Datenschutzhinweise für Microsoft 365

Sie haben eine Einladung zur Nutzung einer Microsoft Anwendung, wie bspw. SharePoint Online, Microsoft Teams von einer der unten genannten Stellen (nachfolgend „uns“) erhalten.
Microsoft Office 365 ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne User, Teams, Communities und Netzwerke, die Organisationseinheiten übergreifend eingesetzt werden kann.
Bei der Nutzung von Microsoft 365 werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft nutzen.

Verantwortliche Stelle und Datenschutzbeauftragte

Caritasverband für den Kreis Coesfeld e.V.Anschrift: Osterwicker Straße 12, 48653 Coesfeld
Telefon: +49 2541 7205-0
E-Mail:  info@caritas-coesfeld.de

Datenschutzbeauftragte:
Name: Carina Ponelis
Telefon: +49 251 8901-326
E-Mail: datenschutzbeauftragter@caritas-muenster.de
Caritasverband Geldern-Kevelaer e.V.Anschrift: Südwall 1-5, 47608 Geldern
Telefon: +49 2831 9395-0
E-Mail: info@caritas-geldern.de

Datenschutzbeauftragter:
Name: Andreas Matzke
E-Mail: datenschutz@caritas-geldern.de
Caritasverband Kleve e.V.Anschrift: Hoffmannallee 66 – 68, 47533 Kleve
Telefon: +49 2821 7209-0
E-Mail: info@caritas-kleve.de

Datenschutzbeauftragter:
Name: Karl-Heinz Hüttermann
Telefon: +49 2821 7209-950
E-Mail: datenschutz@caritas-kleve.de
Caritasverband für die Stadt Münster e.VAnschrift: Josefstraße 2, 48151 Münster
Telefon: +49 251 53009-0
E-Mail: info@caritas-ms.de

Datenschutzbeauftragte:
Name: Carina Ponelis
Telefon: +49 251 8901-326
E-Mail: datenschutzbeauftragter@caritas-muenster.de
IT für Caritas eGAnschrift: Josefstr. 2, 48151 Münster
E-Mail: info@itcaritas.de

Datenschutzbeauftragter:
Name: Nils Kill
Firma: c/o Althammer & Kill GmbH & co. KG
Anschrift: Mörsenbroicher Weg 200, 40470 Düsseldorf
E-Mail: datenschutz@itcaritas.de

Verarbeitete Daten, Zweck und Rechtsgrundlage

Bei der Nutzung der Microsoft 365 Umgebung und der damit verbundenen Dienste werden verschiedene personenbezogene Daten von Ihnen verarbeitet. Nachfolgend möchten wir Sie genauer darüber informieren:

  1. Ihre IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft 365 erfolgt.
  2. Ihr Benutzername (Zugangsdaten zu den Microsoft 365 Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z. B. optional die (private) Handynummer).
  3. Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der Microsoft 365 Umgebung kennzeichnen. Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnummer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar.
  4. Für die Authentifizierung und den Lizenzgebrauch erforderliche Daten. In den
    Microsoft 365 Anwendungen werden sämtliche Nutzeraktivitäten, wie z.B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), Start eines Chats, Antworten im Chat verarbeitet.
    Wir verfolgen mit der Nutzung von Microsoft 365 verschiedene Zwecke. Hauptsächlich geht es darum, den eigenen Mitarbeitenden ein mobiles Arbeiten zu ermöglichen und die verschiedenen Einrichtungen und Institutionen zu vernetzen. Dabei werden ausgewählte in Microsoft 365 verfügbare Dienste und Funktionen genutzt, um Inhalte zu erstellen und zu speichern, Termine zu planen und um zu kommunizieren. Um mit Externen einen ebenso effektiven Informationsaustausch zu erreichen, sollen auch diese als Gäste die Funktionen von Microsoft 365 nutzen können. Auf diese Weise können wir unsere Mitarbeitenden und Externe vernetzen und Projekte gemeinsam bearbeiten, ohne am gleichen Ort sein zu müssen. Die Verarbeitung Ihrer personenbezogenen Daten dient daher der Abwicklung von Verträgen mit uns und der Zusammenarbeit im Projekt.
    Die Freigabe von personenbezogenen Daten in der Cloud (OneDrive und SharePoint) und die Nutzung von Cloud-Computing insgesamt dient dabei konkret den folgenden Zwecken:
    • dauerhafte und ortsunabhängige Abrufbarkeit der Dokumente,
    • Ermöglichung eines standortunabhängigen Arbeitens,
    • Einbeziehung Dritter / Externer bei der Bearbeitung von Dokumenten und Daten,
    • effizientere und schnellere Abläufe,
    • vereinfachte Planung,
    • Auslagerung der IT-Leistungen zur Einsparung eigener Ressourcen,
    • reduzierter IT-Administrationsaufwand und
    • Steigerung der Flexibilität.
    Der Dienst SharePoint wird dabei als Plattform für die Datenablage und den Datenaustausch zwischen den Mitarbeitenden und Externen genutzt.
    Mit der Nutzung von Teams werden insbesondere folgende Ziele verfolgt: vereinfachte und unkomplizierte Kommunikation zwischen den Mitarbeitenden durch Übertragung von Meetings in Echtzeit und unmittelbarer Austausch im Chat, erleichterte und effizientere Gruppenarbeit, Flexibilität sowie orts- und zeitunabhängige Zusammenarbeit. Hierbei werden je nach Fall personenbezogene Daten wie Name und E-Mail-Adresse verarbeitet. Die Teilnahme kann als Gast
    erfolgen (Mit Angabe bestimmter personenbezogener Daten). Alternativ kann für eine einmalige Teilnahme ein Link zum Meeting zur Verfügung gestellt werden. Die Eröffnung eines Nutzerkontos oder die Eingabe personenbezogener Daten ist dabei nicht erforderlich. Sie können jedoch Ihren Namen eingeben. In jedem Fall werden Nutzungsdaten wie die IP-Adresse verarbeitet.
    Bei der Nutzung von Microsoft 365 findet eine Übermittlung von Diagnosedaten an Microsoft statt, damit die Dienste insgesamt (fehlerfrei) bereitgestellt werden können. Da sämtliche Anwendungen cloudbasiert sind, werden diese durchgehend geprüft. Die Verarbeitung der Diagnosedaten dient auch der Verbesserung und Aktualisierung der Software durch das Einspielen von neuen Versionen. Schließlich dient die Verarbeitung auch dazu, die Sicherheit der Dienste und eine schnelle Fehlerbehebung durch Microsoft zu gewährleisten.
    Die Zulässigkeit der dargestellten Datenverarbeitung richtet sich hauptsächlich nach § 6 Abs. 1 lit. g) Gesetz über den Kirchlichen Datenschutz (KDG) bzw. Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung (DSGVO) (Wahrung berechtigter Interessen). Wir möchten die Arbeit mit externen Vertragspartnern ortsunabhängig, effizient und flexibel gestalten, Arbeitsabläufe optimieren und die Digitalisierung vorantreiben. Auch die bessere Planung von Arbeitskapazitäten, die vereinfachte Kommunikation und die fehler- sowie unterbrechungsfreie Bereitstellung der Dienste stehen im Fokus.
    Die Zulässigkeit der Verarbeitung kann sich in Einzelfällen nach § 6 Abs. 1 lit. b) KDG bzw. Art. 6 Abs. 1 lit. a) DSGVO richten (Einwilligung). In dem Fall werden Sie von uns ausdrücklich gefragt, ob Sie mit der Datenverarbeitung einverstanden sind. Die Datenverarbeitung in den verschiedenen Anwendungen von Microsoft 365 ist erforderlich, um mit unseren Mitarbeitenden in einem Projekt zu arbeiten und Dokumente und Informationen auszutauschen.

Datenempfänger

Ihre personenbezogenen Daten können im Rahmen der Nutzung von Microsoft 365 an verschiedene Empfänger weitergegeben oder von diesen eingesehen werden. Dazu gehören insbesondere ausgewählte Mitarbeitende auf unserer Seite, die Microsoft Corporation sowie andere Vertragspartner von uns wie Steuerberater oder Rechtsanwälte. Wir beabsichtigen grundsätzlich nicht, Ihre personenbezogenen Daten an ein Drittland außerhalb der EU oder des EWR zu übermitteln. Im Rahmen eines Projekts kann dies aber durchaus vorkommen, insbesondere, wenn Sie sich selbst in einem solchen Land befinden oder mit Mitarbeitenden von uns dort kommunizieren. Auch werden regelmäßig Diagnosedaten an die Microsoft Corporation gesendet und dort ausgewertet. Diese werden zwar in datenschutzrechtlich als sicher anerkannten Ländern gespeichert. Aufgrund des sogenannten „Cloud Acts“ und des „Foreign Intelligence Surveillance Acts“ kann aber nicht ausgeschlossen werden, dass US-Behörden Zugriff auf diese Daten erhalten. Sofern eine Datenübermittlung in die USA stattfindet, wurden mit Microsoft entsprechende Standardvertragsklauseln vereinbart (siehe: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA).

Microsoft hält sich an die datenschutzrechtlichen Anforderungen des Europäischen Wirtschaftsraums und der Schweiz in Bezug auf die Erhebung, Nutzung, Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz. Alle Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen geeigneten Garantien, wie sie in § 40 KDG bzw. Art. 46 DSGVO beschrieben sind. Rechtsgrundlage hierfür ist die Erforderlichkeit zur Erfüllung eines Vertrags mit Microsoft nach § 6 Abs. 1 lit. c) KDG mit § 40 KDG bzw. Art. 6 Abs. 1 lit. b) DSGVO i. V. m. Art. 46 DSGVO.  

Weitere Informationen zu Art und Umfang der Datenverarbeitung durch Microsoft erhalten Sie unter https://privacy.microsoft.com/de-de/privacystatement.

Speicherung

Die erstmalige Speicherung Ihrer Daten erfolgt mit dem Versand der Einladung zur Mitarbeit in unserer Microsoft 365 Umgebung. Die Dauer richtet sich in erster Linie nach den gesetzlichen Aufbewahrungspflichten in Bezug auf bestimmte Dokumente und Vorgänge sowie nach dem berechtigten Interesse von uns. Der Ihrem persönlichen Nutzerkonto zugeordnete Gastaccount in der in der M365 Umgebung von uns und dessen Inhalt wird spätestens 3 Monate nach Beendigung der Zusammenarbeit deaktiviert. Hiernach bewahrt die Microsoft Corporation selbst die Daten für einen gewissen Zeitraum auf. Diese Aufbewahrungszeiten können Sie unter der folgenden URL einsehen: https://docs.microsoft.com/de-de/compliance/assurance/assurance-data-retention-deletion-and-destruction-overview

Datenschutz-Rechte

Sie haben folgende Rechte hinsichtlich der Sie betreffenden Datenverarbeitung:

  • Recht auf Auskunft zu Ihren gespeicherten Daten (§ 17 KDG / Art. 15 DSGVO),
  • Recht auf Berichtigung oder Löschung Ihrer Daten (§§ 18, 19 KDG / Art. 16, 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung Ihrer Daten (§ 20 KDG / Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (§ 22 KDG / Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung Ihrer Daten (§ 23 KDG / Art. 21 DSGVO).

Wenn personenbezogene Daten auf Grundlage einer Einwilligung von Ihnen verarbeitet werden, haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft uns gegenüber zu widerrufen.

Eine Auskunft zu Ihren von uns gespeicherten Daten erhalten Sie zum Teil bereits mit dieser Datenschutzerklärung (Informationspflichten gem. § 15 KDG / Art. 13 DSGVO). Das schließt selbstverständlich nicht aus, dass Sie eine Auskunft jederzeit einholen können, weil wir möglichweise in Zukunft auch (neue) Daten von Ihnen für weitere Zwecke, die in dieser Datenschutzerklärung nicht aufgeführt sind, verarbeiten könnten.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.