Gesonderte Datenschutzerklärung
der GESCO-Gruppe
für
Microsoft 365 Anwendungen
Präambel:
Ergänzend zu unseren Standard Datenschutzinformationen, abrufbar unter: GESCO SE: Datenschutz möchten wir diese bezüglich der Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit MICROSOFT wie folgt für die gesamte GESCO-Gruppe präzisieren und erweitern.
1. Datenverantwortlichkeit
Sie haben als EXTERNER oder als MITARBEITER der GESCO-Gruppe eine Einladung zur Nutzung einer Microsoft Anwendung, wie bspw. SharePoint Online, Dynamics, Microsoft Teams, Outlook, Office Produkte, Microsoft Forms (nachfolgend allesamt als Microsoft bezeichnet) durch eine verantwortliche GESCO Gesellschaft (nachfolgend sind alle Gesellschaften der GESCO-Gruppe aufgelistet):
1. AstroPlast (https://www.astroplast.de):
AstroPlast Kunststofftechnik GmbH & Co.KG, Meschede, Deutschland
AstroPlast Verwaltungs GmbH, Meschede, Deutschland
2. Dörrenberg / Saglam/ Tremblay/ Middle Kingdom (https://www.doerrenberg.de):
Dörrenberg Edelstahl GmbH, Engelskirchen, Deutschland
Dörrenberg Tratamientos Termicos S.L. Alasua, Navarra, Spanien
Saglam-Metal Sanyi ve Ticaret A.S., Şekerpınarı-Çayırova, Kocaeli, Türkei
Doerrenberg Special Steel Corp., Macedonia, Ohio, USA
Tremblay Tool Steels LLC., Macedonia, Ohio, USA
Doerrenberg Real Estate LLC., Cleveland, Ohio, USA
Doerrenberg Special Steels PTE. Ltd., German Centre, Singapur
Doerrenberg International PTE. Ltd., German Centre, Singapur
Doerrenberg Special Steels Taiwan Ltd., Taiwan City, Taiwan
Doerrenberg Special Steels Korea Co. Ltd., Jeongwang-dong, Südkorea
Middle Kingdom Special Steels PTE. Ltd., German Centre, Singapur
Jiashan Doerrenberg Mould & Die Trading Co., Jiashan, China
3. Funke (https://www.franzfunke.de):
Franz Funke Zerspanungstechnik GmbH & Co. KG, Sundern, Deutschland
Franz Funke Verwaltungs GmbH, Sundern, Deutschland
4. INEX / Sommer & Strassburger/ Hubl (https://www.inex-solutions.de):
INEX – solutions GmbH, Bretten, Deutschland
Sommer & Straßburger Edelstahlanlagenbau GmbH, Bretten, Deutschland
So-Stra Verwaltungs GmbH, Bretten, Deutschland
Hubl GmbH, Vaihingen/Enz, Deutschland
5. Kesel (https://www.kesel.com):
Georg Kesel GmbH & Co.KG, Kempten, Deutschland
Kesel & Probst Verwaltungsgesellschaft mbH, Kempten, Deutschland
Kesel International GmbH, Kempten, Deutschland
Kesel Machinery (Jiashan) Co.Ltd., Jiashan County, Jiaxing City, China
Kesel North America, LLC, Janesville, Wioming, USA
6. MAE (https://mae-group.com):
MAE Maschinen- und Apparatebau Götzen GmbH, Erkrath, Deutschland
MAE Amerika GmbH, Erkrath, Deutschland
MAE-Eitel, Inc. Orwigsburg, Pensylvania, USA
MAE Machine (Beijing) Co. Ltd., Peking, China
7. Pickardt & Gerlach (PGW)/ Hekhorn (https://www.pgwpgw.de):
Pickhardt & Gerlach GmbH & Co.KG, Finnentrop, Deutschland
Hekhorn Verwaltungs-GmbH, Finnentrop, Deutschland
Hekhorn Immobilien GmbH, Finnentrop, Deutschland
8. Setter / Q-Plast/ SQG/ HRP (https://www.setter-germany.com):
Setter Holding GmbH, Emmerich, Deutschland
Setter GmbH & Co Papierverarbeitung, Emmerich, Deutschland
Q-Plast GmbH & Co. Kunststoffverarbeitung, Emmerich, Deutschland
Q-Plast Beteiligungs-GmbH, Emmerich, Deutschland
Setterstix Inc. Fountain Inn, South Carolina, USA
SQG Verwaltungs-GmbH, Emmerich, Deutschland
SETTERSTIX de Mexico, S.A.de C.V., San Luis Potosi, Mexico
HRP-Leasing GmbH, Emmerich, Deutschland
9. SVT/ CONNEX/ BAV (https://www.svt-gmbh.com):
SVT GmbH, Schwelm, Deutschland
SVT APAC Pte. Ltd., Singapur
CONNEX SVT Inc., Katy, Houston, Texas, USA
BAV- Tabbanya Kft, Tababanya, Ungarn
10. United MedTec/ Amtrion/ Tragfreund/ Haseke (https://www.amtrion.de):
United MedTec Holding GmbH, Porta Westfalica, Deutschland
AMTRION GmbH, Porta Westfalica, Deutschland
Tragfreund GmbH, Porta Westfalica, Deutschland
Haseke Beteiligungs-GmbH, Porta Westfalica, Deutschland
AMTRION USA Inc., Fountain Inn, South Carolina, USA
als Tochtergesellschaften der
GESCO SE
Am Johannisberg 7,
42103 Wuppertal
Telefon: +49 (0)202 248200
Telefax: +49 (0)202 2482049
E-Mail: gesco(at)gesco.de
Vorstand:
Ralph Rumberg (Sprecher),
Andrea Holzbaur (CFO)
Vorsitzender des Aufsichtsrats:
Stefan Heimöller
Sitz der Gesellschaft: Wuppertal
(nachfolgend „wir“ oder „uns“)
als verantwortliche
Stelle im Sinne des jeweils geltenden Datenschutzrechts erhalten.
Im Falle einer gemeinsamen Verarbeitung Ihrer Daten durch mehrere Konzernunternehmen, sind diese auch gemeinsame Verantwortliche. Microsoft Anwendungen sind unter anderem eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, die Organisationseinheiten übergreifend eingesetzt werden kann.
Bei der Nutzung der MICROSOFT Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Externer oder als unser Mitarbeiter Anwendungen von Microsoft nutzen.
Microsoft 365 ist eine Software der Firma Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA. Microsoft Teams ist Teil der Cloud-Anwendung Microsoft 365, für welches ein Nutzerkonto erstellt werden muss.
Gleichfalls behält sich Microsoft vor Kundendaten zu eigenen Geschäftszwecken zu verarbeiten. Dies stellt für die Nutzer von Microsoft Teams ein Datenschutz-Risiko dar. Wir haben mit Microsoft Datenschutzvereinbarungen und data-protection-addendum (DPA) abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren, welche standardmäßig als von Microsoft vorformulierte Datenschutzbedingungen unter folgendem Link eingesehen werden können:
Datenschutz & Datenschutz (microsoft.com)
Diese werden durch Microsoft regelmäßig aktualisiert. Beachten Sie
bitte, dass wir auf die Datenverarbeitungen von Microsoft nur bedingt technischen
Einfluss haben. In dem Umfang, in dem Microsoft Teams personenbezogene Daten in
Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist
Microsoft Datenverantwortlicher. Wir haben mit Blick auf dieses Datenschutzrisiko,
weitreichende Vorkehrungen getroffen, um eine datenschutzkonforme Verarbeitung
ihrer personenbezogenen Daten bei der Nutzung von Microsoft 365 gewährleisten
zu können.
Diese Maßnahmen werden unter Ziffer 4 dieser Erklärung dargestellt.
Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft Teams erhalten Sie in den Datenschutzerklärung von Microsoft unter privacy.microsoft.com/de-de/privacystatement und Microsoft Teams unter docs.microsoft.com/de-de/microsoftteams/teams-privacy. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten.
2.
Datenschutzkonformität nach der DSGVO
Eine Datenübermittlung aus der EU
in ein Drittland ist nach der Datenschutzgrundverordnung nur dann zulässig,
wenn das Drittland neben den allgemeinen Grundsätzen der DSGVO zusätzlich ein
angemessenes Datenschutzniveau gewährleisten kann oder der für die Daten
Verantwortliche (Datenexporteur) geeignete Garantien für die Einhaltung des
Datenschutzes gibt.
Der amerikanische CLOUD-ACT gibt amerikanische Behörden die
Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten
zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.
Eine solche Herausgabe von Daten an ein Drittland ist gemäß Art. 48 DSGVO nur
zulässig, wenn diese auf eine in Kraft befindliche internationale Übereinkunft gestützt werden kann. Ein solches
Übereinkommen liegt seit dem 10.07.2023 in Form des EU-US Data Privacy
Framework vor.
Darüber hinaus wurden von deutschen Datenschutzverantwortlichen mit Blick auf Microsoft folgende Umstände als datenschutzrechtlich problematisch erachtet:
·
Die weiterhin bestehenden Zugriffsrechte
der US-Behörden auf Daten europäischer Kunden, die in die USA übertragen wurden, sowie auch auf deutsche
Server;
·
wann Microsoft die Rolle
eines Auftragsverarbeiters und wann eines Verantwortlichen einnimmt;
·
was Microsoft genau unter „legitime
Geschäftszwecke“ als Erlaubnistatbestand versteht und
·
die Hintergrundübermittlung
der Telemetrie-, Diagnose- und Meta-Daten in die USA.
Aufgrund dieser Kritik hat
Microsoft am 1. Januar 2023 eine entsprechend überarbeitete Version seines Auftragsverarbeitungsvertrages
(AVV) veröffentlicht. Der Passus „Microsoft Products and Services Data
Protection Addendum“ (DPA) setzt die neue „EU-Datengrenze“ (definierte
geografische Grenze, innerhalb derer sich MS verpflichtet hat, Kundendaten für
seine Dienste zu speichern und zu verarbeiten) offiziell in Kraft.
Diese ergänzt die bestehenden lokalen Speicher- und
Verarbeitungsverpflichtungen, so dass der Datenfluss aus der EU in andere
Länder weiter durch Microsoft deutlich reduziert wurde. Europäische Unternehmen
könnten dadurch künftig, so Microsoft, alle Kundendaten in der Region
verarbeiten und speichern.
Darüber hinaus ist es möglich, einige technische Einstellungen vorzunehmen, welche einen datenschutzkonforme Nutzung ermöglicht.
Dieses DPA hat Microsoft zuletzt zum 02. Januar 2024 aktualisiert, auf welche Version sich diese Datenschutzerklärung bezieht (Licensing Documents (microsoft.com)).
3. Umfang der
Datenverarbeitungstätigkeit durch Microsoft
Gemäß der eigenen Datenschutzerklärung zu MS 365 Produkten verarbeitet Microsoft Daten in nachfolgendem Umfang:
a) Welche Daten sammelt Microsoft?
„Microsoft sammelt Daten über Sie, durch unsere Interaktionen mit Ihnen
sowie über unsere Produkte. Einige dieser Daten stellen Sie direkt bereit,
andere erhalten wir durch das Sammeln von Informationen über Ihre Aktivitäten,
Nutzung und Erfahrungen mit unseren Produkten. Die erhobenen Daten sind vom
Kontext Ihrer Interaktionen mit Microsoft abhängig und Ihren Präferenzen,
einschließlich der Datenschutzeinstellungen und den Produkten und Features, die
Sie verwenden. Wir erhalten ebenfalls Daten über Sie von Drittanbietern.
Bezüglich der verwendeten Technologie und der gemeinsam genutzten Daten
haben Sie mehrere Optionen. Wenn Sie aufgefordert werden, personenbezogene
Daten zur Verfügung zu stellen, können Sie dies jederzeit ablehnen. Viele
unserer Produkte nutzen personenbezogene Daten, die Sie über einen Dienst
bereitstellen. Wenn Sie sich dazu entscheiden, die notwendigen Daten, die für
eine Bereitstellung eines Produkts oder einer Funktion erforderlich sind, nicht
anzugeben, werden Sie das Produkt oder die Funktion nicht nutzen können. Wir
müssen ebenfalls personenbezogene Daten gesetzlich sammeln, wenn wir einen
Vertrag mit Ihnen unterzeichnen oder eingehen. Wenn Sie keine Daten angeben
möchten, können wir mit Ihnen keinen Vertrag eingehen. Sollte sich dies auf ein
vorhandenes Produkt beziehen, das Sie verwenden, müssen wir die Nutzung
anhalten oder abbrechen. Wir werden Sie darüber benachrichtigen, wenn dies der
Fall ist. Wenn die Bereitstellung der Daten optional ist, und Sie sich
entscheiden, keine personenbezogenen Daten freizugeben, funktionieren Features
wie die Personalisierung, die diese Daten verwenden, nicht für Sie.“
b) Wie verwendet Microsoft ihre
personenbezogenen Daten?
„Microsoft verwendet die Daten, die wir erfassen, um Ihnen
umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. Insbesondere
verwenden wir Daten für Folgendes:
Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der
Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für
unsere Belegschaft sowie zur Entwicklung.
Wir kombinieren die erfassten Daten aus verschiedenen Kontexten
(z. B. aus der Verwendung von zwei Microsoft-Produkten) oder von
Drittanbietern, damit wir Ihnen eine nahtlose, konsistente und personalisierte
Erfahrung bieten können, um fundierte Entscheidungen zu treffen oder diese zu
anderen legitimen Zwecken zu verwenden.
Die Verarbeitung personenbezogener Daten für diese Zwecke umfasst
sowohl automatisierte als auch manuelle (menschliche) Verarbeitungsmethoden.
Unsere automatisierten Methoden stehen häufig im Zusammenhang mit unseren
manuellen Methoden und werden von diesen unterstützt. Beispielsweise, um die
Genauigkeit unserer automatisierten Verarbeitungsmethoden (einschließlich
künstlicher Intelligenz oder KI) zu trainieren und zu verbessern, überprüfen
wir manuell einige der Vorhersagen und Schlussfolgerungen, die mit den
automatisierten Methoden erstellt wurden. Dies erfolgt anhand der zugrundeliegenden
Daten, aus denen die Vorhersagen und Schlussfolgerungen erstellt wurden.
Beispielsweise, mit Ihrer Erlaubnis und zur Verbesserung unserer
Spracherkennungstechnologien, überprüfen wir manuell kurze Ausschnitte aus
Sprachdaten, die wir anonymisiert haben. Diese manuelle Überprüfung kann durch
Microsoft-Mitarbeiter oder Lieferanten durchgeführt werden, die im Auftrag von
Microsoft handeln.“
c) Warum teilt Microsoft ihre personenbezogenen
Daten?
„Wir teilen Ihre personenbezogenen Daten mit Ihrer Zustimmung oder um
eine Transaktion abzuschließen oder ein Produkt anbieten zu können, dass Sie
angefordert oder autorisiert haben. Wir teilen Daten auch mit von Microsoft
kontrollierten Tochtergesellschaften und mit Lieferanten, die für uns arbeiten.
Wir teilen Daten, wenn dies gesetzlich vorgeschrieben ist oder um auf
rechtliche Verfahren zu reagieren; um unsere Kunden zu schützen; um Leben zu
schützen; um die Sicherheit unserer Produkte zu gewährleisten und um die Rechte
und das Eigentum von Microsoft und seinen Kunden zu schützen.
Bitte beachten Sie, dass sich die „Freigabe“ gemäß der Definition in
bestimmten Datenschutzgesetzen von US-amerikanischen Staaten auch auf die
Bereitstellung personenbezogener Daten an Drittanbieter für personalisierte
Werbezwecke bezieht. Weitere Informationen finden Sie unten im
Abschnitt Datenschutz auf US-Staatenebene und in unserem Hinweis
bezüglich Datenschutzgesetze in US-Bundesstaaten.“
d) Wie verwaltet Microsoft ihre personenbezogenen
Daten?
„Sie können auch darüber entscheiden, wie Microsoft Ihre Daten erfasst
und nutzt. Sie können Ihre personenbezogenen Daten, die Microsoft erworben hat,
kontrollieren und die Datenschutzrechte ausüben, indem Sie sich an Microsoft
wenden oder verschiedene Tools verwenden, die wir bereitstellen. In einigen
Fällen sind Ihre Möglichkeiten zur Verwaltung Ihrer personenbezogenen Daten
eingeschränkt, je nachdem, ob dies gesetzlich vorgeschrieben oder zulässig ist.
Wie Sie auf Ihre Daten zugreifen oder diese verwalten können, hängt auch davon
ab, welche Produkte Sie verwenden. Sie haben beispielsweise folgende
Möglichkeiten:
Nicht alle von Microsoft verarbeiteten personenbezogenen Daten können
über die oben genannten Tools abgerufen oder verwaltet werden. Wenn Sie auf von
Microsoft verarbeitete personenbezogene Daten zugreifen möchten, die nicht über
die oben genannten Tools oder direkt über die von Ihnen verwendeten
Microsoft-Produkte verfügbar sind, können Sie sich jederzeit unter der Adresse
im Abschnitt „So erreichen Sie uns“ oder über unser Webformular an
Microsoft wenden.
Wir veröffentlichen aggregierte Kennzahlen über Benutzeranfragen zur
Ausübung ihrer Datenschutzrechte im Microsoft-Datenschutzbericht.“
4. Datenschutz durch vertragliche
Gestaltung
a) Data Protection Addendum (DPA)
Die GESCO-Gruppe hat einen gruppenweiten Volumenlizenzvertrag (Kundenvertrag) mit Microsoft geschlossen, und zum Zwecke des Datenschutzes ein Data Protection Addendum (DPA) vereinbart, welches den Kernelementen eines Auftragsdatenverarbeitungsvertrages gemäß Art. 28 Abs.3 S.1 DSGVO entspricht.
In diesem sind die Verpflichtungen in Bezug auf die Verarbeitung und Sicherheit von Kundendaten, Professional Services-Daten und personenbezogenen Daten im Zusammenhang mit den Produkten und Services von Microsoft festlegt.
In jedem Fall erfolgt gemäß Microsoft die Bereitstellung der Produkte und
Services unter Berücksichtigung der datenschutzrechtlichen
Sicherheitspflichten.
Bei der Verarbeitung für diese Geschäftstätigkeiten
hat sich Microsoft in dem DPA verpflichtet, die Grundsätze der Datenminimierung anzuwenden und verwendet oder
verarbeitet keine Kundendaten, Professional Services-Daten oder
personenbezogenen Daten für:
- Benutzerprofilerstellung,
- Werbung oder ähnliche kommerzielle Zwecke oder
- alle anderen Zwecke, mit Ausnahme der in diesem
Abschnitt genannten Zwecke.
Darüber hinaus unterliegt die Verarbeitung für
Geschäftstätigkeiten, wie alle Verarbeitungen im Rahmen dieses DPAs, den Vertraulichkeitsverpflichtungen von
Microsoft und den Verpflichtungen
unter Offenlegung verarbeiteter Daten, wie nachfolgend dargestellt.
b) Offenlegung verarbeiteter Daten
Gemäß der Erklärung von
Microsoft auf Seite 6 unter dem Punkt Offenlegung verarbeiteter Daten,
Wird Microsoft verarbeitete Daten nicht offenlegen
oder zugänglich machen, außer:
- wie vom Kunden angewiesen;
- wie in diesem DPA beschrieben;
oder
- wie gesetzlich vorgeschrieben.
Für die Zwecke dieses Abschnitts bezeichnet
„verarbeitete Daten“ Folgendes:
- Kundendaten,
- Professional
Services-Daten;
- personenbezogene
Daten und
- alle anderen Daten, die von
Microsoft im Zusammenhang mit den Produkten und Diensten verarbeitet werden und
bei denen es sich um vertrauliche Informationen des Kunden im Rahmen des
Kundenvertrags handelt. Jegliche Verarbeitung von verarbeiteten Daten
unterliegt der Verpflichtung von Microsoft zur Vertraulichkeit im Rahmen des
Kundenvertrags.
Microsoft wird verarbeitete Daten
gegenüber Strafverfolgungsbehörden
nur offenlegen bzw. den Zugriff darauf ermöglichen, wenn dies gesetzlich vorgeschrieben ist.
Wenn sich eine
Strafverfolgungsbehörde mit Microsoft in Verbindung setzt und verarbeitete
Daten anfordert, wird Microsoft versuchen, die Strafverfolgungsbehörde an den
Kunden (GESCO-Gruppe) zu verweisen, damit sie diese Daten direkt beim Kunden
(der GESCO-Gruppe) anfordert. Wenn Microsoft gezwungen wird, verarbeitete Daten
an die Strafverfolgungsbehörden weiterzugeben oder diesen den Zugriff darauf
einzuräumen, benachrichtigt Microsoft den Kunden unverzüglich und übermittelt
eine Kopie der Anforderung, sofern dies nicht gesetzlich verboten ist.
Nach Erhalt einer sonstigen Anfrage
von Dritten zur Weitergabe verarbeiteter Daten benachrichtigt Microsoft den Kunden unverzüglich; es sei denn, dies
ist gesetzlich untersagt. Microsoft wird die Anfrage ablehnen, sofern nicht
gesetzlich vorgeschrieben. Wenn die Anfrage rechtsgültig ist, wird Microsoft
versuchen, den Dritten zu verweisen, um die Daten direkt beim Kunden
anzufordern.
Microsoft wird verarbeitete Daten
nur wie gesetzlich vorgeschrieben offenlegen oder zugänglich machen,
vorausgesetzt, dass die Rechtsvorschriften und Gepflogenheiten den Wesensgehalt
der Grundrechte und -freiheiten achten und nicht über Maßnahmen hinausgehen,
die in einer demokratischen Gesellschaft erforderlich und verhältnismäßig sind, um gegebenenfalls eines der in Artikel 23
Absatz 1 der DSGVO aufgeführten Ziele sicherzustellen.
Microsoft wird Dritten Folgendes nicht bereitstellen:
- einen direkten, indirekten,
pauschalen oder uneingeschränkten Zugriff auf verarbeitete Daten;
- für die Sicherung der verarbeiteten Daten verwendete
Verschlüsselungsschlüssel für die Plattform, oder die Möglichkeit, eine solche
Verschlüsselung zu umgehen; oder
- den Zugang zu verarbeitete Daten, wenn Microsoft bekannt ist, dass diese
Daten für andere als die in der betreffenden Anfrage Dritter angegebenen Zwecke
verwendet werden sollen.
Zur Unterstützung des Vorstehenden kann Microsoft
die Basiskontaktinformationen des Kunden an den betreffenden Dritten
weitergeben.
c) Verarbeitung
personenbezogener Daten; DSGVO
Microsoft ist durch vertragliche Gestaltung mit
der GESCO-Gruppe Auftragsverarbeiter oder Unterauftragsverarbeiter
personenbezogener Daten, die der DSGVO unterliegen.
In der Anlage 1 -Bestimmungen
zur Datenschutz-Grundverordnung der Europäischen Union- zum DPA vom Januar 2024
hat sich Microsoft wie folgt gegenüber der GESCO-Gruppe verpflichtet:
Microsoft geht die in
diesen Bestimmungen zur Datenschutz-Grundverordnung der Europäischen Union
(„DSGVO – Bestimmungen“) enthaltenen Verpflichtungen gegenüber allen Kunden mit
Wirkung vom 25. Mai 2018 ein. Diese Verpflichtungen sind für Microsoft in Bezug
auf den Kunden bindend, unabhängig
·
von der Version der Produktbestimmungen und des
DPA, die anderweitig für ein bestimmtes Produktabonnement oder eine bestimmte
Lizenz gilt, oder
·
von anderen Verträgen, die auf diese Anlage
verweisen.
Für Zwecke dieser DSGVO-Bestimmungen
sind sich die GESCO-Gruppe und Microsoft darin einig, dass die GESCO-Gruppe die
Verantwortliche für die personenbezogenen Daten und Microsoft der
Auftragsverarbeiter dieser Daten ist, es sei denn, die GESCO-Gruppe handelt
als Auftragsverarbeiter personenbezogener Daten; in diesem Fall ist Microsoft Unterauftragsverarbeiter.
Diese DSGVO-Bestimmungen gelten für die Verarbeitung personenbezogener Daten im
Anwendungsbereich der DSGVO durch Microsoft im Auftrag der GESCO-Gruppe.
Diese DSGVO-Bestimmungen beschränken oder verringern nicht die Datenschutzverpflichtungen,
die Microsoft gegenüber der GESCO-Gruppe in den Produktbestimmungen oder in
anderen Verträgen zwischen Microsoft und der GESCO-Gruppe eingeht. Diese
DSGVO-Bestimmungen gelten nicht in den Fällen, in denen Microsoft der
Verantwortliche für personenbezogene Daten ist.
d) Microsofts
Verpflichtungen in Bezug auf Artikel 5, 28, 32 und 33 DSGVO
1). Microsoft unterstützt die Rechenschaftspflichten
der GESCO-Gruppe über den vereinbarten DPA und die dem Kunden
bereitgestellte Produktdokumentation und ist verpflichtet, dies auch während
der Laufzeit des Abonnements der GESCO-Gruppe oder des entsprechenden
Professional Services-Vertrags zu tun.
2). Microsoft darf ohne vorherige
gesonderte oder allgemeine schriftliche Genehmigung durch die
GESCO-Gruppe keine weiteren Auftragsverarbeiter in Anspruch nehmen. Im
Fall einer allgemeinen schriftlichen Genehmigung wird Microsoft der
GESCO-Gruppe immer über jede beabsichtigte Änderung in Bezug auf die
Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren,
wodurch die GESCO-Gruppe die Möglichkeit erhält, gegen derartige Änderungen
Einspruch zu erheben.
3). Die Verarbeitung durch Microsoft unterliegt
den DSGVO-Bestimmungen nach dem Recht der Europäischen Union
(nachfolgend „Union“ genannt) oder der Mitgliedstaaten. Sie sind für Microsoft in
Bezug auf die GESCO-Gruppe verbindlich.
Gegenstand
und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der
personenbezogenen Daten, Kategorien der betroffenen Personen sowie Pflichten
und Rechte des Kunden werden im Lizenzvertrag mit der GESCO-Gruppe
festgelegt, der die DSGVO-Bestimmungen einschließt. Insbesondere ist Microsoft vertraglich
gehalten:
· personenbezogene Daten nur auf dokumentierte Anweisung der GESCO-Gruppe
zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener
Daten in ein Drittland oder an eine internationale Organisation,
sofern Microsoft nicht durch das Recht der Union oder des Mitgliedstaats, dem
Microsoft unterliegt, hierzu verpflichtet ist; In solch einem Fall teilt
Microsoft der GESCO-Gruppe diese rechtlichen Anforderungen vor der Verarbeitung
mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines
wichtigen öffentlichen Interesses verbietet;
· zu
gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten
befugten Personen zur Vertraulichkeit verpflichtet haben oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
· alle
erforderlichen Maßnahmen gemäß Artikel 32 der DSGVO zu ergreifen;
· angesichts
der Art der Verarbeitung die GESCO-Gruppe nach Möglichkeit mit geeigneten technischen
und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht
zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO
genannten Rechte der betroffenen Person nachzukommen;
· die
GESCO-Gruppe unter Berücksichtigung der Art der Verarbeitung und der Microsoft
zur Verfügung stehenden Informationen bei der Einhaltung ihrer Verpflichtungen
gemäß den Artikeln 32 bis 36 der DSGVO zu unterstützen;
· nach
Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl der
GESCO-Gruppe sämtliche personenbezogenen Daten zu löschen oder der GESCO-Gruppe
zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten
besteht.
· der
GESCO-Gruppe alle erforderlichen Informationen zum Nachweis der Einhaltung
der in Artikel 28 der DSGVO beschriebenen Verpflichtungen zur
Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen, die von
der GESCO-Gruppe oder einem von ihm beauftragten Prüfer durchgeführt werden –
zu ermöglichen und dazu beizutragen.
Microsoft
informiert die GESCO-Gruppe unverzüglich, falls Microsoft der Auffassung ist,
dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der
Union oder der Mitgliedstaaten verstößt.
4). Falls Microsoft die Dienste eines weiteren
Auftragsverarbeiters in Anspruch nimmt, um im Namen der GESCO-Gruppe bestimmte
Verarbeitungstätigkeiten auszuführen, werden diesen weiteren
Auftragsverarbeitern durch einen Vertrag oder ein anderes Rechtsinstrument nach
dem Recht der Union oder dem Recht des betreffenden Mitgliedstaats dieselben
Datenschutzpflichten auferlegt, die in diesen DSGVO-Bestimmungen beschrieben
sind. Insbesondere muss hinreichende Garantie dafür geboten werden, dass die
geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden,
dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sollte
jener Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommen,
haftet Microsoft gegenüber der GESCO-Gruppe für die Einhaltung der Pflichten
jenes anderen Auftragsverarbeiters.
5). Unter Berücksichtigung des Stands der
Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und
der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen treffen die GESCO-Gruppe und Microsoft
geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter
anderem Folgendes ein:
· die
Pseudonymisierung und Verschlüsselung personenbezogener Daten;
· die
Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit
und Belastbarkeit der Systeme und Dienste im Zusammenhang
mit der Verarbeitung auf Dauer sicherzustellen;
· die
Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang
zu ihnen im Falle eines physischen oder technischen Zwischenfalls rasch
wiederherzustellen;
· ein
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
der Wirksamkeit der technischen und organisatorischen
Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
6). Bei der Beurteilung des angemessenen
Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung
verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig –
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw.
unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder
auf andere Weise verarbeitet wurden.
7). Die GESCO-Gruppe und Microsoft unternehmen
Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die
Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung der GESCO-Gruppe
verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der
Mitgliedstaaten zur Verarbeitung verpflichtet.
8). Wenn Microsoft eine Verletzung des Schutzes
personenbezogener Daten bekannt wird, meldet Microsoft diese der GESCO-Gruppe unverzüglich.
Eine solche Mitteilung enthält auch die Informationen, die ein
Auftragsverarbeiter einem Datenverantwortlichen zur Verfügung stellen muss,
soweit diese Informationen Microsoft in angemessener Weise zur Verfügung
stehen.
e) Auftragsverarbeiter
und Verantwortlicher - Rollen und Verantwortlichkeiten
Die GESCO-Gruppe hat mit Microsoft vereinbart, dass
die GESCO-Gruppe die Verantwortliche für
die personenbezogenen Daten und Microsoft der Auftragsverarbeiter dieser Daten ist; es sei denn, die GESCO-Gruppe
handelt als Auftragsverarbeiter personenbezogener Daten; in diesem Fall
ist Microsoft Unterauftragsverarbeiter, oder wenn Microsoft als
Auftragsverarbeiterin oder Unterauftragsverarbeiterin handelt, verarbeitet
Microsoft personenbezogene Daten nur nach den dokumentierten
Anweisungen der GESCO-Gruppe.
Soweit
Microsoft personenbezogene Daten, die der DSGVO unterliegen, für
Geschäftstätigkeiten, die durch die Bereitstellung der Produkte und Services an
den Kunden veranlasst sind, nutzt oder anderweitig verarbeitet, wird Microsoft
für diese Nutzung die Pflichten eines unabhängigen
Datenverantwortlichen gemäß der DSGVO erfüllen. Microsoft übernimmt die
zusätzlichen Pflichten eines „für die Datenverarbeitung Verantwortlichen“ gemäß
DSGVO für eine solche Verarbeitung zum:
· Handeln in Einklang mit den
regulatorischen Anforderungen, insoweit dies von der DSGVO gefordert wird; und
· Schaffung einer erhöhten
Transparenz für Kunden und Bestätigung der Rechenschaftspflicht von
Microsoft für eine solche Verarbeitung. Microsoft nutzt Sicherheitsmaßnahmen, um
Kundendaten, Professional Services-Daten und personenbezogene Daten während
dieser Verarbeitung zu schützen, einschließlich der in diesem DPA aufgeführten
sowie der in Artikel 6(4) der DSGVO vorgesehenen Maßnahmen.
In Bezug
auf die Verarbeitung personenbezogener Daten gemäß diesem Absatz übernimmt
Microsoft die in „Anhang C - Nachtrag zu zusätzlichen Schutzmaßnahmen“
aufgeführten Verpflichtungen; für diese Zwecke
·
gilt jede Offenlegung personenbezogener Daten, wie in „Anhang C - Nachtrag
zu zusätzlichen Schutzmaßnahmen“ beschrieben, durch Microsoft, die im
Zusammenhang mit Geschäftstätigkeiten übertragen wurden, als „Relevante
Offenlegung“ und
·
finden die in „Anhang C - Nachtrag zu zusätzlichen Schutzmaßnahmen“
beschriebenen Verpflichtungen Anwendung auf diese personenbezogenen Daten.
f) Verarbeitungsdetails
Die Parteien bestätigen und vereinbaren Folgendes:
·
Gegenstand. Der
Gegenstand der Verarbeitung ist auf personenbezogene Daten innerhalb des
Geltungsbereichs des Abschnitts dieses DPA mit dem Titel „Art der Datenverarbeitung;
Eigentumsverhältnisse“ weiter oben sowie der DSGVO eingeschränkt.
·
Dauer der Verarbeitung. Die Dauer der Verarbeitung richtet sich nach den Weisungen des Kunden
sowie den Bestimmungen des DPA.
·
Art und Zweck der Verarbeitung. Art und Zweck der Verarbeitung ist die
Bereitstellung der Produkte und Services gemäß dem Kundenvertrag und für die
Geschäftstätigkeiten in Verbindung mit der Bereitstellung der Produkte und
Services für den Kunden (wie ausführlicher im Abschnitt dieses DPA mit dem
Titel „Art der Verarbeitung; Eigentumsverhältnisse“ weiter oben beschrieben).
·
Kategorien von Daten. Zu den Arten von personenbezogenen Daten, die von Microsoft bei der
Bereitstellung der Produkte und Services verarbeitet werden, gehören:
-
Personenbezogene Daten, die der Kunde in Kundendaten und Professional
Services-Daten aufnehmen möchte; und
-
diejenigen, die ausdrücklich in Artikel 4 DSGVO genannt sind, die von
Microsoft generiert, abgeleitet oder gesammelt werden können, einschließlich
Daten, die aufgrund der Nutzung dienstbasierter Funktionen durch einen Kunden
an Microsoft gesendet oder von Microsoft aus lokal installierter Software
bezogen werden. Bei den Arten von personenbezogenen Daten, die der Kunde
in die Kundendaten und Professional Services-Daten aufnehmen möchte, kann es
sich um alle Kategorien von personenbezogenen Daten handeln, die in Aufzeichnungen
genannt werden, die vom Kunden als Verantwortlicher gemäß Artikel 30 DSGVO
handelnd gepflegt werden, einschließlich der in Anhang B aufgeführten
Kategorien personenbezogener Daten.
·
Betroffene Personen. Die Kategorien betroffener Personen sind Vertreter und Endnutzer des
Kunden, wie Mitarbeiter, Auftragnehmer, Partner und Kunden. Dies kann auch
andere Kategorien betroffener Personen umfassen, die in Verzeichnissen genannt
werden, welche vom Kunden als Verantwortlicher gemäß Artikel 30 DSGVO geführt
werden, einschließlich der in Anhang B aufgeführten Kategorien betroffener
Personen.
g) Rechte der betroffenen Personen; Unterstützung
bei Anfragen
Microsoft ermöglicht dem Kunden, Anfragen
betroffener Personen zur Ausübung ihrer Rechte nach der DSGVO auf eine mit der
Funktion der Produkte und Services und der Rolle von Microsoft als
Auftragsverarbeiter personenbezogener Daten betroffener Personen konsistente
Art und Weise nachzukommen. Wenn Microsoft eine Anfrage der betroffenen Person
der GESCO-Gruppe erhält, mindestens eines ihrer Rechte nach der DSGVO in
Verbindung mit den Produkten und Services, für die Microsoft
Auftragsverarbeiter oder Unterauftragsverarbeiter ist, auszuüben, verweist
Microsoft die betroffene Person, direkt an die GESCO-Gruppe, damit diese ihre
Anfrage an die GESCO-Gruppe richten kann. Die GESCO-Gruppe ist für die
Beantwortung einer solchen Anfrage verantwortlich, einschließlich, falls
erforderlich, durch Nutzung der Funktionalität der Produkte und Services.
Microsoft wird jedoch kommt angemessenen Anfragen der GESCO-Gruppe nach
Unterstützung bei der Bearbeitung von Anfragen betroffener Personen nachkommen.
h) Verzeichnis
von Verarbeitungstätigkeiten
Bestimmte
Informationen werden bereits automatisch verarbeitet, sobald Sie die MICROSOFT
Anwendungen verwenden. Welche personenbezogenen Daten genau verarbeitet werden,
haben wir im Folgenden für Sie aufgeführt:
·
Ihre IP-Adresse, mit der der
Zugriff auf die Anwendungen von Microsoft 365 erfolgt.
·
Ihr Benutzername (Zugangsdaten
zu den Microsoft 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung,
die Sie selbst in Ihrem Microsoft Account hinterlegt haben.
·
Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als
Nutzer, Absender, Empfänger von Daten innerhalb der MICROSOFT Anwendungen
kennzeichnet. Dazu gehören insbesondere nachfolgende Stammdaten: Name,
Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche
Faxnummer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen
hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar.
Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für
Sie jederzeit sichtbar und können von Ihnen individuell angepasst werden.
·
Für die Authentifizierung
und den Lizenzgebrauch erforderliche Daten. In den MICROSOFT
Anwendungen werden sämtliche Nutzeraktivitäten, wie z.B. Zeitpunkt des
Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten auf
die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der
Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines
Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch,
Start eines Chats, Antworten im Chat verarbeitet.
·
Bei der Nutzung von „Teams“ werden verschiedene Datenarten
verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu
Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen. Folgende
personenbezogene Daten sind Gegenstand der Verarbeitung:
-
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional),
E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird),
Profilbild (optional),
Abteilung (optional)
-
Meeting-Metadaten: Thema, Beschreibung (optional),
Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
-
Bei Aufzeichnungen: Video-, Audio- und Präsentationsaufnahmen, Datei
aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
-
Bei Einwahl mit dem Telefon:
Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und
Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des
Geräts gespeichert werden.
- Text-,
Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem
„Online-Meeting“ die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit
werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im
„Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von
Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während
der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer
etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das
Mikrofon jederzeit selbst über die „Teams“-Applikationen abschalten bzw.
stummstellen.
Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen
Sie zumindest Angaben zu Ihrem Namen machen.
·
Umfang der Verarbeitung: Wir verwenden „Teams“, um „Online-Meetings“
durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen
das im Vorwege transparent mitteilen und – soweit erforderlich – um eine
Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der
„Teams“-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines
Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das
wird jedoch in der Regel nicht der Fall sein.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum
Einsatz.
i) Weitergabe und Übertragung von Daten
Eine
Weitergabe Ihrer personenbezogenen Daten ohne
Ihre ausdrückliche vorherige
Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung
genannten Fällen in der Regel nicht
und lediglich dann, wenn es gesetzlich
zulässig bzw. erforderlich ist.
Dies kann u.a. der Fall sein, wenn die Verarbeitung erforderlich ist, um
lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu
schützen.
1) Die Daten,
die bei der Registrierung von Ihnen angegeben werden, werden innerhalb der
GESCO-Gruppe für interne Verwaltungszwecke einschließlich der gemeinsamen
Kundenbetreuung im Rahmen des Erforderlichen weitergeben. Eine etwaige
Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein
berechtigtes Interesse daran haben, die Daten für administrative Zwecke
innerhalb unserer Unternehmensgruppe weiterzugeben und Ihre Rechte und
Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1
lit. f) DSGVO nicht überwiegen.
2) Wenn es
zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der MICROSOFT
Anwendungen oder für die Rechtsverfolgung erforderlich ist, werden
personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden
sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies
geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw.
missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden,
wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen
Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage
bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind
Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten
verfolgen, und die Finanzbehörden.
Eine etwaige Weitergabe der
personenbezogenen Daten ist dadurch gerechtfertigt, dass (1) die Verarbeitung
zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß
Art. 6 Abs. 1 lit. f) DSGVO i.V.m. nationalen rechtlichen Vorgaben zur
Weitergabe von Daten an Strafverfolgungsbehörden unterliegen, oder (2) wir ein
berechtigtes Interesse daran haben, die Daten bei Vorliegen von Anhaltspunkten
für missbräuchliches Verhalten oder zur Durchsetzung unserer Rechtsansprüche an
die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz
Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht
überwiegen.
3) Wir sind
bei der Nutzung der MICROSOFT Anwendungen auf Microsoft angewiesen. Microsoft
ist ein sog. Auftragsverarbeiter unterliegt bei der Verarbeitung
personenbezogener Daten im Rahmen der von uns eingesetzten Microsoft 365
Anwendungen unseren Weisungen als verantwortlichen Stelle im Sinne der DSGVO.
Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt,
dass wir unsere Fremdunternehmen und externen Dienstleister im Rahmen von Art.
28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig
überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten
ausschließlich entsprechend unserer Weisungen zu verarbeiten.
Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt ausschließlich
auf Servern in der EU.
4) Im Rahmen
des Kerngeschäftes der GESCO SE kann es dazu kommen, dass sich die Struktur des
Unternehmens wandelt, indem Tochtergesellschaften, Unternehmensteile oder
Bestandteile gegründet, gekauft oder verkauft werden. Bei solchen Transaktionen
werden die Dateninformationen gegebenenfalls zusammen mit dem zu übertragenden
Teil des Unternehmens weitergegeben. Bei jeder Weitergabe von personenbezogenen
Daten an Dritte in dem vorbeschriebenen Umfang tragen wir dafür Sorge, dass
dies in Übereinstimmung mit dieser Datenschutzerklärung und dem anwendbaren
Datenschutzrecht erfolgt. Eine etwaige Weitergabe der personenbezogenen Daten
ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben,
unsere Unternehmensform den wirtschaftlichen und rechtlichen Gegebenheiten
entsprechend bei Bedarf anzupassen und Ihre Rechte und Interessen am Schutz
Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht
überwiegen.
5) Soweit
personenbezogene Daten von Beschäftigten der GESCO-Gruppe
verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung.
Sollten im Zusammenhang mit der Nutzung von „Teams“ personenbezogene Daten nicht
für die Begründung, Durchführung oder Beendigung des
Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer
Bestandteil bei der Nutzung von „Teams“ sein, so ist Art. 6 Abs. 1 lit. f)
DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in
diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der
Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die
Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6
Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven
Durchführung von „Online-Meetings“.
h) Datenübermittlungen in Drittländer
Eine
Datenübermittlung ins Drittland findet nicht statt.
j) Zweckänderungen
Verarbeitungen
Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen
nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck
der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu
anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind,
informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und
stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur
Verfügung.
l) Datensicherheit
1) Sicherheitsverfahren und Sicherheitsrichtlinien
Gemäß den eignen Angaben und Verpflichtungen ergreift
Microsoft geeignete technische und organisatorische Maßnahmen (TOM), um
Kundendaten, Professional Services-Daten und personen-bezogene Daten, die
übermittelt, gespeichert oder auf andere Weise verarbeitet werden, vor
versehentlicher oder ungesetzlicher Vernichtung, Verlust, Veränderung, unbefugter
Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen werden in
einer Microsoft-Sicherheitsrichtlinie festgelegt. Microsoft hat diese
Richtlinie der GESCO-Gruppe zur Verfügung gestellt.
Darüber hinaus erfüllen diese Maßnahmen die Anforderungen
von ISO 27001, ISO 27002 und ISO 27018..
Jeder Core-Onlinedienst entspricht auch den
Kontrollstandards und -bestimmungen, die in der Tabelle in den
Produktbestimmungen aufgeführt sind. Jeder Core-Onlinedienst und Professional
Service implementiert und unterhält die in Anhang A dargelegten
Sicherheitsmaßnahmen zum Schutz von Kundendaten und Professional
Services-Daten.
Microsoft
kann jederzeit Branchen- oder Behördenstandards hinzufügen. Microsoft wird die
ISO 27001, ISO 27002 und ISO 27018 oder die Standards oder Rahmenkonzepte aus
der Tabelle der Core-Onlinedienste in den Produktbestimmungen nicht entfernen,
es sei denn, sie werden in der Branche nicht mehr angewendet und durch
ihnen nachfolgende Normen, Standards oder Bestimmungen ersetzt (wenn
vorhanden).
2) Datenverschlüsselung
Kundendaten und Professional Services-Daten
(jeweils einschließlich aller darin enthaltenen personenbezogenen Daten), die
über öffentliche Netzwerke zwischen dem Kunden und Microsoft oder zwischen
Microsoft-Rechenzentren übertragen werden, werden standardmäßig verschlüsselt.
Microsoft verschlüsselt auch ruhende Kundendaten
in Onlinediensten und ruhende Professional Services-Daten. Im Fall von
Onlinediensten, in denen der Kunde oder ein Dritter, der im Namen des Kunden
handelt, Anwendungen erstellen kann (z. B. bestimmte Azure-Dienste), kann
die Verschlüsselung der in diesen Anwendungen gespeicherten Daten nach Ermessen
des Kunden erfolgen, unter Verwendung von Funktionen, die von Microsoft
bereitgestellt werden oder die der Kunden von Dritten erlangt.
3) Datenzugriff
Microsoft nutzt Zugriffsmechanismen, die auf dem Grundsatz der geringsten Berechtigung
beruhen, um den Zugriff auf Kundendaten und Professional Services-Daten
(einschließlich darin enthaltener personenbezogener Daten) zu kontrollieren.
Eine rollenbasierte Zugriffssteuerung
wird eingesetzt, um sicherzustellen, dass der für den Servicebetrieb
erforderliche Zugriff auf Kundendaten und Professional Services-Daten einem angemessenen Zweck dient und unter
Aufsicht des Vorgesetzten genehmigt ist. Für Core-Onlinedienste und
Professional Services unterhält Microsoft Zugriffskontrollmechanismen, die in
der Tabelle mit dem Titel „Sicherheitsmaßnahmen“ in Anhang A beschrieben sind;
es gibt keinen ständigen Zugriff von Microsoft-Mitarbeitern auf Kundendaten und
jeder erforderliche Zugriff ist zeitlich begrenzt.
m) Datenübermittlungen
und Speicherstelle
Kundendaten, Professional Services-Daten und personenbezogene Daten, die
Microsoft im Auftrag der GESCO-Gruppe verarbeitet, dürfen nur gemäß den
DPA-Bestimmungen und den nachstehend in diesem Abschnitt vorgesehenen
Sicherheitsmaßnahmen an einen bestimmten geografischen Standort übermittelt und
dort gespeichert und verarbeitet werden. Unter Berücksichtigung solcher
Sicherheitsmaßnahmen beauftragt die GESCO-Gruppe Microsoft, Kundendaten,
Professional Services-Daten und personenbezogenen Daten in die Vereinigten
Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft
oder seine Unterauftragsverarbeiter tätig sind, und Kundendaten und
personenbezogenen Daten zur Bereitstellung der Produkte zu speichern und zu
verarbeiten, ausgenommen wie an anderer Stelle in den DPA-Bestimmungen
beschrieben.
Für
sämtliche Übermittlungen von Kundendaten, Professional Services-Daten und
personenbezogenen Daten aus der Europäischen Union, dem Europäischen
Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz zur Bereitstellung
der Produkte und Services unterliegen den Bedingungen der von Microsoft
implementierten Standardvertragsklauseln
von 2021. Microsoft wird die Anforderungen der Datenschutzgesetze des
Europäischen Wirtschaftsraums, des Vereinigten Königreichs und der
Schweiz bezüglich der Erfassung, Verwendung, Übertragung, Aufbewahrung und
sonstigen Verarbeitung personenbezogener Daten aus dem Europäischen
Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz einhalten. Alle
Übermittlungen personenbezogener Daten an ein Drittland oder eine
internationale Organisation unterliegen geeigneten
Garantien, wie sie in Art. 46 DSGVO beschrieben sind, und solche
Übermittlungen und Garantien werden nach Art. 30 Absatz 2 DSGVO dokumentiert.
Darüber hinaus ist Microsoft für die Abkommen EU-USA-Datenschutzrahmenkonzepte
(„Data Privacy Frameworks“), die
britische Erweiterung des EU-U.S.-Abkommens, zertifiziert. Microsoft
verpflichtet sich, die GESCO-Gruppe zu benachrichtigen, wenn sie feststellt,
dass sie ihrer Verpflichtung, das gleiche Schutzniveau zu gewährleisten, nicht
mehr nachkommen kann, wie es die Grundsätze der Datenschutzrahmenkonzepte
erfordern.
2) Speicherorte
von Kundendaten
Im Fall der Core-Onlinedienste speichert Microsoft ruhende Kundendaten („at
rest“) in bestimmten größeren geografischen Gebieten
(jeweils ein „Geo“), wie in den Produktbestimmungen beschrieben.
Für EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“)
speichert und verarbeitet Microsoft Kunden- und personenbezogene Daten
innerhalb der Europäischen Union, wie in den Produktbestimmungen beschrieben.
Microsoft kontrolliert oder beschränkt nicht die Regionen, aus denen der
Kunde oder die Endnutzer des Kunden auf Kundendaten zugreifen oder diese
verschieben können.
3) Vertraulichkeitsverpflichtung
des Auftragsverarbeiters
Microsoft stellt sicher, dass die Mitarbeiter von Microsoft, die mit der
Verarbeitung von Kundendaten, Professional Services-Daten und personenbezogenen
Daten befasst sind,
· diese Daten nur auf Anweisung
des Kunden oder gemäß Beschreibung in diesem DPA verarbeiten; und
· sich verpflichten, die
Vertraulichkeit und Sicherheit dieser Daten auch nach Beendigung des
Beschäftigungsverhältnisses aufrechtzuerhalten. Microsoft führt für Mitarbeiter
mit Zugriff auf Kundendaten, Professional Services-Daten und personenbezogene
Daten entsprechend den geltenden Datenschutzvorschriften und Branchenstandards
regelmäßige und verpflichtende Datenschutz-, Datensicherheits- und
Sensibilisierungsschulungen durch.
5. Datenschutz durch
technisch-organisatorische Maßnahmen
Die GESCO-Gruppe hat darüber hinaus geeignete technisch-organisatorische Maßnahmen über konzernweite Richtlinien ergriffen, um eine datenschutzkonforme Nutzung der MS-365 Dienste gewährleisten zu können.
Eine Auswahl der wichtigsten Einzelmaßnahmen ist nachfolgend dargestellt:
• Die GESCO-Gruppe hat die Übermittlung der Telemetriedaten und der Diagnosedaten deaktiviert.
• Die GESCO-Gruppe hat die verbundenen Dienste bzw. Erfahrungen deaktiviert.
• Die GESCO-Gruppe hat die Datenübermittlung der „Programme zur Verbesserung der Kundenerfahrung“ in Microsoft 365 (Customer Experience Improvement Program; CEIP) deaktiviert.
• Die GESCO-Gruppe hat die standardmäßige LinkedIn-Integration deaktiviert werden (Verbinden der Mitarbeiter-Accounts).
• Die Aktivitäten der einzelnen Benutzer sind nicht mit der Zeitachse in Windows 10 oder Windows 11 synchronisiert.
• Die Nutzer sind durch die Nutzungsbedingungen angehalten Web-Versionen und mobilen Apps von Microsoft 365 für die Bearbeitung personenbezogener Daten zu vermeiden und stattdessen die Desktop-Programmversionen zu nutzen (zum Beispiel von Outlook, Word, Excel, Teams etc.).
6. Kontaktaufnahme
mit Microsoft
Wenn der Kunde der Ansicht ist, dass Microsoft seinen Datenschutz- und
Sicherheitsverpflichtungen nicht nachkommt, kann der Kunde Microsoft über den
Kundensupport oder über das Datenschutzformular über http://go.microsoft.com/?linkid=9846224 kontaktieren.
Postanschrift von Microsoft:
Microsoft Enterprise
Service-Privacy
Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052, USA
Microsoft Ireland Operations Limited ist der Datenschutzvertreter von Microsoft für den Europäischen Wirtschaftsraum und die Schweiz.
Der Datenschutzbeauftragte von Microsoft Ireland Operations Limited
kann unter folgender Adresse erreicht werden:
Microsoft Ireland
Operations, Ltd.
Attn: Data Privacy
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18, D18 P521, Ireland
7.
Kontaktaufnahme mit der GESCO SE
Sie können den Datenschutzmanager der GESCO SE unter
folgender Adresse erreichen:
Alex Stillie
Legal Counsel
Am Johannisberg 7,
42103 Wuppertal
Telefon: +49 (0)202 248200
Telefax: +49 (0)202 2482049
8. Datenschutzbeauftragter
Wir haben einen externen
Datenschutzbeauftragten benannt.
Sie erreichen diesen wie folgt:
Rechtsanwalt
Martin Wagner, LL.M.
Zertifizierter Datenschutzbeauftragter
Katternberger Str. 24
42655 Solingen
Telefon: 0212 – 52088590
E-Mail: gesco(at)datenschutzservice.online
6. Ihre Rechte als Betroffener
Sie haben das Recht
auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie
können sich für eine Auskunft jederzeit an die GESCO Se oder den Datenschutzbeauftragten
wenden.
Bei einer Auskunftsanfrage, die nicht
schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise
von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich
ausgeben.
Ferner haben Sie ein Recht
auf Berichtigung oder Löschung oder auf Einschränkung der
Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Schließlich haben Sie
ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der
gesetzlichen Vorgaben.
Ein Recht auf Datenübertragbarkeit besteht
ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.
7.
Löschung von Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein
Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann
insbesondere dann bestehen, wenn die Daten noch benötigt werden, um
vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf.
Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von
gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen
Aufbewahrungspflicht in Betracht.
8.
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten
durch uns bei einer Aufsichtsbehörde für den Datenschutz zu
beschweren.
9.
Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der
Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen.