Gesonderte Datenschutzerklärung

der GESCO-Gruppe

für

Microsoft 365 Anwendungen

 

Präambel:

Ergänzend zu unseren Standard Datenschutzinformationen, abrufbar unter: GESCO SE: Datenschutz möchten wir diese bezüglich der Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit MICROSOFT wie folgt für die gesamte GESCO-Gruppe präzisieren und erweitern.

 

1. Datenverantwortlichkeit

Sie haben als EXTERNER oder als MITARBEITER der GESCO-Gruppe eine Einladung zur Nutzung einer Microsoft Anwendung, wie bspw. SharePoint Online, Dynamics, Microsoft Teams, Outlook, Office Produkte, Microsoft Forms (nachfolgend allesamt als Microsoft bezeichnet) durch eine verantwortliche GESCO Gesellschaft (nachfolgend sind alle Gesellschaften der GESCO-Gruppe aufgelistet):

 

1. AstroPlast (https://www.astroplast.de):

AstroPlast Kunststofftechnik GmbH & Co.KG, Meschede, Deutschland

AstroPlast Verwaltungs GmbH, Meschede, Deutschland

 

2. Dörrenberg / Saglam/ Tremblay/ Middle Kingdom (https://www.doerrenberg.de):

Dörrenberg Edelstahl GmbH, Engelskirchen, Deutschland

Dörrenberg Tratamientos Termicos S.L. Alasua, Navarra, Spanien

Saglam-Metal Sanyi ve Ticaret A.S., Şekerpınarı-Çayırova, Kocaeli, Türkei

Doerrenberg Special Steel Corp., Macedonia, Ohio, USA

Tremblay Tool Steels LLC., Macedonia, Ohio, USA

Doerrenberg Real Estate LLC., Cleveland, Ohio, USA

Doerrenberg Special Steels PTE. Ltd., German Centre, Singapur

Doerrenberg International PTE. Ltd., German Centre, Singapur

Doerrenberg Special Steels Taiwan Ltd., Taiwan City, Taiwan

Doerrenberg Special Steels Korea Co. Ltd., Jeongwang-dong, Südkorea

Middle Kingdom Special Steels PTE. Ltd., German Centre, Singapur

Jiashan Doerrenberg Mould & Die Trading Co., Jiashan, China

 

3. Funke (https://www.franzfunke.de):

Franz Funke Zerspanungstechnik GmbH & Co. KG, Sundern, Deutschland

Franz Funke Verwaltungs GmbH, Sundern, Deutschland

 

4. INEX / Sommer & Strassburger/ Hubl (https://www.inex-solutions.de):

INEX – solutions GmbH, Bretten, Deutschland

Sommer & Straßburger Edelstahlanlagenbau GmbH, Bretten, Deutschland

So-Stra Verwaltungs GmbH, Bretten, Deutschland

Hubl GmbH, Vaihingen/Enz, Deutschland

 

5. Kesel (https://www.kesel.com):

Georg Kesel GmbH & Co.KG, Kempten, Deutschland

Kesel & Probst Verwaltungsgesellschaft mbH, Kempten, Deutschland

Kesel International GmbH, Kempten, Deutschland

Kesel Machinery (Jiashan) Co.Ltd., Jiashan County, Jiaxing City, China

Kesel North America, LLC, Janesville, Wioming, USA

 

6. MAE (https://mae-group.com):

MAE Maschinen- und Apparatebau Götzen GmbH, Erkrath, Deutschland

MAE Amerika GmbH, Erkrath, Deutschland

MAE-Eitel, Inc. Orwigsburg, Pensylvania, USA

MAE Machine (Beijing) Co. Ltd., Peking, China

 

7. Pickardt & Gerlach (PGW)/ Hekhorn (https://www.pgwpgw.de):

Pickhardt & Gerlach GmbH & Co.KG, Finnentrop, Deutschland

Hekhorn Verwaltungs-GmbH, Finnentrop, Deutschland

Hekhorn Immobilien GmbH, Finnentrop, Deutschland

 

8. Setter / Q-Plast/ SQG/ HRP (https://www.setter-germany.com):

Setter Holding GmbH, Emmerich, Deutschland

Setter GmbH & Co Papierverarbeitung, Emmerich, Deutschland

Q-Plast GmbH & Co. Kunststoffverarbeitung, Emmerich, Deutschland

Q-Plast Beteiligungs-GmbH, Emmerich, Deutschland

Setterstix Inc. Fountain Inn, South Carolina, USA

SQG Verwaltungs-GmbH, Emmerich, Deutschland

SETTERSTIX de Mexico, S.A.de C.V., San Luis Potosi, Mexico

HRP-Leasing GmbH, Emmerich, Deutschland

 

9. SVT/ CONNEX/ BAV (https://www.svt-gmbh.com):

SVT GmbH, Schwelm, Deutschland

SVT APAC Pte. Ltd., Singapur

CONNEX SVT Inc., Katy, Houston, Texas, USA

BAV- Tabbanya Kft, Tababanya, Ungarn

 

10. United MedTec/ Amtrion/ Tragfreund/ Haseke (https://www.amtrion.de):

United MedTec Holding GmbH, Porta Westfalica, Deutschland

AMTRION GmbH, Porta Westfalica, Deutschland

Tragfreund GmbH, Porta Westfalica, Deutschland

Haseke Beteiligungs-GmbH, Porta Westfalica, Deutschland

AMTRION USA Inc., Fountain Inn, South Carolina, USA

 

als Tochtergesellschaften der

 

GESCO SE

Am Johannisberg 7,

42103 Wuppertal                                                             

Telefon: +49 (0)202 248200
Telefax: +49 (0)202 2482049
E-Mail: gesco(at)gesco.de

Vorstand:
Ralph Rumberg (Sprecher), 
Andrea Holzbaur (CFO)

Vorsitzender des Aufsichtsrats:
Stefan Heimöller
Sitz der Gesellschaft: Wuppertal

 

(nachfolgend „wir“ oder „uns“)

als verantwortliche Stelle im Sinne des jeweils geltenden Datenschutzrechts erhalten.

Im Falle einer gemeinsamen Verarbeitung Ihrer Daten durch mehrere Konzernunternehmen, sind diese auch gemeinsame Verantwortliche. Microsoft Anwendungen sind unter anderem eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, die Organisationseinheiten übergreifend eingesetzt werden kann.

