Datenschutzinformation zur Nutzung von M365 Anwendungen bei K+S

I. Allgemeine Datenschutzinformationen zu M365-Anwendungen

Mit dieser Datenschutzinformation möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von Microsoft 365 Anwendungen (hiernach: MS365-Anwendungen) informieren, die Ihnen von der K+S Aktiengesellschaft bereitgestellt werden.

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die eine Identifizierung einer natürlichen Person ermöglichen. Zu derartigen Informationen zählen unter anderem Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse oder die IP-Adresse.

Die M365-Anwendungen werden durch die Microsoft Ireland Operations Limited, Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (im Folgenden „Microsoft“) bereitgestellt. Dabei wird Microsoft als sog. Auftragsverarbeiter für uns tätig und unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der von uns eingesetzten M365-Anwendung unseren Weisungen (siehe Data Protection Addendum). Um ein Mindestmaß an Datenschutz zu garantieren, haben wir mit Microsoft vereinbart, dass unser Mandant in der Europäischen Union liegt und dort die personenbezogenen Daten verarbeitet werden. Dies wird zusätzlich durch die EU Data Boundary von Microsoft sichergestellt (siehe hier).

Im Folgenden informieren wir über die Verarbeitung Ihrer Daten im Rahmen der Nutzung der MS365-Anwendungen, die Ihnen von der K+S AG und/oder K+S Minerals and Agriculture GmbH bereitgestellt werden.

1. Verantwortliche Stelle(n) und (externer) Datenschutzbeauftragter

Bei der Nutzung der MS365 Anwendungen werden Ihre personenbezogenen Daten verarbeitet. Bitte beachten Sie, dass diese Datenschutzinformation Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch die K+S Gruppe informiert.

Verantwortliche Stelle ist insoweit:

K+S Aktiengesellschaft
Bertha-von-Suttner Str. 7, 34131 Kassel
Kontaktinformation: info@k-plus-s.com; +49 561 9301-0

Als externer Datenschutzbeauftragter für die K+S AG und K+S Minerals and Agriculture GmbH benannt ist:

Boris Reibach
Scheja & Partners GmbH & Co. KG
Adenauerallee 136
53113 Bonn
E-Mail: boris.reibach@scheja-partners.de
Tel.: +49 228 227 226-0

2. Zwecke, Rechtsgrundlagen der Verarbeitung und Arten der personenbezogenen Daten

Bei der Nutzung von Microsoft 365 (MS365) Anwendungen werden personenbezogene Daten zur Bereitstellung und Verwaltung der Dienste verarbeitet. Die Zwecke der Verarbeitung umfassen unter anderem die Kommunikation (z. B. über Outlook und Teams), die Zusammenarbeit in Echtzeit (z. B. über SharePoint und OneDrive) sowie die Organisation und Optimierung von Arbeitsabläufen. Rechtsgrundlagen für diese Verarbeitung sind regelmäßig Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags, z. B. Arbeitsvertrag) und Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an einer effizienten Arbeitsorganisation). In Einzelfällen kann auch eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO herangezogen werden, beispielsweise für optionale Funktionen. Verarbeitete personenbezogene Daten umfassen unter anderem Kontaktdaten (z. B. Name, E-Mail-Adresse), Kommunikationsinhalte (z. B. E-Mails, Chats) sowie Nutzungs- und Metadaten (z. B. Login-Zeiten, IP-Adressen).

Die jeweiligen konkreten Zwecke und Rechtsgrundlagen der Verarbeitung sowie Arten der verarbeiteten personenbezogenen Daten im Rahmen der Nutzung der bereitgestellten MS365-Anwendungen finden Sie in Kapitel II dieser Datenschutzinformation.

Empfänger von personenbezogenen Daten

Für die Erbringung der Vertragsleistung werden diejenigen Daten an Microsoft übertragen, welche zur Bereitstellung der jeweiligen MS365-Anwendung erforderlich sind. Insbesondere werden Benutzerkennung und IP-Adresse an Microsoft weitergegeben. Bei Nutzung der MS365 Anwendungen werden Inhaltsdaten an Microsoft übertragen. Nach Angaben von Microsoft erfolgt die Übertragung der Inhaltsdaten verschlüsselt.

Übermittlung in ein Drittland

Eine Datenverarbeitung in einem Drittland außerhalb der Europäischen Union erfolgt grundsätzlich nicht, da wir den Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben.

