Datenschutzerklärung nach der DSGVO
1 Name und Anschrift des Verantwortlichen
HWR Berlin
Informationstechnologie
Badensche Straße 52
10825 Berlin
Vertreten durch Prof. Andreas Zaby praesident@hwr-berlin.de
2 Name und Anschrift des behördlichen Datenschutzbeauftragten
Klaus Hoogestraat (ITM Management & Consulting GmbH)
Badensche Str. 52
10825 Berlin
datenschutz@hwr-berlin.de
3 Datenschutzinformationen zu Microsoft 365 (inkl. Teams)
3.1 Zwecke der Verarbeitung
Eingesetzt werden folgende Applikationen innerhalb der MS365-Suite:
- Word, Excel, Power Point, OneNote, Staff Notebook
- Teams
- OneDrive
- Lists
- Stream
- Project for Office
- Whiteboard
- Sharepoint
- Delve
Die Verarbeitung der personenbezogenen Daten erfolgt zu folgenden Zwecken:
3.1.1 Allgemein:
Bezug und Nutzung der Applikationssuite Microsoft 365 für die umfassende Zusammenarbeit und Kommunikation als Hilfsmittel für die Lehre, Forschung und Verwaltung. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support. Es werden anonymisierte Statistiken über die Nutzung erstellt.
- Kommunikation und Informationsaustausch innerhalb des Unternehmens und mit Geschäftspartnern (Audio, Video, Text)
- Speichern und Nutzen von Kontaktdaten, Verwendung von E-Mails als Kommunikationsmedium, Terminorganisation
- Speichern von Unternehmensdaten und Informationen, Erfassung von Kontaktprofilen, Zusammenarbeit an Unternehmensdaten und -informationen sowie Projekten
- Erfassung von Aufgaben und Verantwortlichkeiten
- Verwaltung von Berechtigungen (teilweise applikationsspezifisch)
- Versionsverwaltung von Dateien und Daten
- Freiwillige Darstellung von Verfügbarkeit und Erreichbarkeit der Mitarbeiter
Eine Offenlegung der personenbezogenen Daten kann für folgende Zwecke an Microsoft erfolgen:
- Abrechnung- und Kontoverwaltung
- Interne Vergütung sowie der Partner
- Interne Berichterstattung und Modellierung
- Bekämpfung von Betrug
- Cyberkriminalität oder Cyberangriffen
- Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
- Finanzberichterstattung
- Einhaltung gesetzlicher Verpflichtungen
Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)
- Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO
- Für vertraglich nicht erforderliche Zwecke §6a Absatz 5 Nr. 3 BerlHG
3.1.2 MS Teams:
– Durchführung von Videokonferenzen, Chats, Videoaufzeichnungen von Videokonferenzen, Austausch von Dateien
3.2 Rechtsgrundlage für die Verarbeitung
Für die Hochschule und Personen, die in Kommunikation und Dokumenten identifizierbar sind: Art. 6 Abs. 1 lit. e DSGVO / §3 BlnDSG / §6 (1) Nummern 1-11 BerlHG und §6 (1) 12 BerlHG i.V.m. §4 BerlHG.
Für die Personen, die Microsoft 365 nutzen in der Rolle als Beschäftigter zudem Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung der Arbeitspflichten des Tarifvertrags, sowie §26 BDSG i.V.m. Art. 88 DSGVO.
Für die Personen, die Microsoft 365 nutzen in der Rolle als Beamter zudem Art. 6 Abs. 1 lit. c DSGVO i.V.m. Landesbeamtengesetz zur Erfüllung dienstrechtlicher Pflichten.
Logfiles, Aktivitätenlogs: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Die rechtliche Verpflichtung besteht daraus technische Sicherheitsmaßnahmen zu implementieren und Sicherheitsvorfälle aufzuklären. Rechtsgrundlage ist Art. 6 (1) e DSGVO i.V.m. Art. 32 DSGVO und §26 (3) BlnDSG, sowie §50 BlnDSG.
