Datenschutz

Teil 1 Verarbeitung: Datenschutzerklärung für die Webseite

Teil 2 Verarbeitung: Datenschutzerklärung für Microsoft 365

Verantwortlicher

KöllnService GmbH

Am Linder Kreuz 67

51147 Köln

Eintragung ins Handelregister Köln: HRB 110108

Vertreten durch: Raphael Köllner

Datenschutzerklärung für die Webseite

Webseite: https://koellnservice.de

Hoster

Wir nutzen zum Betrieb dieser Webseite den Dienstleister IONOS (1&1) mit einem Hosting der Webseite in Deutschland inklusive der Domain und des SSL Zertifikates.

Statistik und Tracking

Im Rahmen des Hostings werden Leistungsdaten von IONOS in unserem Auftrag als Auftragnehmer erhoben. Diese werden lediglich zur Gewährleistung und Sicherheit des Betriebs dieser Webseite genutzt. Zusätzliche Analysewerkezeuge sind nicht installiert, als die Standardwerkzeuge von IONOS für Webseitenbetreiber.

Erhoben werden durch IONOS die folgenden Werte:

  • Besucher (anonymisiert)
  • Seitenaufrufe pro Sitzung
  • Meist besuchte Seiten
  • Sitzungen
  • Seitenaufrufe
  • Suchmaschinen-Robots
  • Dauer pro Sitzung
  • Absprungrate
  • Einstiegsseite und Ausstiegsseite
  • Meist besuchte Seiten
  • Seiten mit hoher Absprungrate
  • Alle Herkunftsseiten (Suchmaschine, Direkt, Andere)

Wir erhalten keine genaueren Informationen über die Nutzer:innen. Es sind anonymisierte Werte, die wir nicht auf einzelne Personen rückführen können.

Kontakt per kontakt@koellnservice.de

Wir nutzen für die E-Mailadresse einen europäischen Exchange Online Server der Firma Microsoft über ein Microsoft 365 Abonnement mit der entsprechenden Vertragsgrundlage und der Möglichkeit verschlüsselt per PGP, S/MIME und OME zu kommunizieren. Hinter der Adresse liegt eine Shared-Mailbox mit einer Archivierung und damit Verarbeitungsdauer von maximal 7 Jahren (6+1) im Rahmen der Anforderungen des § 147 AO und § 238 HGB.

Wir bitten Sie immer verschlüsselt mit uns zu kommunizieren und uns rechtzeitig z.B. ihren PGP Schlüssel zur Verfügung zustellen.

Cookies

Wir nutzen keine Cookies zum Betrieb der Webseite für Besucher:innen. Lediglich zur Bearbeitung und Verwaltung der Webseite werden Session-Cookies eingesetzt. Die Erhebung der oben erwähnten Daten findet am Webserver statt.

Bilder und Inhalte

Alle verwendeten Bilder auf dieser Seite liegen in den Urheberrechten der Köllnservice oder der Partner (Logos/Werbebilder). Wir nutzen keine Inhalte von Dritten.

Betroffenenrechte

Sollten Fragen zum Umgang mit Ihren personenbezogenen Daten offenbleiben, können Sie sich gerne an unsere(n) Datenschutzbeauftragte(n) wenden. Die Kontaktdaten finden Sie in dieser Datenschutzerklärung unter der Überschrift „Datenschutz – Kontakt“.

Sie haben das Recht eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten durch uns verarbeitet werden. Ist dies der Fall, geben wir Ihnen gerne Auskunft über diese personenbezogenen Daten und die in Art. 15 DSGVO aufgeführten Informationen.

Darüber hinaus steht Ihnen unter den jeweiligen gesetzlichen Voraussetzungen das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Löschung (Art. 17 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) zu.

Sie haben unter den gesetzlichen Voraussetzungen das Recht Widerspruch gegen die Verarbeitung einzulegen (Art. 21 DSGVO).

Daneben haben Sie die Möglichkeit in den „Datenschutz-Einstellungen“ Ihre erteilten Einwilligungen zu widerrufen und Einstellungen vorzunehmen.

Unbeschadet dieser Rechte und der Möglichkeit einer Geltendmachung eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs, haben Sie jederzeit die Möglichkeit, Ihr Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, geltend zu machen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist die:

Landesbeauftragte für Datenschutz und Informationsfreiheit

Nordrhein-Westfalen

Postfach 20 04 44

40102 Düsseldorf

Datenschutz – Kontakt

Sie wollen Kontakt bezüglicher ihrer Betroffenenrechte, dann nutzen Sie bitte die folgenden Adresse:

datenschutz@koellnservice.de

Datenschutzerklärung für den E-Mail und Microsoft Teams Kontakt

Wir nutzen Microsoft 365 / Windows 11 Enterprise für die Bearbeitung und Bereitstellung unserer Dienstleistungen. Diese Produkte wurden Risiko minimierend für die Betroffenen konfiguriert, eine DSFA durchgeführt, werden selbst verwaltet und bereitstellt.

ProduktVerarbeitung
Exchange OnlineEuropa
Microsoft TeamsEuropa
SharePoint OnlineEuropa
AADEuropa

Ebenfalls nutzen wir ein lokales QNAP-NAS Systeme mit RAID 5 Verbünden, um sensible Daten verschlüsselt, klassifiziert und offline zu speichern. Ein QNAP dient mit VEEAM als Backupsystem. (Deutschland)

Wir klassifizieren alle Dokumente und Emails und können Ihnen einen sicheren Datenaustausch auch außerhalb von Microsoft 365 anbieten.

Uns ist bewusst, dass im Rahmen der Nutzung von Microsoft 365 gerade Telemetrie- und Diagnosedaten über Microsoft Irland zu Microsoft Corp pseudonimisiert transfersiert werden. Ebenso wird noch bis Ende 2022 der Support auch mit einem Datentransfer in die USA passieren, sowie auch über 2022 hinaus eine Übertragung in die USA aus Gründen der Cybersecurity bei Angriffen. Diese Übertragung wurde durch uns minimiert und ist über EU-Standardvertragsklauseln und zusätzliche TOMs (wie Datenklassifizierung, onPrem Speicherung im QNAP-System) abgesichert.

Kontakt zum Datenschutz

datenschutz@koellnservice.de

Datenschutzerklärung für Webinare mit Live Events

Wir setzen für unsere Webinare mittels Microsoft Teams Live Events ein. Diese Live Events ermöglichen eine möglichst anonyme Teilnahme zu. Sie können mit allen gängigen Browsern teilnehmen oder mit Ihrem Microsoft Teams Client.

Support und Informationen zu Live Events: https://koellnservice.de/webinar-support

Datenverarbeitung / Cookies im Webbrowser

Im Rahmen des Streams des Webinars zu Ihnen kann es gerade bei Nutzung des Teams Clients dazu kommen, dass personenbezogene Daten, sowie Daten zu Ihrer Hardware aufgezeichnet wird. Dies dient lediglich der sicheren technischen Übertragung und gegebenfalls des Supportes während des Webinars. Es haben lediglich 2 Personen Zugriff auf diese Daten mittels PIM und sind zusätzlich belehrt worden.

Folgende Daten können verarbeitet werden:

  • Teams ID
  • Teilnehmeranzahl
  • Zeit von wann bis wann
  • Ansichten
  • Fragen gestellt / eigene Angabe im Feld „Name“

Es werden keine Berichte zum Teilnehmerengagement generiert.

Wir bitten Sie in einem inPrivate Browser teilzunehmen und die Fragen anonym zu stellen. Mit dieser anonymen Teilnahme entstehen Ihnen keine Nachteile.

Lösch- und Sperrfrist

Die Daten werden für maximal für 120 Tage gespeichert und dann automatisch vom System gelöscht. Eine weitere Verarbeitung ist nicht geplant, außer es gibt gesetzliche Pflichten beispielsweise im Rahmen eines Gerichtsverfahrens. Hier wird der betreffende Nutzer/in vorab informiert.

Youtube – Veröffentlichung

Alle Webinare werden im Youtube Kanal veröffentlicht. Es wird nur der Ton und das Video, sowie der Screen der Referenten gezeigt und veröffentlicht. Es werden keine Namen oder personenbezogenen Daten von Teilnehmer:innen veröffentlicht.

https://www.youtube.com/channel/UCWkSL2TJAC_VWZNWeg0JZhA

Youtube Privacy Hinweis: https://policies.google.com/privacy?hl=en

Folien

Teilnehmer:innen erhalten im Nachgang die Folien per OneDrive Link. Der OneDrive ist ein europäischer SharePoint Online, der in Amsterdam und Dublin liegt. Der Download ist ohne Eingabe eines Benutzeraccounts zeitlich begrenzt möglich. Es kann sein, dass Sie teilweise ein vom Dozenten vergebenen Passwort eintippen müssen. Der OneDrive ist per sicherheitstechnisch von Microsoft und mittels Defender for Cloud Apps abgesichert, dass Benutzer die Datei nicht verändern, austauschen oder Schadcode einschleusen können.

Datenschutzerkärung Microsoft 365

Informationen zum Datenschutz für Kollaboration und Kommunikation mittels Microsoft 365

Mit diesen Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft 365. Bei Microsoft 365 handelt es sich um eine Sammlung und Zusammenstellung verschiedenster Werkzeuge und in der Plattform erstellter Anwendungen zum Zwecke der Kollaboration, der Sicherheit, des Datenschutzes und der Verarbeitung von verschiedensten Daten. Der Kern dieser Zusammenstellung umfasst vor allem die Werkzeuge Exchange Online (E-Mail, Kalender, Adressbuch, Aufgaben), SharePoint Online (Speicherung, Verarbeitung, Applikationsplattform) und Microsoft Teams (Kollaboration, Chat, Meeting und Telefonie). Ergänzend kommen hinzu Sicherheitswerkzeuge wie die Defender Produktreihe, Intune als App- und Geräteveraltungswerkzeug und Whiteboard (digitales Whiteboard).

Diese Datenschutzerklärung umfasst nicht die Drittapplikationen und Schnittstellen Dritter, die an die Microsoft 365 Plattform angebunden wurden. Hierfür verweisen wir auf die gesonderten Datenschutzerklärungen innerhalb der nicht zu Microsoft 365 gehörenden Applikationen.

1.    Wer ist für die Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrechts ist der jeweilige Konzernteil und damit die Gesellschaft, die Microsoft 365 einsetzt und Ihre Daten verarbeitet.

KöllnService GmbH
Am Linder Kreuz 67
51147 Köln

vertreten durch: Raphael Köllner (Geschäftsführung)

Telefon: 015155301818

E-Mail: kontakt@koellnservice.de

Kontakt zum Datenschutzbveauftragten:

KöllnService GmbH
Datenschutzbeauftragter
Am Linder Kreuz 67
51147 Köln

datenschutz@koellnservice.de

2.    Welche personenbezogenen Daten werden verarbeitet und zu welchen Zwecken?

Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Bereitstellung eines modernen Arbeitsplatzes mittels Microsoft 365, welches eine optimale Lösung für Kollaboration und Kommunikation innerhalb und außerhalb der KöllnService Gruppe bietet. Ein weiterer Zweck ist die Bereitstellung und der sichere und reibungslose Betrieb von Microsoft 365 und dessen Werkzeugen.

Unter Kollaboration wird hier beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen und innovative Werkzeuge verstanden.

Die Bereitstellung und der reibungslose Betrieb von Microsoft 365 gehört ebenfalls zu einem der Zwecke, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z.B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden. Hierzu wird eine Offenlegung der Informationen an Microsoft vorgenommen, welche durch den Verantwortlichen autorisiert ist, um diesen Betrieb sicherzustellen.

3.    Welche Arten von personenbezogenen Daten?

Im Rahmen der Nutzung von Microsoft 365 werden personenbezogenen Daten verarbeitet. Eine Verarbeitung von personenbezogenen Daten kann automatisch erfolgen oder durch Eingabe durch Nutzerinnen und Nutzer.

Personenbezogene Daten werden im Rahmen von User-ID-basierten (mit M365-Benutzerkonto der KöllnService) sowie nicht User-ID-basierten Vorgängen (Business2Business-User, z. B. externe Personen ohne M365-Benutzerkonto der KöllnService) verarbeitet.  

Es könnten Daten auch in Drittanbieter Apps verarbeitet werden. Diese sind aktuell deaktiviert.

Zum Zweck der Kollaboration mit bzw. zwischen Usern und Gästen (User-ID-basierte Vorgänge) innerhalb des Tenants sowie des sicheren IT-Betriebes werden von diesen folgenden personenbezogenen Daten verarbeitet:

  1. Dokumente und Dateien

Diverse Arten von Dokumenten und Dateien können verarbeitet werden.

  • Kommunikationsdaten des Nutzers

Chat, Videotelefonie, Live-Übertragungen von Ton und ggf. Bild und Bildschirm, Foto,

  • Kommunikationsdaten durch das System erzeugt

Zeitpunkt, Ort, Jitter-Wert, Datentransferrate, IP-Adresse, Gerätebezeichnung

  • Personenbezogene Basisdaten für den Account (das Benutzerkonto) ergänzbar mit usergenerieten Angaben

Vorname, Nachname, Adresse, UPN (User principal name; technischer Benutzername), Telefonnummer, Position, Organisation, Mailadresse, Telefon- und Faxnummer

  • Authentifizierungsdaten

Logindaten, Passwort, Benutzername, Zeitpunkt, Ort

  • Kontaktinformationen
    Berufliche Kontakt-, Arbeits-, und Organisationsdaten (z.B. Name, E-Mail, Gesellschaft, Personalnummer, ggf. Foto etc.) und private Kontaktinformationen (Private Telefonnummern und Adresse).
  • Profilierung

Risikoprofil im Rahmen der Cybersecurity und IT-Sicherheit (z.B. Identitätsschutz)

  • Logfile mit Zugriffen

Metadaten und Administrative Ereignisse

  • System generierte Protokolldaten

Telemetrie- und Diagnosedaten, die von der Software erstellt werden.

  • Geräteinformationen (einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)
  • Cookies

Zum Zweck der sicheren und stabilen Bereitstellung der Dienste werden technisch notwenige Cookies eingesetzt. Diese kleinen dem Browser anheftenden Cookies sind zum Beispiel Authentifizierungscookies zum Single-Sign-On.

    4.    Kategorien der betroffenen Personen

    Die folgenden Personen können betroffen sein von der Verarbeitung bei Microsoft 365:

    Zusammenfassung der Personenkategorien:

    Externe Dienstleisterja
    Datenschutzkoordinatorja
    Beschäftigteja
    Betriebsratsmitgliedja
    Kundenja
    Leadsja
    Lieferantenja
    Bewerberja
    Praktikantenja
    Dritteja
    Ehemalige Beschäftigteja
    Freiberufliche Mitarbeiterja

    5.    Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten

    Die Rechtsgrundlage für den Betrieb von Microsoft 365:  

    • Beschäftigte Art. 6 Abs. 1 S. 1. lit. b) i.V.m. Arbeitsvertrag, i.V.m. Art 88 DSGVO
    • Externe Benutzergruppen Art. 6 Abs. 1 S. 1 lit. b) DSGVO i.V.m. entsprechenden Verträgen;

    Die Verarbeitungen für Zwecke der IT-Sicherheit (insb. Log-Dateien und Metadaten) sowie Cookies (Cookies und §25 Abs. 2 TTDSG) gründen sich auf Art. 6 Abs. 1 lit. b i.V.m. Arbeitsvertrag. Die von den Verantwortlichen verfolgten berechtigten Interessen umfassen folgende:

    • Feststellung missbräuchlicher Nutzung;
    • IT-Sicherheit und kontinuierliche Verbesserung der Dienste.

    Sollten bei internen Veranstaltungen Bild- und Tonaufnahmen erstellt werden erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung).

    Verarbeitungen in Einzelnen

    Identitätsmanagement

    Im Rahmen des Identitätsmanagements mit Azure Active Directory (AAD) werden zentral Identitäten, Geräte und Applikationen zentral in Microsoft 365 verarbeitet. Insbesondere werden alle mit Microsoft 365 verknüpften Identitäten mit der Umgebung von KöllnService, sowie Gäste verarbeitet. Dies ermöglicht den sicheren Zugang und Nutzung diverser Microsoft 365 Applikationen.

    Datenkategorien

    1-11

    weitere Rechtsgrundlagen für den Einsatz

    Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art 88 DSGVOBild des/der Beschäftigen  
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art. 88 DSGVOLokation des/der Beschäftigten (z.B. bei Verlust des verwalteten Gerätes über Intune, MFA)

    E-Mail, Kalender und Aufgaben

    Im Rahmen der Datenverarbeitung in Bezug auf E-Mails, Kalenderdaten und Aufgaben im Speziellen in der Exchange hybriden Umgebung.

    Datenkategorien

    1,2,3,4,5,6,7,8,9,10

    Weitere Rechtsgrundlagen für den Einsatz

    Art. 6 Abs. 1 S. 1. lit. b),DSGVO  mit dem BeschäftigungsverhältnisBeschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b) DSGVOExterne Personen, zur Vertragsverfüllung oder Vertragsanbahnung
    Art. 6 Abs. 1 S. 1 lit. b) DSGVO Externe Personen, BewerberInnen

    Kommunikation: Chat

    Im Rahmen der Chat Kommunikation wird zwischen Beschäftigten und Mitgliedern und auch Gästen kommuniziert. Im Rahmen dessen können neben Chats auch Inhalte wie Dateien geteilt und gemeinsam mit Microsoft Teams bearbeitet werden.

    Datenkategorien

    1-11

    Weitere Rechtsgrundlagen für den Einsatz

    Art. 6 Abs. 1 S. 1. lit. b) DSGVO mit dem Beschäftigungsverhältnis  Beschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVOGeschäftspartnerInnen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVOOnlinebewerbungsbespräche mit BewerberInnen = zu Chat
    Art. 6 Abs. 1 S. 1 lit. a) bzw. e) DSGVOExterne Personen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art 88 DSGVOBild des Beschäftigen, Audiodateien  

    Kommunikation: Videokonferenzen

    Im Rahmen der Videokonferenzen mit Microsoft Teams wird sowohl Microsoft Teams Besprechungen als auch Microsoft Live Events eingesetzt.

    Datenkategorien

    1,3,4,5,6,7,9,10,11,

    Weitere Rechtsgrundlagen für den Einsatz

    Art. 6 Abs. 1 S. 1. lit. b DSGVO mit dem Beschäftigungsverhältnis  Beschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVOOnlinebewerbungsbespräche mit BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVOGeschäftspartnerInnen
    Art. 6 Abs. 1 S. 1 lit. a), bzw. e) DSGVO Art. 6 Abs. 1 S. 1 lit. a) DSGVOExterne Personen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVOAnwesenheitsberichte Löschung 90 Tage nach Ende der Besprechung

    Zusammenarbeit an Dokumenten und Dateien

    Im Rahmen der Zusammenarbeit an Dokumenten und Dateien wird meist SharePoint Online eingesetzt, ob direkt oder im Hintergrund.

    Datenkategorien

    1,2,4,5,9,10

    Weitere Rechtsgrundlagen für den Einsatz

    Art. 6 Abs. 1 S. 1. lit. b) DSGVO mit dem Beschäftigungsverhältnis  Beschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVOGeschäftspartner/Innen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Externe Personen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Beschäftigte im Bilderupload

    Kommunikation: Townhall Meeting

    Im Rahmen der größeren Videokonferenzen als Live Stream mittels Microsoft Teams werden wenige personenbezogene Daten verarbeitet.

    Art. 6 Abs. 1 S. 1. lit. b) DSGVO mit dem Beschäftigungsverhältnis  Beschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVO in Verbindung mit dem Dienstleistungs- oder WerkvertragGeschäftspartner/Innen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Externe Personen

    Kommunikation: Aufnahme von Besprechungen

    Art. 6 Abs. 1 S. 1. lit. b), a) DSGVO i.V. mit dem Beschäftigungsverhältnis  Beschäftigte, BewerberInnen
    Art. 6 Abs. 1 S. 1 lit. b), a) DSGVOGeschäftspartner/Innen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Externe Personen

    Kommunikation: Besprechungen mit sensiblen Datenklassen

    Im Rahmen der sicheren verschlüsselten Videokonferenzen kann es zu der Verarbeitungen von sensiblen Daten der Art 9,10 DSGVO kommen. Dies gilt beispielsweise für Wiedereingliederung, Mitarbeitergespräche, Gespräche mit Versicherungsnehmern und Compliance-, sowie Rechtsschutzfälle.

    Art. 6 Abs. 1 S. 1. lit.a) DSGVOBeschäftigte
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Geschäftspartner/Innen
    Art. 6 Abs. 1 S. 1 lit. a) DSGVO Kunden/Versicherungsnehmer

    Werkzeuge für Beschäftige zur Unterstützung des Arbeitsalltages

    Im Rahmen der Microsoft 365 Nutzung werden Werkzeuge zur Unterstützung der Arbeitsorganisation bereit gestellt. Diese können vom Beschäftigten ein und ausgeschaltet werden.

    Art. 6 Abs. 1 S. 1. lit. a) DSGVO  Beschäftigte, BewerberInnen

    Sicherheitsfunktionen

    Im Rahmen der sicheren und stabilen Bereitstellung von Microsoft 365 werden Sicherheitswerkzeuge aus dem Microsoft 365 Paket eingesetzt. Diese sind als Defender bekannt.

    Die Defender Produkte sollen den modernen Arbeitsplatz rund um Windows und Office, also die Microsoft 365 Umgebung bis zum Endgerät abzusichern. Dazu gehören Cybersecurity Werkzeuge von Antivir über Antispam und Schutz von Emails und deren Anhängen.

    Datenkategorien

    1-13

    Rechtsgrundlagen

    Art. 6 Abs. 1 S. 1. lit. b), e) DSGVO  Beschäftigte, Bewerberinnen
    Art. 6 Abs. 1 S. 1 lit. b), e) DSGVOExterne Personen
    Art. 6 Abs. 1 S. 1 lit. b), e) DSGVODienstleisterInnen

    Defender für Endpunkt

    Microsoft Defender für Endpunkt ist eine Endpunkt-Sicherheitsplattform für Unternehmen, die Unternehmensnetzwerken dabei helfen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und auf Sie zu reagieren.“

    Defender for Office 365

    Microsoft Defender for Office 365 ist ein cloudbasierter E-Mail-Filterdienst, der Ihre Organisation vor erweiterten Bedrohungen für E-Mail- und Zusammenarbeitstools wie Phishing, Kompromittierung geschäftlicher E-Mails und Malwareangriffe schützt. Defender for Office 365 bietet auch Untersuchungs-, Hunting- und Wartungsfunktionen, mit denen Sicherheitsteams Bedrohungen effizient identifizieren, priorisieren, untersuchen und darauf reagieren können.

    Internationaler Datentransfer

    Im Rahmen der Datenverarbeitung kann es zu einem internationalem Datentransfer kommen. Hierbei handelt es sich um Datentransfer im Supportfall und im Falle des Cybersecurity-Vorfalls.

    • Rückausnahmen Art. 49 Abs. 1 lit c) DSGVO für Zwecke a) und f) (s. bei „Offenlegung von Daten“).  
    • Rückausnahmen Art. 49 Abs. 1 lit. d) DSGVO für Zwecke b), c), d) e), g), h) (s. bei (Offenlegung von Daten).
    • Bei der Verarbeitung im Zwecke der Bereitstellung gilt die DSGVO unmittelbar für Microsoft als Auftragsdatenverarbeiter:
      • Unterauftragsverarbeiter
      • Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung

    Für Telemetrie- und Diagnosedaten wird abgestellt auf den Standard des DPA und den aktuellen EU- Standardvertragsklauseln, Art 46 Abs. 1 DSGVO für die Verkettung der Microsoft Irland Inc. zu Microsoft Corporation. Es wurde durch Konfiguration die Sammlung und Verarbeitung von Telemetrie- und Diagnosedaten auf ein Minimum reduziert und auch die Speicherung im Tenant reduziert. Ab Ende 2023 werden diese Daten nur noch in Europa verarbeitet und es besteht für personenbezogene Daten in diesem Bereich kein Datentransfer in die USA mehr.

    Microsoft Corporation

    • Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung zwischen Microsoft Irland und Microsoft Corporation.
    • Seit 10 Juli 2023 gilt ebenso das EU-US Data Privacy Framework als Angemessenheitsbeschluss als Rechtsgrundlage für Microsoft zur Datentransfer in die USA:

    6.    An welche Empfänger oder Kategorien von Empfängern geben wir Ihre Daten im Rahmen dieser Verarbeitungstätigkeit weiter?

    Auftragsverarbeiter

    Wir geben Ihre personenbezogenen Daten auch an von uns beauftragte Dienstleister im Rahmen von Auftragsverarbeitungen weiter (unter anderem z.B. an Microsoft Ireland Operations Ltd.).

    Dritte

    Externe erhalten im Einzelfall Daten, soweit dies erlaubt und zu den oben genannten Zwecken erforderlich ist. Diese umfassen u. a. die durch den Verantwortlichen beauftragte IT-Dienstleister im Rahmen ihrer administrativen Tätigkeiten (z.B. im Rahmen von Support- und Wartungsarbeiten).

    Darüber hinaus übermitteln wir Ihre personenbezogenen Daten, soweit gesetzlich vorgeschrieben, in Einzelfällen an Behörden zur Erfüllung gesetzlicher Mitteilungspflichten.

    7.    Wie übermitteln wir Daten ins außereuropäische Ausland?

    Wir übermitteln Daten auf der Basis von EU Standardvertragsklauseln in Verbindung mit Auftragsverarbeitungs-Vereinbarungen mit Microsoft (DPA). Dazu kommt eine Übermittlung der pseudonymisierten Telemetrie- und Diagnosedaten von Microsoft Irland zu Microsoft Corp. auf Basis von EU-Standardvertragsklauseln.

    8.    Wie lange speichern wir Ihre Daten?

    Wir speichern Ihre Daten so lange, wie dies zur Nutzung von Microsoft 365 erforderlich ist bzw. wir ein berechtigtes Interesse an der weiteren Speicherung haben.

    Vom Anwender explizit freigegebene Positionsdaten bzw. Standortdaten werden ausschließlich während der Besprechung verarbeitet. Eine darüber hinaus gehende Speicherung dieser Daten erfolgt nicht.

    Metadaten von Anrufen und Besprechungen werden maximal 180 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht.

    Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.

    E-Mails und Anlagen werden im Rahmen der gesetzlichen Aufbewahrungsfristen aufbewahrt und sodann gelöscht, wenn keine anderen Zwecke vorhanden sind.

    Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.

    Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.

    9.    Technisch-organisatorische Maßnahmen

    Im Rahmen der Verarbeitung ihrer personenbezogenen Daten haben wir eine Risikoanalyse für die Verarbeitung durchgeführt und darauf beruhend risiko-angepasste technische und organisatorische Maßnahmen eingeführt. Diese Maßnahmen werden regelmäßig geprüft und den bestehenden Risiken angepasst.

    Unter anderem haben wir folgenden Maßnahmen ergriffen:

    • Datenklassifikation
    • Monitoring und Überwachung der Umgebung
    • Einsatz von Customer Lockbox bei Zugriffen auf Kundendaten
    • Deaktivierung der Feedback-Funktion
    • Einschränkung der Funktionen der verbundenen und optional verbundenen Dienste
    • Vertragliche Maßnahmen und Zusatzverträge

    Azure Active Directory (AAD) und Single-ign-on (SSO)

    Azure Active Directory (ADD) wird insbesondere als Identitätssystem von Microsoft eingesetzt. Dieses ermöglicht es den Zugriff zu Anwendungen, Dateien und zu Geräten nach dem Need-to-Know-Prinzip zu steuern und zu überwachen. Darüber hinaus setzen wir MFA zur Absicherung der Accounts ein. Des Weiteren ermöglicht ADD eine automatische Anmeldung auf von KöllnService verwalteten Geräten.

    10.           Welche Datenschutzrechte haben Sie?

    Im Folgenden enumerieren wir die Ihnen nach dem Datenschutzrecht zustehenden Rechte, die Sie gegenüber dem Verantwortlichen jederzeit unentgeltlich geltend machen können.

    Auskunftsrecht: Sie haben das Recht, von uns Auskunft über die Verarbeitung Ihrer personenbezogenen Daten zu erhalten.

    Berichtigungsrecht: Sie haben das Recht, von uns die Berichtigung Sie betreffender unrichtiger bzw. unvollständiger personenbezogener Daten zu verlangen.

    Recht auf Löschung: Sie haben das Recht, bei Vorliegen der in Art. 17 DSGVO genannten Voraussetzungen, die Löschung Ihrer Daten zu verlangen. Danach können Sie beispielsweise die Löschung Ihrer Daten verlangen, soweit diese für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Außerdem können Sie die Löschung verlangen, wenn wir Ihre Daten auf der Grundlage Ihrer Einwilligung verarbeiten und Sie diese Einwilligung später widerrufen.

    Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn die Voraussetzungen des Art. 18 DSGVO vorliegen. Dies ist beispielsweise der Fall, wenn Sie die Richtigkeit Ihrer Daten bestreiten. Für die Dauer der Überprüfung der Richtigkeit der Daten können Sie dann die Einschränkung der Verarbeitung verlangen. 

    Recht auf Datenübertragbarkeit: Sofern die Datenverarbeitung auf der Grundlage einer Einwilligung oder einer Vertragserfüllung beruht und diese zudem unter Einsatz einer automatisierten Verarbeitung erfolgt, haben Sie das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Datenverarbeiter zu übermitteln.

    Widerrufsrecht: Sofern die Datenverarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Datenverarbeitung im Rahmen einer Einwilligung mit Wirkung für die Zukunft jederzeit kostenlos zu widerrufen.

    Beschwerderecht: Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz über die Verarbeitung Ihrer Daten zu beschweren.

    Widerspruchsrecht: Betroffene Personen haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Datenverarbeitung zu widersprechen, soweit diese auf der Rechtsgrundlage „berechtigtes Interesse“ beruht. Sofern betroffene Personen von ihrem Widerspruchsrecht Gebrauch machen, wird die Verarbeitung ihrer Daten eingestellt, es sei denn es können – gemäß den gesetzlichen Vorgaben – zwingende schutzwürdige Gründe für die Weiterverarbeitung nachgewiesen werden, welche den Rechten der betroffenen Personen überwiegen.