MS 365

Diese ergänzende Erklärung umfasst Informationen darüber, wie und in welchem Umfang die TU Clausthal Daten im Rahmen der Bereitstellung von Microsoft 365 erhebt und wie diese verarbeitet werden. Die Microsoft 365-Suite (MS 365) ist eine Plattform mit einer Kombination von Webanwendungen der Microsoft Corp. („Microsoft“), mit Sitz in Redmond, WA 98052-6399, USA, One Microsoft Way, die durch Angehörige der TU Clausthal für Videokonferenzen („MS Teams“) und für Office Webanwendungen bereitgestellt wird. Die TU Clausthal ist Lizenznehmerin und ermöglicht TU Angehörigen den Zugang zu den Online Diensten. Die dort abgelegten Daten werden in den Rechenzentren von Microsoft abgelegt. Allen TUC Angehörigen steht als unentgeltliche Alternative das Videokonferenzsystem BBB (webconf.tu-clausthal.de) zur Verfügung. Mitarbeitende erhalten zudem lokale Office Produkte, die eine Datenablage im Hoheitsbereich der TU Clausthal ermöglichen.

Weitere Ansprechpartner

Die technische Bereitstellung von MS 365 erfolgt durch das Rechenzentrum der TU Clausthal. TU Angehörige können ihren Zugang unter https://service.rz.tu-clausthal.de eigenständig verwalten. Technische Anfragen können an support@rz.tu-clausthal.de gerichtet werden.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Rechtsgrundlage ist abhängig vom jeweiligen Zweck der Nutzung der entsprechenden Webanwendung.

Grundlage für die Verarbeitung personenbezogener Daten ist grds. § 17 Abs. 1 NHG. Soweit personenbezogene Daten von Beschäftigten der TU Clausthal verarbeitet werden, ist die Rechtsgrundlage daneben Art. 88 DS-GVO i.V.m. § 26 BDSG.

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person vorliegt, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Werden Videokonferenzen/Officeanwendungen im Rahmen von Vertragsbeziehungen genutzt, kommt Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage zur Anwendung.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die TU Clausthal unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Unter Bedingungen der Covid-19-Pandemie beruht die Durchführung von Videokonferenzen des Weiteren aufgrund eines öffentlichen Interesses in Kombination mit dem Schutz lebenswichtiger Interessen der Betroffenen gem. Art. 6 Abs. 1 lit. d und e DSGVO.

Zweck der Datenverarbeitung

Über das Serviceportal des Rechenzentrums (https://service.rz.tu-clausthal.de) können Hochschulangehörige eine Lizenz des Lizenzpaketes Microsoft 365 eigenständig beantragen und beruht auf der Einwilligung der betroffenen Person. MS Teams und Office 365 sind jeweils fester Bestandteil dieses Paketes, eine Beantragung eines einzelnen Bestandteils ist nicht möglich. Es handelt sich um das Lizenzpaket „Microsoft Education A3“.

Das Rechenzentrum der TU Clausthal stellt im Rahmen des Bundesrahmenvertrages mit der Firma Microsoft Angehörigen der Hochschule Lizenzen für die Nutzung von Microsoft 365 zur Verfügung. Bei Ausscheiden aus dem Dienst oder nach Abschluss des Studiums darf der Zugang zu den Microsoft-Diensten nicht mehr durch die TU Clausthal bereitgestellt werden. Um diese Vertragsbedingung automatisch gewährleisten zu können, werden Ihre Daten, sobald Sie dies freigegeben haben, aus dem TUC Verzeichnisdienst (AD) automatisch mit denen im Verzeichnisdienst von Microsoft (Azure AD) abgeglichen.

Kategorien der verarbeiteten Daten:

Folgende Daten werden dabei mit Microsoft geteilt. Angaben in Klammern entsprechen jeweils den möglichen Werten.

• Aktiver Account (ja /nein) accountEnabled
• RZ-Kennung CN
• Vollständiger Name displayName
• Eindeutiger Name im AD distinguishedName
• Vorname givenName
• Zugehörige Gruppen (Student*in, Mitarbeiter*in, Sonstige) member
• Eindeutiger Identifier (generisch) objectGUID, objectSID und sourceAnchor
• Nachname sn
• Land (DE) usageLocation
• Benutzername (@tu-clausthal.de) userPrincipleName

Dauer der Datenspeicherung

Die Übertragung der Daten an Microsoft erfolgt erst nach Zustimmung Ihrerseits durch Bestätigung auf dem Serviceportal des Rechenzentrums Es steht TU Angehörigen jederzeit frei diesen Abgleich durch Widerruf (Genehmigung entziehen) zu beenden. Im Falle eines Widerrufs ist keine (weitere) Nutzung der Microsoft 365-Dienste mehr möglich. Spätestens nachdem TU Angehörige die Universität verlassen (Exmatrikulation, Beendigung des Beschäftigtenverhältnisses), wird dieser Abgleich automatisch beendet und die Daten aus dem Azure AD bei Microsoft nach einem Monat automatisch gelöscht.

