Datenschutz Kommunikation

Datenschutzerklärung Microsoft Teams

Allgemeine Hinweise zum Datenschutz bei der Nutzung von Microsoft Teams beim Landratsamt Esslingen.
Die nachfolgenden Hinweise geben einen Überblick über die Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten bei der Nutzung der von uns angebotenen Anwendung Microsoft Teams. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wer ist die für die Datenverarbeitung verantwortlich Stelle?

Die verantwortliche Stelle für die Datenverarbeitung ist:
Landratsamt Esslingen
73726 Esslingen a.N.
Telefon 0711 3902-0
Telefax 0711 3902-58030

Weitere Verantwortliche sind:

Abfallwirtschaftsbetrieb des Landkreises Esslingen (AWB)
73726 Esslingen a.N.
Telefon: 0800 931 25 26
Telefax: 0711 390 25 87 00

Zweckverband Breitband Esslingen
Fleischmannstr. 2
73728 Esslingen am Neckar
 
Kompostwerk Kirchheim GmbH
Nürtinger Str. 120
73230 Kirchheim unter Teck
 
Naturschutzzentrum Schopflocher Alb
Vogelloch 173252 Lenningen-Schopfloch

Kontakt zum Datenschutzbeauftragten

Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@lra-es.de
oder Telefon 0711 3902 42010
im Landratsamt Esslingen,
Röntgenstr. 16-18, 73730 Esslingen a.N.

Für welche Zwecke verarbeiten wir ihre personenbezogenen Daten?

Wir setzen Microsoft Teams aus der Microsoft 365 Produktsuite für bestimmte Zwecke ein. Diese Zwecke beschreiben wir in diesem Abschnitt:

  • Der Zweck der Verarbeitung ist die interne und externe Kollaboration und Kommunikation der Beschäftigten mit internen und externen Partnern zur Erfüllung der alltäglichen Aufgaben im Rahmen des Arbeitsverhältnisses. Hierzu gehören die Durchführung von Videobesprechungen, Chats oder die Zusammenarbeit an Dokumenten und Unterlagen, um Arbeitsergebnisse zu schaffen.
  • Ein weiterer Zweck ist die Bereitstellung und der sichere und reibungslose Betrieb von Microsoft Teams. Hierzu werden einige Sicherheitsmaßnahmen getroffen.
    Die Bereitstellung und der reibungslose Betrieb von Microsoft 365 und damit von Microsoft Teams gehört ebenfalls zum Zwecke, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z.B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden.
  • Ein dritter Zweck ist die Offenlegung von personenbezogenen Daten gegenüber Microsoft Irland zur Erstellung aggregierter statistischer, nicht personenbezogener Daten aus Daten, die pseudonymisierte Identifikatoren enthalten (wie etwa Nutzungsprotokolle, die eindeutige, pseudonymisierte Identifikatoren enthalten) und zur Berechnung von Statistiken bezogen auf Kundendaten oder Professional Services-Daten. Diese ist nötig, um den sicheren und stabilen Betrieb von Microsoft Teams zu gewährleisten. Dieser Zweck ist ebenfalls Teil der Verträge mit Microsoft Irland (Data Protection Agreement), so dass die dortigen Zwecke von Microsoft lauten:
    • Abrechnungs- und Kontoverwaltung;
    • Vergütung wie etwa Berechnung von Mitarbeiterprovisionen und Partner-Incentives;
    • Interne Berichterstattung und Geschäftsmodellierung wie etwa Prognose, Umsatz, Kapazitätsplanung und Produktstrategie; und
    • Finanzberichterstattung

Welche Arten von personenbezogenen Daten?

Im Rahmen der Nutzung von Microsoft Teams werden personenbezogenen Daten verarbeitet. Eine Verarbeitung von personenbezogenen Daten kann automatisch erfolgen oder durch Eingabe durch Nutzerinnen und Nutzer.

