I. Verantwortlicher für die Datenverarbeitung

Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Rektor der RWTH Aachen University
Templergraben 55
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
E-Mail: rektorat@rwth-aachen.de
Website: www.rwth-aachen.de/rektorat

Verantwortliche Stelle für die interne Verarbeitung:

IT Center der RWTH Aachen University 
Seffenter Weg 23
52074 Aachen
E-Mail: servicedesk@itc.rwth-aachen.de
Webseite: www.itc.rwth-aachen.de

II. Datenschutzbeauftragte

Erreichbarkeit der behördlich bestellten Datenschutzbeauftragten:

Stabsstelle Datenschutz der RWTH Aachen University
Templergraben 83
52062 Aachen (Hausanschrift)
52056 Aachen (Postanschrift)
Deutschland
E-Mail: dsb@rwth-aachen.de
Website: www.rwth-aachen.de/datenschutz

III. Allgemeines zur Datenverarbeitung

Nutzungsumfang

• M365 Account (Nutzung des Microsoft Kontos zur Lizenzierung, lokal installierte Office 365 Anwendung)

Umfang der Verarbeitung personenbezogener Daten

Wie andere Softwarehersteller nutzt auch Microsoft personengebundene Lizenzen. Für die Nutzung von Microsoft 365 (M365) bedarf es daher eines personenbezogenen Microsoft-Kontos. Dieses RWTH-Microsoft-Konto wird anhand Ihrer Daten aus dem RWTH-Identity-Management-System durch das IT Center erstellt und von diesem kontrolliert.

Die Erstellung des Microsoft-Kontos erfolgt automatisch für alle Mitarbeiter*innen der RWTH. Mit diesem Konto ist die Nutzung von M365 und von den für Sie lizensierten Microsoft-Produkten möglich, solange und soweit diese von der RWTH zur Verfügung gestellt werden bzw. solange Sie Mitarbeiter*in der RWTH sind.

Zweck der Datenverarbeitung

Der Bezug von M365 umfasst die Nutzung von lizenzierten Produkten und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie den technischen und kundenbezogenen-Support. Durch die Nutzung werden auch Statistiken erstellt und Daten gegenüber Microsoft offen gelegt, die laut dem DPA von Microsoft aus April 2025 folgenden Zwecken dienen:

• Abrechnungs- und Kontoverwaltung
• Vergütung wie etwa Berechnung von Mitarbeiterprovisionen und Partner-Incentives
• Interne Berichterstattung und Geschäftsmodellierung wie etwa Prognose, Umsatz, Kapazitätsplanung und Produktstrategie
• Finanzberichterstattung

Die aktuellen und archivierten Ausgaben des DPA stehen hier zum Download bereit.

Die Datenübermittlung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags sowie des EU Data Privacy Framework. Sollte der Angemessenheitsbeschluss für ungültig erklärt werden, wird auf die Standardvertragsklauseln von Microsoft zurückgegriffen.

Die RWTH hat sich im Rahmen der MS EU Data Boundary für eine Datenresidenz in der EU entschieden.

Es werden anonymisierte Statistiken über die Nutzung erstellt.

Es findet durch die RWTH keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung Ihres RWTH-Microsoft-Accounts oder M365 statt.

Sichtbarkeit Ihrer Aktivitäten

Da es sich beim RWTH-Microsoft-Konto um einen Online-Account und bei M365 um ein cloudbasiertes Angebot mit einer sehr breiten Software- und Dienstpalette handelt, ist eine Beurteilung der Sichtbarkeit Ihrer Aktivitäten nicht abschließend möglich. Nachfolgend wird auf die gängigsten Anwendungen und verfolgbare Sichtbarkeiten eingegangen.

• Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie sich im Rahmen von MS Teams mit anderen Nutzenden zusammenschließen.
• Andere Nutzende können Sie im Rahmen von MS Teams suchen und einladen. Dabei können Ihr Name sowie weitere Daten aus Ihrem RWTH-Microsoft-Konto sichtbar sein.
• Bei der Zusammenarbeit an Dokumenten können die Änderungen, die Sie oder andere an geteilten Dokumenten vornehmen sowie Metadaten wie Änderungszeitpunkte usw., sichtbar sein.

Benutzungsprofil

Ihr RWTH-Microsoft-Konto enthält in der initialen Befüllung nur Ihren Vor- und Nachnamen, Ihre im Benutzerkonto hinterlegte RWTH-E-Mail-Adresse und Ihren Zugehörigkeitsstatus zur RWTH. In einigen Diensten ist es möglich, das Benutzungsprofil selbstständig, um weitere Angaben zu ergänzen, wovon aber abzuraten ist. Dies ist für die dienstliche Nutzung und für die Erfüllung von öffentlichen Aufgaben nicht erforderlich. Die entsprechenden Ergänzungen erfolgen freiwillig, sollen aus Gründen der Datensparsamkeit aber nicht erfolgen.

