Hinweise zum Datenschutz
für Teilnehmer an Online-Meetings über Microsoft-Dienste
Informationen zum Datenschutz
Die EU-Datenschutz-Grundverordnung [DS-GVO] sieht vor, dass Personen deren Daten erhoben werden, zur Gewährleistung einer fairen und transparenten Verarbeitung über den jeweiligen Verarbeitungskontext informiert werden. Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von durch uns (vgl. „Wer ist für die Datenverarbeitung verantwortlich?“) veranlasste „Online-Meetings“ wie Telefonkonferenzen, Videomeetings, Chats oder Schulungen/ Webinare mittels Produkten der Microsoft Ireland Operations Ltd. bzw. der Microsoft Corporation (insbesondere „Teams“, nachfolgend: „Tools“).
Bitte beachten Sie, dass Sie diese Information nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft auf unsere Veranlassung hin nutzen.
Wer ist für die Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Gesetzes ist regelmäßig diejenige Gesellschaft, durch die Sie im unmittelbaren Zusammenhang mit der Durchführung von „Online-Meetings“ eingeladen worden sind. Welche Gesellschaft dies ist, entnehmen Sie bitte den nachfolgenden Angaben:
Scheer GmbH Scheer Tower
Uni-Campus Nord
D-66123 Saarbrücken
Telefon: +49 681 96777-0
E-Mail: info@scheer-group.com
Unseren Datenschutzbeauftragten erreichen Sie postalisch unter der nebenstehenden Adresse mit dem Zusatz „z.Hd. Datenschutzbeauftragter“ oder elektronisch unter: datenschutz@scheer-group.com
Scheer Österreich GmbH Ernst-Melchior-Gasse 22
AT-1020 Wien
Phone: +43 1 36 136 00
Fax: +43 1 36 136 00 99
Scheer Schweiz AG Industriestraße 50b
CH-8304 Wallisellen
Phone: +49 681 96 777-0
Innerhalb der Europäischen Union agiert die Scheer GmbH (s.o.) als Vertreter im Sinne des Art. 27 DS-GVO der Scheer Schweiz AG.
Scheer PAS Deutschland GmbH Scheer Tower
Uni-Campus Nord
D-66123 Saarbrücken
Telefon: +49 681 96777-0
Scheer PAS Schweiz AG Lautengartenstraße 12
CH-4052 Basel
Phone: +41 61 27097-10
Fax: +41 61 27097-11
E-Mail: info@scheer-pas.com
Innerhalb der Europäischen Union handelt die Scheer PAS Deutschland GmbH (siehe oben) als Vertreter im Sinne von Artikel 27 GDPR der Scheer PAS Schweiz AG.
Hinweise
Vertragspartner der Microsoft Ireland Operations Ltd. ist, unabhängig von welchem Unternehmen der Scheer Gruppe Sie zu einem Online-Meeting eingeladen werden, die Scheer GmbH. Diese erbringt ebenso einen Großteil der infrastrukturellen Leistungen, die unsererseits zur Durchführung von Online-Meetings erforderlich sind.
Soweit Sie die Internetseite von Microsoft aufrufen, ist der Anbieter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen. Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzen. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.
Wofür und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?
Wir nutzen die Tools, um die Kommunikation und Zusammenarbeit von Menschen über Telefonkonferenzen, Videokonferenzen, Online-Treffen, Chats und/oder Schulungen/Webinare durchzuführen. Die Tools sind Services der Microsoft Ireland Operations Ltd. (Irland) bzw. der Microsoft Corporation (USA). Die Rechtsgrundlage unterscheidet sich, je nachdem wer daran teilnimmt.
Soweit personenbezogene Daten von Beschäftigten der Scheer GmbH oder eines Unternehmens der Scheer Gruppe in Deutschland verarbeitet werden (inkl. sich Bewerbende), ist § 26 BDSG die Rechtsgrundlage für die Datenverarbeitung. Für unsere Gesellschaften außerhalb der Bundesrepublik Deutschland gelten, sofern vorhanden, die dortigen landesspezifischen Datenschutzregelungen zum Beschäftigtendatenschutz, hilfsweise die Bestimmungen der DS-GVO.
