Datenschutzrechtliche Nutzungsbedingungen und -hinweise für Microsoft 365

Bei den Diensten und Applikationen der Microsoft-365-Cloud (MS365) handelt es sich um eine Sammlung umfangreicher und vielfältiger Werkzeuge, die Arbeitsabläufe insbesondere in der täglichen Zusammenarbeit erleichtern soll. Gleichzeitig verarbeiten die Dienste aber immer auch personenbezogene Daten der Nutzer*innen, sowie der in den Diensten eingetragenen und erwähnten Personen, daher möchten wir Ihnen für Ihre Nutzung die folgenden Hinweise verbindlich an die Hand geben.

Nutzungshinweise für Mitarbeitende

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder auf Grundlage von der Leuphana zur Verfügung stehenden Informationen identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind: Name, Geburtsdatum, Religion, Adresse, Telefonnummer, Krankheiten, Mitgliedschaften u.v.m.

Datenschutzrechtliche Grundlagen müssen daher immer bei der Arbeit mit dem System bedacht werden. Bitten verwenden Sie die Systeme daher nur zweckentsprechend und ausschließlich zu dienstlichen Zwecken.

Machen Sie sich mit dem datenschutzrechtlichen Rahmen und Rechtsgrundlagen vertraut, der für Ihre Tätigkeiten zu beachten ist.

Anwendungsbereiche MS365

Die Dienste werden den Beschäftigten der Leuphana als Kooperationsplattform bereitgestellt. Bitte verwenden Sie die Online-Dienste daher z. B. nicht als dauerhaften Datenspeicher oder Archiv, sondern um z. B. zusammen mit anderen Beschäftigten parallel Projekte zu planen, Dokumente zu bearbeiten, oder, um sich effizienter austauschen zu können. Als dauerhaften Speicherort sind die von der Leuphana bereitgestellten Netz- und Gruppenlaufwerke zu nutzen, den denen – im Gegensatz zu den Microsoft-Diensten – regelmäßig Backups erstellt werden. Weitere Informationen zu den Speichermöglichkeiten des MIZ finden Sie im Anleitungs-Wiki des MIZ.

Im Übrigen sind alle datenschutzrechtlichen Ziele der Datensparsamkeit, der Zweckbindung, der Notwendigkeit einer Rechtsgrundlage zur Verarbeitung zu beachten. Im Zweifel wenden Sie sich bitte vor der Verwendung in einem konkreten Projekt an das Datenschutzmanagement (datenschutz@leuphana.de).

Allgemeine Anforderungen

  • Für besonders zu schützende Daten (siehe unten), Daten die der besonderen Geheimhaltung unterliegen oder Daten mit allgemein sehr hohem Schutzbedarf (z. B. Infos zu Krankmeldungen, Nachteilsausgleich, Schwangerschaft oder Forschungsverträge mit Geheimhaltungsvereinbarung) sind die Dienste grundsätzlich nicht vorbereitet und sollten hierfür nicht verwendet werden.
  • Die Dienste können aufgrund von Beschränkungen des US-Export-Rechts, zu dessen Einhaltung auch die Kunden von Microsoft verpflichtet sind [1], nicht in allen Ländern genutzt werden, insbesondere nicht in der Demokratischen Volksrepublik Korea, im Iran und in Kuba, Sudan und Syrien.
  • Sozialdaten (§ 67 Abs. 2 Satz 1 SGB X; § 80 SGB X, z.B. Daten von oder für Krankenkassen, Arbeitsämter, Rentenversicherung o. ä.) dürfen nicht mit den Microsoft-Diensten verarbeitet werden.
  • Eine Nutzung der universitären (dienstlichen) Accounts auf Privatgeräten ist unzulässig (vgl. IT-Richtlinie der Leuphana).

Art. 9 DSGVO, "besondere Kategorien personenbezogener Daten": Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Im Folgenden geben wir Ihnen einige Hilfestellung, wie Sie diese Anforderungen beim Umgang mit den MS365-Diensten im Einzelnen umsetzen.

