Informationspflichten der DIHK gegenüber Externen zum Einsatz von M365
1. Bezeichnung der Verarbeitungstätigkeit
Die Datenschutzhinweise erfolgen gegenüber Externen im Zusammenhang mit dem Einsatz von Microsoft 365 (M365) in der DIHK. Gegenüber Externen ermöglicht M365 ein gemeinsames Arbeiten in virtuellen Teams (Microsoft Teams), ein Teilen von Dateien und E-Mailkommunikation mit Externen.
2. Name und Kontaktdaten der Verantwortlichen
Deutsche Industrie- und Handelskammer (DIHK)
Breite Straße 29
D-10178 Berlin
Telefon 030 20308-0
E-Mail info@dihk.de
3. Kontaktdaten der behördlichenDatenschutzbeauftragten
Kei-Lin Ting-Winarto
Deutsche Industrie- und Handelskammer (DIHK)
Breite Straße 29
D-10178 Berlin
Telefon 030 20308-2717
E-Mail datenschutz@dihk.de
4. Zwecke und Rechtsgrundlagen der Verarbeitung
M365 ist eine interaktive Plattform, die ein modernes Arbeiten ermöglicht. Das gemeinsame Arbeiten – auch mit externen Partnern – zum Beispiel an Dateien oder in virtuellen Teams (Microsoft Teams) ist hier möglich.
Folgende Kategorien personenbezogener Daten werden beim Einsatz von Microsoft 365 verarbeitet:
- E-Mail-Adresse
- wenn vorhanden, die von einem Externen freigegebenen Daten eines persönlichen Microsoftkontos beziehungsweise eines Geschäfts- oder Schulkontos
- Video- und Audiokommunikation nach expliziter Freigabe des Benutzenden
- Bildschirmfreigabe nach expliziter Freigabe des Benutzenden
- Daten der Termin- und Ressourcenverwaltung
- Inhaltsdaten von E-Mails, Dokumenten, Präsentationen und Tabellen
- Logfiles mit Zugriffen (zum Beispiel Authentifizierungsdaten)
- System-generierte Protokolldaten
- optional: Telefonnummer, falls sich der externe Nutzer für die Authentifizierung via SMS und nicht über die Authenticator App entscheidet
Ihre Daten werden dafür erhoben und für folgende Zwecke mit folgenden Rechtsgrundlagen verarbeitet:
- Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 BDSG
- Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 BDSG
- Datenverarbeitung zur Erfüllung von IHK-Aufgaben, vor allem Rechtspflicht beziehungsweise einer Aufgabe im öffentlichen Interesse
Rechtsgrundlage: Art. 6 Abs. 1 lit. c) DSGVO beziehungsweise Art. 6 Abs. 1 lit. e) DSGVO, § 10a IHKG in Verbindung mit spezialgesetzlichen Regelungen oder in Verbindung mit § 3 BDSG (unter anderem zur Gewährleistung von IT-Sicherheit) - Einwilligung
Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO - Vertrag oder zur Durchführung einer vorvertraglichen Maßnahme
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
Allgemeine Einstellungen – Technischer Datenschutz (Datenschutzfreundliche Grundeinstellung)
Die DIHK setzt die M365-Software und Dienste dieser Lizenzen nur insoweit ein beziehungsweise lässt dies zu (Privacy by Design beziehungsweise Privacy by Default), als dies datenschutzrechtskonform möglich ist und bei denen Microsoft Auftragsverarbeiter ist. Nicht datenschutzkonforme Anwendungen sind zentral über die IT deaktiviert beziehungsweise datenschutzkonform eingestellt.
5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
Unsere im Wege der Auftragsverarbeitung (jeweils aktueller Stand) eingebundenen Dienstleister haben Zugriff auf die Daten wie folgt:
E-Mail-Adresse, Name, Vorname, MFA und aktiv durch den Benutzer generierte Informationen. (unter anderem Upload Datei, Chat)
- Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
Irland - Microsoft Enterprise Service Privacy (Processor 2 Processor / P2P)
Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052, USA
Zweck: Zugriff auf Microsoft Multifaktor Authentifizierung zum Zwecke der Serviceerbringung in der Georegion Deutschland oder Georegion Europa; ferner Zugriff auf Dokumente und Kommunikation über M365-Dienste und Software
- Itacs GmbH
Elisabeth-Schwarzhaupt-Platz 5
10115 Berlin - abtis GmbH
Wilhelm-Becker-Straße 11b
75179 Pforzheim
Zweck: Administration der Systemumgebung
Als bestehende und nicht zu deaktivierende Drittstaatentransfers sind aktuell folgende Dienste identifiziert:
- Azure B2B und B2C: Nur bezogen auf die Ausnahme, wenn Externe eingeladen werden (Initiallink)
Die Rechenzentren, welche die DIHK nutzt, sind vorrangig in Deutschland und im Übrigen in der EU ansässig.
Drittstaatentransfers sind bis auf die unter die oben genannten Ausnahmen unterbunden.
Verbleibende Drittstaatentransfers werden DSGVO-konform von Microsoft Enterprise Service Privacy gestützt auf einen Vertrag über Auftragsverarbeitung (Data Processing Addendum/DPA) und Standardvertragsklauseln (SCC) mit Microsoft Enterprise Service Privacy (P2P, das heißt, zwischen Auftragsverarbeiter und Subunternehmer) sowie durch zusätzliche Sicherungen von Microsoft, sofern nicht auch hier wegen der Anonymisierung der Daten Datenschutz nicht zu beachten ist. Es handelt sich hierbei um erweiterte Informationspflichten, Haftungsklauseln und Vereinbarungen, dass Microsoft Anfragen von US-Behörden vorab gerichtlich klären lässt.
Soweit Daten in Drittstaaten übermittelt werden, verwendet Microsoft stets eine dem aktuellen Stand der Technik entsprechende Verschlüsselung. Microsoft sichert zu, dass das Unternehmen – selbst wenn es zu einer Offenlegung der Daten gegenüber Sicherheitsbehörden gesetzlich verpflichtet sein sollte – nicht den Verschlüsselungsschlüssel preisgibt oder die Umgehung der Verschlüsselung ermöglicht.
6. Dauer der Speicherung der personenbezogenen Daten
Anmeldeprotokolle werden ein Jahr aufbewahrt.
Im Übrigen werden personenbezogene Daten gelöscht, wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind.
7. Betroffenenrechte
Nach der EU-Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu:
- Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
- Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
- Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO)..
- Wenn Sie in die Datenverarbeitung eingewilligt haben und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die DIHK, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die behördlichen Datenschutzbeauftragten.
Bei datenschutzrechtlichen Beschwerden können Sie sich an die zuständige Aufsichtsbehörde wenden:
BfDI Bundesbeauftragter für Datenschutz und Informationsfreiheit
Graurheindorfer Straße 153
3117 Bonn
Telefon 0228 997799-0
E-Mail poststelle@bfdi.bund.de
8. Widerrufsrecht bei Einwilligung
Wenn Sie durch eine entsprechende Erklärung in die Verarbeitung Ihrer personenbezogenen Daten durch die DIHK eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
9. Automatisierte Entscheidungsfindung, Profiling
Die DIHK setzt keine Tools ein, die eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ermöglichen.