Datenschutzinformationen

Die nachfolgenden Informationen dienen der Erfüllung der Informationspflichten gemäß Art. 13 DSGVO im Zusammenhang mit dem Einsatz von MS365 durch die Hochschule für Musik und Theater Hamburg (HfMT). Die HfMT informiert Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von MS365-Diensten der HfMT. Die Informationen beziehen sich dabei insbesondere auf die mit der Nutzung verbundenen Datenverarbeitungszwecke, die Rechtsgrundlagen der Datenverarbeitungen sowie die Ihnen nach der DSGVO zustehenden Betroffenenrechte.

Bevor die HfMT Sie im Einzelnen gemäß Art. 13 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten informiert (siehe unter B. Datenschutzinformationen gemäß Art. 13 DSGVO), folgende, allgemeine Hinweise:

Bei der Nutzung von MS365-Diensten der HfMT umfasst deren datenschutzrechtliche Verantwortlichkeit allein die Bereitstellung der zu dienstlichen Zwecken, der für Sie im Rahmen Ihres Studiums oder der für Sie bereitgestellten lizenzierten MS365-Dienste bzw. Inhalte. Auf darüberhinausgehende Verarbeitungen personenbezogener Daten durch Microsoft (z. B. auf der Microsoft-Website) hat die HfMT keinen Einfluss, so dass Microsoft für solche Verarbeitungen datenschutzrechtlich selbst verantwortlich im Sinne der DSGVO ist.

Diese Datenschutzinformationen berücksichtigen keine Datenverarbeitungen, die in Zukunft gegebenenfalls mit Hilfe von MS365-Diensten durchgeführt werden können, z. B. aufgrund der Implementierung neuer Technologien oder Einführung neuer Dienste oder Funktionen innerhalb von MS365. Unter anderem deswegen kann es notwendig werden, die nachfolgenden Informationen jederzeit zu ändern oder zu ergänzen. Sofern Änderungen oder Ergänzungen notwendig werden, wird die HfMT Sie hierüber gesondert informieren.

a. Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO)

Für die Verarbeitung Ihrer personenbezogenen Daten Verantwortlicher im Sinne der DSGVO ist die

Hochschule für Musik und Theater Hamburg, vertreten durch ihren Präsidenten
Harvestehuder Weg 12
20148 Hamburg
praesident@hfmt-hamburg.de 

b. HfMT-Kontakt zu Fragen bzgl. des Einsatzes von MS365

Für Fragen zum Einsatz von MS365 an der HfMT können Sie sich an folgende Stelle wenden:

Hochschule für Musik und Theater Hamburg
Bernd Flickenschild
Harvestehuder Weg 12
20148 Hamburg
support@hfmt-hamburg.de

c. Datenschutzbeauftragte/r

Die/den Datenschutzbeauftragte/n der HfMT erreichen Sie unter

Datenschutzbeauftragte/r der Hochschule für Musik und Theater Hamburg
Harvestehuder Weg 12
20148 Hamburg
datenschutz@hfmt-hamburg.de

An der HfMT kommen mehrere Dienste von MS365 zum Einsatz. Hierbei werden im Rahmen der Nutzung von MS365-Diensten der HfMT abhängig vom jeweils eingesetzten Dienst unterschiedliche Kategorien personenbezogener Daten zu teils unterschiedlichen Zwecken verarbeitet.

Die HfMT informiert Sie unter diesem Punkt über die an der HfMT zum Einsatz kommenden Dienste von MS365. In der nachfolgenden Liste finden Sie Angaben zu jeweils einem konkreten MS365-Dienst. Es werden die mit dem jeweiligen Dienst verfolgten Datenverarbeitungszwecke sowie die dabei verarbeiteten personenbezogenen Daten bzw. Kategorien personenbezogener Daten dargestellt. Am Ende der Beschreibung des jeweiligen MS365-Dienstes werden Ihnen schließlich die Rechtsgrundlagen der entsprechenden Datenverarbeitungen mitgeteilt. Für verschiedene Mitglieder der HfMT sowie weitere, von den Datenverarbeitungen betroffene Personen (= Bedienstete bzw. Beschäftigte der HfMT, Studierende, Externe wie etwa Gäste oder Kollaborationspartner:innen, insgesamt nachfolgend als „Statusgruppen“ bezeichnet, wenn zu sämtlichen Betroffenengruppen ausgeführt wird) können unterschiedliche Rechtsgrundlagen einschlägig sein. Daher finden Sie zusätzliche Hinweise darüber, für welche Statusgruppe welche Rechtsgrundlagen jeweils einschlägig sind.

