Online-Meetings mit Microsoft Teams

Datenschutzerklärung gemäß EKD-Datenschutzgesetz (DSG-EKD)

Diese Datenschutzinformation ist gültig für Nutzer unseres Online-Meeting-Dienstes Microsoft Teams unabhängig einer Zugehörigkeit zur Evangelischen Kirche in Deutschland.

Mit den nachfolgenden Informationen gem. § 16 ff. DSG-EKD geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten, wenn Sie an einer Videokonferenz mit Microsoft Teams teilnehmen.

Geltendes Datenschutzrecht

Für die verantwortliche Stelle gilt das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD). Das DSG-EKD steht unter der Anforderung, im Einklang mit der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) zu sein. Zudem findet das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (im Folgenden: TTDSG) Anwendung.

Verantwortliche Stelle

Die verantwortliche Stelle ist jeweils die kirchliche Stelle, die Sie auf diese Datenschutzinformation verwiesen hat.

Datenschutzbeauftragter

Die örtlich Beauftragten für den Datenschutz
schwinge GmbH
Am Kochenhof 12
70192 Stuttgart
Telefon: +49 (0) 711 / 258560-0
E-Mail: DSBISB.ELKW@schwinge.com

Datenschutzrechtliche Verantwortung

Wir sind für alle Datenverarbeitungen, die in einem unmittelbaren Zusammenhang mit der Durchführung der von uns gehosteten Online-Meetings mit Microsoft Teams stehen, datenschutzrechtlich verantwortlich. Unser Software-Anbieter Microsoft Ireland Operations Limited agiert als Dienstleister weisungsgebunden im Auftrag.

Jedoch behält sich Microsoft Ireland Operations Limited in seinen Nutzungsbedingungen Datenverarbeitungen in eigener Verantwortung vor, insbesondere in Bezug auf die Nutzung von Diagnose- und Dienstdaten (“system-generated logs”) der verantwortlichen Stellen. Eine Datenübermittlung an Microsoft Ireland Operations Limited als Dritter ist damit nach aktuellem Stand bei Einsatz von Microsoft Teams nicht vertraglich ausgeschlossen. Wir behalten die Durchsetzung vertragsrechtlicher Entwicklungen mit dem Anbieter im Blick und wirken regelmäßig technisch auf eine datenschutzrechtliche Entität hin, indem wir die Default-Einstellungen unserer Microsoft-Instanzen so setzen, dass eine personenbezogene Datenübermittlung in Bezug auf Diagnose- und Dienstdaten an Microsoft Ireland Operations Limited als Dritter unterbunden wird.

Als risikobewertete Folge kann jedoch im Einzelfall eine erschwerte Rechtsbehelfsdurchsetzung nicht ausgeschlossen werden, weshalb wir nachfolgend auch auf die Datenschutzinformationen des Anbieters hinweisen möchten:

Hinweis: Gänzlich in eigener datenschutzrechtlicher Verantwortung verarbeitet die Microsoft Corporation personenbezogene Daten in Bezug auf Internetauftritte als Betreiber. Ein Aufruf dieser Internetseiten, bspw. für einen App-Download oder eine Meeting-Teilnahme via Browser-Link, ist für die Teilnahme der von uns gehosteten Online-Meetings mit Microsoft Teams grundsätzlich nicht zwingend, sondern geschieht, sofern für den Nutzerkreis erforderlich, als ein grundlegend optionales Angebot.

Daten und Datenquellen

Folgende personenbezogene Daten sind Gegenstand unserer unmittelbaren Erhebung und Verarbeitung im Rahmen eines Online-Meetings mit Microsoft Teams:

• Nutzerreferenzen (intern): Dienstliche Kontakt- und Authentifizierungsreferenzen; Profilbild (optional).
• Nutzerreferenzen (extern): Anzeigename, dienstliche Kontaktreferenzen oder private Kontaktreferenzen (optional); Profilbild (optional).
• Kommunikations- und Inhaltsreferenzen (Text-, Audio- und Videodaten, Dokumente und Dateien): Sie haben ggf. die Möglichkeit, in einem Online-Meeting mit Microsoft Teams die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Microsoft-Teams-Applikationen abschalten bzw. stumm stellen.
• Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen, Meeting-ID, Datum, Uhrzeit, Ort, Telefonnummern (optional).
• Aufzeichnungen und Transkription (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen; Textdatei des Online-Meeting-Chats
• Cookies und ähnliche Technologien: Zum Zweck der sicheren und stabilen Bereitstellung der Dienste werden technisch notwenige Cookies und ähnliche Technologien eingesetzt ([*.]microsoft.com).