Personenbezogene Daten werden im Rahmen von User-ID-basierten sowie nicht User-ID-basierten Vorgängen verarbeitet

Es könnten Daten auch in Drittanbieter Apps verarbeitet werden. Diese sind aktuell deaktiviert.

Zum Zweck der Kollaboration mit bzw. zwischen Usern und Gästen (User-ID-basierte Vorgänge) innerhalb des Tenants sowie des sicheren IT-Betriebes werden folgende personenbezogene Daten verarbeitet:

  • Dokumente und Dateien
    Diverse Arten von Dokumenten und Dateien können verarbeitet werden.
  • Kommunikationsdaten des Nutzers
    Chat, Videotelefonie, Live-Übertragungen von Ton und ggf. Bild und Bildschirm, Foto, Bild und Ton Übertragungen
  • Kommunikationsdaten durch das System erzeugtZeitpunkt, Ort, Jitter-Wert, Datentransferrate, IP-Adresse,
  • Personenbezogene Basisdaten für den Account ergänzbar mit usergenerieten Angaben
    Vorname, Nachname, Adresse, UPN, Telefonnummer
  • Authentifizierungsdaten
    Logindaten, Passwort, Benutzername, Zeitpunkt, Ort
  • Kontaktinformationen
    Berufliche Kontakt-, Arbeits-, und Organisationsdaten (z.B. Name, E-Mail, Gesellschaft, Personalnummer, ggf. Foto etc.).
  • Profilierung
    Risikoprofil im Rahmen der Cybersecurity und IT-Sicherheit
  • Logfile mit Zugriffen
    Metadaten und Administrative Ereignisse
  • System generierte Protokolldaten
    Telemetrie- und Diagnosedaten, die von der Software erstellt werden.
  • Geräteinformationen (einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)
  • Produktfeedback (einschließlich Informationen zu den genutzten Geräten und der eingesetzten Software bzw. des genutzten Dienstes)
  • Cookies
    Zum Zweck der sicheren und stabilen Bereitstellung der Dienste werden technisch notwenige Cookies eingesetzt. Diese kleinen dem Browser anheftenden Cookies sind zum Beispiel Authentifizierungscookies zum Single-Sign-On.

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten

Microsoft Teams wird genutzt, um mit angehenden oder bestehenden Vertragspartnern und Beschäftigten zu kommunizieren oder bestimmte Leistungen gegenüber unseren Kunden oder Beschäftigten anzubieten (Art. 6 Abs. 1 lit. b DSGVO i.V.m. dem Arbeitsvertrag oder Dienst- wie auch Werkvertrages).

Letztlich müssen für Cybersecurity Maßnahmen zur Absicherung der Microsoft Teams Umgebung getroffen werden. Diese finden im Rahmen der Bereitstellung statt (Art. 6 Abs. 1 lit. b DSGVO i.V.m. dem Arbeitsvertrag oder Dienst- wie auch Werkvertrages) oder nach Art. 6 Abs. 1 lit. e DSGVO zur Erbringung öffentlicher Aufgaben.

An welche Empfänger oder Kategorien von Empfängern geben wir Ihre Daten im Rahmen dieser Verarbeitungstätigkeit weiter?

Sofern eine Rechtsgrundlage zur Weitergabe Ihrer Daten existiert, werden Ihre Daten nur denjenigen Stellen zur Verfügung gestellt, die diese zur Erfüllung der oben genannten Zwecke benötigen. Dabei handelt es sich vorwiegend um Stellen innerhalb der Verantwortlichen und eingesetzte Dienstleister (z.B. interne IT-Dienstleister und an Microsoft Ireland Operations Ltd.), Erfüllungsgehilfen. Sämtliche Empfänger sind ihrerseits zur Einhaltung des Datenschutzes verpflichtet.

Darüber hinaus übermitteln wir Ihre personenbezogenen Daten, soweit gesetzlich vorgeschrieben, in Einzelfällen an Behörden soweit gesetzlich notwendig.

