Zu Hauptinhalt springen
Gewählte Sprache ist Deutsch Select language
Startseite UR

Datenschutzerklärung Microsoft 365

Datenerhebung und Speicherung bei der Anmeldung und Nutzung von Microsoft 365 nach Art. 13 DSGVO
v1.1 vom 21.06.2021

Geltungsbereich

Diese Information nach Art. 13 DSGVO für BenutzerInnen bezieht sich auf die Anmeldung an Microsoft 365 für die Nutzung und Lizenzierung von Windows10, dem lokal installierbarem Office365-Programmpaket und den Microsoft365 Onlinediensten.

Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen der Nutzung von Microsoft 365 ist die die Universität Regensburg, vertreten durch den Präsidenten.
Universität Regensburg
93040 Regensburg
kontakt@ur.de

Datenschutzbeauftragte der Universität Regensburg

Die kommissarische Datenschutzbeauftragte der Verantwortlichen ist Frau Susanne Stingl.
Universität Regensburg
Die Datenschutzbeauftragte
93040 Regensburg
datenschutzbeauftragter@ur.de
https://www.uni-regensburg.de/informationssicherheit/datenschutz/ansprechpartner

Verantwortlicher neben der UR als Lizenznehmer

Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland
Microsoft Corporation
One Microsoft Way Redmond, Washington 98052
Datenschutz
Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft

Personenkreis

Zum Personenkreis zählen Nutzende von Microsoft 365 der Universität Regensburg mit ihrem jeweiligen RZ-Account. Dies umfasst insbesondere alle StudentInnen sowie alle MitarbeiterInnen der Universität Regensburg.

Warum werden Ihre persönlichen Daten erhoben und gespeichert?

Bezug und Nutzung der Lösung Microsoft 365 als Hilfsmittel für die Lehre, Forschung und Verwaltung und zum Einrichten und Betreiben von Arbeitsstätten.
Dies umfasst insbesondere die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen Support.
Einschließlich Offenlegung für folgende Zwecke von Microsoft, wobei Microsoft hier als eigener Verantwortlicher handelt
  • Abrechnung- und Kontoverwaltung
  • Vergütung
  • Interne Berichterstattung und Modellierung
  • Bekämpfung von Betrug
  • Cyberkriminalität oder Cyberangriffen
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung
  • Einhaltung gesetzlicher Verpflichtungen
Es werden auch Statistiken über die Nutzung erstellt.

Welche persönlichen Daten werden erhoben und gespeichert?

Es werden folgende Daten mit Microsoft 365 synchronisiert.
  • E-Mail-Adresse
  • RZ-Account
  • Vor- und Nachname
  • Telefonnummer
  • Gruppenzugehörigkeiten (z.B. Student oder Bediensteter)
Weiterhin werden Anmeldeereignisse (letzte 7 Tage) in Microsoft 365 erhoben:
  • Datum
  • Uhrzeit
  • Anwendung
  • IP-Adresse damit indirekt Standort
  • Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp)
  • Datum der ersten und letzten Aktivität des Rechners
  • Teams: Anwesenheitsstatus (vom Benutzer einstellbar)

Vorkehrungen im Sinne des Datenschutzes:

  • Die Protokollierung der Verwendung der Dienste von Microsoft 365 ist anonymisiert.
  • Eine Funktion zur Produktivitätsbewertung ist nicht aktiviert.
  • Die Inventarisierungsfunktion/Telemetrie ist abgeschaltet.

Wie werden die erhobenen Daten genutzt?

Die persönlichen Daten werden zur Überprüfung der Lizenzberechtigung für Windows10 und Office365 verwendet. Dies ist aufgrund der Microsoft Lizenzbestimmungen notwendig.

Datenkategorien

  1. Dokumente und Dateien
  2. Aufgaben und Lösungen
  3. Kommunikationsdaten
  4. Personenbezogene Basisdaten
  5. Authentifizierungsdaten
  6. Kontaktinformationen
  7. Profilierung
  8. Logfile mit Zugriffen
  9. System generierte Protokolldaten

Aufbewahrung und Löschung der Daten

Die Daten werden bis zu 90 Tagen nach dem Erlöschen des Accounts gespeichert und dann gelöscht. Das Sperren eines RZ-Accounts oder eine Änderung in der Lizenzzuweisung ändert daran nichts.

Nummer nach Datenkategorien

Löschungsfrist

1-3 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit
4-7 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch
8, 9 180 Tage

Rechtsgrundlagen der Datenübermittlung:

  • Für die Statistik
    Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO)
  • Für die Lehre
    Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (Art. 55 Abs. 2 BayHSchG)
  • Für die Beschäftigte und Bedienstete:
    - Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)
    - Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)
    - Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV

Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)

  • Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO sowie Art. 49 Abs. 1 lit. c DSGVO (1. und 6.)
  • Für vertraglich nicht erforderliche Zwecke, Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG Art. 49 Abs. 1 lit. d DSGVO (2.-5.,7.,8.)

Empfänger von Daten

  • Microsoft Ireland Operations Limited im Rahmen der Auftragsverarbeitung und der Vertragserfüllung.
  • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
  • sowie Unterauftragsverarbeiter und Supportdienstleister.

Garantien für den internationalen Datentransfer

Microsoft verarbeitet die Daten in unserem Auftrag und darf die Daten entsprechend nur nach unseren Weisungen und für unsere Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist hier als eigener Verantwortlicher anzusehen.

Eine Übermittlung von persönlichen Daten im Rahmen der Nutzung von Microsoft 365 an Dritt-länder ohne Angemessenheitsbeschluss und ohne geeignete Garantien, die dem Sicherheitsniveau der EU gleichen, kann nicht zur Gänze ausgeschlossen werden.

Garantien für den internationalen Datentransfer an die Microsoft Corporation und Unterauftragsverarbeiter stellen die Standarddatenschutzklauseln und Art. 49 Abs. 1 S. 1 lit. c, d DSGVO dar.

Die Stabsstelle IT-Recht der bayerischen Universitäten hat das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020 analysiert und in Abstimmung mit den CIOs der bayerischen staatlichen Universitäten und Hochschulen sowie deren Datenschutzschutzbeauftragten gemäß Klausel 4g der Standardvertragsklauseln den Bayerischen Landesdaten-schutzbeauftragten darauf hingewiesen, dass nicht gänzlich auszuschließen ist, dass die Garantien aus Klausel 5b der Standardvertragsklauseln stets erfüllt werden können.

Dies ist erfolgt im Hinblick auf die öffentlich verfügbaren Informationen von Microsoft sowie der Einschätzung von NOYB.

Betroffenenrechte

Als Betroffene stehen Ihnen Betroffenenrechte nach Art. 13 ff. DSGVO zu. Diese können Sie unter folgendem Link einsehen:
https://www.uni-regensburg.de/datenschutz/startseite/index.html

Weitere Informationen

Weitere Informationen zu Microsoft 365 finden Sie unter folgendem Link: https://www.uni-regensburg.de/rechenzentrum/it-services/microsoft-365/. Wenn Sie Microsoft 365 nicht verwenden wollen, dann finden Sie unter
https://www.uni-regensburg.de/rechenzentrum/it-services/microsoft-365/alternativen/index.html Alternativen zu den Microsoft-Produkten.

  1. Universität

Unser Rechenzentrum

Service und Support
rund um die IT

Telefon 0941 943-4444