Datenschutzhinweis zur Nutzung von Microsoft 365 bei FKS

Wir, die Ing. Fritz Schroeder GmbH & Co. KG (FKS), informieren Sie nachfolgend über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der eingesetzten Office Module aus dem Hause Microsoft (kurz M365 Module). Microsoft 365 ist kein eigenständiges Produkt, sondern eine Zusammenstellung verschiedener Produkte des Anbieters Microsoft Inc., One Microsoft Way, Redmond, WA 98052-6399, USA bzw. Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland.

Sollten Sie auf digitalem Weg mit uns in Kontakt treten (z. B. via E-Mail, per Videokonferenz über MS Teams oder beim Dateiaustausch), kann eine Übertragung Ihrer Daten in ein sogenanntes Drittland (dies bedeutet, ein Land außerhalb der EU/des EWR, in dem ein der EU gleichwertiges Datenschutzniveau nicht gewährleistet werden kann) nicht vollständig ausgeschlossen werden. Hieraus entstehen möglicherweise Risiken für Sie als betroffene Person, da Ihnen in Drittländern möglicherweise nicht dieselben Rechte bezüglich Ihrer personenbezogenen Daten zustehen, wie innerhalb der EU/des EWR.
Nähere Informationen hierzu finden Sie unten unter dem Punkt: WERDEN IHRE DATEN AN LÄNDER AUSSERHALB DER EUROPÄISCHEN UNION (SOG. DRITTLÄNDER) ÜBERMITTELT?

Wir setzen folgende Module ein:

MS Outlook-Exchange Online E-Mail-Kommunikation und Terminabstimmung
MS SharePoint Tool für Dokumentenaustausch und -bearbeitung
MS Teams Online Meetings / Videokonferenzen
Bookings Planung, Buchung und Verwaltung von Terminen
VERANTWORTLICHER FÜR DIE DATENVERARBEITUNG

Verantwortlicher gemäß Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO) ist die

Ing. Fritz Schroeder GmbH & Co. KG
Hanskampring 6
22885 Barsbüttel
Telefon +49 40 736077-0
info(at)fks-hamburg.de

Geschäftsführender Gesellschafter: Christian Schroeder
Geschäftsführer: Jörg Stutz, Wolfgang Rocker

Unsere Firmenzentrale befindet sich Schwarzer Weg 8, 22309 Hamburg.

KONTAKTMÖGLICHKEIT DES DATENSCHUTZBEAUFTRAGTEN

Ihr Vertrauen ist uns wichtig. Daher möchten wir Ihnen jederzeit Rede und Antwort bezüglich der Verarbeitung Ihrer personenbezogenen Daten stehen. Wenn Sie Fragen haben, die Ihnen diese Datenschutzerklärung nicht beantworten konnte oder wenn Sie zu einem Punkt vertiefte Informationen wünschen, wenden Sie sich bitte jederzeit an unsere Datenschutzkoordinatoren für allgemeine Fragen unter Datenschutz(at)fks-hamburg.de, für die Datenschutzbeauftragten direkt nutzen Sie bitte die dsb(at)fks-hamburg.de. Alternativ erreichen Sie das Team unter unserer Postadresse mit dem Zusatz „Datenschutzbeauftragte“.

WELCHE IHRER PERSONENBEZOGENEN DATEN WERDEN VON UNS GENUTZT?
Inhaltsdaten Informationen, die von FKS zur Verfügung gestellt werden.

Alle Daten einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung des Online-Dienstes zur Verfügung gestellt werden.

Beispiele: Kundenpasswort, Inhalt des E-Mail-Kontos des Absendenden oder der Azure-Datenbank, Betreffzeile der E-Mail

Diagnosedaten Spezifische Telemetriedaten, die mittels Microsoft 365 über die Verwendung der Software gesammelt werden; alle in Ereignisprotokollen gespeicherten Beobachtungen über das Verhalten der einzelnen Nutzer der Dienste.