Verbundene Erfahrungen – Internetdienste innerhalb von MS365

MS365-Dienste und Software verwenden sogenannte "verbundene Erfahrungen". Diese sind Funktionen, die nur mit einer aktiven Internetverbindung funktionieren, weil sie Informationen oder Inhalte aus dem Internet abrufen müssen, oder Inhalte, die Sie eingegeben haben, an die MS365-Server senden. Einige dieser verbundenen Erfahrungen analysieren die von ihnen eingegeben Inhalte, z. B. um Text zu übersetzen oder vorzulesen, um Bildern oder Diktate in Text umzuwandeln, oder um Ihnen Designempfehlungen und Bearbeitungsvorschläge zu geben. Nähere Infos über die analysierenden Dienste finden Sie unter docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences. Bitte berücksichtigen Sie dies, wenn Sie mit diesen Funktionen Daten von konkret identifizierbaren Personen verwenden wollen und ziehen Sie den Verzicht auf die personenbezogenen Daten in Betracht.  

Darüber hinaus sind optionale verbundene Erfahrungen (docs.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences) administrativ abgeschaltet, weil diese Funktionen auch Daten an externe Unternehmen außerhalb von Microsoft weitergeben und damit weiteren Regelungen und Einzel-Verträgen unterliegen würden. Dies führt ggf. zu unerwarteten Einschränkungen. Als plastisches Beispiel sei genannt, dass etwa die Einbindung von Web-Videos (z. B. Youtube) in PowerPoint-Präsentationen mit MS365 nicht möglich ist. Dennoch ist diese Einschränkung datenschutzrechtlich unumgänglich. 

OneDrive

Zweck und Anwendungsbereich

Der Dienst OneDrive ist ein Speicherdienst, der es ermöglicht, Dateien vom eigenen Rechner aus in die Cloud zu laden und dort zu bearbeiten bzw. zu teilen oder in anderen MS365-Diensten zusammen mit anderen Nutzer*innen zu verwenden.

Die Daten werden nicht bei der Leuphana gespeichert, sondern in einem externen Rechenzentrum von Microsoft. Die Leuphana nimmt keine Backup-Sicherung der dort gespeicherten Daten vor. Theoretisch ist ein Zugriff von Microsoft oder von Support-Dienstleistern auf die Daten in bestimmten Fällen nicht völlig auszuschließen. Verwenden Sie den Dienst daher nicht als Archiv-Dateiablage, hierfür stehen Ihnen persönliche Netzlaufwerke, bzw. Gruppenlaufwerke zur Verfügung, die an der Leuphana zentral verwaltet, gesichert und aufbewahrt werden. Nutzen Sie OneDrive daher nur für die Dauer der Zusammenarbeit.

Verschlüsseltes Speichern

Werden Daten verschlüsselt gespeichert, muss das dafür nötige Passwort den Passwortvorgaben der IT-Richtlinie der Leuphana Universität Lüneburg entsprechen oder gleichwertig sicher sein. Das Passwort darf ausschließlich Personen zugänglich sein, die Beschäftigte der Leuphana sind. Das Passwort darf nur über Kommunikationswege außerhalb von MS365 übermittelt oder gespeichert werden. Das genutzte Verschlüsselungsverfahren hat der technischen Richtlinie BSI TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik zu entsprechen, z. B. AES mit Schlüssellänge von min. 128 Bits (symmetrisch, oder RSA mit Schlüssellänge von min. 2000 Bits). Eine grafische Übersicht über Verschlüsselungsverfahren zur Orientierung findet sich z. B. beim Institut für Internet-Sicherheit der Westfälischen Hochschule hier: www.internet-sicherheit.de/downloads/infografiken/verschluesselungsverfahren.html

Synchronisieren

Bedenken Sie, dass die in OneDrive gespeicherten Daten mit allen Geräten synchronisiert werden, auf denen Sie Ihren Microsoft-Account und OneDrive, z. B. innerhalb von Windows, einrichten. Besonders mobile Geräte müssen daher zugriffsgeschützt und gegen Verlust gesichert transportiert werden (Aktivierung der BitLocker-Laufwerksverschlüsselung) und dürfen keinen externen Personen zugänglich gemacht werden.

Teilen

Vergeben Sie Freigaben ("Teilen") zurückhaltend. Überlegen Sie sich, wer die Daten einsehen und bearbeiten soll, und vergeben Sie die Rechte bei der Freigabe entsprechend. Denke Sie daran, etwaige Freigaben nach Abschluss auch wieder aufzuheben.

Dies gilt insbesondere bei Einbeziehung von Personen, die keine Beschäftigten der Leuphana (Studierende, externe Vertragspartner*innen, usw.) sind. Freigaben, die länger als nötig bestehen, stellen Risiken für die darin erwähnten Personen dar. Stellen Sie sich immer die Frage, wie Sie sich wünschen, dass andere Organisationen mit Ihren personenbezogenen Daten umgehen sollen.

Vermeiden Sie, umfangreiche Sammlungen von personenbezogenen Daten Dritter (Listen von Veranstaltungsanmeldungen, Adressverzeichnisse, Forschungsdaten mit unmittelbarem Personenbezug, etc.) im Dienst vorzuhalten oder mit einer größeren Anzahl an Personen (>10) zu teilen.

Das Teilen mit externen Personen ist über Gastkonten der Externen möglich. Ein Teilen von Links ist nicht möglich, weil dadurch jede Person Zugriff auf die Inhalte hätte, die den Link kennt. Eine beabsichtigte oder unbeabsichtigte Weitergabe wäre dann unkontrolliert möglich.

Bieten Sie externen Personen, die eine Nutzung von Microsoft-Diensten nicht wünschen, frühzeitig alternative Dienste der Leuphana an (z. B. Academic Cloud, myShare, CryptPad (Drive)).

Teams

Zweck und Anwendungsbereich

Das Kommunikationstool Teams dient der kollaborativen Arbeit. Hierüber können verschiedene Mittel der Zusammenarbeit koordiniert werden, z. B. Chat, Videokonferenz, kollaboratives Schreiben, kollaborative Arbeits-Organisation und Dateifreigabe mit Versionsverlauf und personalisierter Änderungsverfolgung.

Teams bietet bisher keine Ende-zu-Ende-Verschlüsselung der Videokonferenzen an (mit Ausnahme von optionalen 1-zu-1-Meetings). Teams ist daher im Kern nicht als Video-Konferenz-Tool nutzbar, um vertrauliche Gespräche zu führen oder sensible Video-Inhalte (Prüfungsinhalte, Notenbesprechungen, Authentifizierungsprüfungen, Austausch zu geheimhaltungsbedürftigen Sachverhalten) auszutauschen.
Hierfür sind Ende-zu-Ende-verschlüsselte Meetings via Zoom zu nutzen, oder die Videokonferenz-Anwendung (BigBlueButton) der Academic Cloud.

Teilen

Es gelten die Vorgaben zu OneDrive.

[1] Vgl. www.microsoft.com/en-us/exporting sowie www.microsoft.com/de-de/microsoft-365/business/international-availability.

Nutzungsbedingungen für Studierende

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder auf Grundlage von der Leuphana zur Verfügung stehenden Informationen identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind: Name, Geburtsdatum, Religion, Adresse, Telefonnummer, Krankheiten, Mitgliedschaften uvm..

Bitte verwenden Sie die Systeme daher nur zweckentsprechend im Rahmen Ihres Studiums an der Leuphana und nicht zu privaten Zwecken. Für die von Ihnen in die Dienste eingestellten Inhalte sind Sie selbst verantwortlich und müssen auch für die Einhaltung von gesetzlichen Vorgaben sorgen (Datenschutz, Urheberrecht, rechtswidrige Inhalte).

Anwendungsbereiche MS365

Die Dienste werden den Studierenden der Leuphana als Kooperationsplattform im Studium bereitgestellt. Bitte verwenden Sie die Online-Dienste daher z.B. nicht als Datenspeicher oder Archiv, sondern um z.B. zusammen mit anderen Studierenden parallel Projekte und Arbeitsgruppen zu planen, Dokumente zu bearbeiten oder um sich effizienter austauschen zu können. Als Speicherort oder für die Archivierung von Daten sind die von der Leuphana bereitgestellten Home-Laufwerke oder ihre private Infrastruktur zu nutzen.

Es stehen in vielen Bereichen auch weitere Dienste der Leuphana bzw. der AcademicCloud abseits von Microsoft 365 als Alternative zur Verfügung. Sprechen Sie sich im Zweifel mit Mitstudierenden ab, welche Plattform alle Beteiligten nutzen wollen.

