1.1. Einleitung
Sie haben eine Einladung zur Nutzung einer Microsoft Office Anwendung, wie bspw. Microsoft Teams, Microsoft SharePoint Online, Microsoft Forms, OneDrive (nachfolgend auch „MS 365“ genannt) durch einen Beschäftigten der Dawonia Management GmbH, Dom-Pedro-Str. 19, 80637 München oder eines mit ihr verbundenen Unternehmen (nachfolgend „wir“ oder „uns“) als Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) erhalten.
Mit den folgenden Datenschutzhinweisen möchten wir Sie als externen Nutzer über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen von MS 365 und Ihre Rechte gemäß Art. 13 und 14 der Datenschutzgrundverordnung (DSGVO) bezüglich dieser Verarbeitung informieren.
MS 365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, welches innerhalb der Dawonia und mit externen Partnern übergreifend eingesetzt werden kann.
Bei der Nutzung der MS 365 werden personenbezogene Daten verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft nutzen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die entsprechende Erklärung einzusehen.
Microsoft Privacy Statement: https://privacy.microsoft.com/de-de/privacystatement
Sie können unsere allgemeine Datenschutzerklärung jederzeit unter https://www.dawonia.de/de/datenschutz aufrufen.
1.2. Verantwortlicher
Die Dawonia Gesellschaft, von der Sie beauftragt wurden, ist Verantwortlicher im Sinne der DSGVO und somit für die nachfolgend erläuterte Datenverarbeitung verantwortlich. Details zu der Gesellschaft und den entsprechenden Kontaktdaten finden Sie in dem Auftrag der Dawonia Gesellschaft bzw. dem Vertrag, den Sie mit der jeweiligen Dawonia Gesellschaft geschlossen haben und der die Grundlage für Ihre Einladung in den Office 365-Dienst durch einen Beschäftigten der Dawonia darstellt.
1.3. Datenschutzbeauftragter
Sie können sich jederzeit unter an unseren Konzerndatenschutzbeauftragten wenden. Sollten Sie Fragen oder Anmerkungen zu unserem Umgang mit Ihren personenbezogenen Daten haben oder möchten Sie die unter Ziffer 6 und 7 genannten Rechte als betroffene Person ausüben, wenden Sie sich bitte an unseren Konzerndatenschutzbeauftragten:
Sie erreichen den Konzerndatenschutzbeauftragten der Dawonia Gesellschaften unter:
Dawonia Management GmbH
Datenschutzbeauftragter
Dom-Pedro-Straße 19
80637 München
Telefon: +49 (0) 89 30617- 316
E-Mail: datenschutz@dawonia.de
Bei Fragen oder Anmerkungen zum praktischen Umgang und der Bedienung der MS 365 wenden Sie sich bitte an Ihren Dawonia-Kontakt, von dem / der Sie die Einladung zur Nutzung erhalten haben.
2.1. Rechtsgrundlagen der Verarbeitung
Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie die MS 365 verwenden. Welche personenbezogenen Daten genau verarbeitet werden und auf welcher Rechtsgrundlage dies beruht, haben wir im Folgenden für Sie aufgeführt:
Aufgrund der Tatsache, dass Office 365 als zentrale Kommunikations- und Kollaborationsplattform innerhalb der Dawonia und gegenüber externen Nutzern verwendet wird und Sie als externer Nutzer über diese Kommunikationsmittel erreichbar sind, ist die Datenverarbeitung für die Durchführung des Auftragsverhältnisses notwendig und basiert auf der rechtlichen Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Jedenfalls besteht aber ein berechtigtes Interesse von uns zur Verarbeitung der Daten, das in der effektiven und zielgerichteten Durchführung des Auftrags sowie dem effizienten Austausch mit den beteiligten Dawonia Mitarbeitern liegt. Rechtliche Grundlage ist in diesem Fall Art. 6 Abs. 1, S. 1, lit. f) DSGVO.
Wir verarbeiten personenbezogene Daten auch für die Zwecke der Systempflege und des Supports durch unsere Administratoren. Diese Verarbeitung ist notwendig, um unsere legitimen Interessen an der Systemsicherheit und Systempflege zu verfolgen und basiert auf der rechtlichen Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
2.2. Datenkategorien und Zwecke der Verarbeitung
Ihre IP-Adresse, mit der der Zugriff auf die Anwendungen von MS 365 erfolgt.
