Datenschutzinformationen für die Nutzung von Microsoft 365 und Microsoft Teams nach Art. 13 DS-GVO
Allgemeines
Bei der Nutzung von Microsoft 365 und Microsoft Teams werden personenbezogene Daten (im Folgenden auch „Daten“) verarbeitet, was teilweise im Hintergrund geschieht und nicht immer offensichtlich erkennbar ist.
Die sogenannte Datenschutz-Grundverordnung (DS-GVO) enthält einige Vorgaben zur Verarbeitung dieser Daten. Wir sind z. B. nach Art. 13 DS-GVO verpflichtet, Ihnen bestimmte Informationen zur Verarbeitung Ihrer Daten mitzuteilen. Diese Datenschutzinformationen klären Sie daher darüber auf, welche Datenverarbeitungen wir im Rahmen der Durchführung eines Online-Meetings vornehmen.
Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kommt es nicht darauf an, wer den Bezug herstellen kann. Es genügt, dass dies möglich ist. Beispiele für personenbezogene Daten sind Name, Anschrift, IP-Adresse, Bild- und Tonaufnahmen, E-Mail-Adresse, Telefonnummer.
Der Begriff der Verarbeitung umfasst alles von der Erhebung bis zur Löschung. Personenbezogene Daten können erhoben, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt, übermittelt oder bereitgestellt werden. Alle diese Vorgänge stellen eine Verarbeitung dar.
Verantwortlicher und Datenschutzbeauftragter
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die gematik GmbH, Friedrichstraße 136, 10117 Berlin (nachfolgend „Wir“ oder „die gematik“), vertreten durch die Geschäftsleitung. Die Kontaktdaten des Verantwortlichen sind:
Telefon: +49 30 400 41-0
Fax: +49 30 400 41-111
E-Mail: info@gematik.de
Wir haben einen Datenschutzbeauftragten bestellt. Dieser ist unter datenschutz@gematik.de zu erreichen.
Details zur Datenverarbeitung
Wir verfolgen mit der Nutzung von Microsoft 365 verschiedene Zwecke. Hauptsächlich geht es darum, die einfachere Zusammenarbeit innerhalb der gematik sowie mit Externen durch die Verwendung einer offenen und marktüblichen Plattform zu ermöglichen. Dabei werden Funktionen genutzt, um Inhalte zu erstellen und zu speichern, Termine zu planen und um zu kommunizieren. Um mit Externen einen ebenso effektiven Informationsaustausch zu erreichen, sollen auch diese als Gäste (ohne Microsoft 365 Konto in der gematik Umgebung) einzelne Funktionen von Microsoft 365 (z. B. Microsoft Teams Meetings) nutzen können. Auf diese Weise kann die gematik Mitarbeiter und Externe vernetzen und Projekte gemeinsam bearbeiten, ohne am gleichen Ort sein zu müssen. Die Verarbeitung Ihrer personenbezogenen Daten dient daher der Abwicklung von Verträgen mit der gematik und der Zusammenarbeit in Projekten.
Die Freigabe von personenbezogenen Daten in der Cloud (OneDrive und SharePoint) und die Nutzung von Cloud-Computing insgesamt dient dabei konkret den folgenden Zwecken: dauerhafte und ortsunabhängige Verfügbarkeit der Dokumente, Ermöglichung eines standortunabhängigen Arbeitens, Einbeziehung Dritter / Externer bei der Bearbeitung von Dokumenten und Daten, effizientere und schnellere Abläufe, vereinfachte Planung, Auslagerung der IT-Leistungen zur Einsparung eigener Ressourcen, reduzierter IT-Administrationsaufwand und Steigerung der Flexibilität. Der Dienst SharePoint wird dabei als Plattform für die Datenablage und den Datenaustausch zwischen den Mitarbeitern und ggf. Externen genutzt.
