Art. 18 DSGVO einzuschränken. Des Weiteren haben Sie gemäß Art. 19 DSGVO das Recht, die Herausgabe der durch Sie bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Hinsichtlich des Auskunftsrechts gelten die Einschränkungen des § 34 BDSG und bezüglich des Löschungsrechts die Ausnahmen des § 35 BDSG.
WIDERSPRUCHSRECHT ART. 21 DSGVO
Sofern wir Ihre Daten aufgrund berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) oder zur Wahrnehmung einer öffentlichen Aufgabe (Art. 6 Abs. 1 e) DSGVO) verarbeiten und wenn sich aus Ihrer besonderen Situation Gründe gegen diese Verarbeitung ergeben, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht auf Widerspruch gegen diese Verarbeitung. Im Falle eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr zu diesen Zwecken, es sei denn wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Ein Recht auf Widerspruch steht Ihnen – ohne Einschränkung – gemäß Art. 21 Abs. 2 und 3 DSGVO gegen jede Art der Verarbeitung zu Zwecken der Direktwerbung zu.
Ihren Widerspruch können Sie jederzeit formfrei an uns richten. Zur bestmöglichen Bearbeitung bitten wir Sie, die unter Ziffer 1 genannten Kontaktdaten zu nutzen.
11. Kann ich erteilte Einwilligungen widerrufen?
Sofern wir Ihre Daten auf Basis einer von Ihnen erteilten Einwilligung verarbeiten, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Ihre Daten werden dann nicht mehr zu den von der Einwilligung umfassten Zwecken verarbeitet. Bitte beachten Sie, dass die Rechtmäßigkeit der Datenverarbeitung, welche vor dem Widerruf erfolgt ist, durch den Widerruf nicht berührt wird. Wie Sie Ihren Widerruf im Einzelnen erklären können, entnehmen Sie bitte den vorangegangenen Informationen bzw. der Information in der jeweiligen Einwilligung.
Richten Sie Ihren Widerruf bitte an die unter Ziffer 1 genannten Kontaktdaten.
Hier wird ihr Widerruf – sofern technisch möglich – direkt zentral umgesetzt oder Ihnen wird erläutert wie Sie selbst den Widerruf umsetzen können, da eine zentrale Umsetzung durch uns bei manchen technischen Verfahren nicht möglich ist.
12. Habe ich ein Beschwerderecht bei einer Aufsichtsbehörde?
Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, können Sie sich gemäß Art. 77 DSGVO jederzeit mit einer Beschwerde an eine Datenschutzaufsichtsbehörde wenden. Dies gilt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
13. Muss ich die Daten bereitstellen oder ist die Bereitstellung für den Vertragsschluss erforderlich?
Mit Ausnahme der technisch notwendigen Daten zur Anzeige unserer Webseite ist jegliche Datenbereitstellung durch Sie freiwillig. Sollte dies ausnahmsweise anders sein, so ist dies an der entsprechenden Stelle in dieser Erklärung explizit erwähnt.
14. Wird anhand meiner Daten eine automatisierte Entscheidungsfindung durchgeführt? Und wenn ja, wie wird das gemacht und welche Auswirkungen hat dies auf mich?
Nein, eine automatisierte Entscheidungsfindung findet nicht statt.
15. Können diese Informationen geändert werden? Und wenn ja, wie erfahre ich hiervon?
Da unsere Datenverarbeitung Änderungen unterliegt werden wir auch unsere Datenschutzinformationen von Zeit zu Zeit anpassen. Wir werden Sie über Änderungen rechtzeitig informieren. Den jeweils aktuellen Stand dieser Datenschutzbestimmungen finden Sie an dieser Stelle.