Microsoft365 ist ein Cloud Service der von Microsoft für Mitarbeitende der RWTH Aachen angeboten wird und über den diverse Office Produkte (z.B. Teams) zur Verfügung stehen. Seitens der RWTH Aachen University wird die Nutzung organisatorisch wie technisch auf die Anwendung Teams und, für die lokale Verwendung für den dienstlichen Einsatz auf dienstlichen Geräten, die Anwendungen OneNote, Outlook, Word, Excel und PowerPoint eingeschränkt.

Die angebotenen Dienste werden auf Servern bereitgestellt, die nicht in Rechenzentren der RWTH stehen und auf die die RWTH physisch keinen Zugriff hat. Allein Microsoft ist für die dort angebotenen Dienste verantwortlich.

Die Authentifizierung für Microsoft365 wird über den Single Sign-On Account (Shibboleth) realisiert. Mit der Nutzung bestätigen Sie folgende Punkte:

• Kenntnisnahme der Übermittlung personenbezogener Daten an Microsoft. Diese Daten sind konkret: Vor- und Nachname und E-Mail-Adresse und dienen ausschließlich der Identifizierung des Nutzenden.
• Da es sich bei Microsoft365 um eine Software mit US-Ursprung handelt, ist hier neben dem direkt geltenden nationalen und supranationalen Recht auch das US-Exportkontrollrecht zu beachten. Weitere Informationen hierzu finden Sie hier.

Für die Nutzung gelten folgende Rahmenbedingungen:

1. Die Nutzung erfolgt über einen eigenen Bereich m365.rwth-aachen.de, der ausschließlich für diesen Zweck in Betrieb genommen wurde
2. Der neue M365 Bereich wurde, soweit technisch möglich, auf folgende Apps reduziert: Neben Microsoft Teams, stehen OneNote und die Office-Anwendungen Outlook, Word, Excel und PowerPoint zur lokalen Verwendung für den dienstlichen Einsatz auf dienstlichen Geräten zur Verfügung. Das bedeutet, dass keine weiteren Apps von M365 für die Mitarbeitenden nutzbar sind und auch in Teams selber keine weiteren Drittanbieter-Apps integriert werden können
3. Die Weitergabe von personenbezogenen Daten (d.h. Vorname, Nachname, E-Mail-Adresse) wird über das IT Center gesteuert
4. Die Authentifizierung erfolgt über den Single Sign On Dienst (Shibboleth) der RWTH. Es werden keine Zugangsdaten (Benutzername + Passwort) an Microsoft weitergegeben

Des Weiteren bestehen für den Nutzenden folgende Pflichten:

1. Der Schutzbedarf der Daten, die in Microsoft365 abgelegt werden, muss hinsichtlich der Datenkategorie, dem Schutzbedarf und der Eignung geprüft werden und ggf. mit dem Datenschutzbeauftragten der RWTH Aachen abgestimmt werden.
2. Die Sicherung der in der Cloud gespeicherten Daten obliegt dem jeweiligen Nutzenden
3. Die Nutzung von Microsoft365 für private Zwecke ist nicht erlaubt.
4. Geltende vertragliche Vereinbarungen, gesetzliche Bestimmungen oder RWTH interne Richtlinien zur Nutzung von Daten sind einzuhalten und ggf. mit dem Datenschutzbeauftragten abzustimmen. Beispiele sind Vereinbarungen mit Dritten zur Vertraulichkeit oder gesetzliche Vorgaben aus der Datenschutzgrundverordnung (DSVGO), die möglicherweise eine Ablage bei einem Cloud-Dienst ausschließen oder nur unter bestimmen Voraussetzungen erlauben. Insbesondere gilt:
   1. Personenbezogene besonders sensible Daten gem. Art. 9 Abs.1 DSGVO dürfen weder unverschlüsselt noch verschlüsselt in der Cloud gespeichert werden. Hierzu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
   2. Allgemeine personenbezogene Daten, die nicht unter die unter a. genannten Daten fallen, sind nur verschlüsselt abzulegen. Eine unverschlüsselte Speicherung ist unzulässig.
5. Die geltenden Lizenz- und Nutzungsbestimmungen der Firma Microsoft sind einzuhalten: https://www.microsoft.com/de-DE/useterms und https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen