Email
Hauptinhalt

Microsoft 365 - Informationen zum Datenschutz

Zusammenfassung

Das Hochschulrechenzentrum verwaltet im Auftrag der Philipps-Universität Marburg die über Microsoft 365 verfügbaren Anwendungen bzw. ermöglicht den Zugriff auf Dienste von Dritten. Dieser Zugriff ist gegenwärtig beschränkt auf die Microsoft 365 Apps for Education (früher Office 365).

Die Bereitstellung dieses Dienstes setzt ein persönliches Bildungsbenutzerkonto bei Microsoft voraus. 

Bei der Nutzung der Onlinedienste werden Daten an Microsoft und berechtigte Dritte übertragen. Die Datenübertragung erfolgt entweder im Rahmen der vertraglichen Vereinbarungen oder im Rahmen gesetzlicher Verpflichtungen.
Neben der Universität sind insbesondere Microsoft Ireland Operations Limited und Microsoft Corporation an der Verarbeitung personenbezogener Daten beteiligt.

Die hier beschriebene Verarbeitung Ihrer Daten erfolgt erst wenn Sie die Erstellung Ihres Bildungsbenutzerkontos bei Microsoft über des entsprechende Webformular beauftragen.

Betroffenenrechte

Allgemein 

Aufgrund der unklaren Datenschutzsituation ist die Nutzung von Microsoft 365 freiwillig.

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu: 

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO) erforderlich ist.
  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde ist der Hessische Landesbeauftragte für den Datenschutz, Postfach 3163, 65021 Wiesbaden.

Widerspruchsrecht 

Sie können der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Zweck

Microsoft 365 dient als Hilfsmittel für die Lehre, Forschung und Verwaltung.

Microsofts Office-Produkte zur Bearbeitung von Dokumenten, Tabellen und Präsentationen sind im Büroalltag weit verbreitet und stellen einen Quasi-Industriestandard dar. Beim Austausch von Dokumenten zur Weiterbearbeitung werden überwiegend Microsoft-Office-Formate genutzt. Verfügbare Alternativ-Produkte (z.B. das kostenfreie LibreOffice) beinhalten nicht denselben Funktionsumfang und können Microsoft-Office-Formate nicht immer verlustfrei verarbeiten, damit ist der Dateiaustausch deutlich erschwert.

Im Bundesvertrag 3.0 bietet Microsoft u.a. das Produkt Microsoft 365 A3 an, darin sind pro Person Nutzungsrechte für eine lokale Kopie von Office Professional Plus und fünf individuelle Installationen von Microsoft Apps for Education enthalten, sowie die Nutzung von Office 365 und weiterer Onlinedienste in der Microsoft-Cloud. Für die Nutzung von Microsoft Apps for Education sowie der Onlinedienste wird ein persönliches Bildungsbenutzerkonto in der Microsoft Cloud benötigt (Azure Active Directory - AAD).

Datenkategorien 

  1. Name, Vorname, E-Mail-Adresse
  2. Berechtigungen
  3. Log-Daten (Datum der letzten Passwortänderung, Datum der letzten Anmeldung)
  4. persönliche Einstellungen, weitere Eigenschaften des Nutzerprofiles
  5. Informationen über Token zur Anmeldung mittels Multi-Faktor-Authentifizierung für Administratoren (per Telefon, App oder Fragen)
  6. Vom System generierte Protokolldaten (Telemetriedaten), Metadaten zur Produktnutzung (z.B. Softwareversion, Nutzerkonto des Endnutzers, Computer-ID, IP-Adresse des Geräts)

Kategorien von betroffenen Personen

  • Beschäftigte
  • Studierende
  • Doktoranden
  • Lehrbeauftragte
  • Administratoren

Empfänger  

  • intern für Administratoren im HRZ:
    zur Konfiguration, Überwachung und Sicherung des Betriebs (Systemintegrität und Vertraulichkeit), Support
  • extern (Empfängerkategorie), Drittland oder internationale Organisation (Kategorie) Microsoft Ireland Operations Solutions:
    zur Dienstbereitstellung, Service und Support: Vertragserfüllung, Art. 6 Abs. 1 b DSGVO
    Auftragsverarbeitung, Art. 28 DSGVOSowie deren Unterauftragsverarbeiter und Supportdienstleister 

Garantien für den Internationalen Datentransfer 

  • Für die Hochschule
    Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Zwecke a) und f). 
    Rückaufnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke b), c), d) e), g), h).
  • Microsoft Corporation
    Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung
    Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.
  • Unterauftragsverarbeiter
    Standarddatenschutzklauseln 

Speicherdauer 

  • 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch für die Datenkategorien 1-5
  • 180 Tage für die Datenkategorie 6