Wir möchten Sie über die Erhebung, Verarbeitung und Speicherung Ihrer personenbezogenen Daten bei Nutzung der Dienste von Microsoft 365 informieren. Wir nutzen Dienste von Microsoft 365 zur Bereitstellung und Betrieb von Arbeitsplätzen sowie zur Kommunikation mit internen und externen Kommunikationspartnern.
Name und Kontaktdaten des Verantwortlichen
Eurobase GmbH
17, Fausermillen
6689 Mertert
Luxemburg
Telefon: +352 74 92 921
Fax: +352 74 00 44
E-Mail: contact@eurobase.lu
Name und Kontaktdaten des Datenschutzbeauftragten
DURY Compliance & Consulting GmbH
Obertorstraße 1
66111 Saarbrücken
Deutschland
Email: dsb@datenschutz-compliance.de
weitere Verantwortliche und ihre Datenschutzbeauftragten
Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland,
Microsoft Corporation
One Microsoft Way Redmond, Washington 98052
Datenschutz
Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft
Daten, die wir verarbeiten und die wir bei Ihnen erheben
Die Daten, die wir erheben und verarbeiten, hängen von der Nutzungsart der Microsoft 365-Dienste ab.
Zweck der Verarbeitung
Bezug und Nutzung von Microsoft 365 als Hilfsmittel für den Betrieb von Arbeitsstätten sowie zur Kommunikation mit internen und externen Kommunikationspartnern (Microsoft Teams). Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen Support. Es werden auch Statistiken über die Nutzung erstellt.
Einschließlich Offenlegung für folgende Zwecke von Microsoft:
· Abrechnung- und Kontoverwaltung
· Vergütung
· Interne Berichterstattung und Modellierung
· Bekämpfung von Betrug
· Cyberkriminalität oder Cyberangriffen
· Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
· Finanzberichterstattung
· Einhaltung gesetzlicher Verpflichtungen
Welche Daten werden verarbeitet?
Bei der Nutzung der Microsoft 365-Dienste werden insbesondere die folgenden Datenkategorien verarbeitet:
1. Dokumente und Dateien
2. Aufgaben
3. Kommunikationsdaten
4. Personenbezogene Basisdaten
5. Authentifizierungsdaten
6. Kontaktinformationen
7. Profilierung
8. Logfile mit Zugriffen
9. Systemgenerierte Protokolldaten
Rechtsgrundlage für die Verarbeitung
Soweit wir personenbezogene Daten verarbeiteten, gelten für die Verarbeitung folgende Rechtsgrundlagen:
· Für Personen, die in Kommunikation und Dokumenten identifizierbar sind Art. 6 Abs. 1 lit. b DSGVO, wenn es sich um die Anbahnung oder Durchführung eines Vertragsverhältnisses handelt bzw. Art. 6 Abs. 1 lit. f DSGVO. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von Online-Meetings bzw. der effektiven Zuordnung von Dokumenten zu den entsprechenden Partnern.
· Für die Personen, die Microsoft 365 nutzen in der Rolle als Beschäftigter zudem Art. 6 Abs. 1 lit. b DSGVO
Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung)
· Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO sowie Art. 49 Abs. 1 lit c DSGVO (1. und 6.)
· Für vertraglich nicht erforderliche Zwecke Art. 49 Abs. 1 lit. d DSGVO (2.-5.,7.,8.)
Kategorien von Betroffenen
· Für Datenkategorien 1-9 Personen, die Microsoft 365 nutzen oder administrieren
· Für Datenkategorien 3, 8, 9 Personen, die in der Kommunikation und Dokumenten identifizierbar sind
Kategorien von Empfängern Ihrer personenbezogenen Daten
· Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
· Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
· Sowie deren Unterauftragsverarbeiter und Supportdienstleister
Übermittlung an Drittländer
Einige unserer eingesetzten Dienstleister (insbesondere Microsoft) sind U.S.-amerikanische Unternehmen, die Teile der Daten auch in Drittländern (hier USA) verarbeiten lassen. Als solche unterliegen Sie U.S.-amerikanischem Recht. Unter Umständen sind sie verpflichtet, U.S.-Behörden Daten offenzulegen. Darunter können im Einzelfall auch Ihre personenbezogenen Daten sein. Gegen diese Maßnahmen können Sie sich als E.U.-Bürger nicht in gleicher Weise wehren, wie es in der E.U. möglich wäre.