Für weitere Teilnehmende an „Online-Meetings“ ist, soweit diese im Rahmen von Vertragsbeziehungen zu den Betroffenen durchgeführt werden, Art. 6 Abs. 1 lit. b) DS-GVO die Rechtsgrundlage für die Datenverarbeitung. Sollten keine vertraglichen Beziehungen zwischen Verantwortlichem und betroffener Person bestehen oder Dritte teilnehmen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DS-GVO. Dies ist insbesondere dann der Fall, wenn eine Verarbeitung elementarer Bestandteil der Toolnutzung ist oder die Verarbeitung auf einer geschäftlichen oder behördlichen Zusammenarbeit (inkl. Anbahnung) der Beteiligten beruht, wobei hier unser Interesse an der effektiven Durchführung von „Online-Meetings“ besteht.
Welche Daten werden verarbeitet und in welchem Umfang?
Bei der Nutzung der Tools werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. während der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
- Angaben zum Benutzer: z.B. Anzeigename („Display name“), Vorname, Nachname, Telefon (optional), E-Mail- Adresse, Profilbild (optional), Abteilung (optional), bevorzugte Sprache
- Meeting-Metadaten: z.B. Datum, Uhrzeit, Thema, Statusangabe, Teilnehmer-IP-Adresse, Meeting-ID, Ort, Geräte-/ Hardware-Informationen
- Bei Aufzeichnungen (optional): MP4-Datei der Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
- Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
- Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragenoder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Tool-Applikationen abschalten bzw. stummstellen.
Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen bzw. Anzeigenamen machen.
Umfang der Verarbeitung
Wir verwenden die Tools, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem im Tool angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines „Online-Meetings“ erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein. Im Falle von Webinaren können wir für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar- Teilnehmenden verarbeiten.
Wenn Sie bei Microsoft für die Tools als Benutzer registriert sind, dann können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) ggf. bei Microsoft gespeichert werden.
Die in „Online-Meeting“-Tools bestehende Möglichkeit einer softwareseitigen Aufmerksamkeitsüberwachung ist unsererseits deaktiviert. Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DS-GVO findet unsererseits nicht statt.
Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten erforderlich ist, zur Gewährleistung eines reibungsfreien IT-Betriebes, im Rahmen von Maßnahmen der Gebäudesicherheit (z.B. Zutrittskontrolle) und zur Sicherstellung des Hausrechts.
Wer erhält Zugriff auf Ihre Daten?
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, sind grundsätzlich den Teilnehmern am jeweiligen Online-Meeting bekannt. So werden Video-, Bild-, Ton- und/oder Fotoaufnahmen der Teilnehmenden einer Videokonferenz sowie ggfls. Unterlagen zu den Inhalten, freigegebene Bildschirme sowie Teilnehmerlisten und Chats den Teilnehmenden der Webkonferenz offenbar.
Des Weiteren werden Daten innerhalb unserer Unternehmensgruppe nur den Stellen zugänglich gemacht, die diese zur Erfüllung vorstehend genannter Zwecke benötigen (z.B. Marketing, Vertrieb, Projektmitarbeiter, Buchhaltung zur Abrechnung, IT zum sicheren Betrieb der Infrastruktur). Bitte beachten Sie jedoch, dass die Inhalte von Online-Meetings häufig zur Weitergabe an Kunden, Interessenten oder Dritte bestimmt sind.
Weitere Empfänger könnten auch diejenigen sein, gegenüber denen wir in irgendeiner Art gesetzlich zur Herausgabe verpflichtet sind (z.B. öffentliche Stellen und Institutionen), zur Durchsetzung offener Forderungen (z.B. Rechtsanwalt), zu denen Sie uns Ihre Einwilligung erteilt haben (z.B. als Referenz), oder solche Dienstleister, die uns bei der Leistungserbringung notwendigerweise unterstützen, wie etwa der Anbieter des jeweiligen Tools zum „Online-Meeting“. Wir haben mit Anbietern die im Rahmen einer Auftragsverarbeitung für uns tätig sind einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DS-GVO entspricht.
Datenverarbeitung außerhalb der Europäischen Union
Eine technische Datenverarbeitung außerhalb der Europäischen Union [EU] erfolgt insofern grundsätzlich nicht, dass wir im Rahmen unserer Möglichkeiten den Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende am „Online-Meeting“ in einem Drittland aufhalten. Keinen Einfluss haben wir zudem auf die systemseitige Verarbeitung technischer Informationen wie Geräte-/Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten des Endgeräts sowie Zeitpunkt und Datum des Zugriffs) durch den Diensteanbieter.