Wir übermitteln Daten auf der Basis von Standardvertragsklauseln in Verbindung mit Vereinbarungen zur Auftragsverarbeitung. Dazu kommt eine Übermittlung der pseudonymisierten Telemetrie- und Diagnosedaten von Microsoft Irland zu Microsoft Corp. auf Basis von EU-Standardvertragsklauseln. Im Übrigen erfolgt keine Weitergabe an Empfänger in Drittländern, die kein der DSGVO entsprechendes Datenschutzniveau gewähren.

25 Abs. 2 Nr. 2 TTDSG: Die Speicherung oder der Zugriff ist zwingend erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich angeforderten Telemediendienst erbringen kann.

Wie lange speichern wir ihre Daten?

Wir speichern ihre personenbezogenen Daten, soweit dies erforderlich ist, um den jeweiligen Zweck zu verfolgen.

Metadaten von Anrufen und Besprechungen werden maximal 120 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht. Diese Daten werden für die Stabilität des Systems, Support und auch zur Abwehr von Angriffen in diesem Vektor benötigt. Zugriff haben nur bestimmte berechtigte und überwachte Administratoren.

Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.

Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für maximal 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.

Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.

Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, sind diese regelmäßig zu löschen, es sei denn, deren befristete Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen, z. B. nach Handelsgesetzbuch oder Abgabenordnung. Die dort genannten Fristen betragen 2 bis 10 Jahre bzw. nach Abschluss der Steuerprüfung.

Erhaltung von Beweismitteln im Rahmen der Verjährungsvorschriften (z. B. §§ 195ff. BGB).

Technisch-organisatorische Maßnahmen

Die Nutzung von Microsoft Teams ist komplex und eine Nutzung von Clouddiensten ist grundsätzlich auch risikobehaftet.
Folgende Maßnahmen werden durch uns für den Schutz ihrer personenbezogenen Daten ergriffen:
Unter anderem haben wir folgenden Maßnahmen ergriffen:

  • Datenklassifikation
  • Monitoring und Überwachung der Umgebung
  • Deaktivierung der Feedback-Funktion
  • Vertragliche Maßnahmen und Zusatzverträge
  • Pseudonymisierung von Berichten und Reports
  • Automatisches Löschen von Daten in vordefinierten Zyklen
  • Werkzeuge zum Entfernen von alten Nutzern und deren Daten

Eine Datenübermittlung der Telemetrie- und Diagnosedaten an Microsoft wird so gering wie möglich gehalten.

Im Rahmen der Verarbeitung ihrer personenbezogenen Daten haben wir eine Risikoanalyse für die Verarbeitung durchgeführt und darauf beruhend risiko-angepasste technische und organisatorische Maßnahmen eingeführt. Diese Maßnahmen werden regelmäßig geprüft und den bestehenden Risiken angepasst.

Welche Datenschutzrechte haben Sie?

Sie haben gegenüber uns folgende Rechte hinsichtlich der Verarbeitung der personenbezogenen Daten:

Sie haben ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und auf Datenübertragbarkeit.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Löschung und Berichtigung (Art. 15 – 17 DSGVO)
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

  • Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
  • Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.

Recht auf Beschwerde bei einer Datenschutzbehörde (Art. 77 DSGVO):
Sie haben zudem das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
 
Postanschrift:
Postfach 10 29 32
70025 Stuttgart
 
Telefon: 0711/61 55 41 – 0
Telefax: 0711/61 55 41 – 15
 
E-Mail:  poststelle@lfdi.bwl.de

Aktualisierungen

Diese Datenschutzhinweise werden an veränderte Funktionalitäten oder geänderte Rechtslagen angepasst. Daher empfehlen wir, den Datenschutzhinweis in regelmäßigen Abständen zur Kenntnis zu nehmen.


Zum Seitenanfang