Videokonferenzsystem MS Teams

Diese ergänzende Erklärung umfasst Informationen darüber, wie und in welchem Umfang die TU Clausthal Daten im Rahmen der Bereitstellung von dem Videokonferenzsystem Microsoft Teams („MS Teams“) erhebt und wie diese verarbeitet werden. Microsoft Teams ist eine von Microsoft Corp. („Microsoft“), mit Sitz in Redmond, WA 98052-6399, USA, One Microsoft Way, entwickelte und in die Microsoft 365-Suite integrierte Plattform (MS 365), die durch Angehörige der TU Clausthal für Online-, Telefon-, Videokonferenzen sowie Web-Veranstaltungen („Online-Meetings“) genutzt werden kann. Bei MS Teams handelt es sich um eine Alternative zum primären Videokonferenzsystem BBB, welches eigenständig durch die TU Clausthal am Standort Clausthal-Zellerfeld betrieben wird.

Weitere Ansprechpartner

Für die Inhalte und konkrete Ausgestaltung von Videokonferenzen ist der jeweilige Initiator der Videokonferenz verantwortlich. Die Kontaktdaten werden den Teilnehmenden zu Beginn einer jeden Videokonferenz mitgeteilt.

Die technische Bereitstellung von MS 365 erfolgt durch das Rechenzentrum der TU Clausthal. TU Angehörige können ihren Zugang unter https://service.rz.tu-clausthal.de eigenständig verwalten. Technische Anfragen können an support@rz.tu-clausthal.de gerichtet werden.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Rechtsgrundlage ist abhängig vom jeweiligen Zweck der einzelnen Videokonferenz.

Grundlage für die Verarbeitung personenbezogener Daten ist grds. § 17 Abs. 1 NHG. Soweit personenbezogene Daten von Beschäftigten der TU Clausthal verarbeitet werden, ist die Rechtsgrundlage daneben Art. 88 DS-GVO i.V.m. § 26 BDSG.

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person vorliegt, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Werden Videokonferenzen im Rahmen von Vertragsbeziehungen durchgeführt, kommt Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage zur Anwendung.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die TU Clausthal unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Unter Bedingungen der Covid-19-Pandemie beruht die Durchführung von Videokonferenzen des Weiteren aufgrund eines öffentlichen Interesses in Kombination mit dem Schutz lebenswichtiger Interessen der Betroffenen gem. Art. 6 Abs. 1 lit. d und e DSGVO.

Der Dienst MS Teams stellt ein freiwilliges Zusatzangebot für die Angehörigen der TU Clausthal dar, welches in Einzelfällen für die Durchführung von Videokonferenzen genutzt werden kann:

• Ein oder mehrere Kommunikationspartner sind technisch nicht in der Lage an einer BBB-Videokonferenz teilzunehmen z.B. Einwahleinschränkungen bei Industriepartnern
• Es liegt eine einvernehmliche Einwilligung von allen beteiligten Kommunikationspartnern vor den Dienst für eine Videokonferenz zu nutzen

In Ermangelung einer Zustimmung hat der jeweilige Teilnehmer die Möglichkeit, die Online-Konferenz nicht zu betreten oder zu verlassen. Es steht als Alternative grds. der primäre Videokonferenzdienst BBB (webconf.tu-clausthal.de) allen TUC-Angehörigen zur Verfügung.

Der Dienst darf für Konferenzen im Rahmen der Durchführung von hoheitlichen Aufgaben der Hochschule nicht genutzt werden. Dies sind insb. die Durchführung von Prüfungen sowie jegliche Videokonferenzen mit sensiblen Inhalten wie z.B. Bewerbungsgespräche.

Art und Umfang sowie Zweck der erfassten Daten 

Personenbezogene Daten werden zum Zwecke der administrativen Nutzerverwaltung, zur Kontaktaufnahme und Interaktion mit den Nutzern sowie zur Bereitstellung personalisierter Dienste, zur Durchführung des Studiums als Studierende bzw. der Tätigkeiten als Mitarbeiter an der TU Clausthal von uns verarbeitet.

