Datenschutzhinweise für die Nutzung von Microsoft-365-Anwendungen
Nachfolgend informieren wir Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Microsoft-365-Anwendungen. Mit diesen Datenschutzhinweise informieren wir Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns, wenn Sie gemeinsam mit uns Anwendungen von Microsoft nutzen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, können Sie die entsprechende Erklärung unter folgendem Link einzusehen: https://privacy.microsoft.com/de-de/privacystatement.
1. Name und Kontaktdaten des Verantwortlichen
Verantwortlicher im Sinne des Datenschutzrechts („wir“, „uns“) ist die:
Name und Anschrift:
fka GmbH
Steinbachstraße 7
52074 Aachen
Deutschland
Name und Anschrift:
Telefon: +49 241 8861 0
Fax: +49 241 8861 110
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Website: www.fka.de
Weitere Informationen zu unserem Unternehmen, Angaben zu den vertretungsberechtigten Personen und auch weitere Kontaktmöglichkeiten finden sich im Impressum unserer Internetseite: www.fka.de/impressum.
2. Kontaktdaten des Datenschutzbeauftragten
Unser Datenschutzbeauftragter kann bei Fragen und sonstigen Anliegen zum Datenschutz am einfachsten erreicht werden unter:
fka GmbH
- Datenschutzbeauftragter -
Steinbachstraße 7, 52074 Aachen
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
3. Kategorien personenbezogener Daten, Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir nutzen im Rahmen unserer Geschäftsaktivitäten Microsoft-365-Anwendungen wie z.B. Teams, SharePoint, Forms (nachfolgend „M365“), zu denen Sie eine Einladung von uns erhalten. M365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, die Organisationseinheiten übergreifend eingesetzt werden kann. Bei der Nutzung der M365 werden personenbezogene Daten über Sie verarbeitet.
(a) Kategorien personenbezogener Daten
Bei der Nutzung von M365 werden verschiedene Datenarten verarbeitet. Der Umfang dieser Daten hängt dabei unter anderem davon ab, welche Anwendung genutzt wird und welche Angaben zu Daten Sie machen. Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie M365 verwenden.
Folgende personenbezogene Daten können Gegenstand der Verarbeitung sein:
- Personenbezogene Basis /Identifikations /Kontaktdaten: Daten, die die eindeutige Identifikation der betroffenen Person ermöglichen (z.B. Vorname, Nachname, Adresse, Telefonnummer, Profilbild, Nutzername; Organisation/Unternehmen);
- Inhaltsdaten: in M365 eingestellte Textdateien und -eingaben, Dokumente, Präsentationen, Tabellen, Audio- und Videodateien/ daten, Daten der Termin- und Ressourcenverwaltung, E-Mail-Kommunikation und -Inhalte etc.;
- Nutzungsdaten: Daten, die Informationen über die persönliche Nutzung von M365 betreffen, (z.B. besuchte Webseiten, Zeitpunkt und Art des Zugriffs, Angabe zu Daten, Dateien und Dokumente auf die zugegriffen wurde, Daten über das Anlegen, Ändern, Löschen eines Dokuments, Anfertigen von Notizen, Chat-Eingaben und -Antworten);
- Meta- und Telemetriedaten: Daten, die die vom Nutzer eingesetzten Geräte und Zugangspunkte betreffen (z.B. Logfiles und andere Protokolldaten, IP-Adressen, Geräte- und Hardware-Informationen, vom Nutzer freigegebene Standortdaten, Audio und Videodaten einer Liveübertragung).
M365-Dienste sind nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO (z.B. genetische oder biometrische Daten, Daten zu religiösen Überzeugungen oder Gesundheitsdaten) zu verarbeiten. Wir können jedoch nicht verhindern, dass solche besonderen Kategorien personenbezogener Daten durch die Nutzer in die M365-Dienste eingestellt oder darüber geteilt werden (z.B. wenn Teilnehmer im Rahmen eines Teams-Meetings Daten eine Erkrankung mitteilen) und verarbeiten sie deshalb notwendigerweise.
(b) Zwecke der Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten im erforderlichen Umfang, um die Kunden- bzw. Lieferantenbeziehung, die zwischen Ihnen bzw. Ihrem Arbeitgeber und uns besteht oder begründet werden soll, oder eine andere Beziehung zwischen Ihnen und uns, in effizienter Weise sicherzustellen. Dazu setzen wir M365-Anwendungen insbesondere zu folgenden Zwecken ein:
- Teams:Mit den Meetingfunktionen von Teams einschließlich Chat- und Telefoniefunktionen können wir eine Teilnahme über Video/Audio an virtuellen Besprechungen, Schulungen und Telefonaten ermöglichen. Teams wird außerdem als Kollaborations- und Austauschplattform für die Projektarbeit zur Kommunikation und Zusammenarbeit genutzt.
- Forms/Polls: Die Umfragefunktion ermöglicht die Durchführung freiwilliger Umfragen und Abstimmungen zur Geschäfts- und Projektorganisation.
- Sharepoint: Sharepoint nutzen wir im Rahmen unserer Geschäfts- und Verwaltungsaktivitäten zum Teilen/Bereitstellen von Informationen und zum Teilen und Bearbeiten von Dateien, Dokumenten, Tabellen etc.
- OneNote: Wir nutzen die Anwendung als virtuelles Notizbuch zur zentralen Speicherung von Besprechungsnotizen und persönlichen Aufzeichnungen.
- Planner: Wir nutzen die Anwendung zur einzel- als auch teambezogenen Organisation von Aufgaben.
Gegebenenfalls nutzen wir weitere M365-Anwendungen, deren Einsatzzwecke sich jeweils aus den Anwendungsbeschreibungen ergeben. Dabei werden Ihre Daten verarbeitet, um das jeweilige M365-Produkt zu den genannten Zwecken verwenden zu können.
Abgesehen von Datenarten, die zur Erbringung bzw. zum Betrieb der M365-Dienste technisch oder organisatorisch stets erforderlich sind (wie z.B. IP-Adressen, Nutzerkennungen), werden nur solche Daten verarbeitet, die Sie selbst bereitgestellt haben.
Weiterhin können Ihre Daten zu Zwecken der Informationssicherheit und zur Gewährleistung der Funktionssicherheit und Stabilität der IT-Systeme verarbeitet werden.
(c) Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage richtet sich nach dem Grund oder Zweck, aus dem die Nutzung der M365-Produkte und der einzelnen Funktionen erfolgt.
Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
Bestimmte Daten verarbeiten wir nur mit Ihrer vorherigen, ausdrücklichen Einwilligung. Dies kommt z.B. bei einer Aufzeichnung einer Teams-Besprechung nach vorheriger Ankündigung in Betracht. Dabei besteht grundsätzlich weder eine vertragliche noch eine gesetzliche Verpflichtung, Ihre Daten bereitzustellen. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft ganz oder teilweise widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf bereits erfolgten Verarbeitung bleibt unberührt.
Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO)
Liegt der Nutzung ein Vertrag mit Ihnen zu Grunde oder findet die Nutzung zur Anbahnung einer Vertragsbeziehung auf Ihre Veranlassung hin statt, ist Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO.
Erfüllung einer rechtlichen Verpflichtung
Soweit wir gesetzlichen Anforderungen unterliegen und Ihre Daten zur Erfüllung dieser rechtlichen Verpflichtungen verarbeiten müssen, ist Art. 6 Abs. 1 lit. c) DSGVO die Rechtsgrundlage der Verarbeitung. Dies kommt z.B. in Betracht, wenn wir gesetzlich verpflichtet sind, einer bestimmten öffentlichen Stelle (z.B. einer Strafverfolgungsbehörde) Auskunft zu erteilen oder aber gesetzlichen Aufbewahrungspflichten unterliegen, die eine Speicherung Ihrer Daten erforderlich machen.
Wahrung unserer berechtigten Interessen oder eines Dritten
Darüber hinaus können wir Ihre Daten zur Wahrung unserer berechtigten Interessen oder von Interessen Dritter auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeiten. Die genannte Rechtsgrundlage erlaubt uns die Verarbeitung Ihrer Daten, wenn Ihre Interessen als betroffene Person im Einzelfall keinen Vorrang gegenüber unseren Interessen haben.
Zu unseren berechtigten Interessen gehören die effektive Durchführung von Besprechungen, Optimierung unserer Geschäftsprozesse insbesondere durch Nutzung geräteunabhängiger Office-Dokumente für die reibungslose Zusammenarbeit innerhalb von Teams.
Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)
Soweit Sie besonders sensible personenbezogene Daten (s. oben unter Ziffer 3 (a)) in einem M365-Dienst teilen, stützen wir die Verarbeitung auf eine Einwilligung im Sinne von Art. 9 Abs. 2 lit. a) DSGVO.
Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO kommt nicht zum Einsatz.
4. Dauer der Speicherung
Wir speichern Ihre personenbezogenen Daten nur solange und löschen oder anonymisieren sie, sobald sie für die Zwecke, für die wir sie nach den vorstehenden Ziffern erhoben und verarbeitet haben, nicht mehr erforderlich sind oder die anwendbaren gesetzlichen Aufbewahrungsfristen abgelaufen sind. Protokolldateien werden spätestens nach 90 Tagen gelöscht, es sei denn wir sind zu einer längeren Aufbewahrung berechtigt (z.B. während eines laufenden Rechtsstreits) oder verpflichtet. Inhaltsdaten, die Sie selbst in M365-Produkte eingestellt haben, können Sie gegebenenfalls dort selbst wieder löschen, sofern keine Gründe, wie z.B. gesetzliche Aufbewahrungspflichten oder interne Richtlinien und Anweisungen entgegenstehen. Echtzeitdaten, wie z.B. Audio- und Videoübertragungen im Rahmen von Teams Meetings, werden überhaupt nicht gespeichert, sofern nicht ausnahmsweise eine Aufzeichnung des Meetings erfolgt.
5. Datenempfänger und Drittlandsübermittlung
Wir haben durch eine Rollen- und Rechteverwaltung sichergestellt, dass Ihre personenbezogenen Daten ausschließlich einer begrenzten Zahl an Mitarbeitern/-innen zugänglich sind, die diese Daten für die genannten Verarbeitungszwecke kennen müssen.
Gegebenenfalls haben wir im Rahmen unserer Geschäftszwecke oder der Zusammenarbeit mit Ihnen oder Ihrem Arbeitgeber externe Dienstleister beauftragt. Wir haben dabei durch vertragliche Vereinbarungen sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden und Daten nur nach unseren Weisungen und für die festgelegten Zwecke verarbeitet werden.
Die personenbezogenen Daten, die wir über Sie erheben oder verarbeiten, können an Empfänger weitergeleitet werden, die sich innerhalb oder außerhalb des Europäischen Wirtschaftsraums (“EWR”) befinden können. Für Empfänger mit Sitz außerhalb des EWR haben wir geeignete Maßnahmen ergriffen, um die Anforderungen des Datenschutzgesetzes zu gewährleisten, z. B. der Abschluss geeigneter Standardvertragsklauseln der EU-Kommission oder eine Zertifizierung nach dem EU-US-Data Privacy Framework.
Für die Bereitstellung der M365-Dienste und die damit verbundene Datenverarbeitung ist Microsoft als Auftragsverarbeiter eingesetzt. Sofern einzelne Daten außerhalb der EU verarbeitet werden, stellt Microsoft die Datenschutzkonformität durch die Vereinbarung der EU-Standardvertragsklauseln sicher. Microsoft hat sich zudem unter dem EU-US-Data Privacy Framework zertifiziert. Nähere Informationen zur Datenverarbeitung durch Microsoft finden Sie im MS Trust Centerund der MS Datenschutzerklärung.
6. Rechte als betroffene Person
Die von der Verarbeitung betroffene Person hat das Recht:
- gemäß Art. 7 Abs. 3 DSGVO eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon jedoch berührt. Zu beachten ist, dass wir möglicherweise bestimmte Daten für die Erfüllung gesetzlicher Vorgaben oder im Rahmen einer Rechtsverfolgung weiterhin speichern (vgl. Ziffer 4) müssen;
- gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, sofern die personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO verarbeitet werden, soweit dafür Gründe vorliegen, die sich aus der besonderen Situation der betroffenen Person ergeben;
- gemäß Art. 15 DSGVO Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung der bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 Abs. 1 DSGVO in den dort genannten Fällen die Löschung der bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit die Verarbeitung nicht aus einem der in Art. 17 Abs. 3 DSGVO genannten Fälle erforderlich ist;
- gemäß Art. 18 DSGVO in den dort genannten Fällen die Einschränkung der Verarbeitung der personenbezogenen Daten zu verlangen, insbesondere, wenn die betroffene Person gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob unsere berechtigten Gründe gegenüber denen der betroffenen Person überwiegen;
- gemäß Art. 20 DSGVO die personenbezogenen Daten, die die betroffene Person uns bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ungehindert zu übermitteln, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mit Hilfe automatisierter Verfahren erfolgt und
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel kann die betroffene Person sich hierfür an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
Stand: 02/2024