Datenschutzhinweise für Online-Meetings, Telefonkonferenzen und Webinare via „Microsoft Teams“ der HOWOGE
Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Microsoft Teams“ informieren. Microsoft Teams ist eine proprietäre Anwendung der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Teams kann wie folgt genutzt werden:
- als Client-Anwendung über eine Anmeldung mit Ihrem Microsoft 365-Account
- über die mobile App mit Ihrem Tablet, Smartphone etc.
- als Web-Anwendung über Ihren Webbrowser.
1. Wer ist die verantwortliche Stelle für Datenerhebung und -verarbeitung?
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Nutzung von Microsoft Teams steht, ist die HOWOGE Wohnungsbaugesellschaft mbH. Stefan-Heym-Platz 1, 10367 Berlin (nachfolgend "HOWOGE").
Hinweis: Soweit Sie die Internetseite von „Microsoft Teams“ aufrufen, ist der Anbieter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen.
Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.
2. Wie erreichen Sie unsere Datenschutzbeauftragte?
Sie erreichen unsere Datenschutzbeauftragte unter: datenschutz@howoge.de
3. Was ist der Zweck der Verarbeitung?
Wir nutzen das Tool „Microsoft Teams“, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Online-Meetings“). Unser Fokus liegt hierbei in der internen und externen Kommunikation.
4. Welche Daten werden verarbeitet?
Bei der Nutzung von „Microsoft Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Angaben zum Benutzer: z. B. Anzeigename („Display Name“), ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache
Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort, Dauer des Gesprächs
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.
Dienstgenerierte Daten: Dies sind die IP-Adresse des Nutzers, eine anonymisierte UserID des Nutzers, auch die ID der Teams-Konferenz sowie des Tenants können nachvollziehbar sein.
Verfügbarkeitsstatus: Soweit Sie einen Microsoft-Account in unserer Organisation haben, kann ein Verfügbarkeitsstatus für andere Benutzer unserer Organisation sichtbar sein. Soweit sie nicht die automatisierte Statusänderungen von Microsoft nutzen möchten, können Sie diese auch manuell einstellen.
5. Was ist der Umfang der Verarbeitung?
Wir verwenden „Microsoft Teams“, um „Online-Meetings“ durchzuführen. Die technische Möglichkeit zur Aufzeichnung oder Transkription von „Online-Meetings“ haben wir grundsätzlich per Default deaktiviert. Falls die Aktivierung ausnahmsweise erforderlich sein sollte, werden wir Ihnen das zuvor transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
6. Was sind die Rechtsgrundlagen der Datenverarbeitung?
Soweit personenbezogene Daten von Mitarbeitenden oder Jobinteressierten der HOWOGE verarbeitet werden, bilden § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO die Rechtsgrundlage der Datenverarbeitung.
Sollten im Zusammenhang mit der Nutzung von „Microsoft Teams“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Microsoft Teams“ sein, so ist grundsätzlich Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“ zum Zwecke der internen und externen Kommunikation. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“. Hinsichtlich der dienstgenerierten Daten haben sowohl wir als auch Microsoft zudem Interesse an der ordnungsgemäßen Gewährleistung und IT-Sicherheit der IT-Systeme.
Hinsichtlich der Verarbeitung von Video- und/oder Tonaufnahmen erfolgt dies freiwillig durch die Freigabe der Kamera und/oder des Mikrophons, sodass Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) die Rechtsgrundlage darstellt. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem die Freigabe von Kamera und/oder Mikrophon widerrufen wird. Entsprechendes gilt auch für die Nutzung der Chatfunktion hinsichtlich der Verarbeitung von Textdaten.
7. Wer sind die Empfänger Ihrer Daten?
Bei der Nutzung von Microsoft 365 werden verschiedene personenbezogene Daten an Microsoft übermittelt. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen, wonach sich Microsoft zur Einhaltung verschiedener Pflichten aus der DSGVO unterworfen hat. Das Unternehmen Microsoft bedient sich daneben selbst weiterer Unterauftragsverarbeiter. In diesen jeweiligen Rechtsverhältnissen gelten die jeweiligen Vereinbarungen zur Auftragsverarbeitung im Sinne des Artikel 28 Abs. 3 DSGVO.
