Zentrum für Informations- und Kommunikationstechnologie (ZIK)

Datenschutzerklä­rung zur Nutzung von Microsoft 365

An der PH Freiburg wird der Cloud-Dienst Microsoft 365 eingesetzt, in dem Microsoft als Auftragsverarbeiter gemäß Art. 28 DSGVO auftritt. In diesem Zusammenhang werden personenbezogene Daten unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen verarbeitet. Der Auftrag zur Datenverarbeitung nach Standardvertragsklauseln (SCC) ist festgehalten in den geltenden AGB von Microsoft (Microsoft Online Service Terms). Die PH Freiburg ist Teil des Landesvertrags Baden-Württemberg, aus dessen Lizenzen eine kostenlose Nutzung der Cloud-Dienste für Beschäftigte und Studierenden hervorgeht.

Kontaktdaten des Verantwortlichen

Pädagogische Hochschule Freiburg, vertreten durch den Rektor Prof. Dr. Druwe
Kunzenweg 21
79117 Freiburg
Tel.:0761 / 682-0
E-Mail: poststelle(at)ph-freiburg.de

Kontaktdaten des Datenschutzbeaufragten

datenschutz(at)ph-freiburg.de

Zwecke der Datenverarbeitung

Bezug und Nutzung von Microsoft 365 für umfassende Zusammenarbeit und Kommunikation als Hilfsmittel für die Lehre, Forschung und Verwaltung. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.
Eine Offenlegung der personenbezogenen Daten kann für folgende Zwecke an Microsoft erfolgen:

Datenschutzerklärung von Microsoft finden Sie unter https://privacy.microsoft.com/de-de/privacystatement
Informationen zu den Diagnosedaten finden Sie unter https://docs.microsoft.com/de-de/deployoffice/privacy/required-diagnostic-data

Datenkategorien

Die zu verarbeitenden Daten sind in drei Kategorien eingeteilt:

Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten Ihre Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Personenbezogene Daten, die zur Lizenzierung erforderlich sind (z.B. Name, E-Mail-Adresse oder Zugehörigkeit zur PH Freiburg) werden überdies auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet (Erfüllung eines Vertrags).
Sonstige personenbezogene Daten, die zur Erfüllung der öffentlichen Aufgaben der Hochschule erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO verarbeitet.

Empfänger von personenbezogenen Daten

Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung, Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke, sowie deren Unterauftragsverarbeiter und Supportdienstleister.
Soweit Sie mit anderen Personen kommunizieren, sind diese Empfänger Ihrer hierdurch offengelegten personenbezogenen Daten.

Dauer der Datenspeicherung

Ihre personenbezogenen Daten werden nach den Richtlinien von Microsoft automatisch nach Beendigung und Ablauf der Karenzzeit gelöscht. Laut Microsoft ist das zurzeit nach spätestens 180 Tagen.
Wenn die Verarbeitung auf Ihrer Einwilligung beruht, werden die Daten nur solange gespeichert, bis Sie Ihre Einwilligung widerrufen, es sei denn, es besteht eine andere Rechtsgrundlage für die Verarbeitung.

Ihre Rechte als Betroffene

Wenn die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, haben Sie ein Recht auf Auskunft über Ihre von der PH Freiburg verarbeiteten personenbezogenen Daten (Art. 15 DSGVO), ein Recht auf Berichtigung Ihrer personenbezogenen Daten (Art. 16 DSGVO), ein Recht auf Löschung (Art. 17 DSGVO), ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

Sie haben außerdem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die datenschutzrechtlichen Vorschriften verstößt. Die zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de).

Zusätzliche Risiken bei Datenübermittlungen in die USA

Bei der Nutzung von MS 365 und insbesondere von Teams können auch Daten auf Servern in den USA verarbeitet werden. Dabei geht es weniger um Inhalte von Chats, Videokonferenzen, Terminen, Aufgaben, Nutzerkonten und Teamzugehörigkeiten, sondern um Daten, die laut Microsoft dazu dienen, die Sicherheit und Funktion der Plattform zu gewährleisten und zu verbessern.
Nach der aktuellen Rechtslage in den USA haben US-Ermittlungsbehörden nahezu ungehinderten Zugriff auf alle Daten auf Servern in den USA. Die Nutzer und Nutzerinnen erfahren davon nichts und haben auch keine rechtlichen Möglichkeiten, sich dagegen zu wehren. Die Risiken, welche durch diese Zugriffsmöglichkeiten von US-Ermittlungsbehörden entstehen, schätzen wir allerdings als eher gering ein.

Thema CLOUD-Act

Im Rahmen des CLOUD-Act haben US-Ermittlungsbehörden auch Möglichkeiten, bei Microsoft die Herausgabe von personenbezogenen Daten, die auf Servern in der EU gespeichert sind, zu verlangen. Dort werden die meisten Daten gespeichert, die bei einer Nutzung von Microsoft/ Office 365 und Teams anfallen. Microsoft will nach eigener Aussage gegen solche Anfragen vor Gericht gehen. Nach Angaben von Microsoft ist die Anzahl dieser Anfragen recht gering, ob und inwieweit davon Hochschul-Konten betroffen sind, ist nicht bekannt.

Wie sicher ist MS 365?

Die Plattform genügt allen gängigen Sicherheitsstandards für Cloud Plattformen.

Wo kann ich mehr zum Datenschutz von Microsoft Teams erfahren?

Thema Sicherheit bei Microsoft - https://docs.microsoft.com/de-de/microsoftteams/security-compliance-overview
Die aktuelle Datenschutzerklärung von Microsoft kann hier eingesehen werden:
https://privacy.microsoft.com/de-de/privacystatement