Hinweise gemäß der Informationspflicht nach Art. 13 DSGVO

Diese ergänzende Erklärung umfasst Informationen darüber, wie und in welchem Umfang die Hochschule Magdeburg-Stendal Daten im Rahmen der Bereitstellung von Microsoft 365 EDU erhebt und wie diese verarbeitet werden. Die Software (MS 365) ist eine Plattform mit einer Kombination von Webanwendungen der Microsoft Corp. („Microsoft“), mit Sitz in Redmond, WA 98052-6399, USA, One Microsoft Way, die über den Auftragsverarbeiter DrVis Software GmbH die Office Anwendungen bereitgestellt. Die Hochschule ist Lizenznehmerin und ermöglicht Ihren Angehörigen auch den Zugang zu den Online Diensten. Die dort abgelegten Daten werden in den Rechenzentren von Microsoft abgelegt. Mitarbeitende erhalten zudem eine lokale Office Pro-Version, die Datenspeicherungen im Hoheitsbereich der Hochschule Magdeburg-Stendal ermöglichen.

1. Anlass:

Die Hochschule Magdeburg-Stendal stellt im Rahmen des Bundesrahmenvertrages mit der Firma Microsoft Angehörigen der Hochschule Lizenzen für die Nutzung von Microsoft 365 EDU zur Verfügung.
Bei Ausscheiden aus dem Dienst oder nach Abschluss des Studiums darf der Zugang zu den Microsoft-Diensten nicht mehr durch die Hochschule Magdeburg-Stendal bereitgestellt werden.
Um diese Vertragsbedingung automatisch gewährleisten zu können, werden Ihre Daten, sobald Sie dies freigegeben haben, aus dem Verzeichnisdienst der Hochschule (AD) automatisch mit denen im Verzeichnisdienst von Microsoft (Azure AD) abgeglichen.

2. Name und Anschrift der Verantwortlichen

Der Verantwortliche im Sinne der EU-Datenschutzgrundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

Hochschule Magdeburg-Stendal,
vertreten durch die Rektorin, Prof. Dr. Anne Lequy,
Breitscheidstr. 2, 39114 Magdeburg
Tel.:     (0391) 886 41 00
E-Mail: rektorin(at)h2.de

3. Name und Anschrift der Datenschutzbeauftragten

Datenschutzbeauftragter Prof. Dr. Schanz
Breitscheidstr. 2, 39114 Magdeburg
Tel.:     (0391) 886 43 17
E-Mail: datenschutz(at)h2.de


4. Verantwortlicher neben der Hochschule als Lizenznehmer

Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland

Microsoft Corporation
One Microsoft Way Remond, Washington 98052

Datenschutz
Themenseite: Microsoft Datenschutz-Hilfe und Lernen


5. Von wem werden die Daten erhoben

Es werden von allen Nutzenden von Microsoft 365 der Hochschule Magdeburg-Stendal Daten erhoben. Das umfasst alle StudentInnen sowie alle MitarbeiterInnen.

6. Wie werden die erhobenen Daten genutzt?

Die persönlichen Daten werden zur Überprüfung der Lizenzberechtigung für Microsoft 365 Edu verwendet. Das ist aufgrund der Lizenzbestimmungen von Microsoft notwendig.

7. Allgemeines zur Datenverarbeitung

a) Art und Umfang der Datenverarbeitung

Personenbezogene Daten werden zum Zwecke der administrativen Nutzerverwaltung, zur Bereitstellung personalisierter Dienste und zur Durchführung des Studiums als Studierende bzw. der Tätigkeiten als Mitarbeiter an der Hochschule Magdeburg-Stendal verarbeitet.

Die persönlichen Daten werden zur Überprüfung der Lizenzberechtigung für MS 365 Edu verwendet. Das ist aufgrund der Lizenzbestimmungen von Microsoft notwendig.

Die Webanwendungen wie Word, Excel, Powerpoint, Sharepoint, One Drive oder Microsoft Search erlauben es den Nutzern eigenständig Inhalte zu erstellen und diese mit anderen Nutzern zu teilen.
Die Hochschule Magdeburg-Stendal hat im Rahmen ihrer Möglichkeiten eine datensparsame Konfiguration der Dienste vorgenommen. Die Nutzung von Office 365 unterliegt den Nutzungs- und Datenschutzbestimmungen von Microsoft.
Datenschutzbestimmungen: https://privacy.microsoft.com/de-de/privacystatement
Nutzungsbestimmungen: https://www.microsoft.com/de-CH/servicesagreement/
Mit der Nutzung von MS 365 akzeptieren Sie die Nutzungs- und Datenschutzbestimmungen von Microsoft.

b) Datenkategorien

  1. Dokumente und Dateien
  2. Aufgaben und Lösungen
  3. Kommunikationsdaten
  4. personenbezogene Basisdaten
  5. Authentizierungsdaten
  6. Kontaktinformationen
  7. Profilierung
  8. Logfile mit Zugriffen (hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleben)
  9. systemgenerierte Protokolldaten

Die Verarbeitungen sind in drei Kategorien eingeteilt:

  • Office Apps (Workstation und Laptops)
  • Mobile Office Apps (Smartphone und Tablet)
  • Online Office (Web-Seiten)

Office Apps:
Bei den Office Apps werden die Funktionsdaten für den Download und die Lizensierung des Produkts auf dem Rechner verwendet. Die Inhaltsdaten können lokal auf dem Rechner oder ggf. in der Microsoft Cloud gespeichert werden.

Mobile Office Apps:
Die Softwarebereitstellung geschieht durch die App-Stores der Plattform. Die Funktionsdaten werden für die Lizensierung und die Anmeldung an der Microsoft Cloud verwendet. Die Inhaltsdaten können in der Microsoft Cloud oder auf dem Mobilgerät gespeichert werden.

Online Office:
Die Office-Anwendung wird als Web-Seite dargestellt. Es wird keine Softwareinstallation durchgeführt. Die Funktionsdaten werden für die Anmeldung genutzt. Die Inhaltsdaten werden in der Microsoft Cloud gespeichert.
Azure-Account (vorname.nachname(at)teams-h2.de) mit dem zugehörigen Azure-Passwort werden nach Microsoft Azure übertragen. Mit dem Azure-Account können Sie sich an den Microsoft-Webseiten anmelden.

c) Zweck der Datenverarbeitung

Über das Serviceportal des Auftragsverarbeiters

DrVis Software GmbH – Danzigerstr. 12 – 85748 Garching bei München

(https://bildung365.de) können Hochschulangehörige eine Lizenz des Lizenzpaketes Microsoft 365 eigenständig beantragen und beruht auf der Einwilligung der betroffenen Person. Microsoft Teams und Office 365 sind jeweils fester Bestandteil dieses Paketes, eine Beantragung eines einzelnen Bestandteils ist nicht möglich. Es handelt sich um das Lizenzpaket „Microsoft Education A3“.

Die Verarbeitung Ihrer oben genannten personenbezogenen Daten dient dazu, Ihnen Arbeitsplatz-Umgebungen mit Microsoft Office Produkten, den Updates zur Verfügung zu stellen. Dadurch wird die Informationssicherheit sowie der technisch und kundenbezogene Support gewährleistet.

Einschließlich der Offenlegung für folgende Zwecke von Microsoft (Microsoft handelt hierbei als eigener Verantwortlicher)

  • Abrechnung- und Kontenverwaltung
  • Bekämpfung von Betrug
  • Cyberkriminalität oder Cyberangriffe
  • Einhaltung gesetzlicher Verpflichtungen
  • Finanzberichterstattung
  • Interne Berichterstattung und Modellierung
  • Verbesserung der Kernfunktionen in Bezug auf Barrierefreiheit, Datenschutz und Energieeffizienz
  • Vergütung

Statistiken über die Nutzung werden erstellt.

d) Was wird erhoben und gespeichert

Die Protollierung der Verwendung der Dienste von MS 365 ist anonymisiert.
Eine Funktion zur Produktbewertung ist nicht aktiviert und die Inventarisierungsfunktion/Telemetrie ist abgeschaltet.

Synchronisationsdaten:

  • E-Mail-Adresse
  • Nutzer-Account
  • Vor- und Nachname
  • Statusgruppe (StudentIn/MitarbeiterIn/PartnerIn)

Anmeldeereignisse (der letzten 7 Tage):

  • Anwendung
  • Datum
  • Datum der ersten und letzten Aktivität der Gerätes
  • Geräteinformationen (Gerätename, Betriebssystem, Browser...)
  • IP-Adresse
  • Uhrzeit
  • Teams - Anwesenheitsstatus (vom Benutzer einstellbar)


e) Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Grundlage für die Verarbeitung personenbezogener Daten ist grds. § 119 HSG LSA Soweit personenbezogene Daten von Beschäftigten der Hochschule Magdeburg-Stendal verarbeitet werden, ist die Rechtsgrundlage daneben Art. 88 DSGVO i.V.m. § 26 BDSG.
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten Ihre Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Soweit die Verarbeitung für die Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, die auf Ihre Anfrage hin erfolgen, dient Art. 6 Abs. 1 lit. b DSGVO (ggf. i.V.m. § 26 Abs. 1 BDSG) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Hochschule unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 4 Abs. 1 DSG LSA als Rechtsgrundlage.
Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Hochschule übertragen wurde, so dient Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 4 Abs. 1 DSG LSA, § 3 Abs. 1 HSG LSA als Rechtsgrundlage für die Verarbeitung.

f) Weitere Empfänger Ihrer personenbezogenen Daten

Ihre erhobenen personenbezogenen Daten werden an folgende Empfänger außerhalb der Hochschule weitergegeben:

  • Microsoft Ireland Operations Limited
  • DrVis Software GmbH – Danzigerstr. 12 – 85748 Garching bei München


g) Dauer der Speicherung der personenbezogenen Daten

Löschfristen

  • Datenkategorie 1-3    - 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeiten
  • Datenkategorie 4-7    - 90 Tage nach Löschung des Nutzeraccounts, auf Verlangen oder nach Widerspruch
  • Datenkategorie 8, 9    - lt. Microsoft spätestens nach 180 Tage

Die von Ihnen selbst eingestellten Daten können von Ihnen eigenständig gelöscht werden. Die automatische Löschung erfolgt nach der Deaktivierung des Nutzerkontos. Die Hochschule Magdeburg-Stendal erstellt kein Back-Up Ihrer Dateien, die in den Rechenzentren von Microsoft abgelegt werden.

Wenn die Verarbeitung auf Ihrer Einwilligung beruht, werden die Daten nur solange gespeichert, bis Sie Ihre Einwilligung widerrufen, es sei denn, es besteht eine andere Rechtsgrundlage für die Verarbeitung.
Im Falle eines Widerrufs ist keine weitere Nutzung der Microsoft 365-Dienste mehr möglich. Spätestens nachdem Hochschulangehörige die Bildungseinrichtung verlassen haben (Exmatrikulation, Beendigung des Beschäftigtenverhältnisses), wird dieser Abgleich automatisch beendet und die Daten aus dem Azure AD bei Microsoft nach einem Monat automatisch gelöscht.

h) SSL-Verschlüsselung

Die Verbindung zur Plattform MS 365 und allen verknüpften Anwendungen erfolgt mit einer SSL-Verschlüsselung (https). Über SSL verschlüsselte Daten sind nicht von Dritten lesbar.

i) Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation

Die Hochschule Magdeburg-Stendal übermittelt nicht eigenständig, personenbezogene Daten an ein Drittland. Eine solche Übermittlung kann jedoch nicht vollständig ausgeschlossen werden, insofern MS 365 durch Microsoft als Dienstleister angeboten wird, der seinen Sitz in einem Drittland (USA) hat.
Die Hochschule Magdeburg-Stendal hat mit DrVis Software GmbH neben den Standardvertrag zur Auftragsdatenverarbeitung auch weitreichende Regelungen zum Datenschutz abgeschlossen. Im Fall der Core-Onlinedienste speichert Microsoft ruhende Kundendaten in bestimmten größeren geografischen Gebieten. Es wurde vertraglich Europa als Datenablageort vereinbart. Die Verarbeitung durch Microsoft unterliegt dabei den DSGVO-Bestimmungen nach dem Recht der Europäischen Union.


8. Ihre Rechte als Betroffener

Wenn die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, haben Sie laut EU-Datenschutz-Grundverordnung (DSGVO) Rechte über Ihre von der Hochschule Magdeburg-Stendal verarbeiteten personenbezogenen Daten

  • Recht auf Auskunft (Art. 15 DSGVO),
  • ein Recht auf Berichtigung (Art. 16 DSGVO),
  • ein Recht auf Löschung (Art. 17 DSGVO),
  • ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und
  • ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

9. Recht auf Beschwerde bei der Aufsichtsbehörde

Außerdem haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen, z.B. bei dem Landesbeauftragten für Datenschutz Sachsen-Anhalt, Postfach 1947, 39009 Magdeburg, Tel.: 0391 818 03-0,
E-Mail: poststelle(at)lfd.sachsen-Anhalt.de

Weitere Informationen

Datenschutzerklärung von Microsoft finden Sie unter:
https://privacy.microsoft.com/de-de/privacystatement

Informationen zu Diagnosedaten:
https://docs.microsoft.com/de-de/deployoffice/privacy/required-diagnostic-data

Microsoft Support:
https://support.microsoft.com/de-de/office

  • Keine Stichwörter