Datenschutzhinweise zu Microsoft 356 für Mitarbeitende und Gäste

Datenschutz ist uns ein besonderes Anliegen. Daher möchten wir Ihnen mit den folgenden Datenschutzhinweisen kurz erläutern, welche Daten wir verarbeiten, und zu welchen Zwecken und auf welcher Rechtsgrundlage dies erfolgt. Zudem erhalten Sie Auskunft über Ansprechpartner*innen sowie Ihre Rechte in Zusammenhang mit der Datenverarbeitung.

Wir verarbeiten Ihre personenbezogenen Daten (im Folgenden "Daten") unter Berücksichtigung der "Rahmendienstvereinbarung zur Einführung und Anwendung von EDV-Systemen" vom 16.08.2010 gemäß den gesetzlichen Vorgaben und möchten dies in transparenter Weise gestalten.

Bei der Verwendung von Microsoft-365-Software umfasst die Verantwortlichkeit der Leuphana allein die Bereitstellung der für Sie zu dienstlichen Zwecken lizenzierten Software und Web-Tools. Daneben verarbeitet Microsoft weitere Daten im Rahmen der Nutzung vom Microsoft-365-Diensten und -Webseiten. Auf diese Datenverarbeitung haben wir keinen Einfluss, so dass Microsoft dafür datenschutzrechtlich allein verantwortlich ist. Die Verarbeitung durch Microsoft zu eigenen Zwecken kann nicht vollständig ausgeschlossen werden. Eine Leistungs- und Verhaltenskontrolle durch die Leuphana findet nicht statt. Die Erhebung und Übertragung von Diagnosedaten sowie die Applikation "Microsoft Workplace Analytics" wurden in den Konfigurationen ausgeschaltet.

Zwecke und Rechtsgrundlagen der Datenverarbeitung

Die Software Microsoft 365 kann von Mitarbeitenden als Kooperationsplattform genutzt werden. Sofern Sie die Software zu dienstlichen Zwecken einsetzen, nutzen wir folgende Datenkategorien zur Bereitstellung der Dienste:

• Bezeichnungen und Inhalte von Dokumenten und Dateien
• Aufgaben und Lösungen (z. B. Arbeitsabläufe, Ausarbeitungen, Abstimmungen, etc. in Verwaltung und Lehre)
• Kommunikationsdaten (wer hat wann mit wem in Kontakt gestanden?)
• Kommunikationsinhalte (z. B. Textchat, Audio-, Videokommunikation)
• Personenbezogene Basisdaten, optional erweitert um selbst eingetragene Angaben
• Authentifizierungs- und Lizenzierungsdaten
• Kontaktinformationen
• Eindeutige Identifikationsnummern und Signaturen (z. B. IP-Adressen)
• Logfiles mit Zugriffszeitpunkten
• Systemgenerierte Protokolldaten
• Geräteinformationen (z. B. MAC-Adresse, einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)
• Produktfeedback (einschließlich Informationen zum genutzten Gerät und der eingesetzten Software bzw. des genutzten Dienstes)

Diese Datenverarbeitung erfolgt zu dem Zweck der lizenzierten Bereitstellung von Arbeitsmitteln zur Unterstützung der Verwaltung für die umfassende interne Zusammenarbeit und Kommunikation als Hilfsmittel für die Lehre, Forschung und Verwaltung. Dies umfasst die dienstliche Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie die Bereitstellung von technischem und anwenderbezogenem Support. Wir verarbeiten die Daten von Ihnen, soweit dies für der Erfüllung der Ihnen übertragen Aufgaben und somit für die Durchführung des Dienstverhältnisses erforderlich ist.

Die Rechtsgrundlagen sind für die Mitarbeiter*innen in einem Anstellungsverhältnis §§ 3 S. 1 Nr. 1, 12 Abs. 1 NDSG i. V. m. Art. 6 Abs.1 S. 1 Lit. e), Abs. 2 DSGVO i. V. m. § 88 Abs. 1 NBG und für die verbeamteten Mitarbeiter*innen § 3 S. 1 Nr. 1 NDSG i. V. m. Art. 6 Abs.1 S. 1 lit. e), Abs. 2 DSGVO i. V. m. § 88 Abs. 1 NBG.