Mit der Nutzung von Teams werden insbesondere folgende Ziele verfolgt: vereinfachte und unkomplizierte Kommunikation zwischen den Mitarbeitern durch Übertragung von Meetings in Echtzeit und unmittelbarer Austausch im Chat, erleichterte und effizientere Gruppenarbeit, Flexibilität sowie orts- und zeitunabhängige Zusammenarbeit. Hierbei werden je nach Fall personenbezogene Daten wie Name und E-Mail-Adresse verarbeitet. Die Teilnahme kann als Gast erfolgen (mit Angabe bestimmter personenbezogener Daten).
Alternativ kann für eine einmalige Teilnahme ein Link zum Meeting (Videokonferenz) zur Verfügung gestellt werden. Die Eröffnung eines Nutzerkontos oder die Eingabe personenbezogener Daten ist dabei nicht erforderlich. Sie können jedoch Ihren Namen eingeben. In jedem Fall werden Nutzungsdaten wie die IP-Adresse und - soweit aktiviert - Ihre Video- und Audiodaten verarbeitet.
Darüber hinaus verfügt Microsoft Teams über eine Zusatzfunktion, die das Aufzeichnen von Teams-Meetings ermöglicht. Die gematik verfolgt mit dieser Datenverarbeitung insbesondere folgende Zwecke: Nachvollziehung von Teilnehmenden an Meetings und Dokumentation, Speicherung der Aufzeichnung zu Schulungszwecken sowie Nachbereitung von Terminen. Findet eine Aufzeichnung statt, werden hierbei insbesondere Ihr Vor- und Nachname, Gesprächsinhalte sowie Bilddaten (Video, Audio) verarbeitet. Sie können die Datenverarbeitung jedoch einschränken. Bevor eine Aufzeichnung stattfindet, werden Sie darüber benachrichtigt und um Ihr Einverständnis gebeten. Sollten Sie Ihre Zustimmung nicht abgeben, wird Ihr Mikro und Video automatisch deaktiviert. Ihr Vor- und Nachname können jedoch noch weiterhin sichtbar sein. Sie können auch zu einem späteren Zeitpunkt des Meetings Ihre Zustimmung zur Aufzeichnung erteilen. Bitte beachten Sie, dass in manchen Fällen durch vorgenommene Einstellungen in Microsoft 365 innerhalb Ihrer Organisation (dies betrifft Externe) keine Möglichkeit für Sie besteht, Ihre Einwilligung zu einer Aufzeichnung zu erteilen. Dies hat zur Folge, dass Sie sich innerhalb dieses Meetings dann nicht lautschalten oder Ihr Video aktivieren können. Nach Ablauf von 60 Tagen wird die Aufzeichnung automatisch in Microsoft Teams bzw. in OneDrive gelöscht. In Einzelfällen kann es sein, dass die Aufzeichnungen jedoch von der gematik zu Schulungszwecken weiterverwendet werden.
Bei der Nutzung von Microsoft 365 findet eine Übermittlung von Diagnosedaten an Microsoft statt, damit die Dienste insgesamt (fehlerfrei) bereitgestellt werden können. Da sämtliche Anwendungen cloudbasiert sind, werden diese durchgehend geprüft. Die Verarbeitung der Diagnosedaten dient auch der Verbesserung und Aktualisierung der Software durch das Einspielen von neuen Versionen. Schließlich dient die Verarbeitung auch dazu, die Sicherheit der Dienste und eine schnelle Fehlerbehebung durch Microsoft zu gewährleisten.
Die Zulässigkeit der dargestellten Datenverarbeitung richtet sich hauptsächlich nach Art. 6 Abs. 1 f) DS-GVO (Wahrung berechtigter Interessen). Die gematik möchte die Arbeit mit Vertragspartnern und sonstigen Externen ortsunabhängig, effizient und flexibel gestalten, Arbeitsabläufe optimieren und die Digitalisierung vorantreiben. Auch die bessere Planung von Arbeitskapazitäten, die vereinfachte Kommunikation und die fehler- sowie unterbrechungsfreie Bereitstellung der Dienste stehen im Fokus der gematik. Beim Einsatz von Microsoft 365 werden also primär wirtschaftliche Interessen verfolgt. Die Zulässigkeit der Verarbeitung kann sich in Einzelfällen nach Art. 6 Abs. 1 a) DS-GVO richten (Einwilligung). In dem Fall werden Sie von der gematik ausdrücklich gefragt, ob Sie mit der Datenverarbeitung einverstanden sind.
