Allgemeine Informationen
Wie andere Softwarehersteller nutzt auch Microsoft personengebundene Lizenzen. Für die Nutzung von Microsoft 365 (M365) wird deshalb ein personenbezogenes Microsoft-Konto benötigt. Dieses LMU-Microsoft-Konto wird anhand Ihrer Daten aus den LMU- und LRZ-Identity-Management-System erstellt und von der LMU verwaltet.
Als Beschäftigter oder Studierender der LMU erhalten Sie ein persönliches, von der LMU verwaltetes Microsoft-Konto. Hierfür müssen Sie Ihre LMU-Benutzerkennung im LMU-Benutzerkonto einmalig freischalten. Nach erfolgter Freischaltung ist die Nutzung von M365 und den für Sie lizensierten Microsoft-Produkten möglich, solange und soweit diese von der LMU zur Verfügung gestellt werden bzw. solange Sie Mitglied der LMU sind. Die Freischaltung kann im LMU-Benutzerkonto rückgängig gemacht werden (siehe „Dauer der Speicherung der personenbezogenen Daten“).
Microsoft 365 wird betrieben von der Firma Microsoft Corporation, Microsoft Corporation, One Microsoft Way Redmond, Washington 98052.
Vertragspartner für die LMU ist:
Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland.
Mit der Erstellung Ihres LMU-Microsoft-Kontos gelten die Nutzungsbedingungen von Microsoft, die Microsoft-Produkt- und Onlinebestimmungen und die Nutzungshinweise der LMU zu Microsoft 365. Hier finden Sie die Datenschutzinformationen von Microsoft zu M365
Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Nutzung eines LMU-Microsoft-Kontos und von M365 als Software- und Clouddienstlösung zur Sicherstellung der Verwaltung, dem Betreiben von Arbeitsstätten sowie der Durchführung von Studium, Forschung und Lehre an der LMU und allen gesetzmäßigen Aufgaben der LMU. M365 bezeichnet ein Produktpaket aus Office-Programmen und Clouddiensten. Die Software dient der täglichen Erledigung von Büroarbeiten, als Kommunikations- und Organisationslösung sowie zur Datenspeicherung und zum Datenaustausch.Dies beinhaltet insbesondere die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen Support, einschließlich Offenlegung für folgende Zwecke von Microsoft, wobei Microsoft hier als eigener Verantwortlicher handelt:
- Abrechnung- und Kontoverwaltung
- Vergütung
- Interne Berichterstattung und Modellierung
- Bekämpfung von Betrug
- Cyberkriminalität oder Cyberangriffen
- Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
- Finanzberichterstattung
- Einhaltung gesetzlicher Verpflichtungen
Es werden auch Statistiken über die Nutzung erstellt.
Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken (z.B. zur internen Überprüfung der Sicherheitssysteme und zur Gewährleistung der internen Netz- und Informationssicherheit gemäß Art. 6 Abs. 1 BayDSG) erfolgt durch die LMU nicht. Die LMU verarbeitet nur die personenbezogenen Daten, die Sie uns zur Verfügung gestellt haben oder die im Rahmen der Tätigkeit an der LMU in zulässiger Weise erhoben wurden (Art. 4 Abs. 2 BayDSG).
Es findet durch die LMU keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung Ihres LMU-Microsoft-Accounts oder M365 statt.
Es kann in einigen Fällen (z.B. längere Nichtverfügbarkeit des Dienstes) notwendig sein, Sie zu kontaktieren. Falls es keine gleichwertige oder bessere Möglichkeit gibt Sie zu informieren, werden wir Ihre personenbezogene Daten für eine Kontaktaufnahme verwenden, z.B. über den Infodienst der LMU.
Sichtbarkeit Ihrer Aktivitäten
Da es sich beim LMU-Microsoft-Konto um einen Online-Account und bei M365 um ein cloudbasiertes Angebot mit einer sehr breiten Software- und Dienstpalette handelt, ist eine Beurteilung der Sichtbarkeit Ihrer Aktivitäten nicht abschließend möglich. Nachfolgend wird auf die gängigsten Anwendungen eingegangen.
- Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie sich im Rahmen dieser Clouddienste mit anderen Nutzern zusammenschließen.
- Wenn Dateien über OneDrive oder andere Clouddienste freigegeben werden, können diese für andere Nutzer sichtbar sein.
- Andere Nutzer können Sie im Rahmen der Clouddienste suchen und einladen. Dabei können Ihr Name sowie weitere Daten aus Ihrem LMU-Microsoft-Konto sichtbar sein.