Es ist jedoch nicht ausgeschlossen, dass im Einzelfall die mit Microsoft verbundenen Unternehmen außerhalb der Europäischen Union Zugriff auf die Daten bekommen. Solche Drittlandsübermittlungen sind rechtlich nur möglich, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt, der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien zum Schutz der personenbezogenen Daten vorgesehen hat oder eine der Ausnahmen des Art. 49 DSGVO greift.

Die Europäische Kommission hat am 10.07.2023 einen Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework - DPF) für Übermittlungen personenbezogener Daten aus der EU an Unternehmen in den USA erlassen. Dies bedeutet, dass ab diesem Zeitpunkt Daten von Unternehmen in der EU an unter den Angemessenheitsbeschluss fallende Unternehmen in den USA ohne weitere zusätzliche Garantien erfolgen können. Dieser Angemessenheitsbeschluss findet nur dann Anwendung, wenn sich der entsprechende Empfänger von Daten in den USA im Rahmen einer Selbstzertifizierung dem DPF und den damit einhergehenden Datenschutzverpflichtungen unterworfen hat. In diesen Fällen gilt eine entsprechende Übermittlung von Daten an diesen Empfänger als sicher.

Microsoft Corporation (USA) verfügt über eine Zertifizierung, welche hier zu finden ist. Obwohl keine weiteren Maßnahmen erforderlich sind, so haben wir mit Microsoft Corporation zusätzlich die sog. Standardvertragsklauseln im Rahmen des Auftragsverarbeitungsvertrages abgeschlossen. Diese stellen eine weitere Garantie für Drittlandsübermittlung dar.

Microsoft als eigener Verantwortlicher

Neben der Verarbeitung Ihrer personenbezogenen Daten durch die K+S AG und/oder K+S Minerals and Agriculture GmbH im Rahmen der Nutzung von MS365 Anwendungen behält sich Microsoft vor, Ihre Nutzerdaten zu eigenen Geschäftszwecken zu verarbeiten. Für diese Verarbeitungen ist Microsoft verantwortlich. Auf die Verwendung Ihrer Nutzungsdaten durch Microsoft haben wir nur eingeschränkte Möglichkeiten der Einflussnahme. Wir ergreifen alle möglichen Maßnahmen, um die Weiterleitung Ihrer Nutzungsdaten an Microsoft weitestgehend zu minimieren, können dies allerdings nicht vollständig verhindern. Details und Kontaktmöglichkeiten, insbesondere auch zu Ihren Rechten gegenüber Microsoft finden Sie unter nachfolgendem Link: Microsoft-Datenschutzbestimmungen

Dauer der Speicherung

Wir speichern Ihre persönlichen Daten nur so lange, wie es für die Erfüllung der Zwecke erforderlich ist. Nach Erfüllung des Verarbeitungszwecks werden Ihre Daten unverzüglich gelöscht. Eine über die Erfüllung des Verarbeitungszweckes hinausgehende Speicherung erfolgt nur, wenn wir gesetzlich verpflichtet sind, Ihre Daten aufzubewahren.

Ihre Rechte als betroffene Person

Die Datenschutz-Grundverordnung (DSGVO) garantiert jeder betroffenen Person bestimmte Rechte in Bezug auf ihre personenbezogenen Daten. Dazu gehören:

Das Recht auf Auskunft 

Sie haben das Recht auf Auskunft über die bei uns gespeicherten Daten, insbesondere, zu welchem Zweck die Verarbeitung erfolgt und wie lange die Daten gespeichert werden (Art. 15 DSGVO). Dieses Recht ist eingeschränkt durch die Ausnahmen des § 34 BDSG, wonach das Auskunftsrecht insbesondere entfällt, wenn die Daten nur aufgrund gesetzlicher Aufbewahrungsvorschriften oder zur Datensicherung und Datenschutzkontrolle gespeichert sind, die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Zweckentfremdung der Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen verhindert wird.

Das Recht auf Berichtigung 

Sie haben das Recht, von uns die unverzügliche Berichtigung der Sie betreffenden Daten zu verlangen, sofern diese unrichtig sein sollten (Art. 16 DSGVO).

