zur Nutzung von Microsoft Teams für die Gremienarbeit und Angebote des Stadtjugendrings Heidelberg
Allgemeines
Der Schutz Ihrer persönlichen Daten hat für den Stadtjugendring Heidelberg einen hohen Stellenwert. Es ist uns wichtig, Sie darüber zu informieren, welche persönlichen Daten wir verarbeiten und zu welchen Zwecken. Wir kommen damit unseren Informationspflichten aus Artikel 13 Datenschutz- Grundverordnung (DSGVO) nach. Bitte lesen Sie die folgenden Informationen aufmerksam durch, bevor Sie einen unserer angebotenen Dienste nutzen.
Diese Informationen gelten für die Nutzung des vom Stadtjugendring Heidelberg zur Verfügung gestellten Dienstes Microsoft Teams. Hierbei handelt es sich um einen Cloud-Dienst der
„Microsoft Cooperation“, der als Videokonferenzsystem für den Stadtjugendring Heidelberg zum Einsatz kommt.
Wenn Sie Microsoft Teams nutzen, werden zwingend personenbezogene Daten verarbeitet und an die Firma Microsoft übermittelt.
Name und Kontaktdaten des Verantwortlichen
Stadtjugendring Heidelberg e.V.
Harbigweg 5
69124 Heidelberg
Telefon: 06221 / 22180
E-Mail: info@sjr-hd.de
Internet: www.sjr-heidelberg.de
Kontaktdaten der Datenschutzbeauftragten
IITR Datenschutz GmbH
Dr. Sebastian Kraska
Marienplatz 2
80331 München
E-Mail: email@iitr.de, Telefon: 089-18917360
Zweck der Datenverarbeitung
Die Bereitstellung von Microsoft Teams erfolgt für die Durchführung von Videokonferenzen im Rahmen der digitalen Arbeit des Stadtjugendrings Heidelberg.
Der Zweck der Verarbeitung besteht darin, die Funktionsfähigkeit des Dienstes sicherzustellen.
Umfang der Datenverarbeitung
Als „Personenbezogene Daten“ sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei der Benutzung von Microsoft Teams sind zwei wesentliche Arten von Informationen zu unterscheiden. In beiden Datenarten können personenbezogene Daten enthalten sein.
1.) Inhaltsdaten des Gastteilnehmers
Im Sprachgebrauch werden diese Inhaltsdaten auch als Nutzdaten und von Microsoft als
„Kundendaten“ bezeichnet. Es sind jene Daten, einschließlich Text-, Ton-, Video- oder Bilddateien, die die Teilnehmer durch die Nutzung der Onlinedienste selbst bereitstellen bzw. hochladen.
Hierbei können auch personenbezogene Daten übermittelt werden. Teilen Sie deshalb keine Informationen oder Daten, die Sie nicht teilen dürfen. Dies betrifft insbesondere Inhalte von Chats; eventuell in einer künftigen Version auch die Freigabe von Dokumenten.
Die Teilnahme an den Angeboten des Stadtjugendring Heidelberg ist grundsätzlich nur mit Bild und Ton sinnvoll. Entsprechend werden während des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von der Videokamera des Endgeräts verarbeitet.
Um anderweitigen Verstößen vorzubeugen (Recht am eigenen Bild und Ton), müssen die in den
„Handlungshinweise zur sicheren Durchführung von Videokonferenzen“ enthaltenen Maßnahmen eingehalten werden.
2.) Daten über den Gastteilnehmer
Daten über den Gastteilnehmer werden im Sprachgebrauch auch als Telemetriedaten bezeichnet. Microsoft differenziert weiter und bezeichnet diese als „Diagnosedaten“ und „Dienstgenerierte
Daten“. Dies sind Daten, die Microsoft aus Software erhebt oder erhält, die im Zusammenhang mit dem Onlinedienst lokal installiert wurde bzw. Daten, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet. Weiterhin verarbeitet Microsoft „professional Service Daten“, die auch Supportdaten und Feedbackdaten miteinschließen. Hierzu gehören:
· IP Adresse
- Anzeigename: Für unsere Angebote sind Sie „Gast“ bzw. „Gastteilnehmer“ ohne ein Benutzerkonto beim Stadtjugendring Heidelberg. Sie müssen lediglich einen Anzeigenamen angeben. Die Verwendung von Pseudonymen ist zwar technisch möglich, bei Teilnahme an digitalen Gremiensitzungen ist zur Identifizierung der Gastteilnehmer jedoch die Eingabe des Namens und Vornamens
Empfänger personenbezogener Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht explizit zur Weitergabe übermittelt wurden.
