Microsoft 365

Allgemeine Informationen zur Einführung

Mit dem neuen Bundesrahmenvertrag 3.0 wird die dienstliche oder studentische Nutzung von Office-Produkten wie Word, Excel nur noch mit regelmäßiger Anmeldung bei Microsoft möglich sein (Produktaktivierung bzw. -Überprüfung; personalisierte Lizenz über Uni-Mail-Adresse). Eine private oder kommerzielle Nutzung ist im Lizenzvertrag nicht eingeschlossen. Die Lizenzaktivierung erfolgt  über ein personengebundenes Nutzerlogin.

Es werden neben den Anmelde- (bzw.Kontodaten) auch weitere personenbezogene Daten (u.a. Nutzungs- und Verhaltensdaten, Logdaten, Inhaltsdaten) durch Microsoft verarbeitet (Drittstaatenproblematik USA, Profilbildung durch Auswertung von Nutzungs- und Logdaten durch Microsoft für eigene Zwecke). In einer zusammenfassenden Bewertung der Vertragsergänzung von Microsoft vom September 2022 konstatiert die DSK (Datenschutzkonferenz), dass Microsoft365 immer noch nicht datenschutzkonform eingesetzt werden kann.

Die Anwendungen von Microsoft dürfen in folgenden Ländern nicht eingeführt und verwendet werden: Demokratische Volksrepublik Korea, Iran, Kuba, Sudan und Syrien. (US-Export-Recht: gilt auch für Betriebsystem Windows).

Benutzungsrichtlinie für M365

Die Einführung startet Mitte Juni mit einer Testphase im URMZ. Auf den Webseiten des Rechenzentrums finden sich ausführliche Informationen zu M365.

Datenschutzfreundliche Alternativen

  • Cloud-Dateiverwaltung bzw. Ablage: Nextcloud
  • (Gemeinsame) Dokumentenbearbeitung: OnlyOffice integriert in die Nextcloud, LibreOffice, Collabora integriert in Moodle
  • Videokonferenz: BigBlueButton
  • Lernmanagementsystem: Moodle
  • Messenger: Threema

Datenschutz

Für die dienstliche Nutzung (Microsoft 365 for Enterprise) wird das Senden von nicht erforderlichen Diagnose- und Telemetriedaten zentral deaktiviert. Mit dem Office-DiagnoseViewer kann jeder Nutzende selbst Einblick in die übermittelten Daten bekommen. Außerdem werden nur durch den Datenschutz geprüfte und dokumentierte Apps freigegeben, z.T. auch nur eingeschränkt freigegeben. Die aktuellen, sehr rigiden Einstellungen sind durch einen Präsidiumsbeschluss vom 9.11.2022 (Beschluss 206/2022) bestätigt.

Im Verlauf der Einführung (beschränkt auf Desktop-Apps) können sukzessive weitere Dienste geprüft (Datenschutz, Informationssicherheit, Barrierefreiheit, Lizenzrecht und Mitbestimmung) und freigegeben werden.

Datenschutz-Hinweis: Speichern Sie keine internen oder vertraulichen dienstlichen, vor allem keine personenbezogenen Daten in der Microsoft Cloud. Das gilt auch für Daten wie Prüfungsergebnisse. Beachten Sie hier die entsprechenden Regelungen der Universität Erfurt.

Die Anmeldung der Nutzenden und die Verwaltung der Lizenzen erfolgt über eine zentrale Plattform (Tenant), die von der Universität Erfurt verwaltet wird. Passwortänderung erfolgt aber wie bisher nur über das Benutzerportal des URMZ. Zur Erhöhung der Sicherheit und zum Schutz vor Missbrauch ist für einige Nutzerkonten die 2Faktor-Authentifizierung aktiviert. Dafür können entsprechende Smartphone-Apps (empfohlen) oder eine Telefonnummer (nicht so sicher) verwendet werden.

Nicht verfügbare zentrale Cloud-Dienste

Teams, Sway, Exchange Online, Sharepoint Online, Booking, Delve, Dynamics 365, MyAnalytics, Power Apps, Power Automate, Power BI sowie Kaizala, Yammer und Video stehen aus datenschutzrechtlichen und technischen Gründen nicht zur Verfügung.

Datenschutzinformationen nach Art. 13 DSGVO (Direkterhebung) bzw. Art. 14 DSGVO (Erhebung durch Dritte)

Verantwortlich:

Kontakt zum Datenschutz:

Weitere Verantwortliche

Zwecke:

Microsoft 365 Apps ist eine Suite von Desktop-Anwendungen (einschließlich Word, PowerPoint, Excel, OneNote und Publisher). Wegen der Microsoft Lizenzbestimmungen werden die persönlichen Anmeldedaten (dienstliche E-Mailadresse) benötigt.