Ihr Benutzername (Zugangsdaten zu den Microsoft Office 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z. B. optional die (private) Handynummer).
Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der MS 365 kennzeichnet. Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, sofern von Ihnen angegeben oder von Ihrer Organisation übermittelt. Weitere freiwillige Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie und andere Nutzer von MS 365 jederzeit sichtbar und können von Ihnen individuell angepasst werden.
Für die Authentifizierung, den Lizenzgebrauch, die Protokollierung und zur Missbrauchserkennung erforderliche Daten. In den MS 365 werden sämtliche Nutzeraktivitäten, wie z.B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat verarbeitet.
Nutzungsdaten: Die durch Sie oder von Ihnen erhobenen Nutzungsdaten. Hierunter sind insbesondere Kommunikationsinhalte (Text, Audio, Video), von Ihnen oder zu erstellte Dateien zu verstehen. Dies ist abhängig von der von Ihnen genutzten Anwendung im MS 365. Soweit eine Aufzeichnung von Audio- oder Videoinhalten erfolgt, werden Sie darauf hingewiesen.
Datensicherungen und Archivierung: Die von Ihnen oder über Sie erhobenen Daten werden in unserer Datensicherung gespeichert. Dies dient der Wiederherstellbarkeit des Systems und der Daten selbst. Ferner werden Ihre Daten (teilweise) Archiviert, soweit dies eine gesetzliche Verpflichtung vorschreibt.
2.3. Freiwillige/Verpflichtende Bereitstellung von Daten
Die Bereitstellung mancher personenbezogener Daten wie z.B. Kommentare, Teilen, Likes, etc. ist freiwillig. Sie sind weder verpflichtet, uns diese personenbezogenen Daten zur Verfügung zu stellen, noch ist die Bereitstellung erforderlich zur Erfüllung gesetzlicher oder vertraglicher Anforderungen.
Wenn Sie uns diese personenbezogenen Daten nicht zur Verfügung stellen, so hat dies keine Konsequenzen für Sie, außer dass wir dann nicht in der Lage sind, diese Daten für die Zwecke der Datenverarbeitung zu berücksichtigen. Die Bereitstellung Ihrer personenbezogenen Daten, die aus dem Microsoft-Account übermittelt werden, ist hingegen verpflichtend und erforderlich für die Erfüllung des mit Ihnen geschlossenen Auftrages bzw. zur Wahrung unserer berechtigten Interessen (siehe oben unter Ziffer 2.1).
2.4. Weitergabe und Übertragung von Daten
Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in diesen Datenschutzhinweisen genannten Fällen lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist. Dies kann u.a. der Fall sein, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen.
2.4.1. Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb unserer Unternehmensgruppe für interne Verwaltungszwecke einschließlich der gemeinsamen Kunden- und Lieferantenbetreuung im Rahmen des Erforderlichen weitergeben. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 f)
Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, die Daten für administrative Zwecke innerhalb unserer Unternehmensgruppe weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO nicht überwiegen.
2.4.2. Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der MS 365 oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden.
Eine solche Weitergabe der personenbezogenen Daten dadurch gerechtfertigt, dass
die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß Art. 6 Abs. 1 S. 1. lit. c) DSGVO i.V.m. nationalen rechtlichen Vorgaben zur Weitergabe von Daten an Strafverfolgungsbehörden unterliegen, oder
wir ein berechtigtes Interesse daran haben, die Daten bei Vorliegen von Anhaltspunkten für missbräuchliches Verhalten oder zur Durchsetzung unserer Rechtsansprüche an die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO nicht überwiegen oder
wir auf Basis von Art. 88 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Aufdeckung von Straftaten verarbeiten.
2.4.3. Wir sind bei der Nutzung der MS 365 auf Microsoft angewiesen. Microsoft ist ein sog. Auftragsverarbeiter und unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der von uns eingesetzten MS 365 Anwendungen unseren Weisungen als verantwortlichen Stelle im Sinne der DSGVO. Entsprechend der gesetzlichen Verpflichtung haben wir Microsoft und anderen Auftragsverarbeitern vertragliche Vereinbarungen zur Weitergabe der Daten getroffen. Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt auf Servern in der EU.
2.4.4. Im Rahmen der Weiterentwicklung unseres Geschäfts kann es dazu kommen, dass sich die Struktur unseres Unternehmens wandelt, indem die Rechtsform geändert wird, Tochtergesellschaften, Unternehmensteile oder Bestandteile gegründet, gekauft oder verkauft werden. Bei solchen Transaktionen können die Informationen gegebenenfalls zusammen mit dem zu übertragenden Teil des Unternehmens an eine andere juristische Person weitergegeben werden. Bei jeder Weitergabe von personenbezogenen Daten an Dritte in dem vorbeschriebenen Umfang tragen wir dafür Sorge, dass dies in Übereinstimmung mit diesen Datenschutzhinweisen und dem anwendbaren Datenschutzrecht erfolgt.
Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, unsere Unternehmensform den wirtschaftlichen und rechtlichen Gegebenheiten entsprechend bei Bedarf anzupassen und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 S.1 lit. f) DSGVO nicht überwiegen.
2.5. Datenübermittlungen in Drittländer
Eine Weitergabe in Drittländer, sowohl konzernintern als auch durch die Beauftragung von Auftragsverarbeitern und Dritten, kann bei der Verwendung von MS 365 nicht ausgeschlossen werden. Wir haben in einem solchen Fall geeignete Garantien zum Schutz Ihrer Daten getroffen.
2.6. Zweckänderungen
Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.
2.7. Zeitraum der Datenspeicherung
Wir löschen, sperren oder anonymisieren Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie nach den vorstehenden Ziffern erhoben oder verwendet haben, nicht mehr erforderlich sind. Vorbehaltlich gesetzlicher Lösch- und Aufbewahrungsfristen speichern wir Ihre personenbezogenen Daten für die Dauer des Vertragsverhältnisses mit Ihnen. Login-Daten mit Nutzernamen und IP-Adressen werden längstens für nach 30 Tage aufbewahrt. Ebenso werden Ihre Daten in Datensicherungen gespeichert. Diese werden regelmäßig und betrieblich angemessen überschrieben.
Als Betroffener können Sie sich jederzeit mit einer formlosen Mitteilung an unseren Konzerndatenschutzbeauftragten wenden, um Ihre Rechte gemäß der DSGVO auszuüben. Diese Rechte sind die folgenden:
3.1. Auskunftsrecht
Sie haben das Recht, von uns jederzeit auf Antrag eine Auskunft über die von uns verarbeiteten, Sie betreffenden personenbezogenen Daten im Umfang des Art. 15 DSGVO zu erhalten.
3.2. Recht zur Berichtigung unrichtiger Daten
Sie haben das Recht, von uns die unverzügliche Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern diese unrichtig sein sollten.
3.3. Recht auf Löschung
Sie haben das Recht, unter den in Art. 17 DSGVO beschriebenen Voraussetzungen von uns die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen.
3.4. Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, von uns die Einschränkung der Verarbeitung nach Maßgabe des Art. 18 DSGVO zu verlangen.
3.5. Recht auf Datenübertragbarkeit
Sie haben das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format nach Maßgabe des Art. 20 DSGVO zu erhalten.
3.6. Widerrufsrecht
Sie haben das Recht, eine erteilte Einwilligung jederzeit gemäß Art. 7 DSGVO zu widerrufen, um eine Datenverarbeitung, die auf Ihrer Einwilligung beruht, zu unterbinden. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor dem Widerruf.
3.7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die u.a. aufgrund von Art. 6 Abs. 1 S.1 lit. f) DSGVO erfolgt, Widerspruch nach Art. 21 DSGVO einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
3.8. Beschwerderecht
Sie haben ferner das Recht, sich bei Beschwerden an die zuständige Aufsichtsbehörde zu wenden.
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Internet: www.lda.bayern.de
Wir halten diese Datenschutzhinweise immer auf dem neuesten Stand. Deshalb und aufgrund der ständigen Erweiterungen und Änderungen der einzelnen Produkte aus den Lizenzpaketen von MS 365 behalten wir uns vor, sie von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung Ihrer Daten nachzupflegen.
Stand Januar 2021 V.1.0