3.3 Arten und Kategorien von personenbezogenen Daten
Wir verarbeiten zu den in 3.1 genannten Zwecken folgende Kategorien und Arten Daten vom Nutzer:
- Daten, die für die Administration der Anwendung benötigt werden
- Diagnosedaten
- Kundendaten
- Rollen und Rechte / Gruppenzugehörigkeiten
- Stammdaten
- Verbindungsdaten
- Vom Dienst generierte Daten
- Ggf. Zahlungsdaten
- Hochgeladene Dateien und Aufzeichnungen
- Kommunikationsdaten (Text, Video, Bild, Ton)
- Logdateien und Serverlogdaten
3.4 Löschfristen
| Use Case # | Use Case | Sperrung | Löschung an HWR | Löschung bei Microsoft | Gesamt |
| 1 | Kündigung des Vertrages mit MS durch die HWR Berlin | 90 Tage** | 90 Tage ** | 180 Tage ** | |
| 2 | Löschung Account Studis | xx | 150 Tage** | 30 Tage** | 180 Tage** |
| Löschung Account MA, Lehrende, Lehrbeauftragte | xx | 30 – 60Tage** | 30 Tage** | 60 – 90 Tage** | |
| 3.1 – 3.2 | Chatverlauf | xx | 1 Beschäftigte, Lehrende
3,5 Jahre Studierende |
xx | 1 / 3 Jahre |
| 3.3. – 3.4 | Aufzeichnungen | xx | 1 Jahr | xx | 1 Jahr |
| 3.6 – 3.12. | Logfiles | xx | 30 Tage | xx | 30 Tage |
| 3.13. | Alle Anderen Apps und Daten | xx | Siehe Use Case # 2 | xx | xx |
**nach Austritt, Ausscheiden und Exmatrikulation aus der HWR Berlin
3.5 Ort der Verarbeitung
Das System MS 365 wird von Microsoft betrieben. Die Standorte der Server befinden sich vertraglich garantiert in Europa. Microsoft versendet ggf. personenbezogene Daten an Unterauftragsverarbeiter weltweit.
3.6 Empfängern der personenbezogenen Daten und Übermittlung der Daten in ein Drittland oder eine int. Organisation
Wir nutzen das Unternehmen Microsoft als ausführenden Auftragsverarbeiter für die Anwendung MS-Teams. MS Teams ist ein Cloud-Dienst, der von einem amerikanischen Anbieter erbracht wird. Bei den USA handelt es sich um ein Drittland außerhalb der Europäischen Union.
Mit Microsoft wurden EU-Standard-Vertragsklauseln bzw. ein Vertrag zur Auftragsverarbeitung geschlossen. Microsoft unterliegt dem US Cloud Act, welcher amerikanischen Behörden die Möglichkeit eröffnet auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Microsoft behält sich vor zu “legitimen Geschäftstätigkeiten[1]“ personenbezogene Daten der Kunden (alle personenbezogenen Daten einschließlich Text-, Ton-, Video- oder Bilddateien) als unabhängiger Verantwortlicher zu nutzen. Microsoft kann gemäß den abgeschlossenen Verträgen Unterauftragsverarbeiter beauftragen Dienstleistungen im Namen von Microsoft zu erbringen.
Nähere Informationen zur Datenverarbeitung von Microsoft finden Sie im MS Trust Center und der MS Datenschutzerklärung.
3.6.1 Garantien für den Internationalen Datentransfer
- Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung
- Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.
- Unterauftragsverarbeiter: Standarddatenschutzklauseln
3.7 Profiling oder automatisierte Entscheidungen
Die HWR Berlin führt kein Profiling oder automatisierte Entscheidungen durch.
Bei Nutzung der Microsoft Webanwendungen bzw. der Mobile App kann es zur ausführlichen Analyse des Nutzerverhaltens über Cookies und Java-Skripte kommen. Näheres hierzu in der MS Datenschutzerklärung.
4 Allgemeines zur Datenverarbeitung
4.1 Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies erforderlich ist.
4.2 Rechte der von der Verarbeitung betroffenen Person
Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:
- Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
- Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
- Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
- Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.
4.3 Ausübung der Rechte
Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte an den oben genannten Datenschutzbeauftragten oder stellen Sie die Anfrage unter dem Link.[2]
4.4 Beschwerderecht
Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219 10969 Berlin
mailbox@datenschutz-berlin.de
4.5 Datensicherheit
Um die Sicherheit Ihrer Daten angemessen und umfassend bei der Verarbeitung und insbesondere der Übertragung zu schützen, verwenden wir, soweit erforderlich und orientiert am aktuellen Stand der Technik, entsprechende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit Ihrer personenbezogenen Daten.
5 Stand, Änderungen und Geltung der allgemeinen Datenschutzerklärung
Diese allgemeine Datenschutzerklärung hat den Stand 03/2023. Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen.
[1] Hier insb. Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen) sowie interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie) und Verbesserung der Kernfunktionalität
[2] https://dsgvo2.ds–manager.net/jd8g73mg9/anfrage_meldung.html?key=5oZEoda8bochZmO9