Microsoft 365 für Gruppenarbeit

Microsoft 365 bezeichnet die Kombination aus dem Online-Dienst Office 365 inkl. der Office-Webanwendung sowie einem Office-Software-Abonnement. Die Datenschutzerklärung bezieht sich auf die Online-Dienste des Pakets.

Allgemeines

Namen und Kontaktdaten des Verantwortlichen

Präsident Prof. Dr. Kai Fischbach

Kapuzinerstraße 16
96047 Bamberg
Telefon: +49 951 863 1001
FAX: +49 951 863 1012
E-Mail: praesident@uni-bamberg.de

Kanzlerin Dr. Dagmar Steuer-Flieser

Kapuzinerstraße 16
96047 Bamberg
Telefon: +49 951 863 0
FAX: +49 951 863 1005
E-Mail: kanzlerin@uni-bamberg.de

Kontaktdaten des bestellten behördlichen Datenschutzbeauftragten

Thomas Loskarn
Kapuzinerstraße 25
96047 Bamberg
Telefon: +49 951 863 1030
FAX: +49 951 863 4030
E-Mail: datenschutzbeauftragter(at)uni-bamberg.de

Angaben zu Microsoft als weiteren Verantwortlichen

  1. Microsoft Ireland Operations Limited
    One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland
  2. Microsoft Corporation
    One Microsoft Way Redmond, Washington 98052
  3. Datenschutz
    Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft
  4. Eigene Zwecke
  • Abrechnung- und Kontoverwaltung
  • Vergütung
  • Interne Berichterstattung und Modellierung
  • Bekämpfung von Betrug
  • Cyberkriminalität oder Cyberangriffen
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung
  • Einhaltung gesetzlicher Verpflichtungen

Kategorien personenbezogener Daten

  1. Kategorie 1: IP-Adressen, Pseudonyme, Meeting-Metadaten wie Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
  2. Kategorie 1: Logfile mit Zugriffen, vom System generierte Protokolldaten, Profilierung
  3. Kategorie 2: Personenbezogene Basisdaten, Kontaktinformationen, Authentifizierungsdaten
  4. Kategorie 3: Meeting-Aufzeichnungen, Audio-/Video-Übertragungen, Dokumente und Dateien, Aufgaben und Lösungen, Lehrmaterialien
  5. Kategorie 4: Bei Einsatz für virtuelle Lehre: Aufgaben, Prüfungen und Lösungen

Quellen der personenbezogenen Daten

  • Studierendenverwaltung
  • Personalverwaltung (auch von An-Instituten)
  • Identity- und Accessmanagement
  • Promovierendenverwaltung (TRAc)
  • von Nutzenden selbst generierte Daten in Form von Dateien, Texten, Audio und Video

Dauer der Speicherung

Die Account-Daten werden 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch, die Nutzdaten 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit, die Log- und Protokollierungsdaten nach 180 Tagen gelöscht.

Zweck und Rechtsgrundlage der Verarbeitung

Zwecke

Bezug und Nutzung von Microsoft 365 als Hilfsmittel für die Lehre, Forschung und Verwaltung auf Grundlage des Bayerischen Hochschulgesetzes BayHSchG Art. 2 sowie den Vorschriften EU-DSGVO Art. 6 (1) e, Art. 6 (3) und Art. 6 (4).

Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Darüber hinaus Offenlegung für folgende Zwecke von Microsoft:

  • Abrechnung- und Kontoverwaltung
  • Vergütung
  • Interne Berichterstattung und Modellierung
  • Bekämpfung von Betrug
  • Cyberkriminalität oder Cyberangriffen
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung
  • Einhaltung gesetzlicher Verpflichtungen
  • Statistische Auswertungen

Rechtsgrundlagen

    • Für die Lehre
      • Art. 6 Abs. 1 lit. e DSGVO i.V.m Art. 4 BayDSG (Art. 55 Abs. 2 BayHSchG)
    • Für die Beschäftigte und Bedienstete:
      • Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)
      • Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)
      • Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV
    • Rechtsgrundlagen für die Offenlegung
      • Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO sowie Art. 49 Abs. 1 lit c DSGVO (1. und 6.)
      • Für vertraglich nicht erforderliche Zwecke, Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG Art. 49 Abs. 1 lit. d DSGVO (2.-5.,7.,8.)
    • Für statistische Auswertungen
      • Art. 6 Abs. 1 lit. e i.V.m. Art. 4 BayDSG (Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO)

    Verpflichtung zur Bereitstellung

    Die Otto-Friedrich-Universität ist verpflichtet den einzelnen Systembetreibern die Kategorien personenbezogener Daten zur Erbringung der Dienste für Forschung und Lehre bereit zu stellen. Ohne dies ist die Durchführung von Forschung und Lehre nicht möglich.