Bei der Nutzung der MICROSOFT Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Externer oder als unser Mitarbeiter Anwendungen von Microsoft nutzen. 

Microsoft 365 ist eine Software der Firma Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA. Microsoft Teams ist Teil der Cloud-Anwendung Microsoft 365, für welches ein Nutzerkonto erstellt werden muss.

Gleichfalls behält sich Microsoft vor Kundendaten zu eigenen Geschäftszwecken zu verarbeiten. Dies stellt für die Nutzer von Microsoft Teams ein Datenschutz-Risiko dar. Wir haben mit Microsoft Datenschutzvereinbarungen und data-protection-addendum (DPA) abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren, welche standardmäßig als von Microsoft vorformulierte Datenschutzbedingungen unter folgendem Link eingesehen werden können:

Datenschutz & Datenschutz (microsoft.com)

Diese werden durch Microsoft regelmäßig aktualisiert. Beachten Sie bitte, dass wir auf die Datenverarbeitungen von Microsoft nur bedingt technischen Einfluss haben. In dem Umfang, in dem Microsoft Teams personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft Datenverantwortlicher. Wir haben mit Blick auf dieses Datenschutzrisiko, weitreichende Vorkehrungen getroffen, um eine datenschutzkonforme Verarbeitung ihrer personenbezogenen Daten bei der Nutzung von Microsoft 365 gewährleisten zu können.

Diese Maßnahmen werden unter Ziffer 4 dieser Erklärung dargestellt.

Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft Teams erhalten Sie in den Datenschutzerklärung von Microsoft unter privacy.microsoft.com/de-de/privacystatement und Microsoft Teams unter docs.microsoft.com/de-de/microsoftteams/teams-privacy. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten.

 

2. Datenschutzkonformität nach der DSGVO

Eine Datenübermittlung aus der EU in ein Drittland ist nach der Datenschutzgrundverordnung nur dann zulässig, wenn das Drittland neben den allgemeinen Grundsätzen der DSGVO zusätzlich ein angemessenes Datenschutzniveau gewährleisten kann oder der für die Daten Verantwortliche (Datenexporteur) geeignete Garantien für die Einhaltung des Datenschutzes gibt.

Der amerikanische CLOUD-ACT gibt amerikanische Behörden die Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.

Eine solche Herausgabe von Daten an ein Drittland ist gemäß Art. 48 DSGVO nur zulässig, wenn diese auf eine in Kraft befindliche internationale Übereinkunft gestützt werden kann. Ein solches Übereinkommen liegt seit dem 10.07.2023 in Form des EU-US Data Privacy Framework vor.

Darüber hinaus wurden von deutschen Datenschutzverantwortlichen mit Blick auf Microsoft folgende Umstände als datenschutzrechtlich problematisch erachtet:

 

·      Die weiterhin bestehenden Zugriffsrechte der US-Behörden auf Daten europäischer Kunden, die in die USA  übertragen wurden, sowie auch auf deutsche Server;

·      wann Microsoft die Rolle eines Auftragsverarbeiters und wann eines Verantwortlichen einnimmt;

·      was Microsoft genau unter „legitime Geschäftszwecke“ als Erlaubnistatbestand versteht und

·      die Hintergrundübermittlung der Telemetrie-, Diagnose- und Meta-Daten in die USA.

 

Aufgrund dieser Kritik hat Microsoft am 1. Januar 2023 eine entsprechend überarbeitete Version seines Auftragsverarbeitungsvertrages (AVV) veröffentlicht. Der Passus „Microsoft Products and Services Data Protection Addendum“ (DPA) setzt die neue „EU-Datengrenze“ (definierte geografische Grenze, innerhalb derer sich MS verpflichtet hat, Kundendaten für seine Dienste zu speichern und zu verarbeiten) offiziell in Kraft.

Diese ergänzt die bestehenden lokalen Speicher- und Verarbeitungsverpflichtungen, so dass der Datenfluss aus der EU in andere Länder weiter durch Microsoft deutlich reduziert wurde. Europäische Unternehmen könnten dadurch künftig, so Microsoft, alle Kundendaten in der Region verarbeiten und speichern.

Darüber hinaus ist es möglich, einige technische Einstellungen vorzunehmen, welche einen datenschutzkonforme Nutzung ermöglicht.

Dieses DPA hat Microsoft zuletzt zum 02. Januar 2024 aktualisiert, auf welche Version sich diese Datenschutzerklärung bezieht (Licensing Documents (microsoft.com)).

 

3. Umfang der Datenverarbeitungstätigkeit durch Microsoft

Gemäß der eigenen Datenschutzerklärung zu MS 365 Produkten verarbeitet Microsoft Daten in nachfolgendem Umfang:

 

a) Welche Daten sammelt Microsoft?

„Microsoft sammelt Daten über Sie, durch unsere Interaktionen mit Ihnen sowie über unsere Produkte. Einige dieser Daten stellen Sie direkt bereit, andere erhalten wir durch das Sammeln von Informationen über Ihre Aktivitäten, Nutzung und Erfahrungen mit unseren Produkten. Die erhobenen Daten sind vom Kontext Ihrer Interaktionen mit Microsoft abhängig und Ihren Präferenzen, einschließlich der Datenschutzeinstellungen und den Produkten und Features, die Sie verwenden. Wir erhalten ebenfalls Daten über Sie von Drittanbietern.

Bezüglich der verwendeten Technologie und der gemeinsam genutzten Daten haben Sie mehrere Optionen. Wenn Sie aufgefordert werden, personenbezogene Daten zur Verfügung zu stellen, können Sie dies jederzeit ablehnen. Viele unserer Produkte nutzen personenbezogene Daten, die Sie über einen Dienst bereitstellen. Wenn Sie sich dazu entscheiden, die notwendigen Daten, die für eine Bereitstellung eines Produkts oder einer Funktion erforderlich sind, nicht anzugeben, werden Sie das Produkt oder die Funktion nicht nutzen können. Wir müssen ebenfalls personenbezogene Daten gesetzlich sammeln, wenn wir einen Vertrag mit Ihnen unterzeichnen oder eingehen. Wenn Sie keine Daten angeben möchten, können wir mit Ihnen keinen Vertrag eingehen. Sollte sich dies auf ein vorhandenes Produkt beziehen, das Sie verwenden, müssen wir die Nutzung anhalten oder abbrechen. Wir werden Sie darüber benachrichtigen, wenn dies der Fall ist. Wenn die Bereitstellung der Daten optional ist, und Sie sich entscheiden, keine personenbezogenen Daten freizugeben, funktionieren Features wie die Personalisierung, die diese Daten verwenden, nicht für Sie.“

 

b) Wie verwendet Microsoft ihre personenbezogenen Daten?

„Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. Insbesondere verwenden wir Daten für Folgendes:

• Bereitstellung unserer Produkte, einschließlich Aktualisierung, Sicherung, Problembehandlung und Support. Dies umfasst auch das Freigeben von Daten, wenn erforderlich, um den Dienst bereitzustellen oder die Transaktionen auszuführen, die Sie angefordert haben.
• Entwickeln und Verbessern von Produkten.
• Personalisieren unserer Produkte und Bereitstellen von Empfehlungen.
• Unterbreiten von Werbeangeboten an Sie. Dazu gehören der Versand von Werbekommunikation, gezielte Werbung und die Präsentation relevanter Angebote.

Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.

Wir kombinieren die erfassten Daten aus verschiedenen Kontexten (z. B. aus der Verwendung von zwei Microsoft-Produkten) oder von Drittanbietern, damit wir Ihnen eine nahtlose, konsistente und personalisierte Erfahrung bieten können, um fundierte Entscheidungen zu treffen oder diese zu anderen legitimen Zwecken zu verwenden.

Die Verarbeitung personenbezogener Daten für diese Zwecke umfasst sowohl automatisierte als auch manuelle (menschliche) Verarbeitungsmethoden. Unsere automatisierten Methoden stehen häufig im Zusammenhang mit unseren manuellen Methoden und werden von diesen unterstützt. Beispielsweise, um die Genauigkeit unserer automatisierten Verarbeitungsmethoden (einschließlich künstlicher Intelligenz oder KI) zu trainieren und zu verbessern, überprüfen wir manuell einige der Vorhersagen und Schlussfolgerungen, die mit den automatisierten Methoden erstellt wurden. Dies erfolgt anhand der zugrundeliegenden Daten, aus denen die Vorhersagen und Schlussfolgerungen erstellt wurden. Beispielsweise, mit Ihrer Erlaubnis und zur Verbesserung unserer Spracherkennungstechnologien, überprüfen wir manuell kurze Ausschnitte aus Sprachdaten, die wir anonymisiert haben. Diese manuelle Überprüfung kann durch Microsoft-Mitarbeiter oder Lieferanten durchgeführt werden, die im Auftrag von Microsoft handeln.“

 

c) Warum teilt Microsoft ihre personenbezogenen Daten?

„Wir teilen Ihre personenbezogenen Daten mit Ihrer Zustimmung oder um eine Transaktion abzuschließen oder ein Produkt anbieten zu können, dass Sie angefordert oder autorisiert haben. Wir teilen Daten auch mit von Microsoft kontrollierten Tochtergesellschaften und mit Lieferanten, die für uns arbeiten. Wir teilen Daten, wenn dies gesetzlich vorgeschrieben ist oder um auf rechtliche Verfahren zu reagieren; um unsere Kunden zu schützen; um Leben zu schützen; um die Sicherheit unserer Produkte zu gewährleisten und um die Rechte und das Eigentum von Microsoft und seinen Kunden zu schützen.

Bitte beachten Sie, dass sich die „Freigabe“ gemäß der Definition in bestimmten Datenschutzgesetzen von US-amerikanischen Staaten auch auf die Bereitstellung personenbezogener Daten an Drittanbieter für personalisierte Werbezwecke bezieht. Weitere Informationen finden Sie unten im Abschnitt Datenschutz auf US-Staatenebene und in unserem Hinweis bezüglich Datenschutzgesetze in US-Bundesstaaten.“

 

d) Wie verwaltet Microsoft ihre personenbezogenen Daten?

„Sie können auch darüber entscheiden, wie Microsoft Ihre Daten erfasst und nutzt. Sie können Ihre personenbezogenen Daten, die Microsoft erworben hat, kontrollieren und die Datenschutzrechte ausüben, indem Sie sich an Microsoft wenden oder verschiedene Tools verwenden, die wir bereitstellen. In einigen Fällen sind Ihre Möglichkeiten zur Verwaltung Ihrer personenbezogenen Daten eingeschränkt, je nachdem, ob dies gesetzlich vorgeschrieben oder zulässig ist. Wie Sie auf Ihre Daten zugreifen oder diese verwalten können, hängt auch davon ab, welche Produkte Sie verwenden. Sie haben beispielsweise folgende Möglichkeiten:

• Sie können die Verwendung Ihrer Daten für personalisierte Werbung von Microsoft steuern, indem Sie unsere Opt-Out-Seite aufrufen.
• Sie können wählen, ob Sie Werbe-E-Mails, SMS-Nachrichten, Anrufe und Post von Microsoft erhalten möchten.
• Im Microsoft-Datenschutzdashboard können Sie auf Ihre Daten zugreifen und Daten löschen.

Nicht alle von Microsoft verarbeiteten personenbezogenen Daten können über die oben genannten Tools abgerufen oder verwaltet werden. Wenn Sie auf von Microsoft verarbeitete personenbezogene Daten zugreifen möchten, die nicht über die oben genannten Tools oder direkt über die von Ihnen verwendeten Microsoft-Produkte verfügbar sind, können Sie sich jederzeit unter der Adresse im Abschnitt „So erreichen Sie uns“ oder über unser Webformular an Microsoft wenden.

Wir veröffentlichen aggregierte Kennzahlen über Benutzeranfragen zur Ausübung ihrer Datenschutzrechte im Microsoft-Datenschutzbericht.“

 

4. Datenschutz durch vertragliche Gestaltung

a) Data Protection Addendum (DPA)

Die GESCO-Gruppe hat einen gruppenweiten Volumenlizenzvertrag (Kundenvertrag) mit Microsoft geschlossen, und zum Zwecke des Datenschutzes ein Data Protection Addendum (DPA) vereinbart, welches den Kernelementen eines Auftragsdatenverarbeitungsvertrages gemäß Art. 28 Abs.3 S.1 DSGVO entspricht.

