Datenschutzerklärung Microsoft 365
Verantwortlicher
Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bayerischen Datenschutzgesetzes (BayDSG) ist die
Universität Augsburg
Universitätsstr. 2
86159 Augsburg
Tel.: (0821) 598-0
Website:
www.uni-augsburg.de
Datenschutzbeauftragter der Universität Augsburg
Der Datenschutzbeauftragte der Verantwortlichen ist
Prof. Dr. iur. Ulrich M. Gassner, Mag. rer. publ., M. Jur. (Oxon.)
Universitätsstr. 24
86159 Augsburg
Tel.: (0821) 598-4600
Fax: (0821) 598-4591
E-Mail:
ulrich.gassner@jura.uni-augsburg.de
Website:
www.uni-augsburg.de/organisation/einrichtungen/datenschutz/
Verantwortliche und deren Datenschutzbeauftrage (neben dem Lizenznehmer)
Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland
Microsoft Corporation
One Microsoft Way Redmond, Washington 98052
Datenschutz
Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft
Betroffenenrechte
Allgemein
Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 13 ff. DSGVO zu:
- Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
- Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
- Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
- Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
- Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.
Über Ihr Widerrufsrecht und Ihr Widerspruchsrecht informieren wir Sie gesondert.
Widerspruchsrecht
Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
Widerrufsrecht
Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird dadurch nicht berührt.
Zweck
Einrichten und Betreiben von Arbeitsstätten, einschließlich Betreuung, Herstellersupport und kontinuierlichen Verbesserungen und statistischer Nutzungsanalysen
Einschließlich Offenlegung für folgende Zwecke von Microsoft
- Abrechnung- und Kontoverwaltung
- Vergütung,
- Interne Berichterstattung und Modellierung
- Bekämpfung von Betrug
- Cyberkriminalität oder Cyberangriffen
- Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
- Finanzberichterstattung
- Einhaltung gesetzlicher Verpflichtungen
Rechtsgrundlagen
- Für die Universität und Personen, die in Kommunikation und Dokumenten identifizierbar sind Art. 6 Abs. 1 Uabs. 1 lit. e i.V.m. Art. 4 BayDSG (insbesondere § 3a ArbStättV, Art. 13 BayBGG, Art. 11 Abs. 1 BayEGovG, § 13 Abs. 7 TMG, Art. 6 Abs, 1 BayDSG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO, Art. 20a GG, Art. 3, 3a, 141 BayVerf)
- Für die Personen, die Microsoft 365 nutzen in der Rolle als
- Beschäftigter zudem Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung, Tarifvertrag, Arbeitsvertrag)
- Beamte zudem Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. Art. 4 BayDSG (Art. 33 Abs. 5 GG, beamtenrechtliche Bestimmungen)
Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)
- Für lizenzierte Personen Art. 6 Abs. 1 UAbs lit. b DSGVO sowie Art. 49 Abs. 1 UAbs 1 lit c DSGVO (1. und 6.)
- Für vertraglich nicht erforderliche Zwecke, Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG, Art. 49 Abs. 1 UAbs 1 lit. d DSGVO (2.-5.,7.,8.)
Datenkategorien
- Dokumente und Dateien
- Aufgaben und Lösungen
- Kommunikationsdaten
- Personenbezogene Basisdaten
- Authentifizierungsdaten
- Kontaktinformationen
- Profilierung
- Logfile mit Zugriffen
- System generierte Protokolldaten
Kategorien von betroffenen Personen
- Für Datenkategorien 1-9 Personen, die Office 365 nutzen oder administrieren
- Für Datenkategorien 3, 8, 9 Personen, die in der Kommunikation und Dokumenten identifizierbar sind
Empfänger
- Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
- Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Garantien für den Internationalen Datentransfer
- Microsoft Corporation
- Rückausnahmen Art. 49 Abs. 1 UAbs. 1 lit c DSGVO für Zwecke 1. und 6.
- Rückausnahmen Art. 49 Abs. 1 UAbs. 1 lit. d DSGVO für Zwecke 2.-5., 7., 8.
- Unterauftragsverarbeiter
Die Stabsstelle IT-Recht der bayerischen Universitäten hat das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020 analysiert und in Abstimmung mit den CIOs der bayerischen staatlichen Universitäten und Hochschulen sowie deren Datenschutzschutzbeauftragten gemäß Klausel 4g der Standardvertragsklauseln den Bayerischen Landesdatenschutzbeauftragten darauf hingewiesen, dass nicht gänzlich auszuschließen ist, dass die Garantien aus Klausel 5b der Standardvertragsklauseln stets erfüllt werden können.
Dies ist erfolgt im Hinblick auf die öffentlich verfügbaren Informationen von
Microsoft sowie der Einschätzung von
NOYB.
Speicherdauer
- 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch (Datenkategorien 4-7)
- 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1-3)
- 180 Tage (Datenkategorien 8, 9)