- Bei der Zusammenarbeit an Dokumenten können die Änderungen, die Sie oder andere an geteilten Dokumenten sowie Metadaten wie Änderungszeitpunkte etc. vornehmen, sichtbar sein.
Benutzungsprofil
Ihr LMU-Microsoft-Konto enthält in der initialen Befüllung nur Ihren Vor- und Nachnamen, Ihre im Benutzerkonto hinterlegte LMU-E-Mail-Adresse und Ihren Zugehörigkeitsstatus zur LMU. In einigen Diensten ist es möglich, das Benutzerprofil um weitere Angaben zu ergänzen. Dies ist für die dienstliche Nutzung und für die Erfüllung von öffentlichen Aufgaben nicht erforderlich. Die entsprechenden Ergänzungen erfolgen freiwillig, sollen aus Gründen der Datensparsamkeit aber nicht erfolgen.
Betroffene Personenkreise:
- Personen, die Microsoft 365 nutzen oder administrieren
- Personen, die in der Kommunikation und in Dokumenten genannt werden bzw. identifizierbar sind
Rechtliche Grundlagen:
- Wir verarbeiten Ihre Daten im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO), des Bayerischen Datenschutzgesetzes (BayDSG) und der sonstigen anwendbaren Datenschutzbestimmungen.
- Die Verarbeitung der personenbezogenen Daten für die Nutzung von M365 erfolgt im Rahmen der freiwilligen Nutzung gemäß Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), im Übrigen im Rahmen der Erfüllung von Dienstaufgaben gemäß Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG. insbesondere Art. 11 Abs. 1 BayEGovG, § 13 Abs. 7 TMG, Art. 6 Abs, 1 BayDSG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO, Art. 20a GG, Art. 3, 3a, 141 BayVerf. Im Einzelnen sind dies:
Für Beschäftigte und Bedienstete:
- Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Tarifvertrag, Arbeitsvertrag, Tarifvertrag, § 106 GewerbeordnungArt. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Art. 33 Abs. 5 GG
- Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV
Für die Lehre:
- Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG (Art. 55 Abs. 2 BayHSchG)
Für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung):
- Art. 6 Abs. 1 lit. b DSGVO, Art. 49 Abs. 1 lit. c DSGVO (Datenkategorie 1. und 6.) - für lizenzierte Personen
- Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG, Art. 49 Abs. 1 lit. d DSGVO (Datenkategorie 2.-5.,7.,8.) - für vertraglich nicht erforderliche Zwecke
Für die Statistik:
- Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, § 3 HStatG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO
Verarbeitung von personenbezogenen Daten
Folgende Daten werden zwischen der LMU und Microsofts AzureAD synchronisiert:
- Name & Vorname
- LMU-E-Mail-Adresse
- Zugehörigkeitsstatus (Studierende/r, Beschäftigte/r, andere Mitglieder)
Weiterhin werden Anmeldeereignisse (letzte 30 Tage) in M365 erhoben und verarbeitet:
- Datum
- Uhrzeit
- Anwendung
- IP-Adresse damit indirekt Standort
- Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp)
- Datum der ersten und letzten Aktivität des Rechners
- Ggf. Anwesenheitsstatus (abhängig von genutztem Dienst)
Vorkehrungen im Sinne des Datenschutzes
Die LMU hat bei der Implementierung von M365 insbesondere den datenschutzrechtlichen Grundsätzen Datenminimierung, privacy by default und privacy by design soweit technisch möglich Rechnung getragen. Die Protokollierung der Verwendung der Dienste von M365 ist anonymisiert.
Eine Funktion zur Produktivitätsbewertung ist nicht aktiviert.
Die Inventarisierungsfunktion/Telemetrie ist, soweit technisch, möglich abgeschaltet.
Datenübermittlung
Um die Nutzung Ihres LMU-Microsoft-Kontos und M365 entsprechend den o.g. Zwecken zu ermöglichen, müssen personenbezogene Daten an andere folgende Empfänger übermittelt werden:
- Microsoft Ireland Operations Limited im Rahmen der Auftragsverarbeitung und der Vertragserfüllung.
- Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und Erfüllung eigener Zwecke
- sowie Unterauftragsverarbeiter und Supportdienstleister.
Microsoft verarbeitet die Daten in unserem Auftrag und darf die Daten entsprechend nur nach unseren Weisungen und für unsere Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist insofern dann als eigener Verantwortlicher anzusehen.
