Datenschutzinformationen Zur Nutzung von Microsoft Teams für die kommunale Gremienarbeit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutzinformationen
Zur Nutzung von Microsoft Teams für die
kommunale Gremienarbeit
Stand: 08.02.2021
Vorwort
Seit Beginn der Pandemie hat sich das Kommunikationsverhalten deutlich verändert.
Unterdessen häuften sich Anfragen aus Verwaltung und Gemeinderat - insbesondere in
Kommunikation mit Personen außerhalb der Verwaltung – auch andere
Videokonferenzwerkzeuge einsetzen zu können.
Aufgabe war es daher, zeitnah eine Anwendung zu etablieren, welche die vielfältigen
Anforderungen hinsichtlich Anwenderfreundlichkeit, Skalierbarkeit, Wirtschaftlichkeit und
Datensicherheit bestmöglich erfüllt.
Vor diesem Hintergrund hat die Stadt Heidelberg die Entscheidung getroffen, die Dienste von
Microsoft 365 zu nutzen. Wichtige Elemente sind vordergründig die Möglichkeiten
Videokonferenzen und Meetings abzuhalten und eine sogenannte Kollaborationsplattform für die
Zusammenarbeit aufzubauen. Die Bezeichnung des Produktes ist Microsoft Teams.
Allgemeines
Der Schutz Ihrer persönlichen Daten hat für die Stadt Heidelberg einen hohen Stellenwert. Es ist
uns wichtig, Sie darüber zu informieren, welche persönlichen Daten wir verarbeiten und zu
welchen Zwecken. Wir kommen damit unseren Informationspflichten aus Artikel 13 Datenschutz-
Grundverordnung (DSGVO) nach. Bitte lesen Sie die folgenden Informationen aufmerksam durch,
bevor Sie einen unserer angebotenen Dienste nutzen.
Diese Informationen gelten für die Nutzung des von der Stadt Heidelberg zur Verfügung
gestellten Dienstes Microsoft Teams. Hierbei handelt es sich um einen Cloud-Dienst der
„Microsoft Cooperation“, der als Videokonferenzsystem für die kommunalen Gremiensitzungen
zum Einsatz kommt.
Wenn Sie Microsoft Teams nutzen, werden zwingend personenbezogene Daten (siehe „Umfang
der Datenverarbeitung“) verarbeitet und an die Firma Microsoft übermittelt.
Wir bitten um Beachtung, dass für die Teilnahme an digitalen kommunalen Gremiensitzungen
eine umfassende Einwilligungserklärung notwendig ist, da eine Teilnahme an digitalen
kommunalen Gremiensitzungen nur mit Bild und Ton sinnvoll ist.Name und Kontaktdaten des Verantwortlichen Stadt Heidelberg Referat des Oberbürgermeisters Sitzungsdienste Marktplatz 10 69117 Heidelberg Telefon: 06221 / 58 - 10010 Telefax: 06221 / 58 - 10590 E-Mail: 01-sitzungsdienste@heidelberg.de Internet: www.heidelberg.de Kontaktdaten der Datenschutzbeauftragten Stadt Heidelberg Datenschutzbeauftragte Rohrbacher Str. 12 69115 Heidelberg E-Mail: datenschutz@heidelberg.de Zweck der Datenverarbeitung Die Bereitstellung von Microsoft Teams erfolgt für die Durchführung von Videokonferenzen im Rahmen der digitalen kommunalen Gremienarbeit. Der Zweck der Verarbeitung besteht darin, die Funktionsfähigkeit des Dienstes sicherzustellen. Umfang der Datenverarbeitung Als „Personenbezogene Daten“ sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei der Benutzung von Microsoft Teams sind zwei wesentliche Arten von Informationen zu unterscheiden. In beiden Datenarten können personenbezogene Daten enthalten sein. 1.) Inhaltsdaten des Gastteilnehmers Im Sprachgebrauch werden diese Inhaltsdaten auch als Nutzdaten und von Microsoft als „Kundendaten“ bezeichnet. Es sind jene Daten, einschließlich Text-, Ton-, Video- oder Bilddateien, die die Teilnehmer durch die Nutzung der Onlinedienste selbst bereitstellen bzw. hochladen. Hierbei können auch personenbezogene Daten übermittelt werden. Teilen Sie deshalb keine Informationen oder Daten, die Sie nicht teilen dürfen. Dies betrifft insbesondere Inhalte von Chats; eventuell in einer künftigen Version auch die Freigabe von Dokumenten. Die Teilnahme an digitalen kommunalen Gremiensitzungen ist nur mit Bild und Ton sinnvoll. Entsprechend werden während des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von der Videokamera des Endgeräts verarbeitet. Um anderweitigen Verstößen vorzubeugen (Recht am eigenen Bild und Ton), müssen die in den „Handlungshinweise zur sicheren Durchführung von Videokonferenzen“ enthaltenen Maßnahmen eingehalten werden.
2.) Daten über den Gastteilnehmer
Unter dem Gesichtspunkt der Datensparsamkeit sind unserer Systeme so konfiguriert, dass nicht
alle, sondern nur die für den Betrieb zwingend erforderlichen Daten erfasst und verarbeitet
werden.
Daten über den Gastteilnehmer werden im Sprachgebrauch auch als Telemetriedaten bezeichnet.
