Datenschutz und Nutzungshinweise
Mit dem neuen Bundesrahmenvertrag 3.0 ist die dienstliche oder studentische Nutzung von Office-Produkten wie Word, Excel nur noch mit regelmäßiger Anmeldung bei Microsoft möglich (Produktaktivierung bzw. -Überprüfung; personalisierte Lizenz über den Hochschulaccount der Fachhochschule Erfurt).
Eine private oder kommerzielle Nutzung ist im Lizenzvertrag nicht eingeschlossen. Die Lizenzaktivierung erfolgt über ein personengebundenes Nutzerlogin.
Es werden neben den Anmelde- (E-Mail Adresse und Hochschulaccount) auch weitere personenbezogene Daten (u.a. Nutzungs- und Verhaltensdaten, Logdaten und Inhaltsdaten) durch Microsoft verarbeitet.
-
Auf zentral verwalteten Geräten wird für die dienstliche Nutzung (Microsoft 365 for Enterprise) das Senden von nicht erforderlichen Diagnose- und Telemetriedaten deaktiviert. Mit dem Office-Diagnose-Viewer kann jeder Nutzende selbst Einblick in die übermittelten Daten bekommen. Außerdem werden nur durch den Datenschutz geprüfte und dokumentierte Apps (ggf. eingeschränkt) freigegeben.
Datenschutz-Hinweis: Das Speichern von vertraulichen, dienstlichen und personenbezogenen Daten in der Microsoft Cloud ist nicht gestattet. Hierfür gilt zu beachten die "Benutzungsrichtlinien für Microsoft Cloudspeicherdienste an der Fachhochschule Erfurt".
Datenschutzinformationen nach Art. 13 DSGVO (Direkterhebung) bzw. Art. 14 DSGVO (Erhebung durch Dritte)
Verantwortlich:
Fachhochschule Erfurt, vertreten durch den Präsidenten Prof. Dr. Frank Setzer
Tel.: 0361 6700-5513
E-Mail: praesidialamt@fh-erfurt.deKontakt zum Datenschutz:
E-Mail: datenschutz@fh-erfurt.de
www.fh-erfurt.de/datenschutzWeitere Verantwortliche:
Microsoft Ireland Operations Limited One
- Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland,
Microsoft Corporation
- One Microsoft Way Redmond, Washington 98052
Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft
Zwecke
Microsoft 365 Apps ist eine Suite von Desktop-Anwendungen (einschließlich Word, PowerPoint, Excel, OneNote und Publisher). Wegen der Microsoft Lizenzbestimmungen werden die persönlichen Anmeldedaten (E-Mail Adresse und Hochschulaccount) benötigt.
Alle lizenzierten Module dienen der IT-gestützten Zusammenarbeit der Mitarbeitenden und Studierenden der Hochschule mittels Microsoft Office 365 und unterstützt somit bei der Erfüllung der durch Rechtsvorschriften zugewiesenen Aufgaben der Hochschule zur Umsetzung des Bildungs- und Erziehungsauftrages.
Eine Offenlegung der personenbezogenen Daten kann für folgende Zwecke an Microsoft erfolgen:
a) Abrechnung- und Kontoverwaltung
b) Interne Vergütung sowie der Partner
c) Interne Berichterstattung und Modellierung
d) Bekämpfung von Betrug
e) Cyberkriminalität oder Cyberangriffen
f) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
g) Finanzberichterstattung
h) Einhaltung gesetzlicher VerpflichtungenEinschließlich der in den standardmäßigen Microsoft Products and Services Dataprotection Addendum (DPA) beschriebenen Zwecke von Microsoft.
Rechtsgrundlagen
Studierende: Art. 6, 1, lit. a) DSGVO: Einwilligung
Beschäftigte: Art. 6 Abs. 1 lit. b) DSGVO i.V. mit §27 ThürDSG, §§ 79 bis 87 Thüringer Beamtengesetz; für Beamt:innen zudem Art. 6 Abs. 1 lit. c)
Für Personen, die in Kommunikation und Dokumenten erkennbar sind: Art 6, 1 lit. e) i. V. mit § 16 Abs. 1 ThürDSG und § 5 ThürHG: Aufgabenwahrnehmung
Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)
Für lizenzierte Personen: Art. 6 Abs. 1 lit. b) DSGVO sowie Art. 49 Abs. 1 lit c) DSGVO (Datenkategorien Dokumente und Dateien, Kontaktinformationen)
Für vertraglich nicht erforderliche Zwecke: Art. 49 Abs. 1 lit. d) DSGVO (z.b. Protokollierungsdaten,)
Datenkategorien
- Dokumente und Dateien
- Aufgaben und Lösungen
- Kommunikationsdaten
- Personenbezogene Basisdaten für den Account ergänzbar mit usergenerieten Angaben
- Authentifizierungsdaten
- Kontaktinformationen
- Profilierung
- Logfile mit Zugriffen
- System generierte Protokolldaten
- Geräteinformationen (einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)
- Produktfeedback (einschließlich Informationen zu den genutzten Geräten und der eingesetzten Software bzw. des genutzten Dienstes)
Kategorien von betroffenen Personen
- Studierende
- Beschäftigte der Fachhochschule Erfurt, die Microsoft 365 nutzen oder administrieren
- Personen, die in der Kommunikation und Dokumenten identifizierbar sind
Arten der verarbeiteten Daten
Es werden folgende Daten mit Microsoft 365 verarbeitet:
Daten, die aus dem Active Directory der Fachhochschule synchronisiert werden.
Nutzer:innen:
- Hochschul-E-Mail-Adresse zur Anmeldung
- Gruppenzugehörigkeit
- Telefonnummer bei Telefon-MultiFaktorAnmeldung (MFA) (vom Nutzergerät)
- Gerätestandort bei Verwendung Authenticator-App (MFA) (vom Nutzergerät)
Geräte:
Es werden nur Geräte verzeichnet an dem ein manueller Registrierungsvorgang vom Nutzer vorgenommen wird.
- Gerätename
- Betriebssystem
- angemeldeter Benutzer
Weiterhin werden Anmeldeereignisse (Logfile mit Zugriffen) in Microsoft 365 erhoben: Datum, Uhrzeit, Anwendung, IP-Adresse, Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp), Datum der ersten und letzten Aktivität des Rechners.
Inhaltsdaten: Sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die vom Nutzenden erzeugt werden und zum Speichern oder zur Verarbeitung in die Cloud hochgeladen werden, sowie auch Anpassungen. (Regelungen der Fachhochschule zum Speichern in der Cloud sind zu beachten).
Vom Dienst generierte Daten: Sind Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet wurden, wie z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden. Aus Datenschutzgründen ist deren Generierung auf Dienstrechnern deaktiviert oder auf ein Mindestmaß beschränkt.
Diagnosedaten: Werden von Microsoft gesammelt oder aus einer Software abgerufen, die vom Kunden in Verbindung mit dem Onlinedienst lokal installiert wurde. Diese Daten werden auch als Telemetriedaten bezeichnet. Aus Datenschutzgründen auf Dienstrechnern deaktiviert.
Kundensupportdaten: Daten, die durch den Nutzenden bereitgestellt werden durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten. Aus Datenschutzgründen auf Dienstrechnern deaktiviert.
Herkunft der Daten
Anmeldedaten:
Studierende: Die Eingabe erfolgt direkt von der betroffenen Person bei der Registrierung mit der Fachhochschul-Mail-Adresse.
Mitarbeitende: Datenübernahme aus der lokalen Benutzerverwaltung (Active Directory) in das Nutzerportal von Microsoft.
Inhaltsdaten: Erstellung erfolgt direkt durch Nutzenden.Protokollierungsdaten: Erfolgt durch die Verwendung des Programms durch den Nutzenden.
Speicherdauer
- 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch (Datenkategorien 4-7)
- 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1-3)
- 180 Tage für die Datenkategorien 8 und 9
- Anlassbezogen für die Datenkategorien 10 und 11
Betroffenenrechte
Nach der DSGVO stehen Ihnen unter den im Gesetz genannten Voraussetzungen folgende Rechte zu:
Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Löschung (Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit
(Art. 20 DSGVO), Widerspruchsrecht (Art. 21 DSGVO).
Zudem haben Sie das Recht der Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Dies ist in Thüringen der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Häßlerstraße 8, 99096 Erfurt (www.tlfdi.de)Empfänger
- Personen, mit denen Sie kommunizieren oder zusammenarbeiten
- Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
- Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Garantien für den Internationalen Datenverkehr:
Microsoft verarbeitet die Daten im Auftrag der Fachhochschule Erfurt (als Verantwortlichen) und darf die Daten entsprechend nur nach deren Weisungen und für deren Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist deshalb auch als eigener Verantwortlicher anzusehen.
Eine Übermittlung von persönlichen Daten im Rahmen der Nutzung von Microsoft 365 an Drittländer ohne Angemessenheitsbeschluss und ohne geeignete Garantien, die dem Sicherheitsniveau der EU gleichen, kann nicht zur Gänze ausgeschlossen werden.
Für die Fachhochschule
- Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Zwecke a) und f).
- Rückaufnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke b), c), d) e), g), h).
Microsoft Corporation
- Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung. Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.
-
Die Nutzung der Software und Dienste erfolgt nach der vertraglich geltenden Fassung der Geschäftsbedingungen für die Produkte und Onlinedienste von Microsoft. Dabei sind insbesondere Microsofts Richtlinie für zulässige Verwendung zu beachten.
Die Dienste können nicht in allen Ländern genutzt werden, insbesondere nicht in der Demokratischen Volksrepublik Korea, im Iran und in Kuba, Sudan und Syrien.
Lizenziert sind zunächst die Mitglieder und Studierenden der Fachhochschule Erfurt nach §21, Absatz 1, Thür.HG.
Die Anmeldung der Nutzenden und die Verwaltung der Lizenzen erfolgt über eine zentrale Plattform (Tenant-Mandant), die von der Fachhochschule Erfurt verwaltet wird.
Passwortänderungen erfolgen wie bisher nur über das Benutzerportal. Zur Erhöhung der Sicherheit und zum Schutz vor Missbrauch ist für einige Nutzerkonten eine 2Faktor-Authentifizierung aktiviert.
Der Systembetreuer für Microsoft an der Fachhochschule Erfurt sichert keine Daten aus Microsoft 365. Die Benutzerinnen und Benutzer haben eigenverantwortlich der Sicherung von in Microsoft 365 verbreiteten Dateien sicherzustellen.
Soweit durch die Benutzerin oder den Benutzer mit der Software und den Diensten personenbezogene Daten anderer Personen verarbeitet werden, müssen die Vorschriften des Datenschutzes eingehalten und die Erfüllung der Informationspflichten sichergestellt werden.
Der Systembetreuer für Microsoft an der Fachhochschule Erfurt kann die Nutzung einzelner Software und Dienste durch weitere Benutzungsrichtlinien zusätzlich regeln.
Allgemein gilt: Daten die besonderer Geheimhaltung und hohem Schutzbedarf unterliegen, dürfen nicht unverschlüsselt in das Speicherangebot des Dienstes übergeben werden. Hierfür gilt zu beachten die "Benutzungsrichtlinien für Microsoft Cloudspeicherdienste an der Fachhochschule Erfurt".
Die Benutzerin oder der Benutzer nimmt zur Kenntnis, dass:
- die Benutzerin oder der Benutzer nur berechtigt ist, die Software und Dienste während des lizenzierten Zeitraums zu nutzen.
- sämtliche Software gelöscht werden muss bzw. Dienste nicht weiter genutzt werden können, wenn die Fachhochschule Erfurt den Vertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Beitritt bzw. keine Verlängerungsbestellung einreicht oder keine zeitlich unbeschränkten Lizenzen erwirbt, je nachdem welches Ereignis als erstes eintritt.
Die Fachhochschule Erfurt schließt dabei im Rahmen des rechtlich Möglichen eine Haftung für Schäden oder Fehlkonfigurationen auf Privatgeräten vollständig aus.
Die Verwendung der Software und Dienste unterliegt außerdem den Bestimmungen des Campus- und School-Vertrages (CASA), einschließlich, aber nicht beschränkt auf Haftungsbeschränkungen, den Ausschluss von Gewährleistungen sowie den Ausschluss von Rechtsmitteln und Ansprüchen.
-
Sie können der Verarbeitung Ihrer personenbezogener Daten durch uns jederzeit per E-Mail widersprechen (Art. 21 DSGVO). Ihr dienstlicher Microsoft-Account wird infolgedessen durch uns gelöscht.
Ohne einen dienstlichen Microsoft Account ist eine lizenzierte Nutzung von Microsoft 365 nicht möglich.