Unsere Dienstleister versichern alle einen hohen Stellenwert im Hinblick auf den Datenschutz, haben weitreichende Schutz- und Sicherheitsmaßnahmen zugesichert und haben mit uns Verträge mit sog. Standard-Datenschutzklauseln abgeschlossen.
· Microsoft Corporation
Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung
Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.
· Unterauftragsverarbeiter
Standarddatenschutzklauseln
· Für die Eurobase GmbH
Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Zwecke 1. und 6. (Vertragserfüllung)
Rückausnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke 2.-5., 7., 8. (eigene Zwecke von Microsoft)
Dauer der Speicherung
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zu erfüllen, Gewährleistungs- und ggf. Garantieansprüche zu prüfen und zu gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Ihre Rechte in Bezug auf Datenverarbeitungen
Ihnen stehen in Bezug auf Datenverarbeitungen bei Eurobase GmbH folgende Rechte zu:
Das Recht auf Auskunft, welche Daten wir über Sie verarbeiten (Art. 15 DSGVO)
Ihnen steht ein Recht auf Auskunft zu, welche Daten von Ihnen bei uns verarbeitet werden. Auf Anfrage teilen wir Ihnen gerne mit, um welche Daten es sich handelt. Zudem erhalten Sie weitere Informationen im gesetzlich definierten Umfang.
Das Recht auf Berichtigung Ihrer Daten, wenn sie inhaltlich falsch sind (Art. 16 DSGVO)
Sie haben ein Recht auf Berichtigung Ihrer Daten. Das ist insbesondere dann der Fall, wenn sich Tatsachen nachträglich ändern, wie etwa der Familienname und Familienstand bei einer Heirat. In diesem Fall berichtigen wir jegliche geänderten Daten.
Das Recht auf Löschung (Art. 17 DSGVO)
Werden Daten nicht mehr benötigt oder erfolgt die Verarbeitung im Einzelfall, ohne dass sie in dieser Weise erforderlich ist, haben Sie ein Recht auf Löschung der Daten. In diesen Fällen löschen wir Ihre Daten umgehend. In bestimmten Fällen kann jedoch eine Aufbewahrungsverpflichtung bestehen, sodass Ihre Daten leider nicht oder nicht vollständig gelöscht werden können. Wir halten Ihre Daten dann jedoch nur für den vorgesehenen Aufbewahrungszweck vor und verwenden sie selbstverständlich nicht mehr anderweitig (siehe Abschnitt 4.).
Das Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO)
Wenn die Daten einer Aufbewahrungsverpflichtung unterliegen, können wir die Daten leider nicht löschen. In diesem Fall schränken wir die Verarbeitung im größtmöglichen Maß ein. Die Verarbeitung wird außerdem eingeschränkt, wenn Sie die Berichtigung der Daten verlangen und noch nicht feststeht, inwiefern Änderungen vorzunehmen sind. Einschränkung der Ver-arbeitung bedeutet in der Regel, dass die Daten lediglich gespeichert sind aber für andere Zwecke gesperrt werden. Ein Zugriff durch Mitarbeiter ist grundsätzlich nicht mehr möglich.
Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf sogenannte Datenportabilität erlaubt Ihnen, Daten herauszuverlangen, die Sie uns selbst bereitgestellt haben.
Das Recht auf Widerspruch gegen die Verarbeitungen zu erheben, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO)
Wir stellen die Verarbeitung Ihrer Daten natürlich jederzeit ein, wenn der Widerspruch berechtigt ist. Das ist der Fall, wenn Ihr Interesse an der Einstellung unser Interesse an der Verarbeitung überwiegt. Teilen Sie uns deshalb bitte den Grund ihres Widerspruchs mit.
Beschwerderecht bei Aufsichtsbehörde
Sie haben das Recht, sich bei Fragen oder Beschwerden an eine Aufsichtsbehörde, insbesondere in dem EU-Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes und/oder des Ortes des vermeintlichen Verstoßes zu wenden.
Die für uns zuständige Aufsichtsbehörde ist:
Commission nationale pour la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tel.: (+352) 26 10 60-1
https://cnpd.public.lu/de/support/contact/contact-prive.html