In diesem sind die Verpflichtungen in Bezug auf die Verarbeitung und Sicherheit von Kundendaten, Professional Services-Daten und personenbezogenen Daten im Zusammenhang mit den Produkten und Services von Microsoft festlegt.

In jedem Fall erfolgt gemäß Microsoft die Bereitstellung der Produkte und Services unter Berücksichtigung der datenschutzrechtlichen Sicherheitspflichten.

Bei der Verarbeitung für diese Geschäftstätigkeiten hat sich Microsoft in dem DPA verpflichtet, die Grundsätze der Datenminimierung anzuwenden und verwendet oder verarbeitet keine Kundendaten, Professional Services-Daten oder personenbezogenen Daten für:

- Benutzerprofilerstellung,

- Werbung oder ähnliche kommerzielle Zwecke oder

- alle anderen Zwecke, mit Ausnahme der in diesem Abschnitt genannten Zwecke.

 

Darüber hinaus unterliegt die Verarbeitung für Geschäftstätigkeiten, wie alle Verarbeitungen im Rahmen dieses DPAs, den Vertraulichkeitsverpflichtungen von Microsoft und den Verpflichtungen unter Offenlegung verarbeiteter Daten, wie nachfolgend dargestellt.

 

b) Offenlegung verarbeiteter Daten

Gemäß der Erklärung von Microsoft auf Seite 6 unter dem Punkt Offenlegung verarbeiteter Daten,

Wird Microsoft verarbeitete Daten nicht offenlegen oder zugänglich machen, außer:

- wie vom Kunden angewiesen;

- wie in diesem DPA beschrieben; oder

- wie gesetzlich vorgeschrieben.

Für die Zwecke dieses Abschnitts bezeichnet „verarbeitete Daten“ Folgendes:

- Kundendaten,

- Professional Services-Daten;

- personenbezogene Daten und

- alle anderen Daten, die von Microsoft im Zusammenhang mit den Produkten und Diensten verarbeitet werden und bei denen es sich um vertrauliche Informationen des Kunden im Rahmen des Kundenvertrags handelt. Jegliche Verarbeitung von verarbeiteten Daten unterliegt der Verpflichtung von Microsoft zur Vertraulichkeit im Rahmen des Kundenvertrags.

Microsoft wird verarbeitete Daten gegenüber Strafverfolgungsbehörden nur offenlegen bzw. den Zugriff darauf ermöglichen, wenn dies gesetzlich vorgeschrieben ist.

Wenn sich eine Strafverfolgungsbehörde mit Microsoft in Verbindung setzt und verarbeitete Daten anfordert, wird Microsoft versuchen, die Strafverfolgungsbehörde an den Kunden (GESCO-Gruppe) zu verweisen, damit sie diese Daten direkt beim Kunden (der GESCO-Gruppe) anfordert. Wenn Microsoft gezwungen wird, verarbeitete Daten an die Strafverfolgungsbehörden weiterzugeben oder diesen den Zugriff darauf einzuräumen, benachrichtigt Microsoft den Kunden unverzüglich und übermittelt eine Kopie der Anforderung, sofern dies nicht gesetzlich verboten ist.

Nach Erhalt einer sonstigen Anfrage von Dritten zur Weitergabe verarbeiteter Daten benachrichtigt Microsoft den Kunden unverzüglich; es sei denn, dies ist gesetzlich untersagt. Microsoft wird die Anfrage ablehnen, sofern nicht gesetzlich vorgeschrieben. Wenn die Anfrage rechtsgültig ist, wird Microsoft versuchen, den Dritten zu verweisen, um die Daten direkt beim Kunden anzufordern.

Microsoft wird verarbeitete Daten nur wie gesetzlich vorgeschrieben offenlegen oder zugänglich machen, vorausgesetzt, dass die Rechtsvorschriften und Gepflogenheiten den Wesensgehalt der Grundrechte und -freiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft erforderlich und verhältnismäßig sind, um gegebenenfalls eines der in Artikel 23 Absatz 1 der DSGVO aufgeführten Ziele sicherzustellen.

Microsoft wird Dritten Folgendes nicht bereitstellen:

-  einen direkten, indirekten, pauschalen oder uneingeschränkten Zugriff auf verarbeitete Daten;

- für die Sicherung der verarbeiteten Daten verwendete Verschlüsselungsschlüssel für die Plattform, oder die Möglichkeit, eine solche Verschlüsselung zu umgehen; oder

- den Zugang zu verarbeitete Daten, wenn Microsoft bekannt ist, dass diese Daten für andere als die in der betreffenden Anfrage Dritter angegebenen Zwecke verwendet werden sollen.

Zur Unterstützung des Vorstehenden kann Microsoft die Basiskontaktinformationen des Kunden an den betreffenden Dritten weitergeben.

 

c) Verarbeitung personenbezogener Daten; DSGVO

Microsoft ist durch vertragliche Gestaltung mit der GESCO-Gruppe Auftragsverarbeiter oder Unterauftragsverarbeiter personenbezogener Daten, die der DSGVO unterliegen.

In der Anlage 1 -Bestimmungen zur Datenschutz-Grundverordnung der Europäischen Union- zum DPA vom Januar 2024 hat sich Microsoft wie folgt gegenüber der GESCO-Gruppe verpflichtet:

Microsoft geht die in diesen Bestimmungen zur Datenschutz-Grundverordnung der Europäischen Union („DSGVO – Bestimmungen“) enthaltenen Verpflichtungen gegenüber allen Kunden mit Wirkung vom 25. Mai 2018 ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig

·      von der Version der Produktbestimmungen und des DPA, die anderweitig für ein bestimmtes Produktabonnement oder eine bestimmte Lizenz gilt, oder

·      von anderen Verträgen, die auf diese Anlage verweisen.