Beim Einsatz von MS365-Diensten der HfMT ist im Sinne der DSGVO Empfänger Ihrer Daten die Microsoft Ireland Operations, Ltd. mit Sitz in der Europäischen Union (EU), konkret in Dublin, Irland. Ihre bisher überwiegend auf lokalen Servern der HfMT verarbeiteten personenbezogenen Daten ruhen somit weiterhin grundsätzlich auf europäischen Servern. Die Microsoft Ireland Operations, Ltd. wird gleichzeitig als Auftragsverarbeiter im Sinne der DSGVO für die HfMT tätig. Das bedeutet, dass Ihre personenbezogenen Daten bei der Nutzung von MS365-Diensten der HfMT im Auftrag der HfMT verarbeitet werden und hierfür ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zwischen der HfMT und Microsoft geschlossen wurde.

Grundsätzlich besteht seitens der HfMT nicht die Absicht, Ihre personenbezogenen Daten an ein Drittland zu übermitteln. Drittländer im Sinne der DSGVO sind solche Länder, die außerhalb der EU sowie des Europäischen Wirtschaftsraums (EWR) liegen, wie z. B. die USA, und daher unter Umständen kein nach EU-Standards vergleichbares Datenschutz-Niveau bieten. Beim Einsatz von MS365-Diensten der HfMT kann eine Übermittlung Ihrer personenbezogenen Daten über die Microsoft Ireland Operations, Ltd. in Drittländer, insbesondere in die USA an die Microsoft Corporation, jedoch nicht vollständig ausgeschlossen werden. Auch die USA werden nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) grundsätzlich als ein Land mit einem unzureichenden Datenschutz-Niveau nach EU-Standards angesehen. Ein ausreichendes Datenschutz-Niveau für Datenübermittlungen in die USA ist allerdings in den Fällen gegeben, in denen die Datenempfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind. Beim DPF handelt es sich um einen Angemessenheitsbeschluss der EU-Kommission im Sinne der DSGVO, nach dem Übermittlungen personenbezogener Daten in die USA vorgenommen werden dürfen, da nach Auffassung der EU-Kommission bei Vorliegen genannter Zertifizierungen ein angemessenes Schutzniveau gewährleistet ist.  Für die Microsoft Corporation liegt aktuell eine gültige Zertifizierung nach dem DPF vor.

Sofern beim Einsatz von MS365-Diensten der HfMT eine Übermittlung Ihrer personenbezogenen Daten über die Microsoft Ireland Operations, Ltd. in  Drittländer erfolgt, für die kein Angemessenheitsbeschluss gefasst wurde, geschieht dies auf Basis von sogenannten Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO (engl. umgangssprachlich auch Standard Contractual Clauses, SCCs, genannt), die zuvor von der EU-Kommission genehmigt wurden. Auf Nachfrage können Ihnen diese geeigneten Garantien zur Sicherstellung eines angemessenen Schutzniveaus bereitgestellt werden. Darüber hinaus hat sich Microsoft gegenüber der HfMT vertraglich über den zuvor erwähnten Auftragsverarbeitungsvertrag zu weiteren Sicherungsgarantien und Maßnahmen zum Schutz personenbezogener Daten und der betroffenen Personen verpflichtet.

Die HfMT ist gesetzlich verpflichtet, Ihre bei der Nutzung von MS365-Diensten der HfMT anfallenden personenbezogenen Daten für eine gewisse Zeit aufzubewahren. Ihre personenbezogenen Daten werden daher bei der Nutzung von MS365-Diensten der HfMT wie folgt gespeichert:

Die Speicherdauer richtet sich grundsätzlich nach der Zugehörigkeit in einer sogenannten MS365-Gruppe. Es wird hierbei in Besitzer (Owner) und Mitglieder (Member) einer Gruppe unterschieden (bspw. entsprechend Anzeige eines Teams in MS365-Teams). Diese Zugehörigkeiten werden über den Group-Lifecycle-Prozess gesteuert, welcher definiert, wann eine Gruppe erstellt, verändert und gelöscht wird.

Nach automatisiertem Gruppenablauf werden die Inhalte bis zu 180 Tagen in einem Aufbewahrungscontainer gespeichert.​ Das bedeutet: Werden z. B. MS365-Gruppen oder Konten der Nutzenden gelöscht, werden die zugehörigen Inhalte nicht sofort physisch entfernt, sondern zunächst in einen speziellen Bereich („Container“) verschoben, wo sie für den festgelegten Zeitraum (bis zu 180 Tage) weiter zugänglich bzw. wiederherstellbar sind.​

Danach werden die Daten aus dem Aufbewahrungscontainer automatisiert und bei fehlender Archivwürdigkeit endgültig gelöscht. Dies dient dem Schutz vor unbeabsichtigtem Datenverlust und unterstützt die Einhaltung gesetzlicher und organisatorischer Aufbewahrungsfristen unter Einhaltung der DSGVO-Anforderungen.

Die konkrete Frist und die Konfiguration der Ablaufrichtlinie ist von der jeweiligen Gruppen- und Richtlinieneinstellung abhängig.

Logdaten werden von Microsoft automatisch gelöscht - derzeit maximal nach 13 Monaten.

Im Übrigen werden Ihre personenbezogenen Daten, die nicht von den zuvor genannten Speicherfristen erfasst sind, nur so lange gespeichert, wie es für die oben unter Ziffer 2 genannten Zwecke erforderlich ist.

Sämtliche der genannten Fristen gelten nicht, sofern abweichend davon längere Speicher- oder Aufbewahrungszeiträume und/oder Dokumentationspflichten gesetzlich für die HfMT vorgeschrieben sind z. B. nach der Abgabenordnung (AO), Landeshaushaltsordnung oder dem Handelsgesetzbuch (HGB). Eine weitere Ausnahme von den genannten Fristen kann sich etwa daraus ergeben, dass Ihre personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin erforderlich sind. In derartigen Fällen werden Ihre personenbezogenen Daten nur noch für entsprechenden Zweck verarbeitet, weitere Datenverarbeitungen erfolgen dann nicht mehr.

Nach Ablauf der genannten Speicherfristen werden etwaige Dokumente, die bei der Nutzung von MS365-Diensten der HfMT verarbeitet wurden und personenbezogene Daten von Ihnen enthalten, dem Universitätsarchiv Hamburg zur Übernahme angeboten. Sofern keine Übernahme erfolgt, werden Ihre personenbezogenen Daten aus den MS365-Diensten der HfMT endgültig gelöscht.

Ihrer personenbezogenen Daten, Erforderlichkeit der Bereitstellung zum Abschluss eines Vertrages

Die Bereitstellung einiger personenbezogenen Daten, wie z.B. Kommentare, Teilen etc., ist nicht verpflichtend, sondern erfolgt freiwillig.

Für Beschäftigte gilt, dass in Hinblick auf einige Daten zwar keine gesetzliche Verpflichtung besteht, die Daten bereitzustellen. Allerdings kann die Durchführung des Arbeitsvertrages ohne die Bereitstellung Ihrer Daten nicht möglich sein und dies kann weitere individuelle Folgen nach sich ziehen.

Für Studierende gilt, sofern Sie Ihre personenbezogenen Daten nicht bereitstellen, können Sie gegebenenfalls an studienrelevanten Veranstaltungen nicht teilnehmen, falls diese einen entsprechenden MS365-Account zur  Authentifizierung erfordern.

Für Externe gilt, dass die Bereitstellung Ihrer personenbezogenen Daten weder gesetzlich noch vertraglich vorgeschrieben ist. Sofern Sie in die Verarbeitung Ihrer Daten nicht einwilligen, hat dies für Sie keine negativen Folge.

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO findet im Rahmen der Nutzung von MS365-Diensten der HfMT nicht statt.

Im Zusammenhang mit zuvor beschriebenen Datenverarbeitungen stehen Ihnen folgende Rechte zu:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung unrichtiger oder unvollständiger, Sie betreffender personenbezogener Daten nach Art. 16 DSGVO
• Recht auf Löschung Ihrer personenbezogenen Daten bzw. ein „Recht auf Vergessenwerden“ unter den Voraussetzungen des Art. 17 DSGVO. Ein Anspruch auf Löschung hängt von den gesetzlich festgelegten Bedingungen und Einschränkungen ab.
• Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten unter den Voraussetzungen des Art. 18 DSGVO.  Ein Anspruch auf Einschränkung der Verarbeitung hängt von den gesetzlich festgelegten Bedingungen und Einschränkungen ab.
• Recht auf Datenübertragbarkeit unter den Voraussetzungen des Art. 20 DSGVO
• Beruht die Verarbeitung auf Art. 6 Abs. 1 lit. e) oder f) DSGVO, haben Sie ein Recht, aus Gründen die sich aus Ihrer besonderen Situation ergeben auf Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO. In diesem Fall verarbeiten wir diese Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige, Ihre Interessen, Rechte und Freiheiten  überwiegende Gründe für die Verarbeitung nachweisen, oder die  Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von  Rechtsansprüchen.
• Sofern die Verarbeitung Ihrer Daten auf einer von Ihnen abgegeben Einwilligungserklärung beruht, haben Sie zudem das Recht auf jederzeitigen Widerruf der von Ihnen erteilten Einwilligung nach Art. 7 Abs. 3 DSGVO. Die Erklärung des Widerrufs kann formlos erfolgen und bedarf keiner Begründung. Ein von Ihnen abgegebener Widerruf würde für die Zukunft wirken. Das bedeutet, dass er nicht die Rechtmäßigkeit der Verarbeitungen, die vor dem Widerruf Ihrer Einwilligung erfolgt ist, berühren würde;
• Zur Ausübung Ihrer Rechte können Sie sich unter anderem an den oben unter Ziffer 1b genannten Kontakt wenden. Bei weiteren Fragen berät Sie gern unsere/r Datenschutzbeauftragte/r, die/den Sie unter den in Ziffer 1c genannten Kontaktdaten erreichen können.
• Im Übrigen steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.