Microsoft differenziert weiter und bezeichnet diese als „Diagnosedaten“ und „Dienstgenerierte
Daten“. Dies sind Daten, die Microsoft aus Software erhebt oder erhält, die im Zusammenhang
mit dem Onlinedienst lokal installiert wurde bzw. Daten, die Microsoft im Zuge des Betriebs eines
Onlinediensts generiert oder ableitet. Weiterhin verarbeitet Microsoft „professional Service
Daten“, die auch Supportdaten und Feedbackdaten miteinschließen. Hierzu gehören:
IP Adresse
Anzeigename: Für die Gremienarbeit sind Sie „Gast“ bzw. „Gastteilnehmer“ ohne ein
Benutzerkonto bei der Stadt Heidelberg. Sie müssen lediglich einen Anzeigenamen
angeben. Die Verwendung von Pseudonymen ist zwar technisch möglich, bei Teilnahme
an digitalen kommunalen Gremiensitzungen ist zur Identifizierung der Gastteilnehmer
jedoch die Eingabe des Namens und Vornamens erforderlich.
Empfänger personenbezogener Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings
verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht explizit
zur Weitergabe übermittelt wurden.
Wir stellen Ihre Daten nur denjenigen Mitarbeiterinnen und Mitarbeitern zur Verfügung, die sie
für ihre Tätigkeit im Rahmen der Aufgabenerfüllung benötigen. Dies gilt nicht, wenn wir gesetzlich
zu einer Weitergabe verpflichtet sind.
Daten, die Sie im Rahmen des Online-Meetings preisgeben, empfangen auch die anderen
Teilnehmerinnen und Teilnehmer eines Online-Meetings.
Es ist erforderlich, Daten des Gastteilnehmers zu verarbeiten, um die Dienste überhaupt anbieten
zu können. Empfänger sind:
Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener
Zwecke
Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Folgen der Verarbeitung personenbezogener Daten in den USA
Im Rahmen des CLOUD-Act haben US Ermittlungsbehörden die Möglichkeit, bei Microsoft auf
richterlichen Beschluss die Herausgabe von personenbezogenen Daten, die auf Servern in der EU
gespeichert sind, zu verlangen. Dort werden die meisten Daten gespeichert, die bei einer Nutzung
von Microsoft Teams anfallen. Nach Angaben von Microsoft ist die Anzahl dieser Anfragen recht
gering, zudem kann Microsoft dagegen vor Gericht gehen. Gastteilnehmer haben keine direkte
rechtliche Möglichkeit, sich dagegen zu wehren.
Wir haben unseren Mandanten so konfiguriert, dass die Verarbeitung der Daten in den Microsoft
Diensten primär auf Servern mit Standort Deutschland und sonst in EU Rechenzentren erfolgt.
Davon abweichend können Telemetriedaten in den USA verarbeitet werden.Wie sicher sind die Dienste von Microsoft Microsoft ergreift geeignete technische und organisatorische Maßnahmen, um Kundendaten und personenbezogene Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, vor versehentlicher oder ungesetzlicher Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen werden in einer Microsoft- Sicherheitsrichtlinie festgelegt. Microsoft hat ein Testat nach den Anforderungen des Anforderungskatalogs Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Weitere Informationen zum Datenschutz von Microsoft erfahren Thema Sicherheit bei Microsoft - https://docs.microsoft.com/de-de/microsoftteams/security- compliance-overview. Rechtsgrundlage der Datenverarbeitung Derzeit liegen weder ein Angemessenheitsbeschluss nach Artikel 45 Abs. 3 DSGVO, noch geeignete Garantien nach Artikel 46 DSGVO vor. Dies bedeutet, dass kein angemessenes Datenschutzniveau gegeben ist und Ihre Betroffenenrechte gegebenenfalls nicht durchgesetzt werden können. Eine Übermittlung ist nach Artikel 49 Abs. 1 a) DSGVO aber zulässig, wenn Sie nach Kenntnisnahme der möglichen Risiken in die Datenübermittlung ausdrücklich einwilligen. Die Einwilligung ist freiwillig und kann jederzeit für die Zukunft widerrufen werden. (Art. 7 Abs. 3 DSGVO). Ohne Einwilligung ist allerdings eine Nutzung der Dienste nicht möglich und die Betroffenen können dann im Sitzungsraum – unter Einhaltung der Anforderungen während der Corona-Pandemie – an den Gremiensitzungen teilnehmen. Dauer der Datenspeicherung Microsoft behält Ihre Daten während des für die Bereitstellung des Diensts minimal erforderlichen Zeitraums bei. In der Regel werden personenbezogene Daten aufbewahrt bis der Gastteilnehmer die Verwendung des Dienstes beendet oder wenn der Gastteilnehmer persönliche Daten löscht. Nach Mitteilung von Microsoft trägt das Unternehmen dafür Sorge, dass alle Kopien der persönlichen Daten innerhalb von 30 Tagen gelöscht werden. Betroffenenrechte Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen folgende Rechte zu: Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser
Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO). Wenn Sie in die Verarbeitung eingewilligt haben und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). Beschwerdemöglichkeit Sie haben das Recht, sich bei einer Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Sie können die Datenschutzbeschwerde formlos, schriftlich, mündlich, telefonisch oder elektronisch einreichen. Zuständige Aufsichtsbehörde für Gemeinden ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Hausanschrift: Königstrasse 10 a, D- 70173 Stuttgart Postanschrift: Postfach 10 29 32, 70025 Stuttgart Telefonzentrale: +49 711/61 55 41-0 E-Mail: poststelle@lfdi.bwl.de
Sie können auch lesen