Zwecke und Rechtsgrundlagen der Verarbeitung

Wir setzen Microsoft Teams für die interne und externe Kollaboration und Kommunikation ein, um eine aufwandsarme, zeitnahe und nachhaltige digitale Kommunikationsstrategie mit unseren Kirchengliedern und Partner zu verfolgen. Hierzu gehören die Durchführung von Videobesprechungen, Chats oder die Zusammenarbeit an Dokumenten und Unterlagen. Dazu gehört auch die Durchsetzung einer sicheren technischen Systemumgebung.

Im dienstlichen Kontext erfolgt die Durchführung von Online-Meetings mit Microsoft Teams auf Grundlage von § 49 DSG-EKD, demnach zur Durchführung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen.

Soweit externe Teilnehmer geladen sind, kann die Rechtsgrundlage für die Durchführung von Online-Meetings mit Microsoft Teams auf Grundlage einer (vor-)vertraglichen Maßnahme nach § 6 Nr. 5 DSG-EKD erfolgen, sofern eine Vertragsbeziehung die entsprechende Online-Kommunikation begründet, bspw. kooperative, projekt- und leistungsbezogene Kommunikationserfordernisse.

Im allen weiteren Fällen kann eine entsprechende Datenverarbreitung zur Wahrnehmung einer kirchlichen Aufgabe erforderlich sein, einschließlich der Ausübung kirchlicher Aufsicht, bspw. digitale Tagungen, Sitzungen oder Webinare, aber auch Beratungsangebote und die Kommunikation mit Gemeindegliedern. Die Rechtsgrundlage ist hier § 6 Nr. 3 DSG-EKD.

Gegebenenfalls kann auch Ihre ausdrückliche Einwilligung nach § 6 Nr. 2 DSG-EKD im Rahmen eines Online-Meetings mit Microsoft Teams erforderlich sein, bspw. bei einer geplanten Aufzeichnung oder Transkription des Online-Meetings. Sind besonders vertrauliche oder sensible Inhalte für ein Online-Meeting geplant, oder ist etwa von privaten Kontaktdaten auzugehen, stellt die digitale Meeting-Plattform grundsätzlich ein optionales Angebot auf Grundlage Ihrer informierten, freiwilligen und widerrufbaren Einwilligung dar.

Schließlich müssen zum Schutz der Nutzerrechte und der Endgerätintegrität Maßnahmen zur Absicherung der Microsoft-Teams-Umgebung getroffen werden, demnach eine sonstigen Aufgabe, die im kirchlichen Interesse auf Grundlage von § 6 Nr. 4 DSG-EKD sowie § 25 Abs. 2 Nr. 2 TTDSG erforderlich ist.

Empfänger der Daten

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an einem Online-Meetings mit Microsoft Teams verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Online-Meeting-Inhalte häufig gerade dazu dienen, um Informationen mit Kirchengliedern, Partnern, Interessenten oder Dritten zu kommunizieren und damit regelmäßig anlassbezogen zur Weitergabe bestimmt sind.

Intern erhalten ausschließlich diejenigen Personen und Stellen Zugriff auf Ihre Daten, die diese für die Durchführung des Online-Meetings benötigen.

Auch von uns eingesetzte Auftragsverarbeiter können nach Maßstab des § 30 DSG-EKD die von uns erhobenen oder durch Sie bereitgestellten Daten erhalten. Microsoft Ireland Operations Limited werden notwendigerweise die Meeting-Daten offengelegt, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit dem Anbieter vorgesehen ist.

Ferner können weitere Datenempfänger nur diejenigen Stellen sein, für die Sie Ihre ausdrückliche Einwilligung zur Datenübermittlung erteilt haben.

Datenübermittlungen in Länder außerhalb der Europäischen Union

Eine personenbezogene Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittländer) oder internationale Organisationen findet grundsätzlich nicht statt.

In Einzelfällen – beispielsweise bei Kapazitätsengpässen – kann das Routing von Daten über Web-Server erfolgt, die sich außerhalb der Europäischen Union befinden. Dies kann insbesondere auch dann der Fall sein, wenn sich ein Teilehmer in einem Drittland aufhält. Eine Datenübermittlung in Drittländer erfolgt ausschließlich im Rahmen der Auftragsverarbeitung. Microsoft Ireland Operations Limited ist auf die Bedingungen nach § 10 DSG-EKD geprüft und verpflichtet, um ein angemessenes Datenschutzniveau zu gewährleisten.

Dauer der Datenspeicherung

Sämtliche durch uns verarbeiteten personenbezogenen Daten via Microsoft Teams werden nur so lange und soweit gespeichert, bis der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. Unterstützt wird dieser Vorgang mittels technisch voreingestellter Aufbewahrungs- und Löschroutinen.