Eine Übermittlung von personenbezogenen Daten im Rahmen der Nutzung von M365 in Drittländer ohne Angemessenheitsbeschluss und ohne geeignete Garantien, die dem Sicherheitsniveau der EU gleichen, kann nicht vollständig ausgeschlossen werden.
Garantien für den internationalen Datentransfer an die Microsoft Corporation und Unterauftragsverarbeiter stellen die Standardvertragsklauseln dar, die vereinbart wurden, und etwaige Rückausnahmen im Einzelfall gemäß Art. 49 Abs. 1 Satz 1 lit. a, c, d DSGVO. (soweit einschlägig)
Die Stabsstelle IT-Recht der bayerischen Hochschulen und Universitäten hat das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020 analysiert und in Abstimmung mit den CIOs der bayerischen staatlichen Universitäten und Hochschulen sowie deren Datenschutzschutzbeauftragten gemäß Klausel 4g der Standardvertragsklauseln den Bayerischen Landesbeauftragten für den Datenschutz darauf hingewiesen, dass nicht gänzlich auszuschließen ist, dass die Garantien aus Klausel 5b der Standardvertragsklauseln in jeder Hinsicht und jederzeit erfüllt werden können.
Im Hinblick auf die M365-Azure-Cloud hält sich Microsoft an den vom BSI für Deutschland ausgegebenen C5 Standard. In dem wird von Microsoft bestätigt, dass die Daten nur lokal innerhalb Deutschlands gespeichert werden. Weitere Informationen dazu sind abrufbar. Diese Bewertung ist erfolgt im Hinblick auf die öffentlich verfügbaren Informationen von Microsoft sowie der Einschätzung von NOYB.
Darüber hinaus ist Microsoft nach dem EU-U.S. Data Privacy Framework vom 10.07.2023 zertifiziert. Der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework bestätigt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an die am EU-U.S. Data Privacy Framework teilnehmenden Unternehmen übermittelt werden. Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Datenverarbeitung gelten weiterhin
Dauer der Speicherung personenbezogener Daten
Datenkategorien:
1. Dokumente und Dateien
2. Aufgaben und Lösungen
3. Kommunikationsdaten
4. Personenbezogene Basisdaten
5. Authentifizierungsdaten
6. Kontaktinformationen
7. Profilierung
8. Logfile mit Zugriffen
9. System generierte Protokolldaten
Aufbewahrung und Löschung der Daten:
Die gespeicherten Daten werden verarbeitet, solange und soweit dies für den jeweiligen Zweck der Datenverarbeitung im Rahmen der Nutzung Ihres LMU-Microsoft-Kontos und M365 erforderlich ist.
Die Daten werden bis zu 90 Tage nach dem Löschen eines LMU-Microsoft-Kontos gespeichert und dann gelöscht. Das Sperren einer LMU-Benutzerkennung oder eine Änderung in der Lizenzzuweisung ändert daran nichts.
Nummer nach Datenkategorien: 1-3 Löschungsfrist:90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit
Nummer nach Datenkategorien:4-7 Löschungsfrist 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch
Nummer nach Datenkategorien:8,9 Löschungsfrist 180 Tage
Informationen zu bestehenden Rechten
Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Zudem haben Sie das Recht auf Löschung (Art. 17 DSGVO), Widerspruch (Art. 21 DSGVO), Beschränkung (Art. 18 DSGVO) und auf Widerruf einer Einwilligung für die Zukunft. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
Daneben steht Ihnen gemäß Art. 77 DSGVO das Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Die für die LMU zuständige Datenschutz-Aufsichtsbehörde ist der Bayerische Landesbeauftragte für den Datenschutz.
Sollten Sie von Ihren Rechten Gebrauch machen wollen oder haben Sie Fragen, wenden Sie sich bitte an die zuständige Dienststelle für die Datenverarbeitung (s.o.). Diese prüft, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind und trifft dann die erforderlichen Maßnahmen.
Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung der LMU für den Internetauftritt.
Bereitstellungspflicht
Ohne die die Erstellung eines M365-Accounts ist eine lizenzierte Nutzung von M365 an der LMU nicht möglich.
Soweit die Nutzung von M365 der Erfüllung gesetzlicher Pflichten und Aufgaben oder zur Erfüllung der Arbeits- und Dienstaufgaben der Beschäftigten bzw. Bediensteten dient, ist die Datenverarbeitung erforderlich, im Übrigen freiwillig.
Aktueller Stand
Es gelten die Nutzungshinweise und Datenschutzinformationen in der jeweils geltenden Fassung. Stand: September 2023