Studieninstitut Westfalen-Lippe: Ausbildung

Datenschutzrechtliche Informationen für die Nutzung von Microsoft Teams nach Art. 13 DSGVO

Wer ist verantwortlich für die Verarbeitung der personenbezogenen Daten?

Studieninstitut für kommunale Verwaltung Westfalen-Lippe
Rohrteichstraße 71
33602 Bielefeld
Deutschland
Tel.: 0521/55757710
E-Mail: zweckverband@stiwl.de
Website: www.stiwl.de

An wen können Sie sich wenden, wenn Sie Fragen zum Datenschutz haben?

Studieninstitut für kommunale Verwaltung Westfalen-Lippe
Datenschutzbeauftragter
Stühmerweg 10
48147 Münster
Deutschland
Tel.: 02541/ 8449021
E-Mail: datenschutz@stiwl.de
Website: www.stiwl.de

Zu welchem Zweck sollen Ihre Daten verarbeitet werden?

Die Verarbeitung ist erforderlich zur Nutzung von Microsoft Teams, einer Kommunikations- und Lernplattform mit der Möglichkeit zu Audio- und Videokonferenzen und zur Durchführung von Online-Unterrichtseinheiten in der Lerngruppe und zur individuellen Betreuung und Beratung in Kleingruppen oder Einzeltreffen zwischen Lehrgangsteilnehmenden und Dozierenden.

Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?

Die Verarbeitung erfolgt aufgrund von Art. 6 Abs. 1 lit. e) DSGVO i. V. m § 3 Abs. 5 der Satzung des Studieninstituts Westfalen Lippe. Gemäß § 3 Abs. 5 der Satzung hat das STIWL die Aufgabe, die Digitalisierung in allen Aufgabenbereichen weiterzuentwickeln und digitale Lehr- und Lernmittel in der Aus- Fort- und Weiterbildung einzusetzen.
 

Welche personenbezogenen Daten werden bei der Nutzung von MS Teams verarbeitet?

Verarbeitet werden Daten zur

• Erstellung eines Nutzerkontos (E-Mail-Adresse, Telefonnummer (um ggf. das Passwort zurücksetzen zu lassen), Passwort, Zugehörigkeit zu der Organisation Studieninstitut, Zugehörigkeit zu Teams, Rollen und Rechte))
  
• Anzeige eines Nutzerstatus und von Lesebestätigungen (Chat),
  
• Erstellung von Chat-Nachrichten, Sprachnotizen , Bild- und Tondaten in Video- und Audiokonferenzen, Inhalten von Bildschirmfreigaben , durch Hochladen geteilte Dateien, für erstellte Kalendereinträge
  
• Übermittlung des Status von Aufgaben (zugewiesen, abgegeben, Fälligkeit, Rückmeldung) sowie in Word, Excel, PowerPoint und OneNote erstellte und bearbeitete Inhalte
  
• Eingabe von Daten bei Umfragen sowie technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierte Funktionen
  

Eine Speicherung der Bild- und Tondaten von Videokonferenzen durch das Studieninstitut erfolgt nur in Ausnahmefällen nach vorheriger Einwilligung der Teilnehmenden. Um die personenbezogenen Daten der Teilnehmenden zu schützen, wird das Video nach 14 Tagen gelöscht.

Wer hat Zugriff auf Ihre personenbezogenen Daten?

Auf alle in Teams durch Nutzer*innen eingestellten Dateien, Inhalte und Kommentare haben jeweils die Personen Zugriff, mit denen sie geteilt werden. Das können Einzelpersonen sein oder Mitglieder eines Teams oder Kanäle in einem Team. Dozierende haben Zugriff auf innerhalb von gestellten Aufgaben vorgenommene Bearbeitungen und erstellte Inhalte. Alle Teilnehmenden einer Videokonferenz haben Zugriff im Sinne von Sehen, Hören und Lesen auf Inhalte der Videokonferenz, Chats, geteilte Dateien und Bildschirmfreigaben. In einem Chat haben alle Teilnehmenden Zugriff auf eingegebene Inhalte und geteilte Dateien. Das Studieninstitut nutzt Microsoft Teams nicht als Dateiablage. Fachbezogene Inhalte werden nicht über Microsoft Teams, sondern über Moodle ausgetauscht. Der Anbieter hat Zugriff auf die bei der Nutzung von Teams anfallenden Daten, soweit dieses zur Erfüllung seiner Verpflichtung im Rahmen des mit dem Studieninstitut abgeschlossenen Vertrags zur Auftragsverarbeitung erforderlich ist. US-Ermittlungsbehörden haben Zugriff nach US-amerikanischem Recht.

An wen werden die Daten übermittelt?

Wir nutzen Microsoft Teams im Rahmen eines Vertrags zur Auftragsverarbeitung. Microsoft verarbeitet die personenbezogenen Daten ausschließlich in unserem Auftrag. Demnach darf Microsoft sie nur entsprechend unserer Weisungen und für unsere Zwecke und nicht für eigene Zwecke nutzen, also weder für Werbung und auch nicht, um sie an Dritte weiterzugeben. Im Sinne des Datenschutzrechts findet somit keine Übermittlung statt.

