Ergänzend zu unserer Datenschutzinformation für Beschäftigte möchten wir diese bezüglich der Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Office 365 wie folgt präzisieren:

1. Verantwortlicher:

Verantwortlicher für die Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Nutzung von Office 365 steht, ist die MTH Retail Group Holding GmbH, 2353 Guntramsdorf, Industriestraße 7, bzw. die jeweilige rechtliche Gesellschaft der Unternehmensgruppe innerhalb welcher die die Nutzung von Office 365 erfolgt.

2. Zweck der Verarbeitung:

Die Nutzung eines Collaboration-Tools innerhalb der Unternehmensgruppe um ein gemeinsames Arbeiten sicher stellen zu können.

3. Rechtsgrundlage der Verarbeitung:

Die Verarbeitung personenbezogener Daten bei Nutzung von Office 365 erfolgt auf der Grundlage der Art. 6 Abs 1 lit. f also dem berechtigten Interesse an der effizienten Bereitstellung einer Office-Infrastruktur, Art 6 Abs 1 lit b DSGVO.

4. Kategorien betroffener Personen:

Mitarbeiter*Innen

5. Kategorien von personenbezogenen Daten:

• IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft Office 365 erfolgt.
• Bei mobilem Zugriff auf Office 365 werden überdies technische Details zum verwendeten Gerät an Microsoft übertragen
• Benutzername (Zugangsdaten zu den Microsoft Office 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z. B. optional die (private) Handynummer).
• Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der O365 Anwendungen kennzeichnet.
• Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie jederzeit sichtbar und können von Ihnen individuell angepasst werden.
• Telemetriedaten sind Nutzungsdaten von Office 365 die nach der Erhebung anonymisiert an Microsoft weitergeleitet werden.

 

6. Kategorien von Empfängern:

Intern:

Administratoren (alle technischen Daten und Kommunikationsdaten, soweit für administrative Zwecke erforderlich)

Extern:

• Microsoft (zur Bereitstellung der Dienste von Office 365, Auswertung von Telemetriedaten)
• Dienstleister, Administratoren (alle technischen und öffentlichen Daten, soweit für administrative Zwecke erforderlich)
• Ermittlungsbehörden (alle Daten betroffener Benutzer, Daten im persönlichen Nutzerverzeichnis nur im Verdachtsfall einer Straftat)
• US Ermittlungsbehörden haben Zugriff nach US amerikanischem Recht (weitere Informationen, siehe unten).

 

7. Löschfristen:

Mit dem Ende des Dienstverhältnisses erlischt das Anrecht auf die Nutzung von Office 365. Entsprechend wird die Zuweisung von Office 365 Lizenzen unmittelbar aufgehoben. Damit verliert der Benutzer den Zugriff auf Online Dienste und -Daten.

Das bedeutet Folgendes:

• Alle Daten im Zusammenhang mit dem Konto dieses Benutzers werden von Microsoft 30 Tage aufbewahrt. Eine Ausnahme bilden Daten mit gesetzlicher Aufbewahrungspflicht, die entsprechend dieser Fristen aufbewahrt werden.
• Nach Ablauf der 30-tägigen Frist werden die Daten von Microsoft gelöscht und können nicht wiederhergestellt werden. Ausgenommen sind Dokumente, die auf SharePoint Online-Websites gespeichert sind.

Benutzer müssen ihre Daten vorher eigenständig sichern.

8. Betroffenenrechte:

Es besteht ein Recht auf Auskunft über Ihre personenbezogenen Daten, ferner haben Sie ein Recht auf Berichtigung, Löschung oder Einschränkung, ein Widerspruchsrecht gegen die Verarbeitung und ein Recht auf Datenübertragbarkeit. Zudem steht Ihnen ein Beschwerderecht bei der Datenschutzaufsichtsbehörde zu.

9. Zusätzliche Informationen

Datenschutz bei Verarbeitung von personenbezogenen Daten in den USA

Bei der Nutzung von Office 365 können auch Daten auf Servern in den USA verarbeitet werden. Dabei geht es weniger um Inhalte von Chats, Videokonferenzen, Terminen und gestellten Aufgaben, Nutzerkonten und Teamzugehörigkeiten, sondern um Daten, welche dazu dienen, die Sicherheit und Funktion der Plattform zu gewährleisten und zu verbessern. Nach der aktuellen Rechtslage in den USA haben US Ermittlungsbehörden nahezu ungehinderten Zugriff auf alle Daten auf Servern in den USA. Nutzer erfahren davon nichts und haben auch keine rechtlichen Möglichkeiten, sich dagegen zu wehren. Die Risiken, welche durch diese Zugriffsmöglichkeiten von US Ermittlungsbehörden entstehen, dürften eher gering sein.

Thema CLOUD-Act

Im Rahmen des CLOUD-Act haben US Ermittlungsbehörden auch Möglichkeiten, bei Microsoft die Herausgabe von personenbezogenen Daten, die auf Servern in der EU gespeichert sind, zu verlangen. Microsoft hat sich in den erweiterten Standard-Vertrags-Klauseln dazu verpflichtet alle behördlichen Zugriffe auf Daten von europäischen Bürgern gerichtlich zu bekämpfen. Aus Sicht der europäischen Datenschutzbehörden, ist das eine wirksame Schutzmaßnahme.

Wo werden meine personenbezogenen Daten verarbeitet?

Die Verarbeitung von personenbezogenen Daten in Office 365 und angebundenen Produkten erfolgt überwiegend auf Servern mit Standort Deutschland. Es ist möglich, dass sogenannte Telemetriedaten, eine Art Diagnosedaten, in den USA verarbeitet werden.

Wie sicher ist Office 365?

Die Plattform genügt allen gängigen Sicherheitsstandards für Cloud Plattformen.

Wo kann ich mehr zum Datenschutz von Office 365 erfahren?

Thema Datenschutz & Sicherheit bei Microsoft – https://www.microsoft.com/de-de/trust-center/privacy

Die aktuelle Datenschutzerklärung von Microsoft kann hier eingesehen werden:

https://privacy.microsoft.com/de-de/privacystatement