Microsoft 365
Allgemeine Informationen zur Einführung
Mit dem neuen Bundesrahmenvertrag 3.0 wird die dienstliche oder studentische Nutzung von Office-Produkten wie Word, Excel nur noch mit regelmäßiger Anmeldung bei Microsoft möglich sein (Produktaktivierung bzw. -Überprüfung; personalisierte Lizenz über Uni-Mail-Adresse). Eine private oder kommerzielle Nutzung ist im Lizenzvertrag nicht eingeschlossen. Die Lizenzaktivierung erfolgt über ein personengebundenes Nutzerlogin.
Es werden neben den Anmelde- (bzw.Kontodaten) auch weitere personenbezogene Daten (u.a. Nutzungs- und Verhaltensdaten, Logdaten, Inhaltsdaten) durch Microsoft verarbeitet (Drittstaatenproblematik USA, Profilbildung durch Auswertung von Nutzungs- und Logdaten durch Microsoft für eigene Zwecke). In einer zusammenfassenden Bewertung der Vertragsergänzung von Microsoft vom September 2022 konstatiert die DSK (Datenschutzkonferenz), dass Microsoft365 immer noch nicht datenschutzkonform eingesetzt werden kann.
Die Anwendungen von Microsoft dürfen in folgenden Ländern nicht eingeführt und verwendet werden: Demokratische Volksrepublik Korea, Iran, Kuba, Sudan und Syrien. (US-Export-Recht: gilt auch für Betriebsystem Windows).
Die Einführung startet Mitte Juni mit einer Testphase im URMZ. Auf den Webseiten des Rechenzentrums finden sich ausführliche Informationen zu M365.
Datenschutzfreundliche Alternativen
- Cloud-Dateiverwaltung bzw. Ablage: Nextcloud
- (Gemeinsame) Dokumentenbearbeitung: OnlyOffice integriert in die Nextcloud, LibreOffice, Collabora integriert in Moodle
- Videokonferenz: BigBlueButton
- Lernmanagementsystem: Moodle
- Messenger: Threema
Datenschutz
Für die dienstliche Nutzung (Microsoft 365 for Enterprise) wird das Senden von nicht erforderlichen Diagnose- und Telemetriedaten zentral deaktiviert. Mit dem Office-DiagnoseViewer kann jeder Nutzende selbst Einblick in die übermittelten Daten bekommen. Außerdem werden nur durch den Datenschutz geprüfte und dokumentierte Apps freigegeben, z.T. auch nur eingeschränkt freigegeben. Die aktuellen, sehr rigiden Einstellungen sind durch einen Präsidiumsbeschluss vom 9.11.2022 (Beschluss 206/2022) bestätigt.
Im Verlauf der Einführung (beschränkt auf Desktop-Apps) können sukzessive weitere Dienste geprüft (Datenschutz, Informationssicherheit, Barrierefreiheit, Lizenzrecht und Mitbestimmung) und freigegeben werden.
Datenschutz-Hinweis: Speichern Sie keine internen oder vertraulichen dienstlichen, vor allem keine personenbezogenen Daten in der Microsoft Cloud. Das gilt auch für Daten wie Prüfungsergebnisse. Beachten Sie hier die entsprechenden Regelungen der Universität Erfurt.
- Vertraulichkeitsrichtlinie Stand 23.6.2022(bitte im Intranet anmelden)
- Cloudrichtlinie (in Vorbereitung)
Die Anmeldung der Nutzenden und die Verwaltung der Lizenzen erfolgt über eine zentrale Plattform (Tenant), die von der Universität Erfurt verwaltet wird. Passwortänderung erfolgt aber wie bisher nur über das Benutzerportal des URMZ. Zur Erhöhung der Sicherheit und zum Schutz vor Missbrauch ist für einige Nutzerkonten die 2Faktor-Authentifizierung aktiviert. Dafür können entsprechende Smartphone-Apps (empfohlen) oder eine Telefonnummer (nicht so sicher) verwendet werden.
Nicht verfügbare zentrale Cloud-Dienste
Teams, Sway, Exchange Online, Sharepoint Online, Booking, Delve, Dynamics 365, MyAnalytics, Power Apps, Power Automate, Power BI sowie Kaizala, Yammer und Video stehen aus datenschutzrechtlichen und technischen Gründen nicht zur Verfügung.
Datenschutzinformationen nach Art. 13 DSGVO (Direkterhebung) bzw. Art. 14 DSGVO (Erhebung durch Dritte)
Verantwortlich:
- Universität Erfurt, vertreten durch den Präsidenten
- Prof. Dr. Walter Bauer-Wabnegg
- Verwaltungsgebäude / Raum 1.40
- +49 361 737-5000
- E-Mail: praesident@uni-erfurt.de
Kontakt zum Datenschutz:
Weitere Verantwortliche
- Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland, - Microsoft Corporation
One Microsoft Way Redmond, Washington 98052 - Deren Datenschutzkontakte
Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft
Zwecke:
Microsoft 365 Apps ist eine Suite von Desktop-Anwendungen (einschließlich Word, PowerPoint, Excel, OneNote und Publisher). Wegen der Microsoft Lizenzbestimmungen werden die persönlichen Anmeldedaten (dienstliche E-Mailadresse) benötigt.
Dient der
- IT-gestützten Zusammenarbeit der Mitarbeiter und Studierenden der Hochschule mittels Microsoft Office 365
- Unterstützung von Hochschulen bei der Erfüllung ihrer durch Rechtsvorschriften zugewiesenen Aufgaben mit Hilfe von Microsoft Office365 zur Umsetzung des Bildungs- und Erziehungsauftrags, bei der Abwicklung der internen Aufgaben und Abläufe
Einschließlich der in den standardmäßigen Microsoft Products and Services Dataprotection Addendum (DPA) beschriebenen Zwecke von Microsoft
- Abrechnung- und Kontoverwaltung
- Vergütung,
- Interne Berichterstattung und Modellierung
- Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
- Finanzberichterstattung
- Einhaltung gesetzlicher Verpflichtungen
Rechtsgrundlagen:
- Studierende: Art. 6, 1, lit. a) DSGVO: Einwilligung
- Beschäftigte: Art. 6 Abs. 1 lit. b) DSGVO i.V. mit §27 ThürDSG, §§ 79 bis 87 Thüringer Beamtengesetz; für Beamt:innen zudem Art. 6 Abs. 1 lit. c)
- Für Personen, die in Kommunikation und Dokumenten erkennbar sind: Art 6, 1 lit. e) i. V. mit § 16 Abs. 1 ThürDSG und ThürHG §5
Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)
- Für lizenzierte Personen Art. 6 Abs. 1 lit. b) DSGVO sowie Art. 49 Abs. 1 lit c) DSGVO (Datenkategorien Dokumente und Dateien, Kontaktinformationen)
- Für vertraglich nicht erforderliche Zwecke Art. 49 Abs. 1 lit. d) DSGVO (z.b. Protokollierungsdaten,)
Kategorien von betroffenen Personen:
- Studierende
- Beschäftigte der Uni Erfurt, die Microsoft 365 nutzen oder administrieren
- Personen, die in der Kommunikation und Dokumenten identifizierbar sind
Art der verarbeiteten Daten:
Es werden folgende Daten mit Microsoft 365 verarbeitet:
Daten, die aus dem Active Directory der Universität synchronisiert werden:
Nutzer:innen:
- Passwort
- Uni-E-Mail-Adresse zur Anmeldung
- Gruppenzugehörigkeit
- Telefonnummer bei Telefon-MultiFaktorAnmeldung(MFA) (vom Nutzergerät)
- Gerätestandort bei Verwendung Authenticator-App MFA (vom Nutzergerät)
Geräte: Alle Geräteeigenschaften (bspw. Gerätename, Hardware, Software, Standort, …) (über Gerätename / Inv.nr. auch Zuordnung zu Person möglich)
Weiterhin werden Anmeldeereignisse (Logfile mit Zugriffen) in Microsoft 365 erhoben: Datum, Uhrzeit, Anwendung, IP-Adresse damit indirekt Standort, Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp), Datum der ersten und letzten Aktivität des Rechners
Inhaltsdaten: alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die vom Nutzenden erzeugt werden und zum Speichern oder zur Verarbeitung in die Cloud hochgeladen werden, sowie auch Anpassungen. (Regelungen der Universität zum Speichern in der Cloud sind zu beachten)
Vom Dienst generierte Daten: Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet wurden, wie z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden. Aus Datenschutzgründen deaktiviert oder auf ein Mindestmaß beschränkt.
Diagnosedaten: werden von Microsoft gesammelt oder aus einer Software abgerufen, die vom Kunden in Verbindung mit dem Onlinedienst lokal installiert wurde. Diese Daten werden auch als Telemetriedaten bezeichnet. Aus Datenschutzgründen deaktiviert
Kundensupportdaten: Daten, die durch den Nutzenden bereitgestellt werden durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.
Herkunft der Daten:
Anmeldedaten:
- Studierende: direkt bei der betroffenen Person bei der Registrierung mit der Uni-Mail-Adresse
- Beschäftigte/Mitarbeitende der Uni Erfurt: Datenübernahme aus der lokalen Benutzerverwaltung (Active Directory) in das Nutzerportal von Microsoft
Inhaltsdaten: direkt beim Nutzenden
Protokollierungsdaten: durch die Nutzung der Anwendung durch den Nutzenden erzeugte Daten
Löschfristen:
- Kundeninhalte: 30 Tage aktiv (180 Tage passiv)
- Informationen zur Identifizierung von Endbenutzern (Bsp. Namen, E-Mail-Adresse, IP): 180 Tage
- Pseudonyme Bezeichner für Endbenutzer (IDs): 30 Tage aktiv (180 Tage passiv)
Dabei bedeutet aktive Löschung: aktives Löschen von Daten durch Nutzer*in oder Administrator*in und passive Löschung: M365 Mandantenabo endet.
Betroffenenrechte:
Nach der DSGVO stehen Ihnen unter den im Gesetz genannten Voraussetzungen folgende Rechte zu:
Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Löschung (Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit
(Art. 20 DSGVO), Widerspruchsrecht (Art. 21 DSGVO).
Zudem haben Sie das Recht der Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Empfänger
- Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
- Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Garantien für den Internationalen Datenverkehr:
Microsoft verarbeitet die Daten im Auftrag der Universität Erfurt (als Verantwortlichen) und darf die Daten entsprechend nur nach deren Weisungen und für deren Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist deshalb auch als eigener Verantwortlicher anzusehen.
Für die Übermittlung von persönlichen Daten im Rahmen der Nutzung von Microsoft 365 liegt der Angemessenheitsbeschluss der EU Kommission vom 10.7. (Data privacy Framework DPF) vor.
Für die Hochschule
- Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Abrechnung und Kontoverwaltung
- Rückausnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke 2-5, 7 und 8
Microsoft Corporation
Data Privacy Framework vom 10.7.2023.Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung. Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.
Unterauftragsverarbeiter
Standarddatenschutzklauseln
Stand: Juli 2023