Grundsätze der Datenverarbeitung im Rahmen der Nutzung von Microsoft Cloud-Anwendungen und Teams bei bei dk Life Science Communications GmbH

Ergänzend zu unseren allgemeinen Datenschutzinformationen möchten wir diese zur Erfüllung unserer Informationspflicht gemäß Art. 12 ff. der Datenschutz-Grundverordnung (DSGVO) nachfolgend bezüglich der Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Microsoft Cloud Anwendungen (Microsoft 365 Anwendungen wie beispielsweise SharePoint Online, Microsoft Teams, Microsoft OneDrive, Microsoft Forms) präzisieren. 

1. Verantwortlichkeit 

Verantwortlicher im Sinne des Datenschutzrechts ist: 

Dorothea Küsters Life Science Communications GmbH 
Falkstraße 5 
60487 Frankfurt am Main 

Sie finden weitere Informationen zu unserem Unternehmen, Angaben zu den vertretungsberechtigten Personen und auch weitere Kontaktmöglichkeiten im Impressum unserer Internetseite: https://dkcommunications.de 

Weitere Verantwortlichkeiten: 

1.1. Microsoft 365 

Bei der Nutzung der Microsoft Cloud-Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert. Microsoft Cloud-Anwendungen wie Microsoft 365 und daran angeschlossene Dienste sind Software-Angebote der Firma Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA. Microsoft behält sich vor, Kundendaten zu eigenen Geschäftszwecken zu verarbeiten. Wir haben mit Microsoft Datenschutzvereinbarungen abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren. Diese werden regelmäßig aktualisiert. Beachten Sie bitte, dass wir auf die Datenverarbeitungen von Microsoft keinen Einfluss haben. In dem Umfang, in dem Microsoft personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft unabhängiger Datenverantwortlicher für diese Nutzung und als solcher verantwortlich für die Einhaltung aller geltenden Gesetze und Verpflichtungen eines Datenverantwortlichen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft erhalten Sie in den Datenschutzerklärungen von Microsoft unter privacy.microsoft.com/de-de/privacystatement.    

1.2. Microsoft Teams 

Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft Teams erhalten Sie auch in der Datenschutzerklärung zu Microsoft Teams unter docs.microsoft.com/de-de/microsoftteams/teams-privacy. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten. Microsoft verarbeitet Ihre personenbezogenen Daten teilweise wohl auch in den USA. 

Soweit Sie die Internetseite von Microsoft Teams aufrufen, ist der Anbieter von „Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Teams“ herunterzuladen. 

Sie können „Teams“ auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der „Teams“-App eingeben. Wenn Sie die „Teams“-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von „Teams“ finden. 

2. Information zur Verarbeitung und über von der Verarbeitung betroffene Kategorien personenbezogener Daten im Rahmen der Nutzung von Microsoft 365 

Microsoft 365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, welche von dk Life Science Communications GmbH für die interne Arbeitsorganisation sowie übergreifend auch mit externen Partnern (Kunden, Lieferanten) eingesetzt wird. Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie Microsoft 365 Anwendungen verwenden. Welche personenbezogenen Daten verarbeitet werden, haben wir im Folgenden für Sie aufgeführt: 

2.1. Ihre IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft 365 erfolgt. 

2.2. Ihr Benutzername (Zugangsdaten zu den Microsoft 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben, z. B. optional die (private) Handynummer. 

2.3. Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der Microsoft 365 Anwendungen kennzeichnet. Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie jederzeit sichtbar und können von Ihnen individuell angepasst werden. 

2.4. Für die Authentifizierung und den Lizenzgebrauch erforderliche Daten: In den Microsoft 365 Anwendungen werden sämtliche Nutzeraktivitäten verarbeitet. Dazu gehören: Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten, auf die zugegriffen wurde, Aktivitäten im Zusammenhang mit der Nutzung wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat. 

2.5. Bei der Nutzung von „Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen. 

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung: 

  • Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Abteilung (optional) 

  • Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen 

  • Bei Aufzeichnungen: Video-, Audio- und Präsentationsaufnahmen, Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats 

  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden. 

  • Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Teams“-Applikationen abschalten bzw. stummstellen. Um an einem Online-Meeting teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen. 

2.6. Umfang der Verarbeitung: Wir verwenden „Teams“, um Online-Meetings durchzuführen. Wenn wir Online-Meetings aufzeichnen wollen, werden wir Ihnen das vorab mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „Teams“-App angezeigt. Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein. Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO kommt nicht zum Einsatz. 

3. Weitergabe und Übertragung von Daten 

Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fällen lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist. Dies kann u.a. der Fall sein, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen. 

3.1. Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb unseres Unternehmens für interne Verwaltungszwecke einschließlich unserer Kundenbetreuung im Rahmen des Erforderlichen weitergeben. Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, die Daten für administrative Zwecke innerhalb unseres Unternehmens weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen. 

3.2. Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der Microsoft 365 Anwendungen oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden. 

Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass (1) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit nationalen rechtlichen Vorgaben zur Weitergabe von Daten an Strafverfolgungsbehörden unterliegen, oder (2) wir ein berechtigtes Interesse daran haben, die Daten bei Vorliegen von Anhaltspunkten für missbräuchliches Verhalten oder zur Durchsetzung unserer Rechtsansprüche an die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen. 

3.3. Wir sind bei der Nutzung von Microsoft 365 Anwendungen auf Microsoft angewiesen. Microsoft ist ein sogenannter Auftragsverarbeiter und unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der von uns eingesetzten Microsoft 365 Anwendungen unseren Weisungen als der verantwortlichen Stelle im Sinne der DSGVO.  

Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir unsere externen Dienstleister im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten.  

Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt ausschließlich auf Servern in der EU. 

3.4 Im Rahmen der Weiterentwicklung unseres Geschäfts kann es dazu kommen, dass sich die Struktur unseres Unternehmens wandelt, indem die Rechtsform geändert wird, Tochtergesellschaften, Unternehmensteile oder Bestandteile gegründet, gekauft oder verkauft werden. Bei solchen Transaktionen werden die Kundeninformationen gegebenenfalls zusammen mit dem zu übertragenden Teil des Unternehmens weitergegeben. Bei jeder Weitergabe von personenbezogenen Daten an Dritte in dem vorbeschriebenen Umfang tragen wir dafür Sorge, dass dies in Übereinstimmung mit dieser Datenschutzerklärung und dem anwendbaren Datenschutzrecht erfolgt. Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, unsere Unternehmensform den wirtschaftlichen und rechtlichen Gegebenheiten entsprechend bei Bedarf anzupassen und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen. 

3.5. Soweit personenbezogene Daten von Beschäftigten von dk Life Science Communications GmbH verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von Microsoft Teams personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von Teams sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von Online-Meetings. Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von Online-Meetings. 

4. Datenübermittlungen in Drittländer 

Normalerweise verarbeiten wir Ihre Daten ausschließlich in Rechenzentren der Bundesrepublik Deutschland, der Europäischen Union (EU) oder in Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) und somit im räumlichen Geltungsbereich der Datenschutz-Grundverordnung. Bei der Verwendung von Microsoft 365 kann es jedoch auch zu einem Datentransfer in Drittländer kommen. Falls eine solche Übermittlung erfolgt, geschieht dies gemäß geltendem Datenschutzrecht. So wird beispielsweise sichergestellt, dass das Land, in dem der Empfänger niedergelassen ist, ein laut der Europäischen Kommission angemessenes Datenschutzniveau gewährleistet oder dass von der Europäischen Kommission herausgegebene Standardvertragsklauseln beziehungsweise verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) verwendet werden, die geeignete Maßnahmen zum Schutz Ihrer Rechte und Freiheiten gewährleisten. 

5. Zweckänderungen 

Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung. 

6. Ihre Rechte als „Betroffene“ 

Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben. 

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. 

Ferner haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben. 

7. Automatische Entscheidungsfindung 

Wir setzen keine Verarbeitungen ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling i.S.d. Art. 22 DSGVO beruhen. 

8. Unser Datenschutzbeauftragter 

Wir haben einen Datenschutzbeauftragten für unser Unternehmen benannt. Sie erreichen diesen unter folgenden Kontaktmöglichkeiten: 

Herr Stephan Menzemer,
c/o Graf von Westphalen Verwaltung GmbH
Poststraße-Alte Post 9,
20345 Hamburg,
dsb@gvw.com

9. Beschwerderecht 

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. 

Stand: 29.09.2023