Das Recht auf Löschung 

Sie haben das Recht, von uns die Löschung (Art. 17 DSGVO) der Sie betreffenden Daten zu verlangen. Diese Voraussetzungen liegen insbesondere dann vor, wenn a) der jeweilige Verarbeitungszweck erreicht ist oder anderweitig wegfällt, b) wir Ihre Daten unrechtmäßig verarbeiten haben, c) Sie eine Einwilligung widerrufen haben, ohne dass die Datenverarbeitung auf anderer Rechtsgrundlage fortgeführt werden kann, d) Sie der Datenverarbeitung erfolgreich widersprechen oder e) in Fällen des Bestehens einer Löschpflicht auf Grundlage des Rechts der EU oder eines EU-Mitgliedstaates, dem wir

unterliegen. Dieses Recht unterliegt den Einschränkungen aus § 35 BDSG, wonach das Recht auf Löschung insbesondere entfallen kann, wenn im Falle nicht automatisierter Datenverarbeitungen ein unverhältnismäßig hoher Aufwand für die Löschung besteht und Ihr Interesse an der Löschung als gering anzusehen ist.

Das Recht auf Einschränkung der Verarbeitung 

Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen (Art. 18 DSGVO). Dieses Recht besteht insbesondere, wenn a) die Richtigkeit der Daten umstritten ist, b) Sie unter den Voraussetzungen eines berechtigten Löschbegehrens anstelle der Löschung eine eingeschränkte Verarbeitung verlangen, c) die Daten für die von uns verfolgten Zwecke nicht länger erforderlich sind, Sie die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder d) der Erfolg eines Widerspruchs noch umstritten ist.

Das Recht auf Datenübertragbarkeit 

Sie haben das Recht, die Sie betreffenden Daten, die Sie uns bereitgestellt haben, von uns in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Art. 20 DSGVO), soweit diese nicht bereits gelöscht wurden.

Das Widerspruchsrecht 

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender Daten Widerspruch einzulegen (Art. 21 DSGVO). Wir werden die Verarbeitung Ihrer Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Recht zur Beschwerde bei der Datenschutzaufsichtsbehörde

Ferner haben Sie das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die Datenschutzbestimmungen verstößt.

Die für Sie zuständige Behörde ist:

Der Hessische Beauftragte für Datenschutz und Informationssicherheit

II. Spezifische Datenschutzinformationen für einzelne MS365-Anwendungen

Microsoft Entra ID P1

Zweck der Verarbeitung

Microsoft Entra ID P1 wird zur Verwaltung von Identitäten und Zugriffsrechten verwendet. Die Verarbeitung personenbezogener Daten erfolgt zur Bereitstellung und Verwaltung von Benutzerkonten, zur Authentifizierung, Autorisierung und zum Schutz der IT-Infrastruktur.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Nutzung der Dienste durch Mitarbeitende, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Sicherstellung der IT-Sicherheit und zur Verwaltung von Zugriffsrechten; falls eine Einwilligung erforderlich ist: Art. 6 Abs. 1 lit. a DSGVO.

Kategorien der verarbeiteten personenbezogenen Daten:

  • Basisdaten: Name, E-Mail-Adresse, Benutzername, Kennwort.
  • Nutzungsdaten: Anmeldezeitpunkte, IP-Adressen, Zugriffsprotokolle.
  • Organisationszugehörigkeit: Abteilung, Rolle, Berechtigungen.

Microsoft Entra ID P2

Zweck der Verarbeitung

Erweiterte Verwaltung von Identitäten, Zugriffsrechten sowie Sicherheitsüberwachung und Risikobewertung.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

Kategorien der verarbeiteten personenbezogenen Daten

  • Basisdaten: Name, E-Mail-Adresse, Benutzername, Passwort
  • Nutzungsdaten: Anmeldezeitpunkte, IP-Adressen, Aktivitätsprotokolle
  • Verhaltensdaten: Anomalien im Benutzerverhalten

Microsoft Entra ID Multi-Factor Authentification

Zweck der Verarbeitung

Absicherung von Anmeldevorgängen durch eine zusätzliche Authentifizierungsebene.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

Kategorien der verarbeiteten personenbezogenen Daten

  • Identifikationsdaten: Benutzername, E-Mail-Adresse, Telefonnummer
  • Verifizierungsdaten: Einmal-Passwörter, Authentifizierungscodes
  • Technische Daten: IP-Adressen, Geräteinformationen, Anmeldezeitpunkte

Exchange Online (Plan 2)

Zweck der Verarbeitung

Bereitstellung von E-Mail- und Kalenderdiensten sowie die Verwaltung von E-Mails, Kontakten und Terminen.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verwaltung von IT-Infrastrukturen).

Kategorien der verarbeiteten personenbezogenen Daten

  • Kommunikationsdaten: E-Mail-Adressen, Inhalte, Anhänge
  • Kalenderdaten: Termine, Besprechungsanfragen
  • Nutzungsdaten: Anmeldezeitpunkte, IP-Adressen

Sharepoint Online (Plan 2)

Zweck der Verarbeitung: Bereitstellung einer kollaborativen Plattform zur Speicherung, Verwaltung und gemeinsamen Bearbeitung von Dokumenten und Daten innerhalb des Unternehmens.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Zusammenarbeit und Dokumentenverwaltung).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), hochgeladene und bearbeitete Dokumente, Protokolldaten (z. B. Zugriffs- und Bearbeitungsverlauf).

ODfB (Plan 2)

Zweck der Verarbeitung

Speicherung und Synchronisation von Dateien für einzelne Benutzer zur ortsunabhängigen Nutzung und Zusammenarbeit.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer flexiblen und sicheren Datenspeicherung).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), gespeicherte und synchronisierte Dateien, Protokolldaten (z. B. Zugriffsprotokolle, Dateiänderungen).

Microsoft 365 Apps for Enterprise

Zweck der Verarbeitung

Bereitstellung und Nutzung von Office-Anwendungen (z. B. Word, Excel, Outlook) zur internen und externen Kommunikation und Zusammenarbeit.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Dokumentenbearbeitung und Kommunikation).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), verarbeitete Dokumente und E-Mails, Telemetriedaten (z. B. Nutzungsstatistiken).

 

Microsoft Teams

Zweck der Verarbeitung

Kommunikation und Zusammenarbeit innerhalb des Unternehmens durch Chats, Videokonferenzen und gemeinsame Dateiablagen.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effektiven internen und externen Kommunikation).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), Chatverlauf, Besprechungsaufzeichnungen, geteilte Dateien, Verbindungsdaten.

Windows 11 Enterprise (Original) 

Zweck der Verarbeitung

Bereitstellung eines sicheren und leistungsfähigen Betriebssystems zur Nutzung geschäftlicher Anwendungen.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Systemstabilität).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), Telemetriedaten (z. B. Fehlerberichte, Diagnosedaten), Anmelde- und Nutzungsdaten.

Microsoft Forms (Plan E5)

Zweck der Verarbeitung

Erstellung und Sammlung von Umfragen, Quizzen und Feedback.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datenanalyse).

Kategorien der verarbeiteten personenbezogenen Daten

  • Formulardaten: Eingabedaten aus Formularen
  • Benutzerdaten: Benutzername, E-Mail-Adresse

 

Microsoft Planner

Zweck der Verarbeitung

Verwaltung von Aufgaben und Projekten zur Optimierung der Teamzusammenarbeit.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Projektorganisation).

Kategorien der verarbeiteten personenbezogenen Daten

  • Aufgabendaten: Titel, Beschreibungen, Fälligkeitsdaten
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Kommunikationsdaten: Kommentare, Anhänge

 

Microsoft Stream

Zweck der Verarbeitung

Verwaltung und Bereitstellung von Videos zur internen Kommunikation und Schulung.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Medienbereitstellung).

Kategorien der verarbeiteten personenbezogenen Daten

  • Videodaten: Hochgeladene Inhalte, Metadaten
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Nutzungsdaten: Anzeigedauer, Interaktionen

Microsoft Power Apps

Zweck der Verarbeitung

Erstellung von benutzerdefinierten Anwendungen zur Prozessautomatisierung und Datenverwaltung.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Prozessoptimierung).

Kategorien der verarbeiteten personenbezogenen Daten

  • Anwendungsdaten: Benutzereingaben, Prozessdaten
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • echnische Daten: IP-Adressen, Geräteinformationen

Power Automate (for M365)

Zweck der Verarbeitung

Automatisierung von Workflows zur Effizienzsteigerung von Geschäftsprozessen.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Prozessautomatisierung).

Kategorien der verarbeiteten personenbezogenen Daten

  • Prozessdaten: Automatisierte Aufgaben und Aktionen
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Technische Daten: IP-Adressen, Logdaten

Microsoft Power BI

Zweck der Verarbeitung

Datenanalyse und Visualisierung zur Unterstützung der Entscheidungsfindung.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datenanalyse).

Kategorien der verarbeiteten personenbezogenen Daten

  • Analysedaten: Hochgeladene Daten, Visualisierungen
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Nutzungsdaten: Interaktionen, Zugriffshistorie

Project Online Service

Zweck der Verarbeitung

Cloud-basierte Verwaltung von Projekten und Ressourcen zur Steigerung der Projekttransparenz.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Projektsteuerung).

Kategorien der verarbeiteten personenbezogenen Daten

  • Projektdaten: Projektpläne, Fortschrittsberichte
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Nutzungsdaten: Zugriffshistorie, Änderungsprotokolle

To-Do

Zweck der Verarbeitung

Verwaltung persönlicher und teambezogener Aufgaben zur Steigerung der Produktivität.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufgabenverwaltung).

Kategorien der verarbeiteten personenbezogenen Daten

  • Aufgabendaten: Titel, Fälligkeitsdaten, Notizen
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Synchronisationsdaten: Geräteinformationen, Zugriffszeiten

 

Whiteboard

Zweck der Verarbeitung

Ermöglichung kollaborativer Zusammenarbeit durch digitale Whiteboard-Lösungen für Teams.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zusammenarbeit).

Kategorien der verarbeiteten personenbezogenen Daten

  • Inhaltsdaten: Skizzen, Notizen, Diagramme
  • Benutzerdaten: Benutzername, E-Mail-Adresse
  • Nutzungsdaten: Anmeldezeitpunkte, Interaktionen

Microsoft 365 Information eDiscovery & Audit

Zweck der Verarbeitung

Ermöglichung der Suche, Archivierung und Analyse von Unternehmensdaten zu Compliance- und Sicherheitszwecken.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance und Sicherheit).

Kategorien der verarbeiteten personenbezogenen Daten

Kommunikations- und Dokumentendaten, Benutzerinformationen, Protokolldaten (z. B. Zugriffs- und Änderungshistorien).

Microsoft Teams Phone

Zweck der Verarbeitung

Ermöglichung von Anrufen und VoIP-Kommunikation für geschäftliche Zwecke.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten geschäftlichen Kommunikation).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, Telefonnummer, Benutzerkennung), Anrufprotokolle, Voicemail-Nachrichten, Verbindungsdaten.

 

Microsoft Viva Insights

Zweck der Verarbeitung

Bereitstellung von Analysen zur individuellen und unternehmensweiten Produktivität sowie zur Arbeitsweise zur Verbesserung der Effizienz.

Rechtsgrundlage der Verarbeitung

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung von Arbeitsprozessen und Produktivitätsanalysen).

Kategorien der verarbeiteten personenbezogenen Daten

Benutzerinformationen (z. B. Name, E-Mail-Adresse, Benutzerkennung), Nutzungsstatistiken (z. B. Bearbeitungszeiten von Dokumenten, Meeting-Dauer), Kommunikationsmuster (z. B. Anzahl der E-Mails, Besprechungen).

Microsoft 365 Copilot Chat

Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zur Bereitstellung und Verwaltung der Dienste, insbesondere zur Kommunikation und Zusammenarbeit in Echtzeit über Chats und Videokonferenzen

Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags, z. B. Arbeitsvertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Arbeitsorganisation). 

Kategorien der verarbeiteten personenbezogenen Daten

Kontaktdaten (z. B. Name, E-Mail-Adresse), Kommunikationsinhalte (z. B. E-Mails, Chats) sowie Nutzungs- und Metadaten (z. B. Login-Zeiten, IP-Adressen)

Microsoft 365 Copilot (Microsoft 365 Copilot Chat)

Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zur Unterstützung bei der Erstellung und Bearbeitung von Dokumenten sowie zur Bereitstellung von intelligenten Funktionen und Empfehlungen innerhalb der Microsoft 365 Anwendungen

Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags, z. B. Arbeitsvertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Arbeitsorganisation). 

Kategorien der verarbeiteten personenbezogenen Daten

Kontaktdaten (z. B. Name, E-Mail-Adresse), Kommunikationsinhalte (z. B. E-Mails, Chats) sowie Nutzungs- und Metadaten (z. B. Login-Zeiten, IP-Adressen)

Version: 1.0
Datum: 18.09.2025
Bearbeiter: T. Bile
Änderung/Bearbeitung: Initialentwurf