Die Datenverarbeitung unterscheidet sich je nach eingenommener Rolle zwischen Initiatoren oder Teilnehmenden einer Videokonferenz.

Initiatoren, TU Angehörige mit Nutzerkonto:

Über das Serviceportal des Rechenzentrums (https://service.rz.tu-clausthal.de) können Hochschulangehörige eine Lizenz des Lizenzpaketes Microsoft 365 eigenständig beantragen. MS Teams ist fester Bestandteil dieses Paketes, eine Beantragung eines einzelnen Bestandteils ist nicht möglich. Die Voraussetzung, um Initiator einer MS Teams Videokonferenz zu werden, ist die Freischaltung des Lizenzpaketes Microsoft 365.

Das Rechenzentrum der TU Clausthal stellt im Rahmen des Bundesrahmenvertrages mit der Firma Microsoft Angehörigen der Hochschule Lizenzen für die Nutzung von Microsoft 365 inkl. Office 365 und MS Teams zur Verfügung zu stellen. Bei Ausscheiden aus dem Dienst oder nach Abschluss des Studiums darf der Zugang zu den Microsoft-Diensten nicht mehr durch die TU Clausthal bereitgestellt werden. Um diese Vertragsbedingung automatisch gewährleisten zu können, werden Ihre Daten, sobald Sie dies freigegeben haben, aus dem TUC Verzeichnisdienst (AD) automatisch mit denen im Verzeichnisdienst von Microsoft (Azure AD) abgeglichen.

Folgende Daten werden dabei Microsoft geteilt. Angaben in Klammern entsprechen jeweils den möglichen Werten.

• Aktiver Account (ja /nein) accountEnabled
• RZ-Kennung CN
• Vollständiger Name displayName
• Eindeutiger Name im AD distinguishedName
• Vorname givenName
• Zugehörige Gruppen (Student*in, Mitarbeiter*in, Sonstige) member
• Eindeutiger Identifier (generisch) objectGUID, objectSID und sourceAnchor
• Nachname sn
• Land (DE) usageLocation
• Benutzername (@tu-clausthal.de) userPrincipleName

Dauer der Datenspeicherung

Die Übertragung der Daten an Microsoft erfolgt erst nach Zustimmung ihrerseits durch Bestätigung auf dem Serviceportal des Rechenzentrums. Es steht TU Angehörigen jederzeit frei diesen Abgleich durch Widerruf (Genehmigung entziehen) zu beenden. Im Falle eines Widerrufs ist keine (weitere) Nutzung der Microsoft 365-Dienste mehr möglich. Spätestens nachdem TU Angehörige die Universität verlassen (Exmatrikulation, Beendigung des Beschäftigtenverhältnisses), wird dieser Abgleich automatisch beendet und die Daten aus dem Azure AD bei Microsoft nach einem Monat automatisch gelöscht.

Initiieren einer Videokonferenz

Die TU Clausthal hat im Rahmen ihrer Möglichkeiten eine datensparsame Konfiguration des Dienstes vorgenommen. Die Nutzung von MS Teams unterliegt den Nutzungs- und Datenschutzbestimmungen von Microsoft.

Datenschutzbestimmungen: https://privacy.microsoft.com/de-de/privacystatement

Nutzungsbestimmungen: https://www.microsoft.com/de-CH/servicesagreement/

Mit der Nutzung von Microsoft Teams akzeptieren Sie die Nutzungs- und Datenschutzbestimmungen von Microsoft.