Für Zwecke dieser DSGVO-Bestimmungen sind sich die GESCO-Gruppe und Microsoft darin einig, dass die GESCO-Gruppe die Verantwortliche für die personenbezogenen Daten und Microsoft der Auftragsverarbeiter dieser Daten ist, es sei denn, die GESCO-Gruppe handelt als Auftragsverarbeiter personenbezogener Daten; in diesem Fall ist Microsoft Unterauftragsverarbeiter. Diese DSGVO-Bestimmungen gelten für die Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO durch Microsoft im Auftrag der GESCO-Gruppe. Diese DSGVO-Bestimmungen beschränken oder verringern nicht die Datenschutzverpflichtungen, die Microsoft gegenüber der GESCO-Gruppe in den Produktbestimmungen oder in anderen Verträgen zwischen Microsoft und der GESCO-Gruppe eingeht. Diese DSGVO-Bestimmungen gelten nicht in den Fällen, in denen Microsoft der Verantwortliche für personenbezogene Daten ist.

 

d) Microsofts Verpflichtungen in Bezug auf Artikel 5, 28, 32 und 33 DSGVO

1). Microsoft unterstützt die Rechenschaftspflichten der GESCO-Gruppe über den vereinbarten DPA und die dem Kunden bereitgestellte Produktdokumentation und ist verpflichtet, dies auch während der Laufzeit des Abonnements der GESCO-Gruppe oder des entsprechenden Professional Services-Vertrags zu tun.

2). Microsoft darf ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung durch die GESCO-Gruppe keine weiteren Auftragsverarbeiter in Anspruch nehmen. Im Fall einer allgemeinen schriftlichen Genehmigung wird Microsoft der GESCO-Gruppe immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren, wodurch die GESCO-Gruppe die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

3). Die Verarbeitung durch Microsoft unterliegt den DSGVO-Bestimmungen nach dem Recht der Europäischen Union (nachfolgend „Union“ genannt) oder der Mitgliedstaaten. Sie sind für Microsoft in Bezug auf die GESCO-Gruppe verbindlich.

      Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen sowie Pflichten und Rechte des Kunden werden im Lizenzvertrag mit der GESCO-Gruppe festgelegt, der die DSGVO-Bestimmungen einschließt. Insbesondere ist Microsoft vertraglich gehalten:

·       personenbezogene Daten nur auf dokumentierte Anweisung der GESCO-Gruppe zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, sofern Microsoft nicht durch das Recht der Union oder des Mitgliedstaats, dem Microsoft unterliegt, hierzu verpflichtet ist; In solch einem Fall teilt Microsoft der GESCO-Gruppe diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

·       zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

·       alle erforderlichen Maßnahmen gemäß Artikel 32 der DSGVO zu ergreifen;

·       angesichts der Art der Verarbeitung die GESCO-Gruppe nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen;

·       die GESCO-Gruppe unter Berücksichtigung der Art der Verarbeitung und der Microsoft zur Verfügung stehenden Informationen bei der Einhaltung ihrer Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO zu unterstützen;

·       nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl der GESCO-Gruppe sämtliche personenbezogenen Daten zu löschen oder der GESCO-Gruppe zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

·       der GESCO-Gruppe alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der DSGVO beschriebenen Verpflichtungen zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen, die von der GESCO-Gruppe oder einem von ihm beauftragten Prüfer durchgeführt werden – zu ermöglichen und dazu beizutragen.

      Microsoft informiert die GESCO-Gruppe unverzüglich, falls Microsoft der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

4). Falls Microsoft die Dienste eines weiteren Auftragsverarbeiters in Anspruch nimmt, um im Namen der GESCO-Gruppe bestimmte Verarbeitungstätigkeiten auszuführen, werden diesen weiteren Auftragsverarbeitern durch einen Vertrag oder ein anderes Rechtsinstrument nach dem Recht der Union oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesen DSGVO-Bestimmungen beschrieben sind. Insbesondere muss hinreichende Garantie dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sollte jener Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommen, haftet Microsoft gegenüber der GESCO-Gruppe für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

5). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen die GESCO-Gruppe und Microsoft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

·       die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

·       die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

·       die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen im Falle eines physischen oder technischen Zwischenfalls rasch wiederherzustellen;

·       ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6). Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

 

7). Die GESCO-Gruppe und Microsoft unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung der GESCO-Gruppe verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

8). Wenn Microsoft eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet Microsoft diese der GESCO-Gruppe unverzüglich. Eine solche Mitteilung enthält auch die Informationen, die ein Auftragsverarbeiter einem Datenverantwortlichen zur Verfügung stellen muss, soweit diese Informationen Microsoft in angemessener Weise zur Verfügung stehen.

 

e) Auftragsverarbeiter und Verantwortlicher - Rollen und Verantwortlichkeiten

Die GESCO-Gruppe hat mit Microsoft vereinbart, dass die GESCO-Gruppe die Verantwortliche für die personenbezogenen Daten und Microsoft der Auftragsverarbeiter dieser Daten ist; es sei denn, die GESCO-Gruppe handelt als Auftragsverarbeiter personenbezogener Daten; in diesem Fall ist Microsoft Unterauftragsverarbeiter, oder wenn Microsoft als Auftragsverarbeiterin oder Unterauftragsverarbeiterin handelt, verarbeitet Microsoft personenbezogene Daten nur nach den dokumentierten Anweisungen der GESCO-Gruppe.

Soweit Microsoft personenbezogene Daten, die der DSGVO unterliegen, für Geschäftstätigkeiten, die durch die Bereitstellung der Produkte und Services an den Kunden veranlasst sind, nutzt oder anderweitig verarbeitet, wird Microsoft für diese Nutzung die Pflichten eines unabhängigen Datenverantwortlichen gemäß der DSGVO erfüllen. Microsoft übernimmt die zusätzlichen Pflichten eines „für die Datenverarbeitung Verantwortlichen“ gemäß DSGVO für eine solche Verarbeitung zum:

 

·       Handeln in Einklang mit den regulatorischen Anforderungen, insoweit dies von der DSGVO gefordert wird; und

·       Schaffung einer erhöhten Transparenz für Kunden und Bestätigung der Rechenschaftspflicht von Microsoft für eine solche Verarbeitung. Microsoft nutzt Sicherheitsmaßnahmen, um Kundendaten, Professional Services-Daten und personenbezogene Daten während dieser Verarbeitung zu schützen, einschließlich der in diesem DPA aufgeführten sowie der in Artikel 6(4) der DSGVO vorgesehenen Maßnahmen.