Wie lange werden Ihre Daten gespeichert?

Die Speicherung von Daten, die zur Bereitstellung des Nutzerkontos verarbeitet werden, sowie erstellte und geteilte Inhalte, Kommentare, Chat-Nachrichten, Sprachnachrichten,  zugewiesene, bearbeitete und abgegebene Inhalte und Kalendereinträge, endet, sobald der Nutzer das Studieninstitut verlassen hat oder einer Verarbeitung widerspricht. Die Löschung erfolgt innerhalb von 2 Monaten nach Verlassen des Studieninstituts. Die Löschung aus den Systemen von Microsoft ist vom Zeitpunkt der Löschung eines Kontos oder von Inhalten durch das Studieninstitut nach 90 Tagen abgeschlossen. Selbiger Zeitraum gilt auch für die Löschung von Dateien durch den*die Nutzer*in selbst. Inhalte in von anderen geteilten Dateien, bearbeitete und abgegebene Aufgaben und Nachrichten in Gruppenchats werden gespeichert, solange ein Team besteht. Teams für Lehrgangs- und Lerngruppen werden spätestens 5 Jahre nach Ende der Lehrgangszeit der betroffenen Lehrgangsteilnehmenden samt der von den Teilnehmenden erstellten, geteilten und bearbeiteten Inhalte und Chats gelöscht. Inhalte von Chats bestehen, solange das Konto des Chatkontakts besteht.

Datenschutz bei Verarbeitung von personenbezogenen Daten in den USA

Bei der Nutzung von MS Teams können auch Daten auf Servern in den USA verarbeitet werden. Dabei geht es weniger um Inhalte von Chats, Videokonferenzen, Terminen und gestellten Aufgaben, Nutzerkonten und Teamzugehörigkeiten, sondern um Daten, welche dazu dienen, die Sicherheit und Funktion der Plattform zu gewährleisten und zu verbessern.

Falls Strafverfolgungsbehörden Microsoft mit einer Anforderung kontaktieren, versucht Microsoft, die Strafverfolgungsbehörden so umzuleiten, dass diese die persönlichen Daten direkt bei der*dem Kund*in anfordern. Falls Microsoft dazu verpflichtet ist, persönliche Daten an Strafverfolgungsbehörden auszuhändigen, wird Microsoft den*die Kund*in unverzüglich darüber informieren und eine Kopie der Forderung aushändigen, es sei denn, dies ist gesetzlich untersagt.

Thema CLOUD-Act

Im Rahmen des CLOUD-Act haben US-Ermittlungsbehörden auch Möglichkeiten, bei Microsoft die Herausgabe von personenbezogenen Daten, die auf Servern in der EU gespeichert sind, zu verlagern. Dort werden die meisten Daten gespeichert, die bei einer Nutzung von Microsoft/Office 365 und Teams anfallen. Nach Angaben von Microsoft ist die Anzahl dieser Anfragen recht gering, zudem kann Microsoft dagegen vor Gericht gehen. Microsoft gibt für Juli – Dezember 2019 insgesamt 3.310 Anfragen von Ermittlungsbehörden an. Davon kamen die meisten aus Deutschland.

Ihre Rechte als Betroffene*r

Sie können als betroffene Person jederzeit die Ihnen durch die EU-DSGVO gewährten Rechte geltend machen, soweit diese für die Verarbeitung zutreffen:

• das Recht auf Auskunft, ob und welche Daten von Ihnen verarbeitet werden (Art. 15 DSGVO);
  
• das Recht, die Berichtigung oder Vervollständigung der Sie betreffenden Daten zu verlangen (Art. 16 DSGVO);
  
• das Recht auf Löschung der Sie betreffenden Daten nach Maßgabe des Art. 17 DSGVO
  
• das Recht, nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen;
  
• das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art. 20 DSGVO);
  
• das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, wird dadurch nicht berührt. (Art. 7 (3) DSGVO);
  
• das Recht auf Widerspruch gegen eine künftige Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO.
  

Die Erfassung der Daten zur Bereitstellung des Systems und die Speicherung der Daten in Logfiles (siehe Verbindungs- und Nutzungsdaten) ist für den Betrieb des Systems zwingend erforderlich. Es besteht folglich seitens der*der Nutzenden keine Widerspruchsmöglichkeit.

Sie haben über die genannten Rechte hinaus das Recht, eine Beschwerde bei der datenschutzrechtlichen Aufsichtsbehörde einzureichen (Art. 77 DSGVO).

---

Zusätzliche Informationen

Wo werden Ihre personenbezogenen Daten verarbeitet?

Die Verarbeitung von personenbezogenen Daten in Microsoft Teams und angebundenen Produkten erfolgt überwiegend auf Servern mit Standort Deutschland. Es ist möglich, dass sogenannte Telemetriedaten, eine Art Diagnosedaten, in den USA verarbeitet werden.

Wie sicher ist Microsoft Teams?

Die Plattform genügt allen gängigen Sicherheitsstandards für Cloud-Plattformen.

Wo kann ich mehr zum Datenschutz von Microsoft Teams erfahren?

Die aktuelle Datenschutzerklärung von Microsoft kann hier eingesehen werden: https://privacy.microsoft.com/de-de/privacystatement