Die teilweise erfolgende statistische Auswertung dient der wirtschaftlichen Bereitstellung eines abgesicherten Systems als Hilfsmittel für die Lehre, Forschung und Verwaltung durch einen erfahrenen und zuverlässigen Anbieter. Rechtsgrundlage für diese Verarbeitung ist § 3 Satz 1 Nr. 1 NDSG, § 3 Abs. 1 Nr. 1 NHG, § 7 Abs. 1 Nds. LHO.

Darüber hinaus verarbeitet Microsoft personenbezogenen Daten in eigener Verantwortlichkeit auch zu folgenden Zwecken:

Abrechnung- und Kontoverwaltung, Vergütung, interne Berichterstattung und Modellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz, Finanzberichterstattung und die Einhaltung gesetzlicher Verpflichtungen, denen Microsoft unterliegt.

Die damit nicht vollständig auszuschließende ausnahmsweise Offenlegung gegenüber Microsoft, die auch eine Übermittlung in die Vereinigten Staaten von Amerika zur Folge haben kann, erfolgt zur Erfüllung unseres, im Interesse der Mitarbeitenden mit Microsoft geschlossenen Vertrags auf Grundlage von Art. 49 Abs. 1 lit. c) DSGVO.

Weitere Informationen zu Datenübermittlungen an den Betreiber und Schutzgarantien erhalten sie unten im Abschnitt "Übermittlung in Drittstaaten".

Allgemeine Informationen

Auch wenn Sie von Ihren untenstehenden Rechten keinen Gebrauch machen, werden die Datenkategorien wie folgt gespeichert:

• 90 Tage nach Löschung der Inhaltsdaten (Datenkategorien a. bis d.)
• 90 Tage nach Löschung des Accounts oder nach Widerspruch (Datenkategorien e. bis g.)
• 180 Tage für Logfiles und systemgenerierten Protokolldaten (Datenkategorien i. und j.)

Im Übrigen werden die Daten nur so lange gespeichert, wie es für die oben genannten Zwecke erforderlich ist. Das gilt nicht, sofern abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben, oder für die Rechtsdurchsetzung innerhalb der gesetzlichen Verjährungsfristen erforderlich ist. Sofern Daten lediglich noch zu den vorgenannten Zwecken aufbewahrt werden, ist der Datenzugriff auf das dafür nötige Maß beschränkt.

Wir behalten Ihre Daten grundsätzlich für uns und stellen sie nur denjenigen Mitarbeitenden zur Verfügung, die sie für ihre Tätigkeit im Rahmen der Aufgabenerfüllung benötigen. Dies gilt nicht, wenn wir gesetzlich zu einer Weitergabe verpflichtet sind. Zudem behalten wir uns vor, einige dieser Tätigkeiten wie z. B. die Bereitstellung der Microsoft-365-Dienste durch Drittanbieter ausführen zu lassen, sofern diese hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Datenverarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und den Schutz Ihrer Rechte gewährleistet. Wir haben zur Bereitstellung Microsoft im Wege der Auftragsverarbeitung beauftragt. Darüber hinaus verarbeitet Microsoft, wie oben dargestellt, zu eigenen Zwecken.

Microsoft stellt für seine eigenen Zwecke eine Themenseite mit Kontaktierungsmöglichkeit bereit:

https://privacy.microsoft.com/de-DE/

Sofern Sie Ihre Daten nicht bereitstellen, können Sie allerdings gegebenenfalls an dienstlichen Veranstaltungen nicht teilnehmen, sofern diese einen entsprechenden Microsoft-365-Account zur Authentifizierung erfordern.

Eine automatisierte Entscheidungsfindung einschließlich Profiling i. S. d. Art. 22 Abs. 1 und 4 DSGVO findet nicht statt.

Übermittlung in Drittstaaten

Die Microsoft Corporation ist ein weltweit tätiges US-amerikanisches Unternehmen, so dass nicht auszuschließen ist, dass personenbezogene Daten in die USA gelangen, wo kein vergleichbar hoher Datenschutzstandard wie in der EU gegeben ist. Das Unternehmen oder seine Unterauftragnehmer unterliegen beispielsweise keiner externen Aufsicht durch mit den europäischen Datenschutzbehörden vergleichbaren Stellen. Ferner sind die rechtlichen Möglichkeiten der betroffenen Personen, auf die Datenverarbeitung Einfluss zu nehmen oder Auskunft zu erlangen, weniger weitreichend als im Anwendungsbereich der DSGVO. Das gilt auch für die eingeschränkten Rechtsschutzmöglichkeiten für EU-Bürger in den USA, besonders im Hinblick auf den ausnahmsweisen Zugriff staatlicher Stellen wie Sicherheitsbehörden auf die Daten.