Allgemeine Anforderungen

Art 9 DSGVO, „besonderer Kategorien personenbezogener Daten“: Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Für besonders zu schützende Daten (siehe oben), Daten die der besonderen Geheimhaltung unterliegen oder Daten mit allgemein sehr hohem Schutzbedarf (z.B. Infos zu Krankheiten, Schwangerschaft oder Forschungsverträge mit Geheimhaltungsvereinbarung) sind die Dienste grundsätzlich nicht vorbereitet und dürfen hierfür nicht verwendet werden.

Die Dienste können aufgrund von Beschränkungen des US-Export-Rechts, zu dessen Einhaltung auch die Kunden von Microsoft verpflichtet sind[2], nicht in allen Ländern genutzt werden, insbesondere nicht in der Demokratischen Volksrepublik Korea, im Iran und in Kuba, Sudan und Syrien.

Im Folgenden geben wir Ihnen einige Hilfestellung, beim Umgang mit den MS365-Diensten im Einzelnen.

Verbundene Erfahrungen – Internetdienste innerhalb von MS365

MS365-Dienste und Software verwenden sogenannte „verbundene Erfahrungen“. Diese sind Funktionen, die nur mit einer aktiven Internetverbindung funktionieren, weil sie Informationen oder Inhalte aus dem Internet abrufen müssen, oder Inhalte, die Sie eingegeben haben an die MS365-Server senden. Einige dieser verbundenen Erfahrungen analysieren die von ihnen eingegeben Inhalte, z.B. um Text zu übersetzen oder vorzulesen, um Bildern oder Diktate in Text umzuwandeln, oder um Ihnen Designempfehlungen und Bearbeitungsvorschläge zu geben. Nähere Infos über die analysierenden Dienste finden Sie unter https://docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences. Bitte berücksichtigen Sie dies, wenn Sie mit diesen Funktionen Daten in Ihren Dokumenten von konkret identifizierbaren Personen verwenden wollen und ziehen Sie den Verzicht auf die personenbezogenen Daten in Betracht, da Sie für den eingestellten Inhalt selbst verantwortlich sind.

Darüber hinaus sind optionale verbundene Erfahrungen (https://docs.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences) administrativ abgeschaltet, weil diese Funktionen auch Daten an externe Unternehmen außerhalb von Microsoft weitergeben und damit weiteren Regelungen und Einzel-Verträgen unterliegen würden.

OneDrive

Zweck und Anwendungsbereich

Der Dienst OneDrive ist ein Speicherdienst, der es ermöglicht Dateien vom eigenen Rechner aus in die Cloud zu laden und dort zu bearbeiten bzw. zu teilen oder in anderen MS365-Diensten zusammen mit anderen Nutzer*innen zu verwenden.

Die Daten werden nicht bei der Leuphana gespeichert, sondern in einem externen Rechenzentrum von Microsoft. Administratoren der Leuphana können theoretisch auf diese Daten zugreifen und die Inhalte einsehen, z.B. bei Support-Anfragen von Ihnen. Die Leuphana nimmt keine Backup-Sicherung der dort gespeicherten Daten vor. Theoretisch ist ein Zugriff von Microsoft oder von Support-Dienstleistern auf die Daten in bestimmten Fällen nicht völlig auszuschließen. Verwenden Sie den Dienst daher nicht als Archiv-Dateiablage und nutzen Sie OneDrive nur für die Dauer der Zusammenarbeit.

Verschlüsseltes Speichern

Werden Daten in den Online-Diensten verschlüsselt gespeichert, haben weder Administratoren noch Microsoft Zugriff auf die Daten. Hierfür eignen sich Dienste wie VeraCypt oder Boxcryptor. Das dafür nötige Passwort sollte sicher genug sein und nur Ihnen, bzw. zugriffsberechtigten Personen bekannt sein. Informationen zu einem sicheren Passwort finden Sie auf den Seiten des BSI. Das Passwort oder ein entsprechender Schlüssel sollte dann aber nicht ebenfalls in MS365 gespeichert werden. Eine grafische Übersicht über Verschlüsselungsverfahren zur Orientierung findet sich z.B. beim Institut für Internet-Sicherheit der Westfälischen Hochschule hier: https://www.internet-sicherheit.de/downloads/infografiken/verschluesselungsverfahren.html.