    Übermittlung an Dritte

    Die Account- und Nutzdaten werden auf Basis der vertraglich Vereinbarung einer Auftragsverarbeitung an Microsoft Ireland Operations Limited zur ausschließlichen Speicherung auf Servern in Deutschland übermittelt. Für die zuvor angegebenen eigenen Zwecke der Microsoft Corporation (wie bspw. Sicherheitsmaßnahmen) werden Daten auf Grundlage der Privacy Shield Vereinbarung und von EU-Standarddatenschutzklauseln in die USA übertragen. Unter-Auftragsverarbeiter und Supportdienstleister, die auf Teile der Daten Zugriff haben, sind weltweit tätig. Die Übertragung und Verarbeitung von Daten erfolgt auf Basis der EU-Standardvertragsklauseln.

    Rechte der Nutzerinnen und Nutzer (Betroffenenrechte)

    • Auskunftsrecht: 
      Auf Anfrage sowie nach Prüfung der Identität, z.B. durch persönliche Vorsprache, wird Auskunft über die im angefragten System gespeicherten personenbezogenen Daten gegeben, sofern sich bestätigt, dass in diesem System personenbezogene Daten verarbeitet werden.
    • Berichtigung: 
      Werden falsch erfasste Daten festgestellt, so müssen diese korrigiert werden. Dazu ist eine Mitteilung an das jeweils datenführende System notwendig:
    • Löschung: 
      Die unverzügliche Löschung der Daten in einzelnen Systemen kann verlangt werden, wenn mindestens einer der folgenden Fälle vorliegt
      • Unrechtmäßige Verarbeitung
      • Widerruf einer gegebenen Einwilligung und eine andre Rechtsgrundlage fehlt
      • Gültiger Widerspruch
      • Zweck, zu dem die Daten erhoben wurden, existiert nicht mehr
      und die Verarbeitung auf Einwilligung beruht, d.h. keine gesetzliche Erfordernis besteht oder die Verarbeitung zur Wahrung von Rechtsansprüchen oder öffentlichem Interesses (Aufgaben, Archivzwecke, wissenschaftliche oder Historische Forschung) oder öffentlicher Gewalt erforderlich ist. Eine Löschung erfolgt auch nicht, wenn damit das Recht auf freie Meinungsäußerung und Information beeinträchtigt ist. Über den Vollzug der Löschung auf Verlagen wird informiert. Weiterhin erfolgt auch ohne Verlangen die Löschung, wenn die unter Dauer der Speicherung angegeben Frist erreicht ist.
    • Einschränkung der Verarbeitung: 
      Eine Nutzerin bzw. ein Nutzer kann die Einschränkung der Verarbeitung verlangen, d.h. die Verarbeitung darf nicht mehr erfolgen, außer die explizite Einwilligung liegt vor, wenn
      • personenbezogenen Daten falsch gespeichert sind,
      • die Verarbeitung unrechtmäßig erfolgt und keine Löschung verlangt wurde,
      • Widerspruch eingelegt wurde und dieser nicht geklärt ist,
      • Zweck, zu dem die Daten erhoben wurden, existiert nicht mehr, aber die betroffene Person benötigt die Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
      Über die Aufhebung der Einschränkung der Verarbeitung wird informiert.
    • Widerspruchsrecht:
      Eine Nutzerin bzw. ein Nutzer hat das Recht aus Gründen, die sich aus einer besonderen persönlichen Situation ergeben, gegen die Verarbeitung personenbezogenen Daten zu widersprechen, sofern die Verarbeitung im öffentlichen Interesse oder Ausübung öffentlicher Gewalt oder dargestelltem berechtigten Interesse, d.h. ohne Einwilligung, erfolgt. Dem Widerspruch dürfen nicht die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen entgegenstehen. Ist die Dienstnutzung und damit die Verarbeitung für Forschung und Lehre notwendig, so ist ein Widerspruch ungültig. Überwiegen zwingende schutzwürdige Gründe die Interessen, Rechte und Freiheit des Widersprechenden, so ist der Widerspruch ebenfalls ungültig.
    • Recht auf Datenübertragbarkeit:
      Eine Nutzerin bzw. ein Nutzer hat das Recht, mit Einwilligung oder auf Grundlage eines Vertrages erhobene personenbezogene Daten, die nicht zur Wahrnehmer einer Aufgabe im öffentliche Interesse oder Ausübung öffentlicher Gewalt dienen, strukturiert und in einem gängigen maschinenlesbaren Format zu erhalten, sofern die Verarbeitung automatisiert erfolgt.