Datenschutzrechtliche Informationen nach Art. 12 DS-GVO zu Microsoft 365

Auf dieser Seite informieren wir dich/Sie über die zur Nutzung von Microsoft Teams erforderliche Verarbeitung von personenbezogenen Daten.

Wer ist verantwortlich für die Verarbeitung der personenbezogenen Daten?

Verantwortlich ist die Schule: Europaschule Langerwehe, Frau LGeD‘ Regina Westermann, Josef-Schwarz-Straße 16, 52379 Langerwehe

An wen kann ich mich wenden, wenn ich Fragen zum Datenschutz habe?

Fragen zum Datenschutz können Sie an den behördlich bestellten schulischen Datenschutzbeauftragten stellen: Andreas Ritter (a.ritter@Kreis-Dueren.de) sowie Andreas Steinhoff (datenschutz-schule@kreis-dueren.de).

Zu welchem Zweck sollen meine Daten verarbeitet werden?

Die Verarbeitung ist erforderlich zur Nutzung von Microsoft Teams, einer Kommunikations- und Lernplattform mit der Möglichkeit zu Audio- und Videokonferenzen und zur Durchführung von Online-Unterrichtseinheiten in der Lerngruppe und zur individuellen Betreuung und Beratung in Kleingruppen oder Einzeltreffen zwischen Schülern und Lehrkraft.

Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?

Die Verarbeitung erfolgt auf der Grundlage deiner/Ihrer Einwilligung.

Welche personenbezogenen Daten werden bei der Nutzung von MS Teams verarbeitet?

Verarbeitet werden Daten zur Erstellung eines Nutzerkontos (E-Mail Adresse, Passwort, Schulzugehörigkeit, Zugehörigkeit zu Teams, Rollen und Rechte), zur Anzeige eines Nutzerstatus und von Lesebestätigungen (Chat), erstellte Chat-Nachrichten, Sprachnotizen, Bild- und Tondaten in Video- und Audiokonferenzen, Inhalte von Bildschirmfreigaben, durch Hochladen geteilte Dateien, erstellte Kalendereinträge, Status von Aufgaben (zugewiesen, abgegeben, Fälligkeit, Rückmeldung), in Word, Excel, PowerPoint und OneNote erstellte und bearbeitete Inhalte, Eingaben bei Umfragen, technische Nutzungsdaten zur Bereitstellung der Funktionalitäten und Sicherheit von MS Teams und in Teams integrierte Funktionen. Eine Speicherung der Bild- und Tondaten von Videokonferenzen durch die Schule erfolgt nicht.

Wer hat Zugriff auf meine personenbezogenen Daten?

Auf alle in Teams durch Nutzer eingestellten Dateien, Inhalte und Kommentare haben jeweils die Personen Zugriff, mit denen sie geteilt werden. Das können Einzelpersonen sein oder Mitglieder eines Teams oder Channels in einem Team. Lehrkräfte haben Zugriff auf innerhalb von gestellten Aufgaben vorgenommene Bearbeitungen und erstellte Inhalte. Alle Teilnehmer einer Videokonferenz haben Zugriff im Sinne von Sehen, Hören und Lesen auf Inhalte der Videokonferenz, Chats, geteilte Dateien und Bildschirmfreigaben. In einem Chat haben alle Teilnehmer Zugriff auf eingegebene Inhalte und geteilte Dateien. Der Anbieter hat Zugriff auf die bei der Nutzung von Teams anfallenden Daten soweit dieses zur Erfüllung seiner Verpflichtung im Rahmen des mit der Schule abgeschlossenen Vertrags zur Auftragsverarbeitung erforderlich ist. US Ermittlungsbehörden haben Zugriff nach US-amerikanischem Recht (siehe unten).

An wen werden die Daten übermittelt?

Wir nutzen Microsoft Teams im Rahmen eines Vertrags zur Auftragsverarbeitung. Microsoft verarbeitet deine personenbezogenen Daten ausschließlich in unserem Auftrag. Demnach darf Microsoft sie nur entsprechend unserer Weisungen und für unsere Zwecke und nicht für eigene Zwecke nutzen, also weder für Werbung und auch nicht, um sie an Dritte weitergeben. Im Sinne des Datenschutzrechts findet somit keine Übermittlung statt.

Wie lange werden meine Daten gespeichert?

Die Speicherung von Daten, welche zur Bereitstellung des Nutzerkontos verarbeitet werden, sowie erstellte und geteilte Inhalte, Kommentare, Chat-Nachrichten, Sprachnachrichten, zugewiesene, bearbeitete und abgegebene Inhalte und Kalendereinträge, endet, sobald der Nutzer die Schule verlassen hat, seine Einwilligung ganz oder in Teilen widerruft oder einer Verarbeitung widerspricht. Die Löschung erfolgt innerhalb von 2 Monaten nach Verlassen der Schule. Die Löschung aus den Systemen von Microsoft ist vom Zeitpunkt der Löschung eines Kontos oder von Inhalten durch die Schule nach 90 Tagen abgeschlossen. Selbiger Zeitraum gilt auch für die Löschung von Dateien durch den Nutzer selbst. Ton- und Bilddaten von Video- und Audiokonferenzen werden von der Schule nicht aufgezeichnet und gespeichert. Inhalte in von anderen geteilten Dateien, bearbeitete und abgegebene Aufgaben und Nachrichten in Gruppenchats werden gespeichert, solange ein Team besteht. Teams für Klassen- und Lerngruppen werden spätestens 5 Jahre nach Ende der Schulzeit der betroffenen Schüler samt ihren von Schülern erstellten, geteilten und bearbeiteten Inhalten und Chats gelöscht. Inhalte von Chats bestehen solange das Konto des anderen Nutzers besteht.

