Informationen zum Datenschutz für Kollaboration und Kommunikation mittels Microsoft 365

Mit diesen Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft 365. Bei Microsoft 365 handelt es sich – abstrakt betrachtet – um eine Sammlung und Zusammenstellung verschiedenster Werkzeuge und in der Plattform erstellter Anwendungen zum Zwecke der Kollaboration, der Sicherheit, des Datenschutzes und der Verarbeitung von verschiedensten Daten. Der Kern dieser Zusammenstellung umfasst vor allem die Werkzeuge Exchange Online (E-Mail, Kalender, Adressbuch, Aufgaben), SharePoint Online (Speicherung, Verarbeitung, Applikationsplattform) und Microsoft Teams (Kollaboration, Chat, Meeting und Telefonie), sowie Whiteboard als digitales Whiteboard. Ergänzend kommen hinzu Sicherheitswerkzeuge wie die Defender Produktreihe, Intune als App- und Geräteveraltungswerkzeug.

Diese Datenschutzerklärung umfasst nicht die Drittapplikationen und Schnittstellen Dritter, die an die Microsoft 365 Plattform angebunden wurden. Hierfür verweisen wir auf die gesonderten Datenschutzerklärungen innerhalb der nicht zu Microsoft 365 gehörenden Applikationen.

1. Wer ist für die Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrechts ist der jeweilige ElringKlinger Konzernteil und die jeweilige Abteilung, die Microsoft 365 einsetzt und Ihre Daten verarbeitet.

Bei datenschutzbezogenen Fragen wenden Sie sich bitte an den Konzern-Datenschutzbeauftragten:

ElringKlinger AG
Max-Eyth-Straße 2
72581 Dettingen/Erms
Deutschland
data.safety[at]elringklinger.com

Für Fragen bezüglich der Informationssicherheit und den technischen sowie organisatorischen Maßnahmen wenden Sie sich bitte an den Chief Information Security Officer (CISO) der ElringKlinger Gruppe Michael Hohl (2QD) wie folgt:
Glb.informationsecurity[at]elringklinger.com 

Die ElringKlinger AG ist für alle Unternehmen und beherrschten Beteiligungen der ElringKlinger Unternehmensgruppe datenschutzrechtlich verantwortlich.

Zu den Konzernteilen gehören die folgenden Unternehmen, die ebenfalls in der Microsoft 365 Umgebung als verbundene Unternehmen eingebunden wurden:

Standorte | ElringKlinger AG

2. Welche personenbezogenen Daten werden verarbeitet und zu welchen Zwecken?

Zweck der Verarbeitung
Der Zweck der Verarbeitung ist die Bereitstellung eines modernen Arbeitsplatzes mittels Microsoft 365, welches eine optimale Lösung für Kollaboration und Kommunikation innerhalb und außerhalb der ElringKlinger Gruppe bietet. Ein weiterer Zweck ist die Bereitstellung und der sichere und reibungslose Betrieb von Microsoft 365 und dessen Werkzeugen.

Unter Kollaboration wird hier beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen und innovative Werkzeuge verstanden.

Die Bereitstellung und der reibungslose Betrieb von Microsoft 365 gehört ebenfalls zu einem der Zwecke, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z.B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden. Hierzu wird eine Offenlegung der Informationen an Microsoft vorgenommen, welche durch den Verantwortlichen autorisiert ist, um diesen Betrieb sicherzustellen.

3. Welche Arten von personenbezogenen Daten?

Im Rahmen der Nutzung von Microsoft 365 werden personenbezogenen Daten verarbeitet. Eine Verarbeitung von personenbezogenen Daten kann automatisch erfolgen oder durch Eingabe durch Nutzerinnen und Nutzer.

Personenbezogene Daten werden im Rahmen von User-ID-basierten (mit Microsoft 365-Benutzerkonto der ElringKlinger) sowie nicht User-ID-basierten Vorgängen (Business2Business-User, z. B. externe Personen ohne Microsoft 365-Benutzerkonto der ElringKlinger) verarbeitet.

