Nutzungsbedingungen Microsoft 365 für Studierende (DSGVO)
Bitte beachten:
Bei Verlust des Studierendenstatus oder Deaktivieren der Haken im Selfservice geht auch der Zugriff auf die in M365 gespeicherten Inhalte verloren (z. B. Office, OneDrive, OneNote, SharePoint, usw.).
Nach einer standardmäßigen Frist von 30 Tagen wird der Account automatisch gelöscht und damit auch die Inhalte in M365.
Einwilligungserklärung nach DSGVO Art. 6 (1) a zur Nutzung des Cloud-Dienstes Microsoft 365
Alle Studierenden können die IT-Infrastruktur der RWTH Aachen nutzen. Zusätzlich zur lokalen Infrastruktur der Hochschule können Sie freiwillig zusätzlich Microsoft 365 nutzen. Microsoft 365 ist ein Cloud Service, der von Microsoft für Studierende der RWTH Aachen angeboten wird. Über diesen Service können diverse Microsoft Produkte und Online Dienste* in der Cloud zu Zwecken der studentischen Selbstorganisation und Kommunikation genutzt werden.
Die angebotenen Dienste werden auf Servern bereitgestellt, die in Cloud-Rechenzentren der Firma Microsoft und nicht im Rechenzentrum der RWTH Aachen stehen. Daher hat die RWTH Aachen physisch keinen Zugriff auf die Hardware. Die RWTH Aachen ist jedoch für die Realisierung der Authentifizierung und Verwaltung der Lizenzen verantwortlich.
Die Authentifizierung für Microsoft 365 wird über den Single-Sign-On Account (Shibboleth) realisiert. Mit der Nutzung bestätigen Sie folgende Punkte:
- Kenntnisnahme der Übermittlung personenbezogener Daten an Microsoft. Diese Daten sind konkret: Vor- und Nachname und Emailadresse und dienen ausschließlich der Authentifizierung des Nutzenden.
- Da es sich bei Microsoft 365 um eine Software mit US-Ursprung handelt, ist hier neben dem direkt geltenden nationalen und supranationalen Recht auch das US-Exportkontrollrecht zu beachten.
- Bei Verlust des Studierendenstatus oder Deaktivieren der Haken im Selfservice geht auch der Zugriff auf die in M365 gespeicherten Inhalte verloren (z. B. Office, OneDrive, OneNote, SharePoint, usw.). Nach einer standardmäßigen Frist von 30 Tagen wird der Account automatisch gelöscht und damit auch die Inhalte in M365. Betroffen von der Löschung sind auch in der Cloud gespeicherte BitLocker-Wiederherstellungsschlüssel. Dies hat zur Folge, dass die Nutzer*innen bei ausgelöster BitLocker-Abfrage nicht mehr auf die Daten der verschlüsselten Festplatte zugreifen können.
Das IT Center übernimmt keine Verantwortung für fehlgeschlagene oder unvollständige Sicherungen der in der Cloud gespeicherten Daten. - Bei Studierenden, die gleichzeitig auch Mitarbeitende der RWTH sind, gilt: die Nutzung des M365 Accounts im Studierenden-Tenant dient ausschließlich den oben genannten Zwecken. Die Nutzung von M365 im dienstlichen Kontext ist nur in eingeschränktem Maß und mit dem dafür vorgesehenen Tenant m365.rwth-aachen.de zulässig: (https://help.itc.rwth-aachen.de/service/468ad37bfd1f4fe19073f4465ea3c685/article/df27d5e5e92e4992b1465f62d0313d18/)
Das IT Center hat darüber hinaus noch folgende Rahmenbedingungen zentral realisiert:
- M365 wurde, soweit technisch möglich, auf folgende Apps reduziert: Outlook, Word, Excel, PowerPoint, OneNote, OneDrive, SharePoint online und Teams.
- Es wird folgender Lifecycle implementiert:
- Accounts der Studierenden werden nach dem Verlust des Studierendenstatus aus der RWTH Aachen aus dem M365 Bereich entfernt (d.h. die Nutzenden sind für andere nicht mehr sichtbar und können sich nicht mehr einloggen). Die endgültige Löschung des Accounts sowie der zum Account gehörenden Daten im OneDrive, erfolgt entsprechend 30 Tage später.
- Gastaccounts werden nach 3 Monaten ohne Login automatisch aus dem M365 Bereich entfernt (d.h. die Nutzenden sind für andere nicht mehr sichtbar und können sich nicht mehr einloggen). Die endgültige Löschung des Accounts erfolgt nach 30 Tagen.