Datenschutz bei Verarbeitung von personenbezogenen Daten in den USA

Bei der Nutzung von MS Teams können auch Daten auf Servern in den USA verarbeitet werden. Dabei geht es weniger um Inhalte von Chats, Videokonferenzen, Terminen und gestellten Aufgaben, Nutzerkonten und Teamzugehörigkeiten, sondern um Daten, welche dazu dienen, die Sicherheit und Funktion der Plattform zu gewährleisten und zu verbessern. Nach der aktuellen Rechtslage in den USA haben US Ermittlungsbehörden nahezu ungehinderten Zugriff auf alle Daten auf Servern in den USA. Nutzer erfahren davon nichts und haben auch keine rechtlichen Möglichkeiten, sich dagegen zu wehren. Die Risiken, welche durch diese Zugriffsmöglichkeiten von US Ermittlungsbehörden entstehen, dürften eher gering sein.

Thema CLOUD-Act

Im Rahmen des CLOUD-Act haben US Ermittlungsbehörden auch Möglichkeiten, bei Microsoft die Herausgabe von personenbezogenen Daten, die auf Servern in der EU gespeichert sind, zu verlagen. Dort werden die meisten Daten gespeichert, die bei einer Nutzung von Microsoft/Office 365 und Teams anfallen. Nach Angaben von Microsoft ist die Anzahl dieser Anfragen recht gering, zudem kann Microsoft dagegen vor Gericht gehen. Die wenigsten Anfragen dürften, falls überhaupt, schulische Konten betreffen. Microsoft gibt für Juli – Dezember 2019 insgesamt 3.310 Anfragen von Ermittlungsbehörden an. Davon kamen die meisten aus Deutschland.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Zusätzliche Informationen

Wo werden meine personenbezogenen Daten verarbeitet?

Die Verarbeitung von personenbezogenen Daten in Microsoft Teams und angebundenen Produkten erfolgt überwiegend auf Servern mit Standort Deutschland. Es ist möglich, dass sogenannte Telemetriedaten, eine Art Diagnosedaten, in den USA verarbeitet werden.

Wie sicher ist Microsoft Teams?

Die Plattform genügt allen gängigen Sicherheitsstandards für Cloud Plattformen.

Wo kann ich mehr zum Datenschutz von Microsoft Teams erfahren?

Thema Sicherheit bei Microsoft:
https://docs.microsoft.com/de-de/microsoftteams/security-compliance-overview

Die aktuelle Datenschutzerklärung von Microsoft kann hier eingesehen werden:
https://privacy.microsoft.com/de-de/privacystatement

Von besonderer Bedeutung ist dabei bezüglich der personenbezogenen Daten von Personen in der Schule der folgende Abschnitt:

“Für Microsoft-Produkte, die von Ihrer K-12-Schule bereitgestellt werden, einschließlich Microsoft 365 Education, wird Microsoft:

  • neben den für autorisierte Bildungs- oder Schulzwecke erforderlichen Daten keine personenbezogenen Daten von Schülern/Studenten erfassen oder verwenden,
  • personenbezogene Daten von Schülern/Studenten weder verkaufen noch verleihen,
  • personenbezogene Daten von Schülern/Studenten weder zu Werbezwecken noch zu ähnlichen kommerziellen Zwecken wie Behavioral Targeting von Werbung für Schüler/Studenten verwenden oder freigegeben,
  • kein persönliches Profil eines Schülers/Studenten erstellen, es sei denn, dies dient der Unterstützung autorisierter Bildungs- oder Schulzwecke oder ist von den Eltern, Erziehungsberechtigten oder Schülern/Studenten im angemessenen Alter genehmigt, und
  • seine Anbieter, an die personenbezogene Daten von Schülern/Studenten ggf. zur Erbringung der Bildungsdienstleistung weitergegeben werden, dazu verpflichten, dieselben Verpflichtungen für personenbezogene Daten der Schüler/Studenten zu erfüllen.”

Was tut die Schule zum Schutz meiner personenbezogenen Daten in MS Teams?

Als Europaschule Langerwehe hat für uns der Schutz der personenbezogenen Daten unserer Schüler und Lehrkräfte oberste Priorität. Deshalb sorgen wir durch technische und organisatorische Maß­nah­men dafür, dass die Nutzung von MS Teams mit der größtmöglichen Sicherheit abläuft. Wir haben MS Teams so voreingestellt, dass durch das Handeln und Fehler der Nutzer selbst möglichst wenige Ri­si­ken entstehen können. Ganz zentral ist die Schulung der Nutzer für einen sicheren und verant­wor­tungs­­vollen Umgang mit den Werkzeugen in MS Teams. Vor Erteilung des Zugangs findet eine Grund­schulung statt. Diese wird durch eine jährliche Belehrung und die Nutzungsvereinbarung/Dienstanweisung ergänzt.

Kann eine Einwilligung nach dem Urteil des EU-GH zum EU-US Privacy Shield noch genutzt werden?

Das ist möglich, allerdings reicht eine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO nicht mehr aus. Wegen der besonderen Umstände der Daten, die in die USA fließen, braucht es jetzt auch Art. 49 Abs. 1 lit. a. Damit ist berücksichtigt, dass in den USA kein der EU vergleichbares Datenschutzrecht herrscht. Eine Einwilligung nach Art. 49 Abs. 1 lit. a. setzt voraus, dass Betroffene über mögliche Risiken informiert werden, um die Folgen und Tragweite ihrer