Datenkategorien und Betroffene

Folgende Datenkategorien (1-6) werden bei der Nutzung von M365 verarbeitet und gespeichert:

1. Personenbezogene Basis- und Kontaktdaten (E-Mail-Adresse, Nachname, Vorname, Cloud-ID)
2. Profilerstellung (Daten, die bei der Lizenznutzung entstehen: Letzte Nutzung der Lizenz, Datum und Name der editierten Dateien
3. Logfile mit Zugriffen (Daten zum verwendeten Endgerät: Gerät, Betriebssystem, IP-Adresse, Zugriffsdatum) und systemgenerierte Protokolldaten (Zugriffs- und Änderungshistorie, Dateiname
4. Dokumente und Dateien (Daten, die Nutzende selbstständig in der Cloud ablegen z.B. Chatinhalte, Autor und Datum der Erstellung, Autor und Datum der Änderung)
5. MFA-Methoden (z.B. Telefonnummer, Authenticator-App, Einmalpasswort)
6. Microsoft Teams Gruppen (Vor- und Nachname, Cloud-ID, Online-Aktivität falls nicht ausgestellt)

Bei der Nutzung von M365 werden die Daten folgender Betroffenen in genanntem Umfang verarbeitet bzw. gespeichert:

• Personen, die M365 online nutzen oder administrieren (Datenkategorie 1-6)
• Personen, die in der Kommunikation und in Dokumenten identifizierbar sind (Datenkategorie 2, 3)
• Personen, die Office 365 lokal nutzen (Datenkategorien 1, 2, 3, 5)

Rechtsgrundlage der Datenverarbeitung

Die Bereitstellung von M365 und die Nutzung durch Mitarbeitende der RWTH erfolgt mit folgender Rechtsgrundlage:

• Art. 6 Abs. 1 S. 1 lit. e), Abs. 3, DSGVO i.V.m. § 18 Abs. 1 DSG NRW, d. h. Nutzung von M365 erfolgt in der Rolle als Beschäftigter der RWTH zur Erfüllung der damit verbundenen Aufgaben der Hochschule

Datenlöschung und Speicherdauer

Grundsätzlich werden die Accounts der Mitarbeitenden der RWTH automatisch nach Verlust des entsprechenden Status im IdM, z.B. durch Ausscheiden aus der Hochschule, gelöscht. Es gelten folgende Löschfristen für die bei Microsoft gespeicherten Daten:

• Um eine Wiederherstellung des Accounts zu erlauben, werden nach Wegfall des Accounts, Daten der Datenkategorien 1, 2, 3, 5, 6 weitere 30 Tage gespeichert, sind aber nur noch für Administrierende sichtbar.
• Dokumente und Dateien (Datenkategorie 4) können entweder manuell durch den Nutzenden gelöscht werden oder werden bei Löschung des Accounts automatisch gelöscht. Zur Wiederherstellung durch den Nutzenden oder Administrierenden bei versehentlicher Löschung werden diese Daten aber noch 30 weitere Tage gespeichert, sind aber für andere Nutzenden nicht mehr sichtbar.
• In kollaborativen Arbeitsbereichen (Datenkategorien 4, 6) werden die Daten in der Regel so lange vorgehalten, wie dieser Arbeitsbereich existiert. Die Daten müssen hier manuell gelöscht werden.
• Daten der Datenkategorie 3 werden grundsätzlich nach 180 Tagen gelöscht.

Zugriffsberechtigte Personengruppen oder Personen

Zugriffsberechtigte Personen sind grundsätzlich die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu bestimmten dafür relevanten Daten haben:

• Administrierende haben Vollzugriff zur Verwaltung des Tenants auf alle Datenkategorien
• Support-Mitarbeitende haben lesenden Zugriff auf Daten im Benutzerverzeichnis zu Supportzwecken aus allen den Datenkategorien
• MS Teams Nutzende, die einer MS Teams Gruppe angehören, können personenbezogene Daten aus Datenkategorien 4 und 6 von anderen MS Teams Nutzenden aus dieser Gruppe, sowohl intern als auch extern, einsehen. Auch Gäste innerhalb der Gruppe können die genannten Daten einsehen.
• Angehörige der RWTH, die MS Teams nutzen, können über die Suche in MS Teams personenbezogene Daten aus Datenkategorie 6 von anderen MS Teams Nutzenden der RWTH einsehen.
• Bei Kollaboration mit externen Partnern: der externe Partner als „Gast“ bei entsprechender Freigabe (Einladung) durch Nutzende der RWTH (Datenkategorien 4, 6)

Weitere Empfänger der Daten

• Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
• Microsoft Corporation, zwecks Auftragsverarbeitung, Vertragserfüllung und eigener Zwecke

IV. Allgemeine Hinweise

M365 wird betrieben von der Firma Microsoft Corporation, One Microsoft Way Redmond, Washington 98052.

Bei der Nutzung von M365 gelten die Nutzungsbedingungen von Microsoft (https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen) (externer Link), die Microsoft-Produkt- und Onlinebestimmungen (https://www.microsoft.com/licensing/terms/de-DE/productoffering) (externer Link) und die Nutzungshinweise der RWTH zu M365. Die Datenschutzinformationen von Microsoft zu M365 finden Sie unter https://privacy.microsoft.com/de-de/privacystatement (externer Link).

V. Betroffenenrechte

Sie haben gemäß Artikel 15 ff. DS-GVO unter den dort definierten Voraussetzungen das Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DS-GVO das Recht der Beschwerde bei der Datenschutz-Aufsichtsbehörde (https://www.ldi.nrw.de/), wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Aktueller Stand

Es gelten die Nutzungshinweise und Datenschutzinformationen in der jeweils geltenden Fassung.

Stand: August 2025