Dient der

  • IT-gestützten Zusammenarbeit der Mitarbeiter und Studierenden der Hochschule mittels Microsoft Office 365
  • Unterstützung von Hochschulen bei der Erfüllung ihrer durch Rechtsvorschriften zugewiesenen Aufgaben mit Hilfe von Microsoft Office365 zur Umsetzung des Bildungs- und Erziehungsauftrags, bei der Abwicklung der internen Aufgaben und Abläufe

Einschließlich der in den standardmäßigen Microsoft Products and Services Dataprotection Addendum (DPA)  beschriebenen Zwecke von Microsoft

  • Abrechnung- und Kontoverwaltung 
  • Vergütung, 
  • Interne Berichterstattung und Modellierung
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz 
  • Finanzberichterstattung 
  • Einhaltung gesetzlicher Verpflichtungen 

Rechtsgrundlagen:

  • Studierende: Art. 6, 1, lit. a) DSGVO: Einwilligung
  • Beschäftigte: Art. 6 Abs. 1 lit. b) DSGVO i.V. mit §27 ThürDSG, §§ 79 bis 87 Thüringer Beamtengesetz; für Beamt:innen zudem Art. 6 Abs. 1 lit. c)
  • Für Personen, die in Kommunikation und Dokumenten erkennbar sind: Art 6, 1 lit. e) i. V. mit § 16 Abs. 1 ThürDSG und ThürHG §5

Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung) 

  • Für lizenzierte Personen Art. 6 Abs. 1 lit. b) DSGVO sowie Art. 49 Abs. 1 lit c) DSGVO (Datenkategorien Dokumente und Dateien, Kontaktinformationen) 
  • Für vertraglich nicht erforderliche Zwecke Art. 49 Abs. 1 lit. d) DSGVO (z.b. Protokollierungsdaten,) 

Kategorien von betroffenen Personen:

  • Studierende
  • Beschäftigte der Uni Erfurt, die Microsoft 365 nutzen oder administrieren
  • Personen, die in der Kommunikation und Dokumenten identifizierbar sind 

Art der verarbeiteten Daten:

Es werden folgende Daten mit Microsoft 365 verarbeitet:

Daten, die aus dem Active Directory der Universität synchronisiert werden:

Nutzer:innen:

  • Passwort
  • Uni-E-Mail-Adresse zur Anmeldung
  • Gruppenzugehörigkeit
  • Telefonnummer bei Telefon-MultiFaktorAnmeldung(MFA) (vom Nutzergerät)
  • Gerätestandort bei Verwendung Authenticator-App MFA (vom Nutzergerät)

Geräte: Alle Geräteeigenschaften (bspw. Gerätename, Hardware, Software, Standort, …) (über Gerätename / Inv.nr. auch Zuordnung zu Person möglich)

Weiterhin werden Anmeldeereignisse (Logfile mit Zugriffen) in Microsoft 365 erhoben: Datum, Uhrzeit, Anwendung, IP-Adresse damit indirekt Standort, Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp), Datum der ersten und letzten Aktivität des Rechners

Inhaltsdaten: alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die vom Nutzenden erzeugt werden und zum Speichern oder zur Verarbeitung in die Cloud hochgeladen werden, sowie auch Anpassungen. (Regelungen der Universität zum Speichern in der Cloud sind zu beachten)

Vom Dienst generierte Daten: Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet wurden, wie z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden. Aus Datenschutzgründen deaktiviert oder auf ein Mindestmaß beschränkt.

Diagnosedaten: werden von Microsoft gesammelt oder aus einer Software abgerufen, die vom Kunden in Verbindung mit dem Onlinedienst lokal installiert wurde. Diese Daten werden auch als Telemetriedaten bezeichnet. Aus Datenschutzgründen deaktiviert

Kundensupportdaten: Daten, die durch den Nutzenden bereitgestellt werden durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Herkunft der Daten:

Anmeldedaten:

  • Studierende: direkt bei der betroffenen Person bei der Registrierung mit der Uni-Mail-Adresse
  • Beschäftigte/Mitarbeitende der Uni Erfurt: Datenübernahme aus der lokalen Benutzerverwaltung (Active Directory) in das Nutzerportal von Microsoft

Inhaltsdaten: direkt beim Nutzenden

Protokollierungsdaten: durch die Nutzung der Anwendung durch den Nutzenden erzeugte Daten

Löschfristen:

  • Kundeninhalte: 30 Tage aktiv (180 Tage passiv)
  • Informationen zur Identifizierung von Endbenutzern (Bsp. Namen, E-Mail-Adresse, IP): 180 Tage
  • Pseudonyme Bezeichner für Endbenutzer (IDs): 30 Tage aktiv (180 Tage passiv)

Dabei bedeutet aktive Löschung: aktives Löschen von Daten durch Nutzer*in oder Administrator*in und passive Löschung: M365 Mandantenabo endet.

Betroffenenrechte:

Nach der DSGVO stehen Ihnen unter den im Gesetz genannten Voraussetzungen folgende Rechte zu:
Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Löschung (Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit
(Art. 20 DSGVO), Widerspruchsrecht (Art. 21 DSGVO).
Zudem haben Sie das Recht der Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Empfänger

  • Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung  
  • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke 
  • Sowie deren Unterauftragsverarbeiter und Supportdienstleister 

Garantien für den Internationalen Datenverkehr:

Microsoft verarbeitet die Daten im Auftrag der Universität Erfurt (als Verantwortlichen) und darf die Daten entsprechend nur nach deren Weisungen und für deren Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist deshalb auch als eigener Verantwortlicher anzusehen.

Für die Übermittlung von persönlichen Daten im Rahmen der Nutzung von Microsoft 365 liegt der Angemessenheitsbeschluss der EU Kommission vom 10.7. (Data privacy Framework DPF) vor.

Für die Hochschule

  • Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Abrechnung und Kontoverwaltung
  • Rückausnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke 2-5, 7 und 8

Microsoft Corporation  
Data Privacy Framework vom 10.7.2023.Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung. Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.

Unterauftragsverarbeiter 
Standarddatenschutzklauseln 

Stand: Juli 2023