Es könnten Daten auch in Drittanbieter Apps verarbeitet werden. Diese sind aktuell deaktiviert.

Zum Zweck der Kollaboration mit bzw. zwischen Usern und Gästen (User-ID-basierte Vorgänge) innerhalb des Tenants sowie des sicheren IT-Betriebes werden von diesen folgenden personenbezogenen Daten verarbeitet:

1. Dokumente und Dateien
Diverse Arten von Dokumenten und Dateien können verarbeitet werden.

2. Kommunikationsdaten des Nutzers
Chat, Videotelefonie, Live-Übertragungen von Ton und ggf. Bild und Bildschirm, Foto

3. Kommunikationsdaten durch das System erzeugt
Zeitpunkt, Ort, Jitter-Wert, Datentransferrate, IP-Adresse, Gerätebezeichnung

4. Personenbezogene Basisdaten für den Account (das Benutzerkonto) ergänzbar mit usergenerieten Angaben
Vorname, Nachname, Adresse, UPN (User principal name; technischer Benutzername), Telefonnummer, Position, Organisation, Mailadresse, Telefon- und Faxnummer

5. Authentifizierungsdaten
Logindaten, Passwort, Benutzername, Zeitpunkt, Ort

6. Kontaktinformationen
Berufliche Kontakt-, Arbeits-, und Organisationsdaten (z.B. Name, E-Mail, Gesellschaft, Personalnummer, ggf. Foto etc.) und private Kontaktinformationen (Private Telefonnummern und Adresse).

7. Profilierung
Risikoprofil im Rahmen der Cybersecurity und IT-Sicherheit (z.B. Identitätsschutz)

8. Logfile mit Zugriffen
Metadaten und Administrative Ereignisse

9. System generierte Protokolldaten
Telemetrie- und Diagnosedaten, die von der Software erstellt werden.

10. Geräteinformationen
(einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)

11. Cookies
Zum Zweck der sicheren und stabilen Bereitstellung der Dienste werden technisch notwenige Cookies eingesetzt. Diese kleinen dem Browser anheftenden Cookies sind zum Beispiel Authentifizierungscookies zum Single-Sign-On.

4. Kategorien der betroffenen Personen

Die folgenden Personen können betroffen sein von der Verarbeitung bei Microsoft 365:

Zusammenfassung der Personenkategorien:

• Beschäftigte
• Ehemalige Beschäftigte
• Freiberufliche MitarbeiterInnen
• BewerberInnen
• Betriebsräte
• Schwerbehindertenvertretung
• DatenschutzmitarbeiterInnen und -koordinatoren
• Auszubildende und Studierende
• Praktikanten
• Kunden
• Leads (zukünftige Kunden)
• Externe (z.B. Dienstleister, Berater, Dritte)
• Lieferanten
• Partner und -gesellschaften
• Verbundgesellschaften der ElringKlinger AG

5. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten

Die Rechtsgrundlage für den Betrieb von Microsoft 365 beruhen auf:

• Beschäftigte Art. 6 Abs. 1 S. 1. lit. b i.V.m. Arbeitsvertrag, i.V.m. Art. 88 DSGVO
• Externe Benutzergruppen Art. 6 Abs. 1 S. 1 lit. b DSGVO i.V.m. entsprechenden Verträgen;

Die Verarbeitungen für Zwecke der IT-Sicherheit (insb. Log-Dateien und Metadaten) sowie Cookies (Cookies und §25 Abs. 2 TTDSG) gründen sich auf Art. 6 Abs. 1 lit. b i.V.m. Arbeitsvertrag. Die von den Verantwortlichen verfolgten berechtigten Interessen umfassen folgende:

• Feststellung missbräuchlicher Nutzung;
• IT-Sicherheit und kontinuierliche Verbesserung der Dienste.

Sollten bei internen Veranstaltungen Bild- und Tonaufnahmen erstellt werden erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung).

Verarbeitungen in Einzelnen

Identitätsmanagement
Im Rahmen des Identitätsmanagements mit Azure Active Directory /Entra-ID (AAD) werden zentral Identitäten, Geräte und Applikationen zentral in Microsoft 365 verarbeitet. Insbesondere werden alle mit Microsoft 365 verknüpften Identitäten mit der Umgebung von ElringKlinger, sowie Gäste verarbeitet. Dies ermöglicht den sicheren Zugang und Nutzung diverser Microsoft 365 Applikationen.

Datenkategorien
1-11

weitere Rechtsgrundlagen für den Einsatz

E-Mail, Kalender und Aufgaben
Im Rahmen der Datenverarbeitung in Bezug auf E-Mails, Kalenderdaten und Aufgaben im Speziellen in der Exchange hybriden Umgebung.

Datenkategorien
1,2,3,4,5,6,7,8,9,10

weitere Rechtsgrundlagen für den Einsatz

Kommunikation: Chat
Im Rahmen der Datenverarbeitung in Bezug auf E-Mails, Kalenderdaten und Aufgaben im Speziellen in der Exchange hybriden Umgebung.

Datenkategorien
1-11

weitere Rechtsgrundlagen für den Einsatz

Kommunikation: Videokonferenzen
Im Rahmen der Videokonferenzen mit Microsoft Teams wird sowohl Microsoft Teams Besprechungen als auch Microsoft Live Events eingesetzt.

Datenkategorien
1,3,4,5,6,7,9,10,11

weitere Rechtsgrundlagen für den Einsatz

Zusammenarbeit an Dokumenten und Dateien
Im Rahmen der Zusammenarbeit an Dokumenten und Dateien wird meist SharePoint Online eingesetzt, ob direkt oder im Hintergrund.

Datenkategorien
1,2,4,5,9,10

weitere Rechtsgrundlagen für den Einsatz

Umfragen
Im Rahmen von Microsoft 365 können mit Form Umfragen erstellt und durchgeführt werden. Im Rahmen dessen wird pro Umfrage die durchführende Abteilung, der Zweck und die Löschfrist angegeben.

Eine Verarbeitung im SharePoint Online beruht dann je nach Umfrage auf den folgenden Rechtsgrundlagen:

Weitere Rechtsgrundlagen für den Einsatz

Sicherheitsfunktionen
Im Rahmen der sicheren und stabilen Bereitstellung von Microsoft 365 werden Sicherheitswerkzeuge aus dem Microsoft 365 Paket eingesetzt. Diese sind als Defender bekannt.

Die Defender Produkte sollen den modernen Arbeitsplatz rund um Windows und Office, also die Microsoft 365 Umgebung bis zum Endgerät abzusichern. Dazu gehören Cybersecurity Werkzeuge von Antivirus über Antispam und Schutz von Emails und deren Anhängen.

Datenkategorien
1-13

Rechtsgrundlagen

Internationaler Datentransfer
Im Rahmen der Datenverarbeitung kann es zu einem internationalem Datentransfer kommen. Hierbei handelt es sich um Datentransfer im Supportfall und im Falle des Cybersecurity-Vorfalls.

• Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Zwecke a und f (s. bei "Offenlegung von Daten“).  
• Rückausnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke b, c, d, g, h (s. bei (Offenlegung von Daten).
• Bei der Verarbeitung im Zwecke der Bereitstellung gilt die DSGVO unmittelbar für Microsoft als Auftragsdatenverarbeiter:
  • Unterauftragsverarbeiter
  • Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung

Für Telemetrie- und Diagnosedaten wird abgestellt auf den Standard des DPA und den aktuellen EU- Standardvertragsklauseln, Art. 46 Abs. 1 DSGVO für die Verkettung der Microsoft Irland Inc. zu Microsoft Corporation. Es wurde durch Konfiguration die Sammlung und Verarbeitung von Telemetrie- und Diagnosedaten auf ein Minimum reduziert und auch die Speicherung in der Umgebung reduziert. Ab Ende 2023 werden diese Daten nur noch in Europa verarbeitet und es besteht für personenbezogene Daten in diesem Bereich kein Datentransfer in die USA mehr.

Microsoft Corporation

• Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung zwischen Microsoft Irland und Microsoft Corporation.
• Seit 10. Juli 2023 gilt ebenso das EU-US Data Privacy Framework als Angemessenheitsbeschluss als Rechtsgrundlage für Microsoft zur Datentransfer in die USA.

6. An welche Empfänger oder Kategorien von Empfängern geben wir Ihre Daten im Rahmen dieser Verarbeitungstätigkeit weiter?

ElringKlinger-Konzern
Wir geben Ihre Daten bei Bedarf und Grundlage eines Zweckes innerhalb der ElringKlinger-Gruppe auf Basis einer Auftragsdatenverarbeitung weiter. So wird beispielsweise zentralisiert nur ein Microsoft 365 Tenant eingesetzt und von der ElringKlinger AG und seinen IT-Mitarbeiter:innen verwaltet.

Auftragsverarbeiter
Wir geben Ihre personenbezogenen Daten auch an von uns beauftragte Dienstleister im Rahmen von Auftragsverarbeitungen weiter (unter anderem z.B. an Microsoft Ireland Operations Ltd.). Diese umfassen u. a. die durch den Verantwortlichen beauftragte IT-Dienstleister im Rahmen ihrer administrativen Tätigkeiten (z.B. im Rahmen von Support- und Wartungsarbeiten).

Dritte
Externe erhalten im Einzelfall Daten, soweit dies erlaubt und zu den oben genannten Zwecken erforderlich ist. Diese umfassen u. a. die durch den Verantwortlichen beauftragte IT-Dienstleister im Rahmen ihrer administrativen Tätigkeiten (z.B. im Rahmen von Support- und Wartungsarbeiten).

Darüber hinaus übermitteln wir Ihre personenbezogenen Daten, soweit gesetzlich vorgeschrieben, in Einzelfällen an Behörden soweit gesetzlich notwendig.

7. Wie übermitteln wir Daten ins außereuropäische Ausland?

Wir übermitteln Daten auf der Basis von Standardvertragsklauseln in Verbindung mit Auftragsverarbeitungs-Vereinbarungen. Dazu kommt eine Übermittlung der pseudonymisierten Telemetrie- und Diagnosedaten von Microsoft Irland zu Microsoft Corp. auf Basis von EU-Standardvertragsklauseln.

8. Wie lange speichern wir Ihre Daten?

Wir speichern Ihre Daten so lange, wie dies zur Nutzung von Microsoft 365 erforderlich ist bzw. solange ein Zweck oder eine Rechtsgrundlage gegeben ist. Als Cloudbackup wird eine zentrale Backuplösung bei einem deutschen Service-Provider verwendet, um die Microsoft 365 Umgebung (Exchange, SharePoint etc.) zu sichern.

Vom Anwender explizit freigegebene Positionsdaten bzw. Standortdaten werden ausschließlich während der Besprechung verarbeitet. Eine darüber hinaus gehende Speicherung dieser Daten erfolgt nicht.

Metadaten von Anrufen und Besprechungen werden maximal 120 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht. Eine Anpassung der Fristen für Live Events (120 Tage) und Teams Besprechungen/Anrufe (90) Tage können nicht angepasst werden. Diese werden jedoch für die Stabilität des Systems, Support und auch zur Abwehr von Angriffen in diesem Vektor benötigt. Zugriff haben nur bestimmte berechtigte und überwachte Administratoren.

Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.

E-Mails und Anlagen werden im Rahmen der gesetzlichen Aufbewahrungsfristen aufbewahrt und sodann gelöscht, wenn keine anderen Zwecke vorhanden sind.

Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.

Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.

9. Technisch-organisatorische Maßnahmen

Im Rahmen der Verarbeitung ihrer personenbezogenen Daten haben wir eine Risikoanalyse für die Verarbeitung durchgeführt und darauf beruhend risiko-angepasste technische und organisatorische Maßnahmen eingeführt. Diese Maßnahmen werden regelmäßig geprüft und den bestehenden Risiken angepasst.