- Bei SharePoint Sites werden nach 3 Monaten Inaktivität entsprechende Benachrichtigungen an die Administratoren geschickt. Sollte nach dreimaliger Erinnerung im Abstand von je zwei Wochen keine Aktivität festgestellt werden, wird die jeweilige Site entfernt und nach 30 Tagen endgültig gelöscht.
- Es werden folgende Speicherlimits vergeben:
- Persönlicher OneDrive: 10 GB
- SharePoint Site: 50 GB
Für den Nutzenden gelten folgende Pflichten. Diese ergeben sich unmittelbar aus den Lizenzbedingungen von Microsoft sowie Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit:
- Die Nutzung der Software und Dienste von Microsoft erfolgt gemäß der jeweils aktuellen Fassung der Produktbestimmungen (PTs), der Bestimmungen für Onlinedienste (OSTs) sowie dem Nachtrag zum Datenschutz für Onlinedienste (DPA). Diese sind auf der Microsoft Website einsehbar.
- Die Software und Dienste sind ausschließlich zu Zwecken der studentischen Selbstorganisation und Kommunikation einzusetzen.
- Die Nutzung der Software und Dienste ist nicht für studentische Organisationen und Vereinigungen zugelassen.
- Die Sicherung der in der Cloud gespeicherten Daten obliegt den jeweiligen Nutzenden.
- Bei der Nutzung von M365 sind die gültigen Rechtsvorschriften und Regelungen (Lizenzrecht, Datenschutzrecht, Personalaktenrecht, Steuerrecht, Urheberrecht, Telemedienrecht, Archivrecht, US-Exportkontrollrecht u.W.) einzuhalten.
- Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Sämtliche Software muss gelöscht bzw. Dienste dürfen nicht weiter genutzt werden, wenn die RWTH Aachen den MS Bundesvertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Beitritt bzw. keine Verlängerungsbestellung einreicht oder keine zeitlich unbeschränkten Lizenzen erwirbt, je nachdem welches Ereignis als erstes eintritt.
- Die Speicherung von BitLocker Keys in der Cloud wird nicht empfohlen. Die Nutzung von BitLocker muss auf allen Geräten, auf denen über den Microsoft Tenant für Studierende in Windows aktiviert wurde, kontrolliert und ggf. deaktiviert werden.
- Bei der Nutzung der Office Web Apps werden die dort verarbeiteten Daten automatisch in der Cloud (im persönlichen OneDrive Bereich) gespeichert. Es gelten hier also dieselben Regeln wie für OneDrive.
- Für die in OneDrive und SharePoint online abgelegten Daten wird kein zentrales Backup durch das IT Center oder Microsoft erstellt. Es können gezielt Dokumente auf Endgeräte synchronisiert werden. In OneDrive werden die Dokumentenversionen der letzten 30 Tage online gespeichert.
- OneDrive und SharePoint online sind keine Systeme zur dauerhaften Speicherung im Sinne einer Archivierung.
Mit der Nutzung von M365 akzeptieren Sie die oben genannten Regelungen.
Nähere Informationen zu Microsoft 365 und den datenschutzrechtlichen Angaben finden Sie unter https://privacy.microsoft.com/de-de/privacy (https://privacy.microsoft.com/de-de/privacy) und (https://privacy.microsoft.com/de-de/privacystatement).
Die Nutzung von Microsoft 365 ist freiwillig. Gemäß § 17 DSGVO können Sie jederzeit gegenüber des IT Centers (servicedesk@itc.rwth-aachen.de) die Berichtigung, Löschung und Sperrung Ihrer personenbezogenen Daten verlangen. Sie können darüber hinaus jederzeit ohne Angabe von Gründen die erteilte Einwilligungserklärung mit Wirkung für die Zukunft abändern oder gänzlich widerrufen, indem Sie dies über Entfernung des Häkchens im Selfservice tun: www.rwth-aachen.de/selfservice (https://www.rwth-aachen.de/selfservice)
Darüber hinaus empfehlen wir folgende Handlungsweisen:
- Nutzen Sie die Möglichkeit, die abgelegten Daten und Dokumente mit entsprechenden Kategorien zu labeln.
- Eine ausschließliche Nutzung der WebApps (ohne alternative lokale Office Lösungen) wird aufgrund der fehlenden Möglichkeit der reinen lokalen Speicherung nicht empfohlen.
- Bitte beachten Sie bei der Verarbeitung und Speicherung von Forschungsdaten die bestehenden FDM-Prozesse und -Lösungen an der RWTH Aachen.
- Eine Nutzung von privaten Endgeräten erfolgt auf eigene Verantwortung. Bei Verlust der Daten auf dem Endgerät kann keinerlei Garantie und Support seitens der RWTH übernommen werden.
*Outlook, Word, Excel, PowerPoint, OneNote, OneDrive, SharePoint und Teams