Der Dienst MS Teams stellt ein freiwilliges Zusatzangebot für die Angehörigen der TU Clausthal dar, welches in Einzelfällen für die Durchführung von Videokonferenzen genutzt werden kann:

• Ein oder mehrere Kommunikationspartner sind technisch nicht in der Lage an einer BBB-Videokonferenz teilzunehmen z.B. Einwahleinschränkungen bei Industriepartnern
• Es liegt eine einvernehmliche Einwilligung von allen beteiligten Kommunikationspartnern vor den Dienst für eine Videokonferenz zu nutzen

In Ermangelung einer Zustimmung hat der jeweilige Teilnehmer die Möglichkeit, die Online-Konferenz nicht zu betreten oder zu verlassen. Es steht als Alternative grds. der primäre Videokonferenzdienst BBB (webconf.tu-clausthal.de) allen TUC-Angehörigen zur Verfügung.

Der Dienst darf für Konferenzen im Rahmen der Durchführung von hoheitlichen Aufgaben der Hochschule nicht genutzt werden. Dies sind insb. die Durchführung von Prüfungen sowie jegliche Videokonferenzen mit sensiblen Inhalten wie z.B. Bewerbungsgespräche.

Art und Umfang sowie Zweck der erfassten Daten 

Personenbezogene Daten werden zum Zwecke der administrativen Nutzerverwaltung, zur Kontaktaufnahme und Interaktion mit den Nutzern sowie zur Bereitstellung personalisierter Dienste, zur Durchführung des Studiums als Studierende bzw. der Tätigkeiten als Mitarbeiter an der TU Clausthal von uns verarbeitet.

Die Datenverarbeitung unterscheidet sich je nach eingenommener Rolle zwischen Initiatoren oder Teilnehmenden einer Videokonferenz.

Initiatoren, TU Angehörige mit Nutzerkonto:

Über das Serviceportal des Rechenzentrums (https://service.rz.tu-clausthal.de) können Hochschulangehörige eine Lizenz des Lizenzpaketes Microsoft 365 eigenständig beantragen. MS Teams ist fester Bestandteil dieses Paketes, eine Beantragung eines einzelnen Bestandteils ist nicht möglich. Die Voraussetzung, um Initiator einer MS Teams Videokonferenz zu werden, ist die Freischaltung des Lizenzpaketes Microsoft 365.

Initiieren einer Videokonferenz

Die TU Clausthal hat im Rahmen ihrer Möglichkeiten eine datensparsame Konfiguration des Dienstes vorgenommen. Die Nutzung von MS Teams unterliegt den Nutzungs- und Datenschutzbestimmungen von Microsoft.

Datenschutzbestimmungen: https://privacy.microsoft.com/de-de/privacystatement

Nutzungsbestimmungen: https://www.microsoft.com/de-CH/servicesagreement/

Mit der Nutzung von Microsoft Teams akzeptieren Sie die Nutzungs- und Datenschutzbestimmungen von Microsoft.

Beim Initiieren einer Videokonferenz bzw. bei der Teilnahme mit einem Nutzerkonto werden folgende Daten verarbeitet:

Daten zur Erstellung/Anmeldung eines Nutzerkontos (E-Mail Adresse, Passwort, Zugehörigkeit zu Teams, Rollen und Rechte), Daten zur Anzeige eines Nutzerstatus und von Lesebestätigungen (Chat), erstellte Chat-Nachrichten, Sprachnotizen, Bild- und Tondaten in Video- und Audiokonferenzen, Metadaten zu Videokonferenz wie Teilnehmerkreis, Beginn und Ende von Videokonferenzen, Inhalte von Bildschirmfreigaben, durch Hochladen geteilte Dateien, erstellte Kalendereinträge, Status von Aufgaben (zugewiesen, abgegeben, Fälligkeit, Rückmeldung), in Word, Excel, PowerPoint und OneNote erstellte und bearbeitete Inhalte, Eingaben bei Umfragen, technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierte Funktionen.

Die vorübergehende Speicherung von Logfile-Daten durch das System ist für den Anmeldevorgang notwendig, um eine Auslieferung angeforderter Dokumente an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

Teilnehmer

Die Teilnahme an einem Microsoft Teams Meeting kann ohne ein eigenes Nutzerkonto erfolgen. Voraussetzung ist eine Termineinladung von einem Initiator. Hierbei werden folgende Daten verarbeitet: Ein selbst gewählter Nutzername, die zugewiesene Rolle “Gast” und damit verbundene Rechte, Chat-Nachrichten, bei Aktivierung von Kamera und Mikrofon Bild- und Tondaten, Inhalte von Bildschirmfreigaben (sofern durch den Initiator zugelassen), in Abhängigkeit vom Zugang über Browser oder App technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierten Funktionen (Logfiledaten wie IP-Adresse, Browserversion), Metadaten wie Teilnehmerkreis, Beginn und Ende einer Videokonferenz. Eine Speicherung der Bild- und Tondaten von Videokonferenzen durch den Anbieter erfolgt nicht.

Das Videokonferenzsystem ist mit anderen Diensten von MS 365 wie Shareponint, One Drive oder Microsoft Search verknüpft und erlaubt die Einbindung dieser Webanwendungen in MS Teams. Alle hochgeladenen Dateien, Chatverläufe und sonstigen Eingaben werden unverschlüsselt abgelegt und sind von einzelnen Administratoren der TU Clausthal und Microsoft technisch einsehbar.

Dauer der Datenspeicherung

Inhalte der Videokonferenz wie Audio-, Bild- und Textdaten werden nach Beendigung der Videokonferenz nicht weiterverarbeitet und mit Beendung der Sitzung gelöscht. Die vorübergehende Speicherung der Logfiledaten durch das System ist für den Anmeldevorgang notwendig, um eine Auslieferung angeforderter Dokumente an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Diese von den Nutzern selbst eingestellten Daten können von den Nutzern eigenständig gelöscht werden. Die automatische Löschung erfolgt nach der Deaktivierung des Nutzerkontos.

Art und Umfang sowie Zweck der erfassten Daten 

Personenbezogene Daten werden zum Zwecke der administrativen Nutzerverwaltung, zur Bereitstellung personalisierter Dienste und zur Durchführung des Studiums als Studierende bzw. der Tätigkeiten als Mitarbeiter an der TU Clausthal von uns verarbeitet.

Die Webanwendungen wie Word, Excel, Powerpoint, Sharepoint, One Drive oder Microsoft Search erlauben es den Nutzern eigenständig Inhalte zu erstellen und diese mit anderen Nutzern zu teilen.

Die TU Clausthal hat im Rahmen ihrer Möglichkeiten eine datensparsame Konfiguration der Dienste vorgenommen. Die Nutzung von Office 365 unterliegt den Nutzungs- und Datenschutzbestimmungen von Microsoft.

Datenschutzbestimmungen: https://privacy.microsoft.com/de-de/privacystatement

Nutzungsbestimmungen: https://www.microsoft.com/de-CH/servicesagreement/

Mit der Nutzung von Office 365 akzeptieren Sie die Nutzungs- und Datenschutzbestimmungen von Microsoft.

Kategorien der verarbeiteten Daten:

Die selbst erstellten Dateien liegen unverschlüsselt im System und werden gemeinsam mit

• Name
• Mailadresse
• Zeitpunkt der Nutzung einer Anwendung
• IP-Adresse
• Geographischen Standort
• Browser sowie dem Betriebssystem des verwendeten Endgerätes

gespeichert.

Daneben ist die vorübergehende Speicherung von Logfile-Daten durch das System für den Anmeldevorgang notwendig, um eine Auslieferung angeforderter Dokumente an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

Dauer der Datenspeicherung

Diese von den Nutzern selbst eingestellten Daten können von den Nutzern eigenständig gelöscht werden. Die automatische Löschung erfolgt nach der Deaktivierung des Nutzerkontos. Die TU Clausthal erstellt kein Back-Up der Dateien, die in den Rechenzentren von Microsoft abgelegt werden.

SSL-Verschlüsselung

Die Verbindung zur Plattform MS 365 und allen verknüpften Anwendungen erfolgt mit einer SSL-Verschlüsselung (https). Über SSL verschlüsselte Daten sind nicht von Dritten lesbar.

Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation

Die TU Clausthal übermittelt nicht eigenständig, personenbezogene Daten an ein Drittland. Eine solche Übermittlung kann jedoch nicht vollständig ausgeschlossen werden, insofern MS 365 durch Microsoft als Dienstleister angeboten wird, der seinen Sitz in einem Drittland (USA) hat.

Die TU Clausthal hat mit Microsoft neben den Standardvertragsklauseln zur Auftragsdatenverarbeitung auch weitreichende Regelungen zum Datenschutz für Microsoft-Onlinedienste (Data Protection Addendum, DPA) abgeschlossen. Im Fall der Core-Onlinedienste speichert Microsoft ruhende Kundendaten in bestimmten größeren geografischen Gebieten. Es wurde vertraglich Europa als Datenablageort vereinbart. Die Verarbeitung durch Microsoft unterliegt dabei den DSGVO-Bestimmungen nach dem Recht der Europäischen Union.

Sofern ein Nutzer, z.B. ein Teilnehmer einer Videokonferenz, sich in einem Drittland aufhält, kommt es ebenfalls zu einer Datenübertragung in das jeweilige Drittland.

Werden Ihre personenbezogenen Daten verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen insb. folgende Rechte gegenüber dem Verantwortlichen zu:

Auskunftsrecht gemäß Art. 15 DSGVO

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von der TU Clausthal verarbeitet werden.

Recht auf Berichtigung gemäß Art. 16 DSGVO

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.

Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO

Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen, z.B. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen.

Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Automatisierte Entscheidung im Einzelfall einschließlich Profiling gemäß Art. 22 DSGVO

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.