Synchronisieren

Bedenken Sie, dass die in OneDrive gespeicherten Daten mit allen Geräten synchronisiert werden, auf denen Sie Ihren Microsoft-Account und OneDrive, z.B. innerhalb von Windows, einrichten. Besonders mobile Geräte sollten daher zugriffsgeschützt und gegen Verlust gesichert transportiert werden (Aktivierung der BitLocker-Laufwerksverschlüsselung).

Teilen

Denke Sie daran, dass Sie für den eingestellten Inhalt selbst verantwortlich sind und etwaige Freigaben nach Abschluss der studiumsbezogenen Zusammenarbeit auch wieder aufheben müssen. Vergeben Sie Freigaben („Teilen“) daher zurückhaltend. Überlegen Sie sich, wer die Daten einsehen und bearbeiten soll und vergeben Sie die Rechte bei der Freigabe entsprechend.

Dies gilt insbesondere bei Einbeziehung von Personen, die keine Mitglieder oder Angehörigen der Leuphana sind.  Freigaben, die länger als nötig bestehen, stellen Risiken für die darin erwähnten Personen dar. Stellen Sie sich immer die Frage, wie Sie sich wünschen, dass andere Organisationen mit Ihren personenbezogenen Daten umgehen sollen.

Vermeiden Sie, umfangreiche Sammlungen von personenbezogenen Daten Dritter (Listen von Veranstaltungsanmeldungen, Adressverzeichnisse, Forschungsdaten mit unmittelbarem Personenbezug, etc.) im Dienst vorzuhalten oder mit einer größeren Anzahl an Personen (>10) zu teilen.

Das Teilen mit externen Personen ist über Gastkonten möglich. Die Personen müssen dabei vor dem Zugriff ihre explizite Zustimmung zur Nutzung des Dienstes erteilen. Ein Teilen von Links ist nicht möglich, weil dadurch jede Person Zugriff auf die Inhalte hätte, die den Link kennt. Eine beabsichtigte oder unbeabsichtigte Weitergabe wäre dann unkontrolliert möglich.

Bieten Sie anderen Personen, einschließlich Studierenden oder Mitarbeitende der Leuphana. die eine Nutzung von Microsoft-Diensten nicht wünschen, frühzeitig alternative Dienste der Leuphana an (z.B. Academic Cloud, MyShare, CryptPad (Drive)).

Teams

Zweck und Anwendungsbereich

Das Kommunikationstool Teams dient der kollaborativen Arbeit. Hierüber können verschiedene Mittel der Zusammenarbeit koordiniert werden, z.B. Chat, Videokonferenz, kollaborative Schreiben, kollaborative Arbeits-Organisation und Dateifreigabe mit Versionsverlauf und personalisierter Änderungsverfolgung.

Teams bietet bisher keine Ende-zu-Ende-Verschlüsselung der Videokonferenzen an (mit Ausnahme von optionalen 1zu1-Meetings). Teams darf daher nicht als Video-Konferenz-Tool genutzt werden, um vertrauliche Gespräche zu führen oder sensible Video-Inhalte (Forschungsdaten mit sensiblen Inhalten, Gesundheitsangaben, minderjährige Kinder) auszutauschen.

Teilen

Es gelten die Vorgaben zu OneDrive.

Tools in Lehrveranstaltungen

Wie bei allen anderen digitalen Tools der Leuphana auch, wird Ihnen im Rahmen von Lehrveranstaltung ergänzen angeboten, bestimmte M365-Dienste optional zu verwenden. Grundsätzlich müssen Sie diese Angebote nicht nutzen, es entstehen Ihnen aus der Nicht-Teilnahme keine Nachteile im Rahmen der Veranstaltung. Die in der Veranstaltung verwendeten Tools werden bei der Erfassung der Lehrveranstaltung im digitalen Vorlesungsverzeichnis benannt. Sofern Tools für eine Lehrveranstaltung als Arbeitsmittel in begründeten Ausnahmefällen verpflichtend genutzt werden müssen, wird dies ebenfalls bei der Veröffentlichung der Veranstaltung ausdrücklich mitgeteilt. Auch wenn das Einschalten von Kamera und Mikrofon notwendig ist (z.B. bei interaktiven -Online oder Hybrid-Veranstaltungen), wird dies ausdrücklich bekanntgegeben.

[2]https://www.microsoft.com/en-us/exporting sowie https://www.microsoft.com/de-de/microsoft-365/business/international-availability .