Unter anderem haben wir folgenden Maßnahmen ergriffen:

• Datenklassifikation
• Monitoring und Überwachung der Umgebung
• Einsatz von Customer Lockbox bei Zugriffen auf Kundendaten
• Deaktivierung der Feedback-Funktion
• Einschränkung der Funktionen der verbundenen und optional verbundenen Dienste
• Vertragliche Maßnahmen und Zusatzverträge

Die ElringKlinger AG hat ein integriertes Managementsystem für Datenschutz und Informationssicherheit implementiert und lässt dieses auf Grundlage der ISO 27001 bzw. dem Branchen-Informationssicherheitsstandard VDA-TISAX regelmäßig extern auditieren und zertifizieren.

Microsoft Entra ID (früher:Azure Active Directory  (AAD)) und Single-ign-on (SSO)
Azure Active Directory (neu: Microsoft Entra ID) (ADD) wird insbesondere als Identitätssystem von Microsoft eingesetzt. Dieses ermöglicht es den Zugriff zu Anwendungen, Dateien und zu Geräten nach dem Need-to-Know-Prinzip zu steuern und zu überwachen. Darüber hinaus setzen wir MFA zur Absicherung der Accounts ein. Des Weiteren ermöglicht ADD eine automatische Anmeldung auf von ElringKlinger verwalteten Geräten.

Weitere TOMs finden Sie unter Anhang 1.

10. Welche Datenschutzrechte haben Sie?

Im Folgenden enumerieren wir die Ihnen nach dem Datenschutzrecht zustehenden Rechte, die Sie gegenüber dem Verantwortlichen jederzeit unentgeltlich geltend machen können.

Wie Sie den Datenschutzbeauftragten und den Verantwortlichen erreichen, erfahren Sie unter Punkt 1.

Auskunftsrecht
Sie haben das Recht, von uns Auskunft über die Verarbeitung Ihrer personenbezogenen Daten zu erhalten.

Berichtigungsrecht
Sie haben das Recht, von uns die Berichtigung Sie betreffender unrichtiger bzw. unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung
Sie haben das Recht, bei Vorliegen der in Art. 17 DSGVO genannten Voraussetzungen, die Löschung Ihrer Daten zu verlangen. Danach können Sie beispielsweise die Löschung Ihrer Daten verlangen, soweit diese für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Außerdem können Sie die Löschung verlangen, wenn wir Ihre Daten auf der Grundlage Ihrer Einwilligung verarbeiten und Sie diese Einwilligung später widerrufen.

Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn die Voraussetzungen des Art. 18 DSGVO vorliegen. Dies ist beispielsweise der Fall, wenn Sie die Richtigkeit Ihrer Daten bestreiten. Für die Dauer der Überprüfung der Richtigkeit der Daten können Sie dann die Einschränkung der Verarbeitung verlangen.

Recht auf Datenübertragbarkeit
Sofern die Datenverarbeitung auf der Grundlage einer Einwilligung oder einer Vertragserfüllung beruht und diese zudem unter Einsatz einer automatisierten Verarbeitung erfolgt, haben Sie das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Datenverarbeiter zu übermitteln.

Widerrufsrecht
Sofern die Datenverarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Datenverarbeitung im Rahmen einer Einwilligung mit Wirkung für die Zukunft jederzeit kostenlos zu widerrufen.

Beschwerderecht
Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz über die Verarbeitung Ihrer Daten zu beschweren.

Widerspruchsrecht
Betroffene Personen haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Datenverarbeitung zu widersprechen, soweit diese auf der Rechtsgrundlage „berechtigtes Interesse“ beruht. Sofern betroffene Personen von ihrem Widerspruchsrecht Gebrauch machen, wird die Verarbeitung ihrer Daten eingestellt, es sei denn es können - gemäß den gesetzlichen Vorgaben - zwingende schutzwürdige Gründe für die Weiterverarbeitung nachgewiesen werden, welche den Rechten der betroffenen Personen überwiegen.