Die Daten ruhen grundsätzlich auf europäischen Servern. Die Übermittlung in die Vereinigte Staaten von Amerika erfolgt auf der Basis von Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO, die zuvor von der EU-Kommission genehmigt werden. Darüber hinaus hat Microsoft sich zu weiteren Sicherungsgarantien und Maßnahmen zum Schutz der Daten und der betroffenen Personen uns gegenüber vertraglich verpflichtet.

Ihr Recht auf Widerspruch gem. Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. In diesem Fall verarbeiten wir diese Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige, Ihre Interessen, Rechte und Freiheiten überwiegende Gründe für die Verarbeitung nachweisen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ihre weiteren Rechte

Sie haben das Recht, von uns Auskunft über die Verarbeitung Sie betreffender Daten zu verlangen. Dieses Auskunftsrecht umfasst neben einer Kopie der Daten auch die Zwecke der Datenverarbeitung, die Datenempfänger sowie die Speicherdauer.

Sollten unrichtige Daten verarbeitet werden, können Sie von uns unverzüglich die Berichtigung dieser Daten verlangen. Liegen die gesetzlichen Voraussetzungen nach Art. 17 bzw. 18 DSGVO vor, steht Ihnen zudem grundsätzlich das Recht auf unverzügliche Löschung oder auf Einschränkung der Verarbeitung der Daten zu. Bitte beachten Sie, dass eine eingeschränkte Verarbeitung der Daten unter Umständen nicht möglich ist.

Zur Ausübung Ihrer oben genannten Rechte wenden Sie sich bitte an:

Leuphana Universität Lüneburg
Medien- und Informationszentrum (MIZ)
Timo Leder
Universitätsallee 1
21335 Lüneburg
E-Mail: timo.leder@leuphana.de

Bei weiteren Fragen berät Sie gerne unser Datenschutzbeauftragter. Mit datenschutzrechtlichen Beschwerden wenden Sie sich bitte an eine Datenschutzbehörde Ihrer Wahl.

Unmittelbar für die Leuphana Universität Lüneburg zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachen
Prinzenstraße 5
30159 Hannover
E-Mail: poststelle@lfd.niedersachsen.de

Wir verarbeiten Ihre personenbezogenen Daten (im Folgenden "Daten") gemäß den gesetzlichen Vorgaben und möchten dies in transparenter Weise gestalten. 

Bei der Verwendung von Microsoft-365-Software umfasst die Verantwortlichkeit der Leuphana allein die Bereitstellung der für Sie bereitgestellten Inhalte. Daneben verarbeitet Microsoft weitere Daten im Rahmen der Nutzung von Microsoft-365-Diensten und -Webseiten. Auf diese Datenverarbeitung haben wir keinen Einfluss, so dass Microsoft dafür datenschutzrechtlich allein verantwortlich ist. Die Verarbeitung durch Microsoft zu eigenen Zwecken kann nicht vollständig ausgeschlossen werden. Eine Leistungs- und Verhaltenskontrolle durch die Leuphana findet nicht statt. Die Erhebung und Übertragung von Diagnosedaten wurden in den Konfigurationen ausgeschaltet.

Die Nutzung erfolgt freiwillig. Sollten Sie alternative Kollaborationsformen zusammen mit uns nutzen wollen, sprechen Sie bitte Ihre Ansprechperson bei uns an. Die Leuphana bietet auch alternative Tools und Plattformen zur Nutzung mit externen Personen an.

Zwecke und Rechtsgrundlagen der Datenverarbeitung

Die Software Microsoft 365 kann von Ihnen als Kooperationsplattform für eine konkrete Zusammenarbeit mit der Leuphana genutzt werden. Hierfür müssen Sie jedoch ein Gastkonto anlegen, um sich gegenüber unseren Systemen authentifizieren zu können und um eine Zuordnung der Ihnen gewährten Freigaben zu Ihrer Person zu ermöglichen.