Die Verarbeitung der Daten von Externen (wenn diese selbst Betroffene sind) wird zudem auf Art. 6 Abs. 1 b) DS-GVO gestützt, soweit die Verarbeitung in Microsoft zur Kommunikation und Zusammenarbeit erforderlich ist.
Die erstmalige Speicherung Ihrer Daten erfolgt mit dem Versand der Einladung zur Mitarbeit in der Microsoft 365 Umgebung bzw. zur Teilnahme an einer Videokonferenz der gematik. Die Dauer richtet sich in erster Linie nach den gesetzlichen Aufbewahrungspflichten in Bezug auf bestimmte Dokumente und Vorgänge sowie nach dem berechtigten Interesse der gematik.
Die Microsoft Corporation selbst bewahrt die Daten für einen gewissen Zeitraum auf. Diese Aufbewahrungszeiten können Sie unter der folgenden URL einsehen: www.docs.microsoft.com/de-de/office365/enterprise/office-365-data-retention-deletion-and-destruction-overview.
Empfänger von Daten und Drittlandübermittlung
Ihre personenbezogenen Daten können im Rahmen der Nutzung von Microsoft 365 an verschiedene Empfänger weitergegeben oder von diesen eingesehen werden. Dazu gehören insbesondere sämtliche Mitarbeiter der gematik sowie die Microsoft Corporation.
Die gematik beabsichtigt nicht, Ihre personenbezogenen Daten an ein Drittland außerhalb der EU oder des EWR zu übermitteln. Allerdings werden regelmäßig Diagnosedaten an die Microsoft Corporation gesendet und dort ausgewertet. Der Drittstaatentransfer ist ohne weitere Genehmigung zulässig, da es für den Datentransfer in die USA einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 Abs. 3 DS-GVO gibt, das EU-U.S. Data Privacy Framework. Die Microsoft Corporation hat sich nach dem Data Privacy Framework zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten. Weitere Informationen zum Data Privacy Framework gibt es hier. Zusätzlich wurden mit Microsoft Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 c) DS-GVO vereinbart. Informationen zu den Standarddatenschutzklauseln können Sie auf der Webseite der Europäischen Kommission abrufen: https://ec.europa.eu/info/index_de. Die von Microsoft abgeschlossenen Standarddatenschutzklauseln können Sie als registrierter Benutzer hier abrufen: https://servicetrust.microsoft.com/DocumentPage/d4e2c91a-1c8f-40f6-a1ae-432f5dc2d6f5.
Mehr Informationen zur Datenverarbeitung bei der Microsoft Corporation erhalten Sie hier: https://www.microsoft.com/de-de/trust-center/privacy.
Ihre Rechte
Sie haben ein Recht auf Auskunft (Art. 15 DS-GVO), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO) sowie auf Datenübertragung (Art. 20 DS-GVO).
Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 f) DS-GVO verarbeitet werden, haben Sie ein Widerspruchsrecht, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Sie können diese Rechte jederzeit ausüben. Das heißt allerdings nicht, dass sie auch erfüllt werden. Wir können Ihre Daten z. B. nicht löschen, wenn wir aufgrund gesetzlicher Vorschriften zur Speicherung verpflichtet sind.
Sofern Sie eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben und diese widerrufen, bleibt die bis zum Zeitpunkt dieses Widerrufs erfolgte Verarbeitung hiervon unberührt.
Sie haben jederzeit das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Eine Übersicht der zuständigen Aufsichtsbehörden erhalten Sie, wenn Sie diesem Link folgen.