Da zu unserer Unternehmensgruppe auch Gesellschaften in Drittstaaten (z.B. Schweiz) gehören oder uns Dienstleister (z.B. Microsoft) mit Firmensitz, Konzernmutter oder einem Rechenzentrum in Drittstaaten fallweise unterstützen, kann hierbei eine Weitergabe leider nicht ausgeschlossen werden. In solchen Fällen stellen wir im Rahmen unserer Möglichkeiten sicher, dass nur Zugriff auf solche Daten erfolgt, die für das Erbringen der konkreten Aufgabe erforderlich sind und zudem entsprechende Sicherheitsmaßnahmen (z.B. Angemessenheitsbeschluss der EU-Kommission, EU-Standardvertragsklauseln) getroffen sind.
Das Datenschutzniveau wird gegenüber Microsoft durch den Abschluss von ergänzten EU-Standard-datenschutzklauseln und technisch-organisatorischer Maßnahmen gewährleistet. Unter anderem dadurch, dass Daten während des Transports über das Internet transportverschlüsselt sind und vor einer Offenlegung gegenüber Dritter generell geschützt sind. Im Hinblick auf personenbezogene Daten, die durch Microsoft in den USA und Europa gespeichert werden und ggf. behördlichen Auskunftsersuchen von Behörden in den USA unterliegen können, garantiert Microsoft in einer Stellungnahme vom 20. Juli 2020, dass solche Verfügungen vor Gericht angefochten werden, mit denen der Zugang zu personenbezogenen Daten möglich wäre. Darüber hinaus hat Microsoft im Rahmen eines rechtlichen Vergleichs das Recht erworben, transparente Berichte über die Anzahl der an Microsoft gerichteten amerikanischen Anweisungen zur nationalen Sicherheit offen zu legen, des Weiteren wurden neue Richtlinien innerhalb der US-Regierung eingeführt, welche die Verwendung von Geheimhaltungsanweisungen eingeschränkt haben (Vgl. https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/).
Das Datenschutzniveau wird gemessen an den voraussichtlichen Inhalten der Online-Meetings als ausreichend angesehen.
Weitere Informationen von Microsoft (Stand September 2021) finden Sie u.a. hier:
- Microsoft Privacy Statement
- GDPR Overview
- Privacy and Security in Microsoft Teams
- Statement on EDPB Decision
- New Measures for Data Protection
- Data Protection Series
- End-to-End Encryption in Microsoft Teams
- Microsoft’s Commitment to Privacy and Security in Teams
Ihre Rechte
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung mehr besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zu erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Nach den geltenden Vorschriften haben Sie verschiedene Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:
- Recht auf Zugang: Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu verlangen. Diesbezüglich können Sie sich jederzeit an uns wenden. Bei nicht schriftlichen Anfragen bitten wir um Ihr Verständnis, dass wir einen Nachweis verlangen können, dass Sie die Person sind, die Sie vorgeben zu sein.
- Recht auf Berichtigung oder Löschung: Sie haben das Recht, die Berichtigung oder Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung zu verlangen, soweit Sie dazu gesetzlich berechtigt sind.
- Recht auf Widerspruch: Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen.
- Recht auf Datenübertragbarkeit: Sie haben das Recht, die Übermittlung Ihrer Daten innerhalb des gesetzlichen Rahmens zu verlangen.
- Recht auf Beschwerde: Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Datenschutzbeauftragter
Unseren Datenschutzbeauftragten bzw. einen Ansprechpartner zum Datenschutz erreichen Sie unter: datenschutzscheer-group.com sowie postalisch über die zu Beginn genannte Anschrift des Verantwortlichen.
Sonstige Hinweise
Bitte informieren Sie als Empfänger dieser Information entsprechende weitere hiervon betroffene Personen Ihres Hauses, sofern diese an unseren Diensten zur Kommunikation und Kollaboration über unsere Tools teilnehmen. Stand dieser Information ist September 2021. Wir behalten uns vor, diese Information bei Bedarf zu aktualisieren. Sie können zudem jederzeit eine aktuelle Fassung bei uns anfordern.