Sofern Sie ein Gastkonto anlegen und die von uns für Sie freigegebenen Inhalte verwenden, nutzen wir folgende Datenkategorien:

• Bezeichnungen und Inhalte von Dokumenten und Dateien
• Aufgaben und Lösungen (z. B. Arbeitsabläufe, Ausarbeitungen, Abstimmungen, etc. in Verwaltung und Lehre)
• Kommunikationsdaten (wer hat wann mit wem in Kontakt gestanden?)
• Kommunikationsinhalte (z. B. Textchat, Audio-, Videokommunikation)
• Personenbezogene Basisdaten, (Name, Vorname) optional erweitert um selbst eingetragene Angaben (Profilbild)
• Authentifizierungsdaten (E-Mail-Adresse, Passwort)
• Kontaktinformationen (E-Mail-Adresse)
• Eindeutige Identifikationsnummern und Signaturen (z. B. IP-Adressen)
• Logfiles mit Zugriffszeitpunkten
• Systemgenerierte Protokolldaten
• Geräteinformationen (z. B. MAC-Adresse, einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)

Diese Datenverarbeitung erfolgt zu dem Zweck der Bereitstellung von zugriffsgeschützten Informationen bei der Zusammenarbeit und Kommunikation mit externen Personen in Lehre, Forschung und Verwaltung. Dies umfasst die kooperative Nutzung der von uns für Sie freigegebenen Inhalte, die Gewährleistung der Informationssicherheit sowie die Bereitstellung von technischem und anwenderbezogenem Support. Im Rahmen Ihrer Nutzung der Ihnen eingeräumten Zugriffe erfolgt der Einsatz auf Grundlage Ihrer freiwillig erklärten Einwilligung. Die Rechtsgrundlage ist daher Art. 6 Abs. 1 S. 1 Buchstabe a Datenschutzgrundverordnung (DSGVO).

Soweit Sie Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben, wird Ihre Einwilligung in maschinenlesbarer Form zusammen mit dem genauen Zeitpunkt der Erteilung erfasst und gespeichert. Zur gesetzlich vorgeschriebenen Dokumentation Ihrer Einwilligung werden diese Daten von uns gespeichert.

Darüber hinaus verarbeitet Microsoft personenbezogenen Daten in eigener Verantwortlichkeit auch zu folgenden Zwecken:

Abrechnung- und Kontoverwaltung, Vergütung, interne Berichterstattung und Modellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz, Finanzberichterstattung und die Einhaltung gesetzlicher Verpflichtungen, denen Microsoft unterliegt.

Weitere Informationen zu Datenübermittlungen an den Betreiber und Schutzgarantien erhalten sie unten im Abschnitt "Übermittlung in Drittstaaten".

Allgemeine Informationen

Auch, wenn Sie von Ihren untenstehenden Rechten keinen Gebrauch machen, werden die Datenkategorien wie folgt gespeichert:

• 90 Tage nach Löschung der Inhaltsdaten (Datenkategorien a. bis d.)
• 90 Tage nach Löschung des Accounts oder nach Widerspruch (Datenkategorien e. bis g.)
• 180 Tage für Logfiles und systemgenerierten Protokolldaten (Datenkategorien i. und j.)

Im Übrigen werden die Daten nur so lange gespeichert, wie es für die oben genannten Zwecke erforderlich ist. Das gilt nicht, sofern abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben, oder für die Rechtsdurchsetzung innerhalb der gesetzlichen Verjährungsfristen erforderlich ist. Sofern Daten lediglich noch zu den vorgenannten Zwecken aufbewahrt werden, ist der Datenzugriff auf das dafür nötige Maß beschränkt.

Wir behalten Ihre Daten grundsätzlich für uns und stellen sie nur denjenigen Mitarbeitenden zur Verfügung, die sie für ihre Tätigkeit im Rahmen der Aufgabenerfüllung benötigen. Dies gilt nicht, wenn wir gesetzlich zu einer Weitergabe verpflichtet sind. Zudem behalten wir uns vor, einige dieser Tätigkeiten wie z. B. die Bereitstellung der Microsoft-365-Dienste durch Drittanbieter ausführen zu lassen, sofern diese hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Datenverarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und den Schutz Ihrer Rechte gewährleistet. Wir haben zur Bereitstellung Microsoft im Wege der Auftragsverarbeitung beauftragt. Darüber hinaus verarbeitet Microsoft, wie oben dargestellt, zu eigenen Zwecken.

Microsoft stellt für seine eigenen Zwecke eine Themenseite mit Kontaktierungsmöglichkeit bereit:

https://privacy.microsoft.com/de-DE/

Wir möchten Sie darüber informieren, dass die Bereitstellung Ihrer Daten weder gesetzlich noch vertraglich vorgeschrieben ist. Sofern Sie in die Verarbeitung Ihrer Daten nicht einwilligen, hat dies für Sie keine negativen Folgen.

Eine automatisierte Entscheidungsfindung einschließlich Profiling i. S. d. Art. 22 Abs. 1 und 4 DSGVO findet nicht statt.

Übermittlung in Drittstaaten

Die Microsoft Corporation ist ein weltweit tätiges US-amerikanisches Unternehmen, so dass nicht auszuschließen ist, dass personenbezogene Daten in die USA gelangen, wo kein vergleichbar hoher Datenschutzstandard wie in der EU gegeben ist. Das Unternehmen oder seine Unterauftragnehmer unterliegen beispielsweise keiner externen Aufsicht durch mit den europäischen Datenschutzbehörden vergleichbaren Stellen. Ferner sind die rechtlichen Möglichkeiten der betroffenen Personen, auf die Datenverarbeitung Einfluss zu nehmen oder Auskunft zu erlangen, weniger weitreichend als im Anwendungsbereich der DSGVO. Das gilt auch für die eingeschränkten Rechtsschutzmöglichkeiten für EU-Bürger in den USA, besonders im Hinblick auf den ausnahmsweisen Zugriff staatlicher Stellen wie Sicherheitsbehörden auf die Daten.

Die Daten ruhen grundsätzlich auf europäischen Servern. Die Übermittlung in die Vereinigte Staaten von Amerika erfolgt auf der Basis von Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO, die zuvor von der EU-Kommission genehmigt werden. Darüber hinaus hat Microsoft sich zu weiteren Sicherungsgarantien und Maßnahmen zum Schutz der Daten und der betroffenen Personen uns gegenüber vertraglich verpflichtet.

Ihr Recht auf Widerruf Ihrer Einwilligungserklärung

Sie haben das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Dies bedeutet, dass die Rechtmäßigkeit der Verarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgt ist, nicht berührt wird. Die Erklärung des Widerrufs kann formlos erfolgen und bedarf keiner Begründung. Wenn Sie Ihre Einwilligung widerrufen, entstehen Ihnen daraus keinerlei Nachteile. Sie können anschließend jedoch nicht mehr auf die zuvor zugänglichen Daten zugreifen.

Ihre weiteren Rechte

Sie haben das Recht, von uns Auskunft über die Verarbeitung Sie betreffender Daten zu verlangen. Dieses Auskunftsrecht umfasst neben einer Kopie der Daten auch die Zwecke der Datenverarbeitung, die Datenempfänger sowie die Speicherdauer.

Sollten unrichtige Daten verarbeitet werden, können Sie von uns unverzüglich die Berichtigung dieser Daten verlangen. Liegen die gesetzlichen Voraussetzungen nach Art. 17 bzw. 18 DSGVO vor, steht Ihnen zudem grundsätzlich das Recht auf unverzügliche Löschung oder auf Einschränkung der Verarbeitung der Daten zu. Bitte beachten Sie, dass eine eingeschränkte Verarbeitung der Daten unter Umständen nicht möglich ist.

Des Weiteren können Sie unter den Voraussetzungen des Art. 20 DSGVO von Ihrem Recht auf Datenübertragbarkeit Gebrauch machen.

Zur Ausübung Ihrer oben genannten Rechte wenden Sie sich bitte an:

Leuphana Universität Lüneburg
Medien- und Informationszentrum (MIZ)
Timo Leder
Universitätsallee 1
21335 Lüneburg
E-Mail: timo.leder@leuphana.de

Bei weiteren Fragen berät Sie gerne unser Datenschutzbeauftragter. Mit datenschutzrechtlichen Beschwerden wenden Sie sich bitte an eine Datenschutzbehörde Ihrer Wahl.

Unmittelbar für die Leuphana Universität Lüneburg zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachen
Prinzenstraße 5
30159 Hannover
E-Mail: poststelle@lfd.niedersachsen.de