Datenschutzinformationen zur Verarbeitung personenbezogener Daten in Microsoft Teams für das Finanzamt Merzig
1 Wer ist für die Datenverarbeitung verantwortlich?
Finanzamt Merzig
Am Gaswerk 9
66663 Merzig
Kontaktadresse: Poststelle@famzg.saarland.de
2 Wer ist zuständiger Datenschutzbeauftragter?
Unsere*n Beauftragte*n für den Datenschutz erreichen Sie postalisch unter der nebenstehenden Adresse Lisa-Marie Getrey-Burgio, Virchowstraße 7, 66119 Saarbrücken mit dem Zusatz „z.Hd. Datenschutzbeauftragte*r“ oder elektronisch unter: Datenschutz-LZD@finanzen.saarland.de
3 Was ist der Zweck der Verarbeitung?
Zweck der Verarbeitung Ihrer Daten ist Ihre Teilnahme an einer (Video-)Konferenz in Microsoft Teams, einem Dienst, der von der Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521 („Microsoft“) als unserem Auftragsverarbeiter bereitgestellt wird. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag geschlossen.
3.1 Verarbeitung personenbezogener Daten bei der Teams-Nutzung zur Anmeldung und Durchführung der (Video-)Konferenz
Zum Zweck Ihrer Teilnahme an einer (Video-)Konferenz in Microsoft Teams verarbeiten wir Ihre Daten zu folgenden Zwecken:
- Zur Planung der (Video-)Konferenz verarbeiten wir Ihren Namen und ihre E-Mailadresse, um Ihnen eine Einladung zu senden und den Termin im Kalender
einzutragen.
- Zur Durchführung der (Video-)Konferenz und zur Ermöglichung Ihrer Teilnahme daran wird Teams Sie in einem Voranmelde-Bildschirm dazu
auffordern, Ihren Namen anzugeben, damit alle anderen Teilnehmer Sie identifizieren können. Sie haben hier jedoch die Möglichkeit, einen beliebigen Namen oder ein Pseudonym anzugeben. Allerdings bitten wir Sie im Interesse einer klaren Zuordnung und einer transparenten Diskussion, Ihren korrekten Namen anzugeben. Sofern Sie über einen Teams-Account verfügen, verarbeiten wir Ihren zum Account hinterlegten Namen und die Nutzerkennung sowie sonstige Ihrerseits gemachten Angaben. In jedem Fall verarbeiten wir die IP-Adresse, mit der Sie eine Verbindung mit Microsoft Teams aufbauen.
Während der (Video-)Konferenz werden Audio- und / oder Videodaten Ihres Endgerätes für die Kommunikation zwischen den übrigen teilnehmenden Personen verarbeitet, wenn Sie Ihr Mikrofon und / oder Ihre Kamera aktivieren.
Bei der Nutzung der Chat-Funktion werden die von Ihnen eingegebenen Inhalte, die auch personenbezogene Daten enthalten können, verarbeitet und den Teilnehmern Ihr Name und der Inhalt der Nachricht angezeigt.
3.2 Verarbeitung personenbezogener Diagnosedaten
Im Rahmen Ihrer Nutzung von Microsoft Teams werden neben den unter Ziffer 3.1 genannten personenbezogenen Daten auch Diagnosedaten verarbeitet, um
die Sicherheit und Verfügbarkeit des Dienstes zu Gewährleisten.
Welche dies im Einzelfall sind, hängt davon ab, ob Sie an der (Video-)Konferenz mit der mobilen App oder einer Desktopanwendung teilnehmen.
- Mobile Diagnosedaten:https://learn.microsoft.com/de-de/microsoftteams/policy-control-diagnostic-data-mobile
- Desktop Diagnosedaten:https://learn.microsoft.com/de-de/microsoftteams/policy-control-diagnostic-data-desktop
Die Diagnosedaten werden von Microsoft in unserem Auftrag anonymisiert, um eine weitere Nutzung durch Microsoft zu Zwecken der Abrechnungs- und Kontoverwaltung, interne Berichterstattung und Geschäftsmodellierung sowie Finanzberichterstattung zu ermöglichen. Bei den von Microsoft verarbeiteten anonymisierten Daten handelt es sich nicht mehr um personenbezogene Daten.
4 Was ist die Rechtsgrundlage der Verarbeitung?
Rechtsgrundlage der Verarbeitung personenbezogener Daten von Beschäftigten der saarländischen Landesverwaltung in Ausübung ihres Amtes ist § 22
SDSG bzw. § 26 BDSG sowie § 95 Abs. 3 SBG. Rechtsgrundlage der Verarbeitung personenbezogener Daten von anderen als den vorgenannten (Video-) Konferenzteilnehmenden ist Art. 6 Abs. 1 S. 1 lit. e) DSGVO i.V.m. § 4 SDSG bzw. im Fall besonderer Kategorien personenbezogener Daten § 8 SDSG, § 9 Abs. 2 DSGVO.
Rechtsgrundlage einer Verarbeitung im Rahmen der justiziellen Tätigkeit der saarländischen Justiz ist Art. 6 Abs. 1 S. 1 lit. e), Abs. 3 S. 1 DSGVO i.V.m. § 3 BDSG bzw. § 483 StPO. Rechtsgrundlage der Verarbeitung besonderer Kategorien personenbezogener Daten für die justizielle Tätigkeit ist Art. 9 Abs. 2 lit. f) DSGVO bzw. § 48 BDSG.
Soweit ausnahmsweise Sozialdaten Gegenstand der Verarbeitung sind, ist Rechtsgrundlage § 67 c Abs. 1 SGB X.
5 Welchen Empfängern können meine personenbezogenen Daten offengelegt werden?
- Teilnehmende der (Video-)Konferenz
- Microsoft, Subunternehmen von Microsoft und ihre Mitarbeitenden (zur Bereitstellung und dem Betrieb von Microsoft Teams).
· Rechtsanwältinnen und Rechtsanwälte und zuständige Gerichte im Falle von Rechtsstreitigkeiten.
6 Wie lange werden meine personenbezogenen Daten gespeichert?
- Die Audio- und Videodaten werden nur für die Dauer der (Video-)Konferenz verarbeitet; eine Aufzeichnung erfolgt nicht, es sei denn Sie werden darauf
explizit seitens Teams hingewiesen.
- Sofern Sie während der (Video-)Konferenz Textnachrichten im Chat eingegeben haben oder ausnahmsweise eine Aufzeichnung der (Video-)Konferenz
erfolgt, werden diese Daten für die Dauer der (Video-)Konferenz verarbeitet und spätestens 90 Tage nach dem Ende (Video-)Konferenz gelöscht.
7 Übermittlung in ein Drittland
Ihre personenbezogenen Daten werden von dem Dienstleister Microsoft grundsätzlich in der EU verarbeitet (EU-Datengrenze). Im Rahmen der Nutzung von Teams kann es in folgenden Fällen zu Übermittlungen personenbezogener Daten in Länder außerhalb der EU / des EWR kommen, die kein mit der DSGVO vergleichbares Datenschutzniveau aufweisen („Drittland“):
- Zum Fernzugriff für den Betrieb, die Fehlerbehebung und die Sicherheit der EU Boundary Dienste
In seltenen Fällen, in denen ein Dienst ausgefallen ist oder eine Reparatur benötigt, die nicht mit automatisierten Tools ausgeführt werden kann, benötigen
autorisierte Microsoft Mitarbeiter möglicherweise Remotezugriff auf Daten, die innerhalb der EU-Datengrenze gespeichert sind, einschließlich Kundendaten. Es erfolgt standardmäßig kein Zugriff auf Kundendaten. Der Zugriff wird für beschäftigte Personen von Microsoft nur bereitgestellt, wenn dieser dem vorgenannten Zweck dient. Der Zugriff ist auf die Menge und Art der Kundendaten beschränkt, die zur Erreichung des entsprechenden Zwecks erforderlich ist. Voraussetzung ist, dass der Zweck nur durch diese Zugriffsebene erreicht werden kann. Microsoft verwendet Zugriffsgenehmigungen, die nur so lange erteilt werden, wie dies für die Erreichung dieses Zwecks erforderlich ist (Just-in-Time). Es erfolgt zudem eine rollenbasierte Zugriffssteuerung (Role-Based Access Control), bei der der individuelle Zugriff strengen Anforderungen unterliegt, z. B. dem Prinzip "Need-to-Know", der obligatorischen kontinuierlichen Schulung und der Aufsicht durch einen oder mehrere Manager.
Wir nutzen die sog. „Customer Lockbox“. Microsoft wird daher ohne unsere vorherige Zustimmung nicht auf personenbezogene Daten zugreifen.
· Bedrohungserkennung und -analyse
Microsoft verarbeitet personenbezogene Daten, um Bedrohungen zu erkennen und zu untersuchen, indem kontextbezogene Bedrohungsdaten über geografische Grenzen hinweg analysiert werden. Die Datenübermittlungen beschränken sich auf die von einem Dienst generierten Protokolle und Dienstkonfigurationsinformationen, die erforderlich sind, um frühe Anzeichen für schädliche Aktivitäten oder Sicherheitsverletzungen zu erkennen. Die in diesen Protokollen enthaltenen personenbezogenen Daten bestehen aus Authentifizierungsdaten, die aus Azure Active Directory-Protokollen stammen, und pseudonymisierten personenbezogenen Daten aus anderen Systemen, die erforderlich sind, um Aktivitätsmuster im Zusammenhang mit Bedrohungsakteuren zu identifizieren. Diese Informationen werden in den USA für die Bedrohungserkennung gespeichert.
Soweit Microsoft in den beschriebenen Ausnahmefällen personenbezogene Daten an die Microsoft Corporation mit Sitz in den USA übermittelt, erfolgt die Datenübermittlung gemäß Art. 45 DSGVO auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, da die Microsoft Corporation unter dem EU- U.S. Data Privacy Framework zertifiziert ist.
8 Ihre Betroffenenrechte
Die DSGVO gewährt Ihnen verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten, die wir nachfolgend kurz erläutern.
- Sie können Auskunft darüber verlangen, ob Ihre personenbezogenen Daten verarbeitet werden. Ist das der Fall, können Sie weitere Auskunft verlangen, insbesondere zu den Zwecken der Verarbeitung, den Kategorien verarbeiteter personenbezogener Daten, den Empfängern, der Speicherdauer oder, falls das nicht möglich ist, den Kriterien für die Festlegung der Dauer, sowie zu weiteren Informationen.
- Sie können eine Kopie Ihrer personenbezogenen Daten verlangen, die Ihnen im Falle einer Anfrage per E-Mail in einem gängigen elektronischen Format zur Verfügung gestellt werden, sofern dadurch nicht Rechte oder Freiheiten anderer Personen beeinträchtigt werden. Geben Sie dazu bitte genau an, welche Daten Sie benötigen.
- Sie können einer Verarbeitung Ihrer personenbezogenen Daten, welche auf Grundlage von Art. 6 Abs. 1 S. 1 lit. e) DSGVO erfolgt jederzeit widersprechen. · Sofern die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage Ihrer Einwilligung erfolgt, besteht das Recht die Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.
- Sie können unverzüglich die Berichtigung Sie betreffender unrichtiger sowie die Ergänzung unvollständiger personenbezogener Daten verlangen.
- Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, insbesondere dann, wenn die Daten nicht mehr für die Zwecke erforderlich sind, für die sie verarbeitet wurden. Ihre Daten werden unverzüglich gelöscht, sofern nicht eine Ausnahme vorliegt und Ihre Daten weiterhin gespeichert werden dürfen. Das ist z.B. der Fall, wenn eine Verpflichtung zur Speicherung aus steuer- oder handelsrechtlichen Gründen besteht. Die Verarbeitung wird in diesem Fall eingeschränkt und erfolgt dann nur noch für diesen Zweck.
- Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, insbesondere, wenn Sie deren Richtigkeit bestreiten und die Daten überprüft werden, die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen, die Daten nicht länger benötigt werden, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie Widerspruch gegen die Verarbeitung eingelegt haben.
Im Falle der Einschränkung der Vereinbarung dürfen Ihre personenbezogenen Daten grundsätzlich nur gespeichert werden und insbesondere nur mit Ihrer Einwilligung oder zur Geltendmachung oder Ausübung sowie zur Verteidigung gegen Rechtsansprüche verarbeitet werden.
Möchten Sie die zuvor beschriebenen Rechte ausüben, wenden Sie sich bitte an unseren Datenschutzbeauftragten (Ziff. 2).
Unbeschadet vorstehender Rechte haben Sie ein Beschwerderecht bei einer Datenschutzbehörde. Die für uns zuständige Datenschutzbehörde ist das Unabhängiges Datenschutzzentrum Saarland, Fritz-Dobisch-Straße 12, 66111 Saarbrücken, E-Mail: poststelle@datenschutz.saarland.de. Bitte wenden Sie sich jedoch vor einer Beschwerde zunächst an uns. Sicher können wir Ihr Anliegen gemeinsam angemessen klären.
9 Keine Pflicht zur Bereitstellung Ihrer personenbezogenen Daten
Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre personenbezogenen Daten anzugeben. Wenn Sie Ihren Namen beim Voranmelde-Bildschirm nicht
oder nur ein Pseudonym angeben, können wir Sie während der (Video-)Konferenz nicht korrekt ansprechen. Wenn Sie sich zu Wort melden möchten, werden Sie möglicherweise gebeten, Ihren richtigen Namen und Ihre berufliche Funktion zu nennen. In Einzelfällen (etwa bei der Durchführung von Anhörungen in Verwaltungsverfahren oder in mündlichen Verhandlungen in einem gerichtlichen Verfahren) kann auch eine Pflicht zur Nennung bestehen.
Stand: Juli 2024