Datenschutzhinweise für Betroffene bei Teilnahme an Online-Meetings über Dienste von Microsoft

Informationen zum Datenschutz

Die EU-Datenschutz-Grundverordnung [DS-GVO] sieht vor, dass Personen deren Daten erhoben werden, zur Gewährleistung einer fairen und transparenten Verarbeitung über den jeweiligen Verarbeitungskontext informiert werden. Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer perso­nenbezogenen Daten im Zusammenhang mit der Nutzung von durch uns (vgl. „Wer ist für die Datenverarbeitung verantwortlich?“) veranlasste „Online-Meetings“ wie Telefonkonferenzen, Videomeetings, Chats oder Schulungen/ Webinare mittels Produkten der Microsoft Ireland Operations Ltd. bzw. der Microsoft Corporation (insbesondere „Teams“, nachfolgend: „Tools“).

Bitte beachten Sie, dass Sie diese Information nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft auf unsere Veranlassung hin nutzen.

Wer ist für die Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Gesetzes ist regelmäßig diejenige Gesellschaft, durch die Sie im unmittelbaren Zusammenhang mit der Durchführung von „Online-Meetings“ eingeladen worden sind. Welche Gesellschaft dies ist, entnehmen Sie bitte den nachfolgenden Angaben:

Scheer GmbH

Scheer Tower
Uni-Campus Nord
D-66123 Saarbrücken
Telefon: +49 681 96777-0
E-Mail: info@scheer-group.com

Unseren Datenschutzbeauftragten erreichen Sie postalisch unter der nebenstehenden Adresse mit dem Zusatz „z.Hd. Datenschutzbeauftragter“ oder elektronisch unter: datenschutz<at>scheer-group.com

Scheer Austria GmbH

Ernst Melchior Gasse 22
AT-1020 Wien
T +43 1 36 136 00
F +43 1 36 136 00 99

Scheer Schweiz AG

Industriestrasse 50b
CH-8304 Wallisellen
T +49 681 96 777-0

Innerhalb der Europäischen Union agiert die Scheer GmbH (s.o.) als Vertreter im Sinne des Art. 27 DS-GVO der Scheer Schweiz AG.

Scheer PAS Deutschland GmbH

Scheer Tower
Uni-Campus Nord
D-66123 Saarbrücken
Telefon: +49 681 96777-0

Scheer PAS Schweiz AG

Lautengartenstrasse 12
CH-4052 Basel
T +41 61 27097-10
F +41 61 27097-11
E-Mail: info@scheer-pas.com

Innerhalb der Europäischen Union agiert die Scheer PAS Deutschland GmbH (s.o.) als Vertreter im Sinne des Art. 27 DS-GVO der Scheer E2E Schweiz AG.

Hinweise

Vertragspartner der Microsoft Ireland Operations Ltd. ist, unabhängig von welchem Unternehmen der Scheer Gruppe Sie zu einem Online-Meeting eingeladen werden, die Scheer GmbH. Diese erbringt ebenso einen Großteil der infrastrukturellen Leistungen, die unsererseits zur Durchführung von Online-Meetings erforderlich sind.
Soweit Sie die Internetseite von Microsoft aufrufen, ist der Anbieter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen. Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzen. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.

Wofür und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?

Wir nutzen die Tools, um die Kommunikation und Zusammenarbeit von Menschen über Telefonkonferenzen, Videokonferenzen, Online-Treffen, Chats und/oder Schulungen/Webinare durchzuführen. Die Tools sind Services der Microsoft Ireland Operations Ltd. (Irland) bzw. der Microsoft Corporation (USA). Die Rechtsgrundlage unterscheidet sich, je nachdem wer daran teilnimmt.
Soweit personenbezogene Daten von Beschäftigten der Scheer GmbH oder eines Unternehmens der Scheer Gruppe in Deutschland verarbeitet werden (inkl. sich Bewerbende), ist § 26 BDSG die Rechtsgrundlage für die Datenverarbeitung. Für unsere Gesellschaften außerhalb der Bundesrepublik Deutschland gelten, sofern vorhanden, die dortigen landesspezifischen Datenschutzregelungen zum Beschäftigtendatenschutz, hilfsweise die Bestimmungen der DS-GVO.
Für weitere Teilnehmende an „Online-Meetings“ ist, soweit diese im Rahmen von Vertragsbeziehungen zu den Betroffenen durchgeführt werden, Art. 6 Abs. 1 lit. b) DS-GVO die Rechtsgrundlage für die Datenverarbeitung.
Sollten keine vertraglichen Beziehungen zwischen Verantwortlichem und betroffener Person bestehen oder Dritte teilnehmen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DS-GVO. Dies ist insbesondere dann der Fall, wenn eine Verarbeitung elementarer Bestandteil der Toolnutzung ist oder die Verarbeitung auf einer geschäftlichen oder behördlichen Zusammenarbeit (inkl. Anbahnung) der Beteiligten beruht, wobei hier unser Interesse an der effektiven Durchführung von „Online-Meetings“ besteht.

Welche Daten werden verarbeitet und in welchem Umfang?

Bei der Nutzung der Tools werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch
davon ab, welche Angaben zu Daten Sie vor bzw. während der Teilnahme an einem „Online-Meeting“ machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Angaben zum Benutzer: z.B. Anzeigename („Display name“), Vorname, Nachname, Telefon (optional), E-Mail-
Adresse, Profilbild (optional), Abteilung (optional), bevorzugte Sprache

Meeting-Metadaten: z.B. Datum, Uhrzeit, Thema, Statusangabe, Teilnehmer-IP-Adresse, Meeting-ID, Ort,
Geräte-/ Hardware-Informationen

Bei Aufzeichnungen (optional): MP4-Datei der Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller
Audioaufnahmen, Textdatei des Online-Meeting-Chats.

Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und
Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragenoder
Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um
diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe
von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres
Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das
Mikrofon jederzeit selbst über die Tool-Applikationen abschalten bzw. stummstellen.

Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest
Angaben zu Ihrem Namen bzw. Anzeigenamen machen.

Umfang der Verarbeitung

Wir verwenden die Tools, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen,
werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Die Tatsache der Aufzeichnung wird Ihnen zudem im Tool angezeigt.

Wenn es für die Zwecke der Protokollierung von Ergebnissen eines „Online-Meetings“ erforderlich ist, werden wir
die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein. Im Falle von Webinaren können
wir für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-
Teilnehmenden verarbeiten.

Wenn Sie bei Microsoft für die Tools als Benutzer registriert sind, dann können Berichte über „Online-Meetings“
(Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in
Webinaren) ggf. bei Microsoft gespeichert werden.

Die in „Online-Meeting“-Tools bestehende Möglichkeit einer softwareseitigen Aufmerksamkeitsüberwachung ist
unsererseits deaktiviert. Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DS-GVO findet unsererseits nicht
statt.

Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten
erforderlich ist, zur Gewährleistung eines reibungsfreien IT-Betriebes, im Rahmen von Maßnahmen der
Gebäudesicherheit (z.B. Zutrittskontrolle) und zur Sicherstellung des Hausrechts.

Wer erhält Zugriff auf Ihre Daten?

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, sind grundsätzlich den Teilnehmern am jeweiligen Online-Meeting bekannt. So werden Video-, Bild-, Ton- und/oder Fotoaufnahmen der Teilnehmenden einer Videokonferenz sowie ggfls. Unterlagen zu den Inhalten, freigegebene Bildschirme sowie Teilnehmerlisten und Chats den Teilnehmenden der Webkonferenz offenbar.
Des Weiteren werden Daten innerhalb unserer Unternehmensgruppe nur den Stellen zugänglich gemacht, die diese zur Erfüllung vorstehend genannter Zwecke benötigen (z.B. Marketing, Vertrieb, Projektmitarbeiter, Buchhaltung zur Abrechnung, IT zum sicheren Betrieb der Infrastruktur). Bitte beachten Sie jedoch, dass die Inhalte von Online-Meetings häufig zur Weitergabe an Kunden, Interessenten oder Dritte bestimmt sind.
Weitere Empfänger könnten auch diejenigen sein, gegenüber denen wir in irgendeiner Art gesetzlich zur Herausgabe verpflichtet sind (z.B. öffentliche Stellen und Institutionen), zur Durchsetzung offener Forderungen (z.B. Rechtsanwalt), zu denen Sie uns Ihre Einwilligung erteilt haben (z.B. als Referenz), oder solche Dienstleister, die uns bei der Leistungserbringung notwendigerweise unterstützen, wie etwa der Anbieter des jeweiligen Tools zum „Online-Meeting“. Wir haben mit Anbietern die im Rahmen einer Auftragsverarbeitung für uns tätig sind einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DS-GVO entspricht.
Eine technische Datenverarbeitung außerhalb der Europäischen Union [EU] erfolgt insofern grundsätzlich nicht, dass wir im Rahmen unserer Möglichkeiten den Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende am „Online-Meeting“ in einem Drittland aufhalten. Keinen Einfluss haben wir zudem auf die systemseitige Verarbeitung technischer Informationen wie Geräte-/Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten des Endgeräts sowie Zeitpunkt und Datum des Zugriffs) durch den Diensteanbieter.
Da zu unserer Unternehmensgruppe auch Gesellschaften in Drittstaaten (z.B. Schweiz) gehören oder uns Dienstleister (z.B. Microsoft) mit Firmensitz, Konzernmutter oder einem Rechenzentrum in Drittstaaten fallweise unterstützen, kann hierbei eine Weitergabe leider nicht ausgeschlossen werden. In solchen Fällen stellen wir im Rahmen unserer Möglichkeiten sicher, dass nur Zugriff auf solche Daten erfolgt, die für das Erbringen der konkreten Aufgabe erforderlich sind und zudem entsprechende Sicherheitsmaßnahmen (z.B. Angemessenheitsbeschluss der EU-Kommission, EU-Standardvertragsklauseln) getroffen sind.
Das Datenschutzniveau wird gegenüber Microsoft durch den Abschluss von ergänzten EU-Standard-datenschutzklauseln und technisch-organisatorischer Maßnahmen gewährleistet. Unter anderem dadurch, dass Daten während des Transports über das Internet transportverschlüsselt sind und vor einer Offenlegung gegenüber Dritter generell geschützt sind. Im Hinblick auf personenbezogene Daten, die durch Microsoft in den USA und Europa gespeichert werden und ggf. behördlichen Auskunftsersuchen von Behörden in den USA unterliegen können, garantiert Microsoft in einer Stellungnahme vom 20. Juli 2020, dass solche Verfügungen vor Gericht angefochten werden, mit denen der Zugang zu personenbezogenen Daten möglich wäre. Darüber hinaus hat Microsoft im Rahmen eines rechtlichen Vergleichs das Recht erworben, transparente Berichte über die Anzahl der an Microsoft gerichteten amerikanischen Anweisungen zur nationalen Sicherheit offen zu legen, des Weiteren wurden neue Richtlinien innerhalb der US-Regierung eingeführt, welche die Verwendung von Geheimhaltungsanweisungen eingeschränkt haben (Vgl. https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/). Das Datenschutzniveau wird gemessen an den voraussichtlichen Inhalten der Online-Meetings als ausreichend angesehen.
Weitere Informationen von Microsoft (Stand September 2021) finden Sie u.a. hier:
https://privacy.microsoft.com/de-de/privacystatement
https://www.microsoft.com/de-de/trust-center/privacy/gdpr-overview
https://news.microsoft.com/de-de/datenschutz-und-sicherheit-in-microsoft-teams-nutzer/
https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/
https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/
Microsofts Blog-Reihe „Im Daten-Dschungel“:
https://news.microsoft.com/de-de/im-daten-dschungel-datenschutz-von-a-bis-z/
https://news.microsoft.com/de-de/im-daten-dschungel-nach-welchen-regeln-wir-daten-verarbeiten/
https://news.microsoft.com/de-de/im-daten-dschungel-ende-zu-ende-verschluesselung-in-microsoft-teams/
Weiterführende Hinweise zur Datensicherheit und zum Datenschutz bei Microsoft Teams finden Sie hier: https://www.microsoft.com/en-us/microsoft-365/blog/2020/04/06/microsofts-commitment-privacy-security-microsoft-teams/

Ihre Rechte

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung mehr besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zu erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Zeitraum der Datenspeicherung

Sie haben im Rahmen der jeweiligen Regelungen vielfältige Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich diesbezüglich jederzeit an uns wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen die belegen, dass Sie die Person sind, für die Sie sich ausgeben. Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. Überdies haben Sie ein Widerspruchsrecht gegen die Verarbeitung sowie auf Datenübertragbarkeit jeweils im Rahmen der gesetzlichen Vorgaben. Und schließlich haben Sie das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.

Datenschutzbeauftragte

Unseren Datenschutzbeauftragten bzw. einen Ansprechpartner zum Datenschutz erreichen Sie unter: datenschutz<at>scheer-group.com sowie postalisch über die zu Beginn genannte Anschrift des Verantwortlichen.

Sonstige Hinweise

Bitte informieren Sie als Empfänger dieser Information entsprechende weitere hiervon betroffene Personen Ihres Hauses, sofern diese an unseren Diensten zur Kommunikation und Kollaboration über unsere Tools teilnehmen. Stand dieser Information ist September 2021. Wir behalten uns vor, diese Information bei Bedarf zu aktualisieren. Sie können zudem jederzeit eine aktuelle Fassung bei uns anfordern.