Wir stellen Ihre Daten nur denjenigen Mitarbeiterinnen und Mitarbeitern zur Verfügung, die sie für ihre Tätigkeit im Rahmen der Aufgabenerfüllung benötigen. Dies gilt nicht, wenn wir gesetzlich zu einer Weitergabe verpflichtet sind.
Daten, die Sie im Rahmen des Online-Meetings preisgeben, empfangen auch die anderen Teilnehmerinnen und Teilnehmer eines Online-Meetings.
Es ist erforderlich, Daten des Gastteilnehmers zu verarbeiten, um die Dienste überhaupt anbieten zu können. Empfänger sind:
- Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
- Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Folgen der Verarbeitung personenbezogener Daten in den USA
Im Rahmen des CLOUD-Act haben US Ermittlungsbehörden die Möglichkeit, bei Microsoft auf richterlichen Beschluss die Herausgabe von personenbezogenen Daten, die auf Servern in der EU gespeichert sind, zu verlangen. Dort werden die meisten Daten gespeichert, die bei einer Nutzung von Microsoft Teams anfallen. Nach Angaben von Microsoft ist die Anzahl dieser Anfragen recht gering, zudem kann Microsoft dagegen vor Gericht gehen. Gastteilnehmer haben keine direkte rechtliche Möglichkeit, sich dagegen zu wehren.
Wir haben unseren Mandanten so konfiguriert, dass die Verarbeitung der Daten in den Microsoft Diensten primär auf Servern mit Standort Deutschland und sonst in EU Rechenzentren erfolgt.
Davon abweichend können Telemetriedaten in den USA verarbeitet werden.
Wie sicher sind die Dienste von Microsoft
Microsoft ergreift geeignete technische und organisatorische Maßnahmen, um Kundendaten und personenbezogene Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, vor versehentlicher oder ungesetzlicher Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen werden in einer Microsoft- Sicherheitsrichtlinie festgelegt.
Microsoft hat ein Testat nach den Anforderungen des Anforderungskatalogs Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten.
Weitere Informationen zum Datenschutz von Microsoft erfahren
Thema Sicherheit bei Microsoft – https://docs.microsoft.com/de-de/microsoftteams/security- compliance-overview.
Rechtsgrundlage der Datenverarbeitung
Derzeit liegen weder ein Angemessenheitsbeschluss nach Artikel 45 Abs. 3 DSGVO, noch geeignete Garantien nach Artikel 46 DSGVO vor. Dies bedeutet, dass kein angemessenes Datenschutzniveau gegeben ist und Ihre Betroffenenrechte gegebenenfalls nicht durchgesetzt werden können.
Eine Übermittlung ist nach Artikel 49 Abs. 1 a) DSGVO aber zulässig, wenn Sie nach Kenntnisnahme der möglichen Risiken in die Datenübermittlung ausdrücklich einwilligen.
Die Einwilligung ist freiwillig und kann jederzeit für die Zukunft widerrufen werden.
(Art. 7 Abs. 3 DSGVO). Ohne Einwilligung ist allerdings eine Nutzung der Dienste nicht möglich und die Betroffenen können dann im Sitzungsraum – unter Einhaltung der Anforderungen während der Corona-Pandemie – an den Gremiensitzungen teilnehmen.
Dauer der Datenspeicherung
Microsoft behält Ihre Daten während des für die Bereitstellung des Diensts minimal erforderlichen Zeitraums bei. In der Regel werden personenbezogene Daten aufbewahrt bis der Gastteilnehmer die Verwendung des Dienstes beendet oder wenn der Gastteilnehmer persönliche Daten löscht. Nach Mitteilung von Microsoft trägt das Unternehmen dafür Sorge, dass alle Kopien der persönlichen Daten innerhalb von 30 Tagen gelöscht werden.
Betroffenenrechte
Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen folgende Rechte zu:
Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO).
Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser
Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
Wenn Sie in die Verarbeitung eingewilligt haben und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
Beschwerdemöglichkeit
Sie haben das Recht, sich bei einer Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Sie können die Datenschutzbeschwerde formlos, schriftlich, mündlich, telefonisch oder elektronisch einreichen.
Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Hausanschrift: Königstrasse 10 a, D- 70173 Stuttgart Postanschrift: Postfach 10 29 32, 70025 Stuttgart
Telefonzentrale: +49 711/61 55 41-0 E-Mail: poststelle@lfdi.bwl.de