Datenschutzinformationen für Nutzer von Microsoft 365

Stand 20.09.2023
 

Im Folgenden werden Sie im Sinn der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung der durch die evo bereit gestellten Microsoft 365-Komponenten informiert (im Folgenden: M365). M365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne Nutzer und Gruppen, die organisationsübergreifend eingesetzt werden kann.

  • Verantwortlicher: Verantwortlich für die Bereitstellung und Nutzung des evo-M365-Tenants innerhalb der M365-Cloudumgebung ist die Energieversorgung Oberhausen AG (evo), Danziger Str. 31, 46045 Oberhausen, Telefon +49 208 835-0, Fax +49 208 835-2697, E-Mail service@evo-energie.de, Web www.evo-energie.de.
    Soweit M365 durch die Oberhausener Netzgesellschaft mbH, Danziger Str. 31, 46045 Oberhausen, Telefon +49 208 835-3000, E-Mail info@ob-netz.de, Web www.ob-netz.de eingesetzt wird, ist diese die verantwortliche Stelle und beauftragt die evo mit der Bereitstellung. Vertragspartner der evo ist die Microsoft Ireland Operations Ltd. aus Dublin. Informationen über die Verarbeitung durch Microsoft selbst finden Sie unter https://privacy.microsoft.com/de-de/privacystatement
     
  • Datenschutzbeauftragte: Die externe Datenschutzbeauftragte der Energieversorgung Oberhausen AG erreichen Sie über fox-on Datenschutz GmbH, Pollerhofstr. 33a, 51789 Lindlar, dsb@fox-on.com, Telefonnummer: 0 22 66 – 90 15 920.
     
  • Zwecke: Die übergreifenden Zwecke der Datenverarbeitung sind v.a. die (auch mobile) Nutzung einer funktional möglichst umfänglichen und zertifizierten Kollaborationsplattform in einem einheitlichen IT-Ökosystem für Beschäftigte, Auftraggeber, Kunden und andere Kommunikationspartner. Die Zwecke der Verarbeitung durch einzelne M365-Komponenten ergeben sich aus den bereit gestellten Funktionen der jeweiligen M365-Komponenten (beispielsweise zur Kommunikation per Videokonferenz oder Chat mit „Teams“). Er erfolgt auch eine Protokollierung der Logdaten der einzelnen Komponenten zu Zwecken der Administration.
     
  • Bei der Nutzung werden personenbezogene Daten über Sie verarbeitet, insbesondere Ihre IP-Adresse, Zugangsdaten, Identifikationsmerkmale (z.B. Name, Kontaktdaten, Profilbild), Daten für die Authentifizierung und den Lizenzgebrauch (insbesondere Nutzungsdaten).
     
  • Rechtsgrundlage sind i.d.R. Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO (Vertragserfüllung) und Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO (berechtigte Interessen, insbesondere an Kommunikation und Kollaboration, auch innerhalb unserer Unternehmensgruppe). Dies schließt nicht aus, dass die Datenverarbeitung auch aufgrund anderer Rechtsgrundlagen erfolgt, bspw. aufgrund von Einwilligungen, soweit Sie diese erteilen.

 

  • Empfänger der Daten und Drittland-Transfer:
  1. Microsoft 365 wird technisch bereitgestellt durch Microsoft Ireland Operations Ltd. und deren Subunternehmer. Die Verarbeitung der Daten erfolgt in der Microsoft-Cloud, und zwar in Rechenzentren in Deutschland bzw. Europa. Es ist nicht beabsichtigt, personenbezogene Daten aus Gründen des Betriebs von Microsoft 365 in ein Drittland zu übermitteln. Es kann jedoch nicht ausgeschlossen werden, dass in Einzelfällen, insbesondere in Supportfällen, Microsoft Corporation in USA Zugriff erhält; Microsoft stützt diese Datenübermittlung auf EU-Standardvertragsklauseln.
  2. Ihre Daten können möglicherweise innerhalb unserer Unternehmensgruppe ausgetauscht werden. Soweit dies zur Vertragserfüllung oder aus Gründen der Kommunikation und Kollaboration erforderlich ist.
  3. Zudem können Ihre Daten unter Umständen auch von IT-Dienstleistern eingesehen werden, die unsere IT-Infrastruktur bereitstellen bzw. warten und die gesondert zur Verschwiegenheit verpflichtet sind.
  • Speicherfrist: Die personenbezogenen Daten werden so lange gespeichert, wie sie für die oben genannten Zwecke erforderlich sind und solange gesetzliche Aufbewahrungsfristen dies erfordern. Die Zugriffsrechte auf Protokoll-Daten sind bei der evo restriktiv geregelt. Personenbezogene Logdaten werden standardmäßig nach 90 Tagen gelöscht.
     
  • Ein Profiling oder eine automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO durch die evo finden beim Betrieb von Microsoft 365 nicht statt.
  • Betroffenenrechte: Sie haben das Recht
  1. nach Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  2. nach Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  3. nach Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  4. nach Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  5. nach Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen (Portabilität);
  6. nach Art. 21 DSGVO Ihren Widerspruch gegen die Datenverarbeitung einzulegen, wenn Sie Gründe geltend machen können, die sich aus Ihrer besonderen Situation ergeben, sowie gegen Direktwerbung;
  7. nach Art. 7 Abs. 3 DSGVO von Ihnen einmal erteilte Einwilligungen jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, mit Wirkung für die Zukunft nicht mehr fortführen dürfen und
  8. nach Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder unseres Unternehmenssitzes wenden.