Sie befinden sich im Service: Microsoft 365

Datenschutzinformationen zur Erstellung von Microsoft-Konten zur dienstlichen Nutzung durch Mitarbeitende der RWTH (Microsoft 365)

Datenschutzinformationen zur Erstellung von Microsoft-Konten zur dienstlichen Nutzung durch Mitarbeitende der RWTH (Microsoft 365)

Kurzinformation

I. Verantwortlicher für die Datenverarbeitung

Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Rektor der RWTH Aachen University
Templergraben 55
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
E-Mail: rektorat@rwth-aachen.de
Website: www.rwth-aachen.de/rektorat

Verantwortliche Stelle für die interne Verarbeitung:

IT Center der RWTH Aachen University
Seffenter Weg 23
52074 Aachen
E-Mail: servicedesk@itc.rwth-aachen.de
Website: www.itc.rwth-aachen.de

II. Datenschutzbeauftragte

Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:

Stabsstelle Datenschutz der RWTH Aachen University
Templergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
E-Mail: dsb@rwth-aachen.de
Website: www.rwth-aachen.de/datenschutz

III. Allgemeines zur Datenverarbeitung

1. Nutzungsumfang

  • M365 Account (Nutzung des Microsoft Kontos zur Lizenzierung, lokal installierte Office 365 Anwendung)

Nur in der erweiterten M365 Nutzung:

  • Office Web Apps bzw. Office for the Web
  • OneDrive for Business
  • SharePoint Online

2. Umfang der Verarbeitung personenbezogener Daten

Wie andere Softwarehersteller nutzt auch Microsoft personengebundene Lizenzen. Für die Nutzung von Microsoft 365 (M365) bedarf es daher eines personenbezogenen Microsoft-Kontos. Dieses RWTH-Microsoft-Konto wird anhand Ihrer Daten aus dem RWTH-Identity-Management-System durch das IT Center erstellt und von diesem kontrolliert. 

Die Erstellung des Microsoft-Kontos erfolgt automatisch für alle Mitarbeitende der RWTH. Mit diesem Konto ist die Nutzung von M365 und von den für Sie lizensierten Microsoft-Produkten möglich, solange und soweit diese von der RWTH zur Verfügung gestellt werden bzw. solange Sie Mitarbeitende der RWTH sind. 

Zweck der Datenverarbeitung

Der Bezug von M365 umfasst die Nutzung von lizenzierten Produkten und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie den technischen und kundenbezogenen-Support. Durch die Nutzung werden auch Statistiken erstellt und Daten gegenüber Microsoft offen gelegt, die laut dem DPA von Microsoft aus Januar 2024 folgenden Zwecken dienen:

  • Abrechnungs- und Kontoverwaltung
  • Vergütung wie etwa Berechnung von Mitarbeiterprovisionen und Partner-Incentives
  • Interne Berichterstattung und Geschäftsmodellierung wie etwa Prognose, Umsatz, Kapazitätsplanung und Produktstrategie 
  • Finanzberichterstattung

Die aktuellen und archivierten Ausgaben des DPA stehen zum Download bereit.

Es werden pseudonymisierte Statistiken über die Nutzung erstellt.

Es findet durch die RWTH keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung Ihres RWTH-Microsoft Accounts oder M365 statt.

Sichtbarkeit Ihrer Aktivitäten

Da es sich beim RWTH-Microsoft-Konto um einen Online Account und bei M365 um ein cloudbasiertes Angebot mit einer sehr breiten Software- und Dienstpalette handelt, ist eine Beurteilung der Sichtbarkeit Ihrer Aktivitäten nicht abschließend möglich. Nachfolgend wird auf die gängigsten Anwendungen und verfolgbare Sichtbarkeiten eingegangen:

  • Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie sich im Rahmen dieser Clouddienste mit anderen Nutzenden zusammenschließen.
  • Wenn Dateien über OneDrive oder andere Clouddienste freigegeben werden, können diese für andere Nutzende sichtbar sein.
  • Andere Nutzende können Sie im Rahmen der Clouddienste suchen und einladen. Dabei können Ihr Name sowie weitere Daten aus Ihrem RWTH-Microsoft-Konto sichtbar sein.
  • Bei der Zusammenarbeit an Dokumenten können die Änderungen, die Sie oder andere an geteilten Dokumenten vornehmen sowie Metadaten wie Änderungszeitpunkte usw., sichtbar sein.

Benutzungsprofil

Ihr RWTH-Microsoft-Konto enthält in der initialen Befüllung nur Ihren Vor- und Nachnamen, Ihre im Benutzerkonto hinterlegte RWTH-E-Mail-Adresse und Ihren Zugehörigkeitsstatus zur RWTH. In einigen Diensten ist es möglich, das Benutzungsprofil selbstständig, um weitere Angaben zu ergänzen, wovon aber abzuraten ist. Dies ist für die dienstliche Nutzung und für die Erfüllung von öffentlichen Aufgaben nicht erforderlich. Die entsprechenden Ergänzungen erfolgen freiwillig, sollen aus Gründen der Datensparsamkeit aber nicht erfolgen.

Datenkategorien und Betroffene

Folgende Datenkategorien (1-6) werden bei der Nutzung von M365 verarbeitet und gespeichert:

  1. Dokumente und Dateien (die Daten, die bei den Nutzenden erhoben werden)
  2. Personenbezogene Basis- und Kontaktdaten (Vor- und Nachname, CloudID und E-Mail-Adresse, Art der Lizenz)
  3. Authentifizierungsdaten (ggf. MFA Daten, die bei den Nutzenden erhoben werden)
  4. Profilerstellung (die Daten, die bei den Nutzenden erhoben werden)
  5. Logfile mit Zugriffen (die Daten, die bei den Nutzenden erhoben werden)
  6. System generierte Protokolldaten (z.B. Zugriffs- und Änderungshistorie) (die Daten, die bei den Nutzenden erhoben werden)

Bei der Nutzung von M365 werden die Daten folgender Betroffenen in genanntem Umfang verarbeitet bzw. gespeichert:

  • Personen, die M365 online nutzen oder administrieren (alle Kategorien)
  • Personen, die in der Kommunikation und in Dokumenten identifizierbar sind (Datenkategorien 5 und 6)
  • Personen, die Office 365 lokal nutzen (Datenkategorien 2,3)

3. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Bereitstellung von M365 und die Nutzung durch Mitarbeitende der RWTH erfolgt mit folgender Rechtsgrundlage: 

  • Art. 6 Abs. 1 S. 1 lit. b) DSGVO – Verarbeitung zur Vertragserfüllung, d. h. Vertragserfüllung gegenüber Microsoft (Datenkategorien 2, 4, 5, 6)
  • Art. 6 Abs. 1 S. 1 lit. e), Abs. 3, Art. 88 Abs. 1 DSGVO i.V.m. § 18 Abs. 1 DSG NRW, d. h. Nutzung von M365 erfolgt in der Rolle als Beschäftigter der RWTH zur Erfüllung der damit verbundenen Aufgaben der Hochschule (Datenkategorien 1, 2, 3)
  • Art. 6 Abs. 1 S.1 lit. e), Abs. 3 DSGVO i.V.m. § 8 Abs. 7, § 25 Abs. 1 HG NRW, d. h. die Hochschulverwaltung sorgt für die Erfüllung der Aufgaben der Hochschule in Planung, Verwaltung und Rechtsangelegenheiten (Datenkategorien 1, 2, 3)

4. Datenlöschung und Speicherdauer

Grundsätzlich werden die Accounts der Mitarbeitenden der RWTH automatisch nach Verlust des entsprechenden Status im IdM, z.B. durch Ausscheiden aus der Hochschule, gelöscht. Es gelten folgende Löschfristen für die bei Microsoft gespeicherten Daten:

  • Um eine Wiederherstellung des Accounts zu erlauben, werden nach Wegfall des Accounts, Daten der Datenkategorien 2, 3 weitere 30 Tage gespeichert, sind aber nur noch für Administrierende sichtbar.
  • Dokumente und Dateien (Datenkategorie 1) können entweder manuell durch den Nutzenden gelöscht werden oder werden bei Löschung des Accounts automatisch gelöscht. Zur Wiederherstellung durch den Nutzenden oder Administrierenden bei versehentlicher Löschung werden diese Daten aber noch 30 weitere Tage gespeichert, sind aber für andere Nutzenden nicht mehr sichtbar. 
  • Daten der Datenkategorien 4, 5, 6 werden grundsätzlich nach 180 Tagen gelöscht.

5. Zugriffsberechtigte Personengruppen oder Personen

Zugriffsberechtigte Personen sind grundsätzlich die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu bestimmten dafür relevanten Daten haben:

  • Administrierende haben Vollzugriff zur Verwaltung des Tenants auf alle Datenkategorien
  • Support-Mitarbeitende haben lesenden Zugriff auf Daten im Benutzerverzeichnis zu Supportzwecken aus den Datenkategorien: 2, 3

6. Weitere Empfänger der Daten

  • Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
  • Microsoft Corporation, zwecks Auftragsverarbeitung, Vertragserfüllung und eigener Zwecke

Die ausführliche Dokumentation der Verarbeitungszweck erfolgt jeweils im aktuellen DPA
Die Datenübertragung an die Microsoft Corporation geschieht auf Basis eines Auftragsverarbeitungsvertrags und des EU Data Privacy Framework.

IV. Allgemeine Hinweise

M365 wird betrieben von der Firma Microsoft Corporation, One Microsoft Way Redmond, Washington 98052.

Bei der Nutzung von M365 gelten die Nutzungsbedingungen von Microsoft, die Microsoft-Produkt- und Onlinebestimmungen und die Nutzungshinweise der RWTH zu M365. Die Datenschutzinformationen von Microsoft zu M365 finden Sie auf den Seiten von Microsoft.

V. Betroffenenrechte

Sie haben gemäß Artikel 15 ff. DS-GVO unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Aktueller Stand

Es gelten die Nutzungshinweise und Datenschutzinformationen in der jeweils geltenden Fassung.

Stand: April 2024
 

zuletzt geändert am 02.05.2024

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz