Auf dieser Seite finden Sie die Datenschutzhinweise zur Nutzung von Microsoft Azure zur dienstlichen Nutzung durch Mitarbeiter*innen der RWTH (Microsoft Azure)

1. Verantwortlicher für die Datenverarbeitung
2. Datenschutzbeauftragte
3. Allgemeines zur Datenverarbeitung
4. Allgemeine Hinweise
5. Betroffenenrechte

---

1. Verantwortlicher für die Datenverarbeitung

Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Rektor der RWTH Aachen University
Templergraben 55
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
E-Mail: rektorat@rwth-aachen.de
Website: www.rwth-aachen.de/rektorat

Verantwortliche Stelle für die interne Verarbeitung:

IT Center der RWTH Aachen University
Seffenter Weg 23
52074 Aachen
E-Mail: servicedesk@itc.rwth-aachen.de
Website: www.itc.rwth-aachen.de

2. Datenschutzbeauftragte

Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:

Stabsstelle Datenschutz der RWTH Aachen University
Templergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
E-Mail: dsb@rwth-aachen.de
Website: www.rwth-aachen.de/datenschutz

3. Allgemeines zur Datenverarbeitung

Nutzungsumfang

Der Nutzungsumfang bezieht sich auf folgende über Microsoft Azure angebotenen Services:

• Rechenleistung
• Speicherlösungen
• Datenbanken
• Netzwerkdienste
• KI und maschinelles Lernen

Services außerhalb der oben genannten Kategorien sind nicht per se ausgeschlossen, bedürfen aber ggf. eine Prüfung der Umsetzbarkeit. 

Folgende Einschränkungen gelten dabei für alle Services in Microsoft Azure:

• Standardmäßig sind nur Ressource-Standorte innerhalb der EU nutzbar
• Services Dritter aus dem Marktplatz sind im Standard nicht verfügbar

Umfang der Verarbeitung personenbezogener Daten

Wie andere Softwarehersteller nutzt auch Microsoft personengebundene Lizenzen. Für die Nutzung von Microsoft Azure (Azure) bedarf es daher eines personenbezogenen Microsoft-Kontos. Dieses RWTH-Microsoft-Konto wird anhand Ihrer Daten aus dem RWTH-Identity-Management-System durch das IT Center erstellt und von diesem kontrolliert. 

Die Erstellung des Microsoft-Kontos erfolgt automatisch für alle Mitarbeiter*innen der RWTH und besteht während des Beschäftigungsverhältnisses.  
Microsoft Azure ist für Mitarbeitende der RWTH nur nutzbar, sofern die Einrichtung, an der die Mitarbeitende tätig sind, eine Subscription über das IT Center gebucht haben. Den Mitarbeitenden kann bei Bedarf dann Zugang zu Microsoft Azure erteilt werden.

Zweck der Datenverarbeitung

Der Bezug von Azure umfasst die Nutzung von lizenzierten Produkten und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie den technischen und kundenbezogenen-Support. Durch die Nutzung werden auch Statistiken erstellt und Daten gegenüber Microsoft offen gelegt, die laut dem DPA von Microsoft aus Januar 2023 folgenden Zwecken dienen:

• Abrechnungs- und Kontoverwaltung
• Vergütung wie etwa Berechnung von Mitarbeiterprovisionen und Partner-Incentives
• Interne Berichterstattung und Geschäftsmodellierung wie etwa Prognose, Umsatz, Kapazitätsplanung und Produktstrategie 
• Finanzberichterstattung

Die aktuellen und archivierten Ausgaben des DPA stehen auf den Seiten von Microsoft zum Download bereit.

Es werden pseudonymisierte Statistiken über die Nutzung erstellt.

Es findet durch die RWTH keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung Ihres RWTH-Microsoft-Accounts oder Azure statt.

Sichtbarkeit Ihrer Aktivitäten

Da es sich beim RWTH-Microsoft-Konto um einen Online-Account und bei Azure um ein cloudbasiertes Angebot mit einer sehr breiten Software- und Dienstpalette handelt, ist eine Beurteilung der Sichtbarkeit Ihrer Aktivitäten nicht abschließend möglich. Nachfolgend wird auf die gängigsten Anwendungen und verfolgbare Sichtbarkeiten eingegangen.

• Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie sich im Rahmen dieser Clouddienste mit anderen Nutzenden zusammenschließen.
• Wenn Clouddienste freigegeben werden, können diese für andere Nutzende sichtbar sein.
• Andere Nutzende können Sie im Rahmen der Clouddienste suchen und einladen. Dabei können Ihr Name sowie weitere Daten aus Ihrem RWTH-Microsoft-Konto sichtbar sein.
• Bei der Zusammenarbeit an Dokumenten können die Änderungen, die Sie oder andere an geteilten Dokumenten vornehmen sowie Metadaten wie Änderungszeitpunkte usw., sichtbar sein.

Benutzungsprofil

Ihr RWTH-Microsoft-Konto enthält in der initialen Befüllung nur Ihren Vor- und Nachnamen, Ihre im Benutzerkonto hinterlegte RWTH-E-Mail-Adresse und Ihren Zugehörigkeitsstatus zur RWTH. In einigen Diensten ist es möglich, das Benutzungsprofil selbstständig, um weitere Angaben zu ergänzen, wovon aber abzuraten ist. Dies ist für die dienstliche Nutzung und für die Erfüllung von öffentlichen Aufgaben nicht erforderlich. Die entsprechenden Ergänzungen erfolgen freiwillig, sollen aus Gründen der Datensparsamkeit aber nicht erfolgen.

Datenkategorien und Betroffene

Folgende Datenkategorien (1-6) werden bei der Nutzung von Azure verarbeitet und gespeichert:

1. Dokumente und Dateien (die Daten, die bei den Nutzenden erhoben werden)
2. Personenbezogene Basis- und Kontaktdaten (Vor- und Nachname, Cloud-ID und E-Mail-Adresse, Art der Lizenz)
3. Authentifizierungsdaten (ggf. MFA Daten, die bei den Nutzer*innen erhoben werden)
4. Profilerstellung (die Daten, die bei den Nutzer*innen erhoben werden)
5. Logfile mit Zugriffen (die Daten, die bei den Nutzer*innen erhoben werden)
6. System generierte Protokolldaten (z.B. Zugriffs- und Änderungshistorie) (die Daten, die bei den Nutzer*innen erhoben werden)

Bei der Nutzung von Azure werden die Daten folgender Betroffenen in genanntem Umfang verarbeitet bzw. gespeichert:

• Personen, die Azure online nutzen oder administrieren (alle Kategorien)
• Personen, die in der Kommunikation und in Dokumenten identifizierbar sind (Datenkategorien 5 und 6)
• Personen, die Azure lokal nutzen (Datenkategorien 2,3)

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage der Datenverarbeitung

Die Bereitstellung von Microsoft Azure und die Nutzung durch Mitarbeitende der RWTH erfolgt mit folgender Rechtsgrundlage:

• Art. 6 Abs. 1 S. 1 lit. e), Abs. 3, i.V.m. § 18 Abs. 1 DSG NRW, d. h. Nutzung von Azure in der Rolle als Beschäftigter der RWTH zur Erfüllung der damit verbundenen Aufgaben der Hochschule. 

Datenlöschung und Speicherdauer

Die Nutzung von Azure ist projektbezogen. Sobald das Projekt abgeschlossen ist und Azure von den Einrichtungen gekündigt wird, werden die projektbezogenen Daten gelöscht. 

Zugriffsberechtigte Personengruppen oder Personen

Zugriffsberechtigte Personen sind grundsätzlich die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu bestimmten dafür relevanten Daten haben:

• Administrierende haben Vollzugriff zur Verwaltung des Tenants auf alle Datenkategorien
• Support-Mitarbeitende haben lesenden Zugriff auf Daten im Benutzerverzeichnis zu Supportzwecken aus den Datenkategorien: 2, 3

Weitere Empfänger der Daten

• Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
• Microsoft Corporation, zwecks Auftragsverarbeitung, Vertragserfüllung und eigener Zwecke

Die ausführliche Dokumentation der Verarbeitungszweck erfolgt jeweils im aktuellen DPA. 
Die Datenübertragung an die Microsoft Corporation erfolgt auch auf Basis des Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework.

4. Allgemeine Hinweise

Azure wird betrieben von der Firma Microsoft Corporation, One Microsoft Way Redmond, Washington 98052.

Bei der Nutzung von Microsoft Azure gelten die Nutzungsbedingungen von Microsoft, die Microsoft-Produkt- und Onlinebestimmungen und die Nutzungshinweise der RWTH zu Microsoft Azure. Die Datenschutzinformationen von Microsoft zu Azure finden Sie auf der Seite Microsoft-Datenschutzbestimmungen.

5. Betroffenenrechte

Sie haben gemäß Artikel 15 ff. DS-GVO unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der Datenschutz-Aufsichtsbehörde (https://www.ldi.nrw.de/), wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Stand: 02.2026