Empfänger der von Ihnen geäußerten, in den Chat eingestellten oder gezeigten Inhalte sind weiterhin die Teilnehmer an dem jeweiligen „Online-Meeting“.
8. Werden Daten außerhalb der Europäischen Union verarbeitet?
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an „Online-Meeting“ in einem Drittland aufhalten.
Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
Die Verarbeitung in Drittländern erfolgt auf der Grundlage der von der Europäischen Kommission beschlossenen EU-Standarddatenschutzklauseln gemäß Art. 46 DSGVO. Diese sind mit Microsoft vertraglich vereinbart und entsprechende Verpflichtungen werden an die Unterauftragsverarbeiter von Microsoft durchgereicht. Daneben werden durch Microsoft und uns viele verschiedene Zusatzmaßnahmen ergriffen, um ein vergleichbares Datenschutzniveau im Drittland zu gewährleisten, z. B.:
- So ist Microsoft u. a. nach ISO 27001, ISO 27002 und ISO 27018 zertifiziert.
- Soweit dies durch uns einstellbar ist, werden die optionalen Connected Experiences von uns deaktiviert sowie die Datenübermittlung von Diagnose- und Telemetriedaten an Microsoft so gering wie möglich gehalten. Dadurch wird die Analyse Ihres Verhaltens durch Microsoft zu deren eigenen Zwecken und die Anzahl an Datenübermittlungen ins Drittland weitestgehend reduziert.
9. Wann werden Ihre personenbezogenen Daten gelöscht?
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Sie haben jederzeit die Möglichkeit, auf die in Teams gespeicherten Inhaltsdaten zuzugreifen, diese zu extrahieren und zu löschen. Teams Chats und Beiträge werden als Kommunikationsdaten automatisch nach einer Aufbewahrungsdauer von zwei Jahren gelöscht. Audio- und Videotelefonie werden nicht aufgezeichnet. Dienstgenerierte Daten werden standardmäßig bis zu 30 Tage nach Erfassung gespeichert; längere Aufbewahrungszeiträume sind möglich, wenn dies zur Sicherheit der Dienste oder zur Erfüllung rechtlicher oder behördlicher Vorschriften erforderlich ist.
10. Welche Rechte stehen Ihnen im Zusammenhang mit der Verarbeitung Ihrer Daten zu?
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
10.1 Allgemeine Rechte
Sie haben ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und auf Datenübertragbarkeit. Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese uns gegenüber mit Wirkung für die Zukunft zu widerrufen.
10.2 Rechte bei der Datenverarbeitung nach dem berechtigten Interesse
Sie haben gem. Art. 21 Abs.1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs.1 e DSGVO (Datenverarbeitung im öffentlichen Interesse) oder aufgrund Artikel 6 Abs.1 f DSGVO (Datenverarbeitung zur Wahrung eines berechtigten Interesses) erfolgt, Widerspruch einzulegen, dies gilt auch für ein auf diese Vorschrift gestütztes Profiling. Im Falle Ihres Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
10.3 Rechte bei Direktwerbung
Sofern wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbung zu betreiben, so haben Sie gem. Art. 21 Abs. 2 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen, dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Im Falle Ihres Widerspruchs gegen die Verarbeitung zum Zwecke der Direktwerbung werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten
10.4 Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben zudem das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
11. Besteht eine Pflicht zur Bereitstellung Ihrer personenbezogenen Daten?
Die Angabe Ihrer Daten erfolgt grundsätzlich freiwillig. Wenn Sie mit den im Rahmen Ihrer Nutzung von Microsoft Teams verarbeiteten Daten nicht einverstanden sind, können Sie die bereitgestellten Dienste jedoch nicht nutzen.
12. Aktualisierung des Datenschutzhinweises
Wir passen den Datenschutzhinweis an veränderte Funktionalitäten oder geänderte Rechtslagen an. Daher empfehlen wir, den Datenschutzhinweis in regelmäßigen Abständen zur Kenntnis zu nehmen. Sofern Ihre Einwilligung erforderlich ist oder Bestandteile des Datenschutzhinweises Regelungen des Vertragsverhältnisses mit Ihnen enthalten, erfolgen die Änderungen nur mit Ihrer Zustimmung.
Stand: 23.02.2022