Datenschutzerklä­rung zur Nutzung von Microsoft 365 Office-Desktop-Anwendungen und Microsoft Teams

Wer ist für die Datenverarbeitung verantwortlich und an wen können sich Betroffene wenden?

Technische Universität Dresden
01062 Dresden
Tel.: +49 351 463-40000
E-Mail: servicedesk@tu-dresden.de

Technische Universität Dresden
Der Datenschutzbeaufragte
01062 Dresden
Tel.: +49 (0)351 463-32839
E-Mail: informationssicherheit@tu-dresden.de

Neben der TU Dresden ist Microsoft durch folgende Unternehmen beteiligt:

Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland

Microsoft Corporation
One Microsoft Way Redmond, Washington 98052, Vereinigte Staaten von Amerika

Gesonderte Datenschutzinformationen von Microsoft finden Sie hier:

• https://privacy.microsoft.com/de-de/privacystatement (allgemein)

• https://docs.microsoft.com/de-de/microsoftteams/teams-privacy (MS Teams)

• https://support.microsoft.com/de-DE/privacy (Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft)

Für welche Zwecke sollen personenbezogene Daten verarbeitet werden?

Bezug und Nutzung der Lösung Microsoft 365 für umfassende Zusammenarbeit und Kommunikation als Hilfsmittel für die Lehre, Forschung und Verwaltung. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support. Es werden auch Statistiken über die Nutzung erstellt.

Eine Offenlegung der personenbezogenen Daten kann für folgende Zwecke an Microsoft erfolgen:

• Abrechnung- und Kontoverwaltung

• Interne Vergütung sowie der Partner

• Interne Berichterstattung und Modellierung

• Bekämpfung von Betrug

• Cyberkriminalität oder Cyberangriffen

• Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz

• Finanzberichterstattung

• Einhaltung gesetzlicher Verpflichtungen

Auf welcher Rechtsgrundlage erfolgt die Verarbeitung personenbezogener Daten?

Die Rechtsgrundlage für die Datenverarbeitung zu den oben genannten Zwecken unter Verwendung von Microsoft Teams ist insb. Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO (Einwilligung).

Personenbezogene Daten, die zur Lizenzierung erforderlich sind (z.B. Name, E-Mail-Adresse oder Zugehörigkeit zur TU Dresden) werden überdies auf Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO verarbeitet (Erfüllung eines Vertrags).

Sonstige personenbezogene Daten, die zur Erfüllung der öffentlichen Aufgaben der Hochschule erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO i.V.m. § 3 Abs. 1 SächsDSDG verarbeitet.

Welche personenbezogenen Daten werden verarbeitet?

• Dokumente und Dateien

• Aufgaben und Lösungen

• Kommunikationsdaten

• Personenbezogene Basisdaten für den Account ergänzbar mit usergenerierten Angaben

• Authentifizierungsdaten

• Kontaktinformationen

• Profilierung

• Logfile mit Zugriffen

• System generierte Protokolldaten

• Geräteinformationen (einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)

• Produktfeedback (einschließlich Informationen zum genutzten Geräte und der eingesetzten Software bzw. des genutzten Dienstes)

Betroffen sind Personen, die Microsoft 365 nutzen oder administrieren (Datenkategorien 1-11) sowie Personen, die in der Kommunikation und Dokumenten identifizierbar sind (Datenkategorien 3, 8, 9, 11).

Wie lange werden sie gespeichert?

• 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch (Datenkategorien 4 - 7)

• 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1 - 3)

• 180 Tage für die Datenkategorien 8 und 9

• anlassbezogen für die Datenkategorien 10 und 11

Werden personenbezogene Daten an Dritte übermittelt?

Ja, und zwar an

• Personen, mit denen Sie kommunizieren oder zusammenarbeiten,

• Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung,

• Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke,

• sowie deren Unterauftragsverarbeiter und Supportdienstleister.

Welche Risiken für die Betroffenen bestehen bei der Nutzung von Microsoft-Diensten (insb. von MS Teams sowie der Cloud-Dienste)?

Microsoft hat umfassende Sicherheitszertifizierungen. Die Kundendaten liegen im ruhenden Zustand in der EU und Microsoft hat ein Testat gemäß BSI C5, welches sogar Bundesbehörden die Nutzung in geeigneten Fällen erlauben würde.

Da bei der Nutzung von Microsoft 365 Office-Desktop-Anwendungen vor allem personenbezogene Daten zur Lizenzierung verarbeitet werden, ist das Risiko für die Betroffenen eher gering.

Jedoch hat der Berliner Landesdatenschutzbeauftragte viele Unklarheiten und Widersprüche im Auftragsverarbeitungsvertrag bei MS Teams sowie unzulässige Datenexporte festgestellt. Zudem behält sich Microsoft vor, personenbezogene Daten zu eigenen Zwecken zu verarbeiten. Das komplette Dokument mit den Aussagen zu MS Teams finden Sie hier (ab Seite 20):

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Nicht zuletzt aufgrund der Marktmacht von Microsoft hat die TU Dresden entgegen Ihres Rechts als Auftraggeber keine real existierende Kontrolle darüber, welche Subunternehmer in der Auftragsverarbeitung durch Microsoft eingesetzt werden. Zugleich kann die TU Dresden die Subunternehmer selbst nicht kontrollieren oder in jedem Fall nachvollziehen, wo welche Daten gespeichert werden.

Welche Rechte haben Betroffene grundsätzlich?

Freiwilligkeit und Widerruf (Art. 7 Abs. 3 DSGVO)

Die Angabe personenbezogener Daten ist freiwillig. Die Einwilligung kann verweigert beziehungsweise jederzeit formlos und ohne Angabe von Gründen bei der/dem Verantwortlichen widerrufen werden. Ihre personenbezogenen Daten werden daraufhin nicht weiter verarbeitet. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, jederzeit Auskunft über die zu Ihrer Person verarbeiteten Daten sowie die möglichen Empfänger:innen dieser Daten zu verlangen. Ihnen steht eine Antwort innerhalb einer Frist von einem Monat nach Eingang des Auskunftsersuchens zu.

Recht auf Berichtigung, Löschung und Einschränkung (Art. 16-18 DSGVO)

Sie können jederzeit gegenüber der TU Dresden die Berichtigung oder Löschung Ihrer personenbezogenen Daten oder die Einschränkung der Verarbeitung verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, dass der/die Verantwortliche Ihnen Ihre personenbezogenen Daten in maschinenlesbarer Form übermittelt. Alternativ können Sie die direkte Übermittlung der von Ihnen bereitgestellten personenbezogenen Daten an eine:n andere:n Verantwortliche:n verlangen, soweit dies möglich ist.

Widerspruchsrecht (Art. 21 DSGVO)

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen. Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Beschwerderecht (Art. 77 DSGVO)

Sie können sich jederzeit an den Datenschutzbeauftragten der TU Dresden (siehe oben) sowie bei einer Beschwerde nach Art. 77 DSGVO an die zuständige Aufsichtsbehörde zum Datenschutz wenden.

Zuständige Aufsichtsbehörde

Sächsischer Datenschutzbeauftragter
Postfach 11 01 32
01330 Dresden
Tel.: +49 (0) 351 85471 101
Fax: +49 (0) 351 85471 109
E-Mail:

Hinweis: Zur Inanspruchnahme der Rechte genügt eine Mitteilung in Textform (Brief, E-Mail) an den Service-Desk der TU Dresden (s.o.). Die Inanspruchnahme der Rechte entfaltet jedoch nur eine Wirkung, wenn die verarbeiteten Daten eine Identifizierung einer natürlichen Person zulassen.