Insoweit werden die Angaben zu einem Nutzer (intern) gelöscht, sobald das Konto gelöscht wird.

Log-Daten werden demnach 90 Tage lang gespeichert. Anlassbezogen kann diese Speicherdauer im Einzelfall manuell ausgedehnt werden.

Anonymisierte Log-Daten werden bis zu 30 Tage für einen Zugriff gespeichert. Eine Einsicht erfolgt ausschließlich zur Feststellung von Systemfehlern, Fehlerbehebung, Klären von Sicherheitsfragen sowie zur Prüfung von Manipulationen oder sonstigem Missbrauch.

Inhaltsdaten werden grundsätzlich solange gespeichert, bis der den Inhalten zu Grunde liegende Lebenssachverhalt abgeschlossen ist. Gegebenenfalls werden Ihre Angaben bei aktenrelevanten Vorgängen gemäß den geltenden Datenschutzbestimmungen zur Aktenführung gespeichert und nach den gesetzlichen Aufbewahrungsvorschriften gelöscht.

Chatnachrichten, die innerhalb einer Teams-Videokonferenz geschickt werden, können auch nach den 30 Tage von den Beteiligten eingesehen werden. Nach 30 Tage wird der externe Teilnehmende im Chat jedoch als „Unbekannter Nutzer“ angezeigt. Dadurch kann nicht mehr nachvollzogen werden, wer den Chat-Eintrag verfasst hat.

Datenschutzrechte der betroffenen Person

Sie haben das Recht auf Auskunft nach § 19 DSG-EKD, das Recht auf Berichtigung nach § 20 DSG-EKD, das Recht auf Löschung („Recht auf Vergessenwerden“) nach § 21 DSG-EKD, das Recht auf Einschränkung der Verarbeitung nach § 22 DSG-EKD, das Recht auf Datenübertragbarkeit aus § 24 DSG-EKD sowie das Recht auf Widerspruch aus § 25 DSG-EKD. Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie nach § 11 Abs. 3 DSG-EKD uns gegenüber jederzeit widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die uns gegenüber vor der Novelle des EKD-Datenschutzgesetzes, also vor dem 25. Mai 2018, erteilt worden sind. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Im Falle datenschutzrechtlicher Verstöße steht Ihnen ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu (§ 46 DSG-EKD). Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Die Aufsicht über die Einhaltung der Vorschriften zum Datenschutz obliegt im kirchlichen Bereich dem Beauftragten für den Datenschutz der EKD. Für den Bereich der Evangelischen Landeskirche in Württemberg ist zuständig:

Beauftragter für den Datenschutz der EKD
Herr Michael Jacob
Lange Laube 20
30159 Hannover
Telefon: +49 (0)511 768128-0
Fax: +49 (0)511 768128-20
E-Mail: info@datenschutz.ekd.de

Außenstelle für die Datenschutzregion Süd
Hafenbad 22
89073 Ulm
Telefon: +49 (0)731 140593-0
Fax: +49 (0)731 140593-20
E-Mail: sued@datenschutz.ekd.de 

Pflicht zur Bereitstellung von Daten

Im Rahmen eines Online-Meetings müssen Sie grundsätzlich diejenigen personenbezogenen Daten bereitstellen, die Sie als berechtigten Teilnehmer der geladenen Online-Veranstaltung zu Erkennen geben, mithin Ihr Name und ein Kontaktdatum. Ohne die Angabe von Autentifizierungsreferenzen Ihrer Person ist eine Teilnahme an einem Online-Meeting regelmäßig nicht möglich, da eine Datenübermittlung an unberechtigte Dritte nicht ausgeschlossen werden kann.

Anlassbezogen können auch dienstliche oder vertragliche Grundlagen die Offenlegung von Inhaltsdaten in einem Online-Meeting erfordern.

In Einzelfällen ist eine pseudonyme Teilnahme ohne Angabe von Nutzerreferenzen möglich, bspw. bei öffentlich geladenen Informationsveranstaltungen oder im Rahmen von freien Beratungsangeboten.

Automatisierte Entscheidung (einschl. Profiling)

Im Rahmen eines Online-Meetings mit Microsoft Teams findet grundsätzlich keine ausschließlich automatisierte Verarbeitung – einschließlich Profiling – statt, die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Findet gegebenenfalls im Einzelfall eine ausschließliche automatisierte Entscheidung – einschließlich Profiling – statt, werden Sie hierüber rechtzeitig informiert. Sofern kein Vertrag oder keine Rechtsvorschrift diese Verarbeitung begründet, ist eine automatisierte Entscheidung ausschließlich mit Ihrer ausdrücklichen, freiwilligen, informierten und widerrufbaren Einwilligung möglich.