Beim Initiieren einer Videokonferenz bzw. bei der Teilnahme mit einem Nutzerkonto werden folgende Daten verarbeitet:

Daten zur Erstellung/Anmeldung eines Nutzerkontos (E-Mail Adresse, Passwort, Zugehörigkeit zu Teams, Rollen und Rechte), Daten zur Anzeige eines Nutzerstatus und von Lesebestätigungen (Chat), erstellte Chat-Nachrichten, Sprachnotizen, Bild- und Tondaten in Video- und Audiokonferenzen, Metadaten zu Videokonferenz wie Teilnehmerkreis, Beginn und Ende von Videokonferenzen, Inhalte von Bildschirmfreigaben, durch Hochladen geteilte Dateien, erstellte Kalendereinträge, Status von Aufgaben (zugewiesen, abgegeben, Fälligkeit, Rückmeldung), in Word, Excel, PowerPoint und OneNote erstellte und bearbeitete Inhalte, Eingaben bei Umfragen, technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierte Funktionen.

Die vorübergehende Speicherung von Logfile-Daten durch das System ist für den Anmeldevorgang notwendig, um eine Auslieferung angeforderter Dokumente an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

Teilnehmer

Die Teilnahme an einem Microsoft Teams Meeting kann ohne ein eigenes Nutzerkonto erfolgen. Voraussetzung ist eine Termineinladung von einem Initiator. Hierbei werden folgende Daten verarbeitet: ein selbst gewählter Nutzername, die zugewiesene Rolle “Gast” und damit verbundene Rechte, Chat-Nachrichten, bei Aktivierung von Kamera und Mikrofon Bild- und Tondaten, Inhalte von Bildschirmfreigaben (sofern durch den Initiator zugelassen), in Abhängigkeit vom Zugang über Browser oder App technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierten Funktionen (Logfiledaten wie IP-Adresse, Browserversion), Metadaten wie Teilnehmerkreis, Beginn und Ende einer Videokonferenz. Eine Speicherung der Bild- und Tondaten von Videokonferenzen durch den Anbieter erfolgt nicht.

Dauer der Datenspeicherung

Inhalte der Videokonferenz wie Audio-, Bild- und Textdaten werden nach Beendigung der Videokonferenz nicht weiterverarbeitet und mit Beendung der Sitzung gelöscht. Die vorübergehende Speicherung der Logfiledaten durch das System ist für den Anmeldevorgang notwendig, um eine Auslieferung angeforderter Dokumente an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

SSL-Verschlüsselung

Die Verbindung zum Videokonferenzdienst MS Teams erfolgt mit einer SSL-Verschlüsselung (https). Über SSL verschlüsselte Daten sind nicht von Dritten lesbar.

Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation

Die TU Clausthal übermittelt nicht eigenständig, personenbezogene Daten an ein Drittland. Eine solche Übermittlung kann jedoch nicht vollständig ausgeschlossen werden, insofern Microsoft Teams durch Microsoft als Dienstleister angeboten wird, der seinen Sitz in einem Drittland (USA) hat.

Die TU Clausthal hat mit Microsoft neben den Standardvertragsklauseln zur Auftragsdatenverarbeitung auch weitreichende Regelungen zum Datenschutz für Microsoft-Onlinedienste (Data Protection Addendum, DPA) abgeschlossen. Im Fall der Core-Onlinedienste speichert Microsoft ruhende Kundendaten in bestimmten größeren geografischen Gebieten. Die Verarbeitung durch Microsoft unterliegt dabei den DSGVO-Bestimmungen nach dem Recht der Europäischen Union.

Sofern ein Teilnehmer einer Videokonferenz sich in einem Drittland aufhält, kommt es ebenfalls zu einer Datenübertragung in das jeweilige Drittland.

Werden Ihre personenbezogenen Daten verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen insb. folgende Rechte gegenüber dem Verantwortlichen zu:

Auskunftsrecht gemäß Art. 15 DSGVO

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von der TU Clausthal verarbeitet werden.

Recht auf Berichtigung gemäß Art. 16 DSGVO

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.

Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO

Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen, z.B. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen.

Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Automatisierte Entscheidung im Einzelfall einschließlich Profiling gemäß Art. 22 DSGVO

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.