 Beispiele: Client-ID, User-ID, Dauer der Nutzung eines Office-Diensts, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion –  beispielsweise Speicherung eines Dokuments), Programmsprache

Funktionsdaten Daten, die zur Ausführung von Anwendungs-Prozessen notwendig sind und die nach Abschluss der Übermittlung der Mitteilung unverzüglich gelöscht oder anonymisiert werden. Diese Daten werden nur temporär gespeichert.

Nachfolgend werden die verschiedenen Funktionalitäten erläutert, über die Daten zu Ihrer Person bei der Kommunikation mit uns oder bei der Teilnahme an Webinaren verarbeitet werden:

Outlook-Exchange Bearbeitung und Verwaltung von E-Mails, Terminen, Kontakten und Aufgaben
SharePoint Austauschplattform in der Cloud zur gemeinsamen Bearbeitung von Dokumenten, gemeinsame Pflege eines Kalenders und Austausch von Informationen
Teams Gemeinsamer Informationskanal für die Zusammenarbeit; Chatnachrichten, Audio- und Videoanrufe, Online-Besprechungen, Webkonferenzen und das Teilen des Bildschirms (löst Skype for Business ab)
Bookings
Planung, Buchung und Verwaltung von Terminen
FindTime
Suche und Abstimmung von Terminen

Folgende Daten zu Ihrer Person werden regelmäßig bei der digitalen Kommunikation mit uns verarbeitet:

  • Personenstammdaten (Name, gegebenenfalls Position)
  • Kommunikationsdaten (Firma, Telefon, E-Mail, sofern personenbezogen, Anschrift)
  • Vertragsstammdaten (Vertragsbeziehung, Produkt – bzw. Vertragsinteresse)
  • Logfiles, Protokolldaten
  • Metadaten (z. B. IP-Adresse, Zeitpunkt der Teilnahme an Meeting, Teilnahmedauer, statistische Daten zur Durchführung des Webinars usw.)
  • Profildaten (z. B. Ihr Nutzername, wenn Sie diesen von sich aus angeben)
  • Gerätedaten, mit denen Sie die Dienste von Microsoft 365 nutzen (z. B. Browser, Betriebssystem, Virenschutz)
  • Online-Identifikationsdaten (Benutzername und Passwort (verschlüsselt))
  • Video- und Tonübertragung bei Videokonferenzen via Teams
  • Geolokalisation/Standortdaten
  • Diagnosedaten (Daten zur Nutzung der Software und Dienste)
  • Inhaltsdaten (dokumentbezogen, schriftliche Fragen im Chat während Webinaren)
FÜR WELCHE ZWECKE VERARBEITEN WIR IHRE DATEN UND AUF WELCHER RECHTSGRUNDLAGE?

Wir verarbeiten Ihre Daten zum Zwecke der Vertragserfüllung, zur gemeinsamen Kommunikation und dem Informationserhalt und -austausch während der Vertragslaufzeit. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DS-GVO. Daneben verarbeiten wir diese Daten, wenn Sie mit uns in Kontakt treten, um an einer Telefon- oder Videokonferenz teilzunehmen. Wir nutzen die oben genannten Daten ausschließlich für die Durchführung der Web-Konferenz via MS Teams, die Rechtsgrundlage hierfür ist bei kostenlosen Web-Konferenzen Art. 6 Abs. 1 S. 1 lit. f DS-GVO und bei kostenpflichtigen Web-Konferenzen zusätzlich Art. 6 Abs. 1 S. 1 lit. b DS-GVO. Es wird eine verschlüsselte Verbindung zwischen Ihnen und MS Teams aufgebaut. Während und nach der Durchführung der Web-Konferenzen werden gegebenenfalls Statistikdaten gesammelt. Nehmen Sie an einer Web-Konferenzen teil, erhalten wir zusätzlich zu Ihren Anmeldedaten, Informationen über die Teilnahmedauer, gestellte Fragen bzw. gegebene Antworten zum Zweck der weiteren Kundenbetreuung.

In Hinblick auf die Verwendung von Terminplanungsumfragen (FindTime) ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DS-GVO, da das Interesse von FKS darin besteht, auf zielgerichtete und kundenfreundliche Weise Termine abzustimmen.

AN WEN WERDEN IHRE DATEN WEITERGEGEBEN?

Die Weitergabe der Daten erfolgt an Microsoft als Auftragsverarbeiter sowie gegebenenfalls an von Microsoft eingesetzten Unterauftragsverarbeiter. Gleiches gilt für die Durchführung von Web-Konferenzen via MS Teams. Microsoft sichert mit aktuellem Auftragsverarbeitungsvertrag zu, diese Daten nur auftragsbezogen zu verarbeiten.

Zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten werden Ihre personenbezogenen Daten gegebenenfalls gegenüber verschiedenen öffentlichen oder internen Stellen, sowie externen Dienstleistern offengelegt:

  • IT-Dienstleister (z.B. Wartungsdienstleister, Hosting-Dienstleister)
  • Dienstleister für Akten- und Datenvernichtung
  • Wirtschaftsprüfer, Steuerberater, Rechtsanwälte
WELCHE QUELLEN HABEN IHRE DATEN?

Wir verarbeiten personenbezogene Daten, die wir von Ihnen direkt, unseren Kunden, Dienstleistern und Lieferanten erhalten. Außerdem erhalten wir personenbezogene Daten von folgenden Stellen:

  • Öffentlich zugängliche Quellen: Internet, berufliche Netzwerke
  • Unternehmen im Unternehmensverbund
  • Jobbörsen
WERDEN IHRE DATEN AN LÄNDER AUßERHALB DER EUROPÄISCHEN UNION (SOG. DRITTLÄNDER) ÜBERMITTELT?

Wir legen Wert darauf, Ihre Daten innerhalb der EU / des EWR zu verarbeiten. Es kann allerdings vorkommen, dass wir Dienstleister einsetzen, die außerhalb der EU / des EWR personenbezogene Daten verarbeiten. In diesen Fällen stellen wir sicher, dass vor der Übermittlung Ihrer personenbezogenen Daten ein angemessenes Datenschutzniveau, das mit den Standards innerhalb der EU vergleichbar ist, beim Empfänger hergestellt wird. Dies kann beispielsweise über EU-Standardverträge oder Binding Corporate Rules oder besondere Übereinkommen, deren Regelungen sich das Unternehmen unterwerfen kann, erreicht werden.

Die Datenverarbeitung mit Microsoft 365 erfolgt auf Servern in Rechenzentren in der Europäischen Union. Hierzu haben wir mit Microsoft eine Auftragsverarbeitungsvereinbarung im Sinne des Art. 28 DS-GVO inklusive der Standardvertragsklauseln der EU-Kommission abgeschlossen. Zudem haben wir für die von uns genutzten Microsoft-Produkte umfangreiche technische und organisatorische Maßnahmen getroffen sowie mit Microsoft vereinbart, die dem aktuell geltenden Stand der Technik und der IT-Sicherheit entsprechen. Soweit technisch möglich und vertraglich zulässig wählt unsere Interne IT in den bei uns eingesetzten M365 Modulen die datenschutzfreundlichsten Voreinstellungen aus und deaktiviert die Übermittlung von Diagnose- und Telemetriedaten oder reduziert die Übermittlung solcher Daten an Microsoft auf ein absolutes Mindestmaß.

Trotz aller Schutzmaßnahmen können wir nicht garantieren, dass personenbezogenen Daten nicht durch Microsoft in den USA oder anderen Drittländern verarbeitet werden. Dies kommt insbesondere in Betracht, soweit Inhaltsdaten in der Cloud von Microsoft (über SharePoint) gespeichert werden oder bei Diagnosedaten bzw. Telemetriedaten und Funktionsdaten, die ebenfalls an die Server von Microsoft gesendet werden. Microsoft unterliegt dem US Cloud Act, welcher amerikanischen Strafverfolgungsbehörden die Möglichkeit eröffnet, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. In den USA (und gegebenenfalls in anderen Drittländern) stehen Ihnen bezüglich Ihrer personenbezogenen Daten nicht die gleichen Rechte zu, wie innerhalb der EU/des EWR.

Weitere Informationen zum Datenschutz in Verbindung mit Microsoft Office Produkten finden Sie auf den Webseiten von Microsoft:

WIE LANGE WERDEN IHRE DATEN GESPEICHERT?

Wir speichern Ihre personenbezogenen Daten, solange es der Zweck Ihrer Erhebung erfordert. Personenbezogene Daten, die wir zur Erfüllung unserer vertraglichen Pflichten erhoben haben, werden daher bis zur Erfüllung unserer gesetzlichen und vertraglichen Pflichten gespeichert. Personenbezogene Daten, bei denen der Zweck der Erhebung entfallen ist, werden gelöscht, es sei denn, deren Weiterverarbeitung bzw. Speicherung ist im Rahmen von gesetzlichen Aufbewahrungspflichten oder zum Zwecke der Rechtsverteidigung erforderlich. Solche Aufbewahrungsfristen ergeben sich beispielsweise aus dem Steuerrecht, dem Handelsrecht oder dem Bürgerlichen Gesetzbuch. Den Verjährungsvorschriften des Bürgerlichen Gesetzbuches können diese Verjährungsfristen in manchen Fällen bis zu 30 Jahre betragen, die regelmäßige Verjährungsfrist beträgt drei Jahre. Nach Ablauf dieser Fristen werden die Daten endgültig gelöscht.

WELCHE RECHTE HABEN SIE IM ZUSAMMENHANG MIT DER VERARBEITUNG IHRER DATEN?

Gerne geben wir Ihnen Auskunft darüber, ob über Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DS-GVO im Einzelnen aufgeführten Informationen. Darüber hinaus steht Ihnen unter den jeweiligen gesetzlichen Voraussetzungen das Recht auf Berichtigung (Art. 16 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Löschung (Art. 17 DS-GVO) und das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) zu.

WELCHES RECHT HABEN SIE IM FALLE EINER DATENVERARBEITUNG AUFGRUND IHRES BERECHTIGTEN ODER ÖFFENTLICHEN INTERESSES?

Sie haben gem. Art. 21 Abs. 1 DS-GVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. e DS-GVO (Datenverarbeitung im öffentlichen Interesse) oder aufgrund Art. 6 Abs. 1 S. 1 lit. f DS-GVO (Datenverarbeitung zur Wahrung eines berechtigten Interesses) erfolgt, Widerspruch einzulegen.

Der Verwendung Ihrer Daten für Werbung unter Verwendung elektronischer Post können Sie jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Im Falle Ihres Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit widerrufen. Bitte beachten Sie, dass der Widerruf nur für die Zukunft wirkt. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

Sie haben unbeschadet dieser Rechte und der Möglichkeit einer Geltendmachung eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs jederzeit die Möglichkeit, Ihr Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, geltend zu machen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt (Art. 77 DS-GVO).

BESTEHT EINE PFLICHT ZUR BEREITSTELLUNG IHRER PERSONENBEZOGENEN DATEN?

Grundsätzlich besteht Ihrerseits keine Pflicht, uns Ihre personenbezogenen Daten bereitzustellen. Zur Teilnahme an einer Telefon- oder Videokonferenz müssen Sie uns diejenigen personenbezogenen Daten bereitstellen, die zur Durchführung des Webinars erforderlich sind. Sollten Sie uns diese Daten nicht bereitstellen, dann ist die Teilnahme an der Telefon- bzw. Videokonferenz nicht möglich.

ÄNDERUNGEN DIESER INFORMATIONEN

Sollte sich der Zweck oder die Art und Weise der Verarbeitung Ihrer personenbezogenen Daten wesentlich ändern, so werden wir diese Informationen rechtzeitig aktualisieren und sich rechtzeitig über die Änderungen informieren.