 

In Bezug auf die Verarbeitung personenbezogener Daten gemäß diesem Absatz übernimmt Microsoft die in „Anhang C - Nachtrag zu zusätzlichen Schutzmaßnahmen“ aufgeführten Verpflichtungen; für diese Zwecke

 

·         gilt jede Offenlegung personenbezogener Daten, wie in „Anhang C - Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschrieben, durch Microsoft, die im Zusammenhang mit Geschäftstätigkeiten übertragen wurden, als „Relevante Offenlegung“ und

·         finden die in „Anhang C - Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschriebenen Verpflichtungen Anwendung auf diese personenbezogenen Daten.

 

f) Verarbeitungsdetails

Die Parteien bestätigen und vereinbaren Folgendes:

·     Gegenstand. Der Gegenstand der Verarbeitung ist auf personenbezogene Daten innerhalb des Geltungsbereichs des Abschnitts dieses DPA mit dem Titel „Art der Datenverarbeitung; Eigentumsverhältnisse“ weiter oben sowie der DSGVO eingeschränkt.

·     Dauer der Verarbeitung. Die Dauer der Verarbeitung richtet sich nach den Weisungen des Kunden sowie den Bestimmungen des DPA.

·     Art und Zweck der Verarbeitung. Art und Zweck der Verarbeitung ist die Bereitstellung der Produkte und Services gemäß dem Kundenvertrag und für die Geschäftstätigkeiten in Verbindung mit der Bereitstellung der Produkte und Services für den Kunden (wie ausführlicher im Abschnitt dieses DPA mit dem Titel „Art der Verarbeitung; Eigentumsverhältnisse“ weiter oben beschrieben).

·     Kategorien von Daten. Zu den Arten von personenbezogenen Daten, die von Microsoft bei der Bereitstellung der Produkte und Services verarbeitet werden, gehören:

-        Personenbezogene Daten, die der Kunde in Kundendaten und Professional Services-Daten aufnehmen möchte; und

-        diejenigen, die ausdrücklich in Artikel 4 DSGVO genannt sind, die von Microsoft generiert, abgeleitet oder gesammelt werden können, einschließlich Daten, die aufgrund der Nutzung dienstbasierter Funktionen durch einen Kunden an Microsoft gesendet oder von Microsoft aus lokal installierter Software bezogen werden. Bei den Arten von personenbezogenen Daten, die der Kunde in die Kundendaten und Professional Services-Daten aufnehmen möchte, kann es sich um alle Kategorien von personenbezogenen Daten handeln, die in Aufzeichnungen genannt werden, die vom Kunden als Verantwortlicher gemäß Artikel 30 DSGVO handelnd gepflegt werden, einschließlich der in Anhang B aufgeführten Kategorien personenbezogener Daten.

·     Betroffene Personen. Die Kategorien betroffener Personen sind Vertreter und Endnutzer des Kunden, wie Mitarbeiter, Auftragnehmer, Partner und Kunden. Dies kann auch andere Kategorien betroffener Personen umfassen, die in Verzeichnissen genannt werden, welche vom Kunden als Verantwortlicher gemäß Artikel 30 DSGVO geführt werden, einschließlich der in Anhang B aufgeführten Kategorien betroffener Personen.

 

g) Rechte der betroffenen Personen; Unterstützung bei Anfragen

Microsoft ermöglicht dem Kunden, Anfragen betroffener Personen zur Ausübung ihrer Rechte nach der DSGVO auf eine mit der Funktion der Produkte und Services und der Rolle von Microsoft als Auftragsverarbeiter personenbezogener Daten betroffener Personen konsistente Art und Weise nachzukommen. Wenn Microsoft eine Anfrage der betroffenen Person der GESCO-Gruppe erhält, mindestens eines ihrer Rechte nach der DSGVO in Verbindung mit den Produkten und Services, für die Microsoft Auftragsverarbeiter oder Unterauftragsverarbeiter ist, auszuüben, verweist Microsoft die betroffene Person, direkt an die GESCO-Gruppe, damit diese ihre Anfrage an die GESCO-Gruppe richten kann. Die GESCO-Gruppe ist für die Beantwortung einer solchen Anfrage verantwortlich, einschließlich, falls erforderlich, durch Nutzung der Funktionalität der Produkte und Services. Microsoft wird jedoch kommt angemessenen Anfragen der GESCO-Gruppe nach Unterstützung bei der Bearbeitung von Anfragen betroffener Personen nachkommen.

 

h) Verzeichnis von Verarbeitungstätigkeiten

Nachfolgend erhalten Sie Information zur Verarbeitung und über von der Verarbeitung betroffene Kategorien personenbezogener Daten im Rahmen der Nutzung von MICROSOFT-Anwendungen.

Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie die MICROSOFT Anwendungen verwenden. Welche personenbezogenen Daten genau verarbeitet werden, haben wir im Folgenden für Sie aufgeführt:

·      Ihre IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft 365 erfolgt.

 

·      Ihr Benutzername (Zugangsdaten zu den Microsoft 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben.

 

·      Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der MICROSOFT Anwendungen kennzeichnet. Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie jederzeit sichtbar und können von Ihnen individuell angepasst werden.

 

·      Für die Authentifizierung und den Lizenzgebrauch erforderliche Daten. In den MICROSOFT Anwendungen werden sämtliche Nutzeraktivitäten, wie z.B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat verarbeitet.

 

·      Bei der Nutzung von „Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen. Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

-        Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional),
Abteilung (optional)

-        Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen

-        Bei Aufzeichnungen: Video-, Audio- und Präsentationsaufnahmen, Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.

-        Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

-  Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Teams“-Applikationen abschalten bzw. stummstellen.
Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.

 

·      Umfang der Verarbeitung: Wir verwenden „Teams“, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „Teams“-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

 

i) Weitergabe und Übertragung von Daten

Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fällen in der Regel nicht und lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist. Dies kann u.a. der Fall sein, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen.

1)  Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb der GESCO-Gruppe für interne Verwaltungszwecke einschließlich der gemeinsamen Kundenbetreuung im Rahmen des Erforderlichen weitergeben. Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, die Daten für administrative Zwecke innerhalb unserer Unternehmensgruppe weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

2)  Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der MICROSOFT Anwendungen oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden.

      Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass (1) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß Art. 6 Abs. 1 lit. f) DSGVO i.V.m. nationalen rechtlichen Vorgaben zur Weitergabe von Daten an Strafverfolgungsbehörden unterliegen, oder (2) wir ein berechtigtes Interesse daran haben, die Daten bei Vorliegen von Anhaltspunkten für missbräuchliches Verhalten oder zur Durchsetzung unserer Rechtsansprüche an die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

3)  Wir sind bei der Nutzung der MICROSOFT Anwendungen auf Microsoft angewiesen. Microsoft ist ein sog. Auftragsverarbeiter unterliegt bei der Verarbeitung personenbezogener Daten im Rahmen der von uns eingesetzten Microsoft 365 Anwendungen unseren Weisungen als verantwortlichen Stelle im Sinne der DSGVO.
Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir unsere Fremdunternehmen und externen Dienstleister im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten. 
Die Verarbeitung personenbezogener Daten durch Microsoft erfolgt ausschließlich auf Servern in der EU.

4)  Im Rahmen des Kerngeschäftes der GESCO SE kann es dazu kommen, dass sich die Struktur des Unternehmens wandelt, indem Tochtergesellschaften, Unternehmensteile oder Bestandteile gegründet, gekauft oder verkauft werden. Bei solchen Transaktionen werden die Dateninformationen gegebenenfalls zusammen mit dem zu übertragenden Teil des Unternehmens weitergegeben. Bei jeder Weitergabe von personenbezogenen Daten an Dritte in dem vorbeschriebenen Umfang tragen wir dafür Sorge, dass dies in Übereinstimmung mit dieser Datenschutzerklärung und dem anwendbaren Datenschutzrecht erfolgt. Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, unsere Unternehmensform den wirtschaftlichen und rechtlichen Gegebenheiten entsprechend bei Bedarf anzupassen und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.

5)  Soweit personenbezogene Daten von Beschäftigten der GESCO-Gruppe verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „Teams“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Teams“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.

 

h) Datenübermittlungen in Drittländer

Eine Datenübermittlung ins Drittland findet nicht statt.

 

j) Zweckänderungen

Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.

 

l) Datensicherheit

1) Sicherheitsverfahren und Sicherheitsrichtlinien

Gemäß den eignen Angaben und Verpflichtungen ergreift Microsoft geeignete technische und organisatorische Maßnahmen (TOM), um Kundendaten, Professional Services-Daten und personen-bezogene Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, vor versehentlicher oder ungesetzlicher Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen werden in einer Microsoft-Sicherheitsrichtlinie festgelegt. Microsoft hat diese Richtlinie der GESCO-Gruppe zur Verfügung gestellt.

Darüber hinaus erfüllen diese Maßnahmen die Anforderungen von ISO 27001, ISO 27002 und ISO 27018..

Jeder Core-Onlinedienst entspricht auch den Kontrollstandards und -bestimmungen, die in der Tabelle in den Produktbestimmungen aufgeführt sind. Jeder Core-Onlinedienst und Professional Service implementiert und unterhält die in Anhang A dargelegten Sicherheitsmaßnahmen zum Schutz von Kundendaten und Professional Services-Daten.

Microsoft implementiert die in Anhang II der Standardvertragsklauseln von 2021 festgelegten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten im Anwendungsbereich der DSGVO und erhält diese aufrecht.

Microsoft kann jederzeit Branchen- oder Behördenstandards hinzufügen. Microsoft wird die ISO 27001, ISO 27002 und ISO 27018 oder die Standards oder Rahmenkonzepte aus der Tabelle der Core-Onlinedienste in den Produktbestimmungen nicht entfernen, es sei denn, sie werden in der Branche nicht mehr angewendet und durch ihnen nachfolgende Normen, Standards oder Bestimmungen ersetzt (wenn vorhanden).

2) Datenverschlüsselung

Kundendaten und Professional Services-Daten (jeweils einschließlich aller darin enthaltenen personenbezogenen Daten), die über öffentliche Netzwerke zwischen dem Kunden und Microsoft oder zwischen Microsoft-Rechenzentren übertragen werden, werden standardmäßig verschlüsselt.

Microsoft verschlüsselt auch ruhende Kundendaten in Onlinediensten und ruhende Professional Services-Daten. Im Fall von Onlinediensten, in denen der Kunde oder ein Dritter, der im Namen des Kunden handelt, Anwendungen erstellen kann (z. B. bestimmte Azure-Dienste), kann die Verschlüsselung der in diesen Anwendungen gespeicherten Daten nach Ermessen des Kunden erfolgen, unter Verwendung von Funktionen, die von Microsoft bereitgestellt werden oder die der Kunden von Dritten erlangt.

3) Datenzugriff

Microsoft nutzt Zugriffsmechanismen, die auf dem Grundsatz der geringsten Berechtigung beruhen, um den Zugriff auf Kundendaten und Professional Services-Daten (einschließlich darin enthaltener personenbezogener Daten) zu kontrollieren. Eine rollenbasierte Zugriffssteuerung wird eingesetzt, um sicherzustellen, dass der für den Servicebetrieb erforderliche Zugriff auf Kundendaten und Professional Services-Daten einem angemessenen Zweck dient und unter Aufsicht des Vorgesetzten genehmigt ist. Für Core-Onlinedienste und Professional Services unterhält Microsoft Zugriffskontrollmechanismen, die in der Tabelle mit dem Titel „Sicherheitsmaßnahmen“ in Anhang A beschrieben sind; es gibt keinen ständigen Zugriff von Microsoft-Mitarbeitern auf Kundendaten und jeder erforderliche Zugriff ist zeitlich begrenzt.

 

m) Datenübermittlungen und Speicherstelle

1) Datenübermittlungen

Kundendaten, Professional Services-Daten und personenbezogene Daten, die Microsoft im Auftrag der GESCO-Gruppe verarbeitet, dürfen nur gemäß den DPA-Bestimmungen und den nachstehend in diesem Abschnitt vorgesehenen Sicherheitsmaßnahmen an einen bestimmten geografischen Standort übermittelt und dort gespeichert und verarbeitet werden. Unter Berücksichtigung solcher Sicherheitsmaßnahmen beauftragt die GESCO-Gruppe Microsoft, Kundendaten, Professional Services-Daten und personenbezogenen Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder seine Unterauftragsverarbeiter tätig sind, und Kundendaten und personenbezogenen Daten zur Bereitstellung der Produkte zu speichern und zu verarbeiten, ausgenommen wie an anderer Stelle in den DPA-Bestimmungen beschrieben.

Für sämtliche Übermittlungen von Kundendaten, Professional Services-Daten und personenbezogenen Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz zur Bereitstellung der Produkte und Services unterliegen den Bedingungen der von Microsoft implementierten Standardvertragsklauseln von 2021. Microsoft wird die Anforderungen der Datenschutzgesetze des Europäischen Wirtschaftsraums, des Vereinigten Königreichs und der Schweiz bezüglich der Erfassung, Verwendung, Übertragung, Aufbewahrung und sonstigen Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz einhalten. Alle Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen geeigneten Garantien, wie sie in Art. 46 DSGVO beschrieben sind, und solche Übermittlungen und Garantien werden nach Art. 30 Absatz 2 DSGVO dokumentiert.

Darüber hinaus ist Microsoft für die Abkommen EU-USA-Datenschutzrahmenkonzepte („Data Privacy Frameworks“), die britische Erweiterung des EU-U.S.-Abkommens, zertifiziert. Microsoft verpflichtet sich, die GESCO-Gruppe zu benachrichtigen, wenn sie feststellt, dass sie ihrer Verpflichtung, das gleiche Schutzniveau zu gewährleisten, nicht mehr nachkommen kann, wie es die Grundsätze der Datenschutzrahmenkonzepte erfordern.

2) Speicherorte von Kundendaten

Im Fall der Core-Onlinedienste speichert Microsoft ruhende Kundendaten („at rest“) in bestimmten größeren geografischen Gebieten (jeweils ein „Geo“), wie in den Produktbestimmungen beschrieben.

Für EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“) speichert und verarbeitet Microsoft Kunden- und personenbezogene Daten innerhalb der Europäischen Union, wie in den Produktbestimmungen beschrieben.

Microsoft kontrolliert oder beschränkt nicht die Regionen, aus denen der Kunde oder die Endnutzer des Kunden auf Kundendaten zugreifen oder diese verschieben können.

3) Vertraulichkeitsverpflichtung des Auftragsverarbeiters

Microsoft stellt sicher, dass die Mitarbeiter von Microsoft, die mit der Verarbeitung von Kundendaten, Professional Services-Daten und personenbezogenen Daten befasst sind,

·     diese Daten nur auf Anweisung des Kunden oder gemäß Beschreibung in diesem DPA verarbeiten; und

 

·     sich verpflichten, die Vertraulichkeit und Sicherheit dieser Daten auch nach Beendigung des Beschäftigungsverhältnisses aufrechtzuerhalten. Microsoft führt für Mitarbeiter mit Zugriff auf Kundendaten, Professional Services-Daten und personenbezogene Daten entsprechend den geltenden Datenschutzvorschriften und Branchenstandards regelmäßige und verpflichtende Datenschutz-, Datensicherheits- und Sensibilisierungsschulungen durch.

 

5. Datenschutz durch technisch-organisatorische Maßnahmen

 

Die GESCO-Gruppe hat darüber hinaus geeignete technisch-organisatorische Maßnahmen über konzernweite Richtlinien ergriffen, um eine datenschutzkonforme Nutzung der MS-365 Dienste gewährleisten zu können.

Eine Auswahl der wichtigsten Einzelmaßnahmen ist nachfolgend dargestellt:

•      Die GESCO-Gruppe hat die Übermittlung der Telemetriedaten und der Diagnosedaten deaktiviert.

•      Die GESCO-Gruppe hat die verbundenen Dienste bzw. Erfahrungen deaktiviert.

•    Die GESCO-Gruppe hat die Datenübermittlung der „Programme zur Verbesserung der Kundenerfahrung“ in Microsoft 365 (Customer Experience Improvement Program; CEIP) deaktiviert.

•    Die GESCO-Gruppe hat die standardmäßige LinkedIn-Integration deaktiviert werden (Verbinden der Mitarbeiter-Accounts).

•    Die Aktivitäten der einzelnen Benutzer sind nicht mit der Zeitachse in Windows 10 oder Windows 11 synchronisiert.

•    Die Nutzer sind durch die Nutzungsbedingungen angehalten Web-Versionen und mobilen Apps von Microsoft 365 für die Bearbeitung personenbezogener Daten zu vermeiden und stattdessen die Desktop-Programmversionen zu nutzen (zum Beispiel von Outlook, Word, Excel, Teams etc.).

 

6. Kontaktaufnahme mit Microsoft

 

Wenn der Kunde der Ansicht ist, dass Microsoft seinen Datenschutz- und Sicherheitsverpflichtungen nicht nachkommt, kann der Kunde Microsoft über den Kundensupport oder über das Datenschutzformular über http://go.microsoft.com/?linkid=9846224 kontaktieren.

Postanschrift von Microsoft:

Microsoft Enterprise Service-Privacy

Microsoft Corporation

One Microsoft Way

Redmond, Washington 98052, USA

 

Microsoft Ireland Operations Limited ist der Datenschutzvertreter von Microsoft für den Europäischen Wirtschaftsraum und die Schweiz.

Der Datenschutzbeauftragte von Microsoft Ireland Operations Limited kann unter folgender Adresse erreicht werden:

Microsoft Ireland Operations, Ltd.

Attn: Data Privacy

One Microsoft Place

South County Business Park

Leopardstown

Dublin 18, D18 P521, Ireland

 

 

7. Kontaktaufnahme mit der GESCO SE

 

Sie können den Datenschutzmanager der GESCO SE unter folgender Adresse erreichen:

Alex Stillie

Legal Counsel

stillie@gesco.de

Am Johannisberg 7,

42103 Wuppertal                                                             

Telefon: +49 (0)202 248200
Telefax: +49 (0)202 2482049

 

 

8. Datenschutzbeauftragter

 

Wir haben einen externen Datenschutzbeauftragten benannt.
Sie erreichen diesen wie folgt: 

Rechtsanwalt
Martin Wagner, LL.M.
Zertifizierter Datenschutzbeauftragter
Katternberger Str. 24
42655 Solingen
Telefon: 0212 – 52088590
E-Mail: gesco(at)datenschutzservice.online

6. Ihre Rechte als Betroffener

 

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an die GESCO Se oder den Datenschutzbeauftragten wenden. 

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben. 

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.

Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.

 

7. Löschung von Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

 

8. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

 

9. Änderung dieser Datenschutzhinweise

Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen.