Datenschutzhinweise zum Einsatz des Videodienstes Microsoft Teams an der Katholischen Hochschule Nordrhein-Westfalen

Februar 2, 2024

DATENSCHUTZHINWEISE ZU VIDEOKONFERENZEN MIT MICROSOFT TEAMS AN DER KATHOLISCHEN HOCHSCHULE NORDRHEIN-WESTFALEN

Die Katholische Hochschule Nordrhein-Westfalen (nachfolgend „katho“ oder „Katholische Hochschule“) stellt ihren Mitgliedern und Angehörigen sowie Gästen und Dritten Videokonferenztechnik zur Durchführung von Vide-okonferenzen zur Verfügung und setzt dabei auch den Videokonferenzdienst Microsoft Teams ein.

Diese Datenschutzhinweise dienen dazu, die Nutzenden von Videokonferenzen, die über Microsoft Teams durch-geführt werden, darüber zu informieren, wie und in welchem Umfang die Katholische Hochschule hierbei Ihre personenbezogenen Daten verarbeitet. Eine Verarbeitung Ihrer Daten erfolgt ausschließlich unter Beachtung der geltenden Datenschutzvorschriften, insbesondere des Gesetzes über den Kirchlichen Datenschutz (KDG). Das KDG finden Sie zusammen mit weiteren allgemeinen Datenschutzhinweisen auf unserer Homepage (www.katho-nrw.de/datenschutz).

Für uns ist der vertrauensvolle Umgang mit personenbezogenen Daten sehr wichtig. Wir bitten Sie daher, diese Datenschutzhinweise sorgfältig zu lesen.

I. Für die Datenverarbeitung Verantwortlicher, Datenschutzbeauftragter

Verantwortlicher für die Datenverarbeitung ist:

Katholische Fachhochschule gGmbH

Geschäftsführer: Bernward Robrecht

Wörthstraße 10

50668 Köln

Telefon: +49 (0)221 7757-0

E-Mail: kanzler(at)katho-nrw.de

Unseren Datenschutzbeauftragten erreichen Sie unter:

Katholische Fachhochschule gGmbH

Betrieblicher Datenschutzbeauftragter

Wörthstraße 10

50668 Köln

Telefon: +49 (0)221 7757-503

E-Mail: datenschutzbeauftragter(at)katho-nrw.de

II. Informationen zur Datenverarbeitung

1. Daten, die bei der Teilnahme an einer Videokonferenz mit Microsoft Teams verarbeitet werden

Bei der Teilnahme an einer Videokonferenz mit Microsoft Teams werden die Daten, die einen Bezug zu dem/der Teilnehmer_in haben (können), wie folgt von uns verarbeitet:

Automatisch erhobene Informationen:

• IP-Adresse

• E-Mail-Adresse, über die der/die Teilnehmer_in die Einladung erhalten hat

• Benutzername und ggf. weitere Profileigenschaften (z.B. E-Mail-Adresse, Telefonnummer), wenn der der/die Teilnehmer_in selbst Teil einer lizenzierten Microsoft-Organisation ist

• Telefonnummer, wenn der/die Teilnehmer_in per Telefon an einer Konferenz teilnimmt sowie Daten zur Anrufqualität

• Standort des / der Teilnehmer_in

• Informationen über Großkonferenzsysteme, mit denen er/sie ggf. an der Konferenz teilgenommen hat

• Informationen zur Videokonferenz (z.B. Titel, Datum, Uhrzeit, Dauer, Meeting-ID, Beitrittscode)

• Optional: Name / E-Mail-Adresse des/der Teilnehmers/Teilnehmerin, wenn diese beim Beitritt zur Video-konferenz angegeben werden

• Audiodaten (ggf. auch Transkriptionen der Audiodaten bei Betätigung der Transkriptionsfunktion)

• Videodaten

Durch den/die Teilnehmer_in generierte Informationen:

• Optional: Bei Nutzung der Chatfunktion von dem/der Teilnehmer_in erzeugte Texte, bei Nutzung der Up-load-Funktion hochgeladene Dateien, bei Nutzung der Screensharing-Funktion freigegebene Inhalte, bei Nutzung des Whiteboards erzeugte Texte und Grafiken, Eingaben bei Umfragen

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Die vorgenannten Daten werden für folgende Zwecke verarbeitet, die zugleich unser berechtigtes Interesse ab-bilden: Bereitstellung und Gewährleistung eines reibungslosen Einsatzes der Videokonferenztechnik. Rechts-grundlage für die Verarbeitung ist § 6 Abs. 1 lit. g KDG bzw. § 6 Abs. 1 lit. b KDG, soweit die Verarbeitung auf einer Einwilligung beruht.

Die Daten werden von Microsoft Ireland Operations Limited (Microsoft Ireland) in unserem Auftrag verarbeitet. Wir haben mit Microsoft Ireland einen Auftragsverarbeitungsvertrag bzw. ein Data Protection Addendum (DPA) gemäß § 29 KDG geschlossen.

3. Speicherdauer

Die Audio-/Videodaten, Chat-Texte, Whiteboard-Dateien und Umfragen werden administrativ festgelegt nach Be-endigung der Videokonferenz automatisch gelöscht. Die sonstigen benutzergenerierten Informationen (Name, Emailadresse, hochgeladene Dateien), Benutzerprofilangaben und Anrufverläufe sowie die sonstigen – automa-tisch zu Bereitstellungs-, Problembehandlungs- und Qualitätssicherheitszwecken (insbesondere Diagnostik und Fehlerbehebung von technischen Problemen, Durchführung von Analysen um die technische Leistung, Sicherheit und Zuverlässigkeit des Service zu verbessern, technischer Support) erhobenen Diagnosedaten – werden von Microsoft Ireland auf Servern in der EU gespeichert und nach 30 Tagen automatisch gelöscht.

III. Kategorien von Empfängern

Ihre personenbezogenen Daten werden unter Umständen ganz oder teilweise an folgende Kategorien von Emp-fängern weitergegeben bzw. diesen offengelegt:

1. Interne Empfänger:

• Organisationsteam der jeweiligen Veranstaltung

• Finanzabteilung bei kostenpflichtigen Veranstaltungen

• IT-Mitarbeiter_innen

2. Externe Empfänger:

• Von uns eingesetzte Dienstleister, die uns bei unserer Geschäftstätigkeit unterstützen (insbesondere IT-Dienstleister, z.B. für die Wartung unserer IT-Systeme, Anbieter von Videokonferenztechnik, Filmdienst-leister, Banken, Wirtschaftsprüfer/Unternehmens-/Rechts-/Steuerberater)

• Gerichte, Behörden, sonstige öffentliche oder kirchliche Stellen

• Ggf. Zuwendungsgeber und Kooperationspartner von Forschungsprojekten

• Ggf. Social-Media-Plattformen (Facebook, Instagram, Twitter, YouTube)

IV. Übermittlung in Drittländer

Eine Übermittlung Ihrer Daten in ein Drittland oder an eine internationale Organisation außerhalb der EU bzw. des EWR findet in aller Regel nicht statt, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Ausgenommen hiervon sind unter Umständen Sicherheitsdaten und mögliche weitere Telemetrie-/Diagnosedaten, die im Verantwortungsbereich von Microsoft verarbeitet werden. Sollte unter diesen Umständen ein Datentransfer von Microsoft Ireland in die USA erfolgen, erfolgt dieser auf Basis der EU-Stan-dardvertragsklauseln von 2021, die Bestandteil des mit Microsoft Ireland abgeschlossenen Data Protection Ad-dendums sind.

Wenn Aufnahmen (Screenshots, Aufzeichnungen, öffentliche Live-Streams) von Teams-Videokonferenzen auf Social-Media-Kanälen (Facebook, Instagram, Twitter, YouTube) veröffentlicht werden, was ausschließlich auf Basis einer Einwilligung zur Datenverarbeitung erfolgt, werden die Daten dorthin übermittelt und von den Betrei-bern der Social-Media-Plattformen ebenfalls verarbeitet. Hierbei kann eine Übermittlung der personenbezogenen Daten - soweit ein Plattformbetreiber im Ausland sitzt - in ein Drittland (z.B. USA) erfolgen, in dem nach dem KDG und der DSGVO kein angemessenes Datenschutzniveau besteht.

V. Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung

Sie haben gemäß § 17 KDG ein Recht auf Auskunft zu den von uns verarbeiteten Daten zu Ihrer Person. Sie haben unter den Voraussetzungen des § 18 KDG ein Recht auf Berichtigung unrichtiger und ggf. auf Vervollstän-digung unvollständiger Daten zu Ihrer Person. Auch steht Ihnen gemäß § 19 Absatz 1 KDG ein Recht auf Lö-schung Ihrer bei uns gespeicherten personenbezogenen Daten zu, wenn einer der Löschungsgründe des § 19 Absatz 1 KDG gegeben ist, es sei denn die Verarbeitung ist gemäß § 19 Absatz 3 KDG erforderlich. Ferner haben Sie unter den Voraussetzungen des § 20 KDG das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Ge-mäß § 22 haben Sie auch das Recht auf Übertragung der eigenen personenbezogenen Daten zu einem Anbieter, wenn die Verarbeitung aufgrund einer Einwilligung oder aufgrund eines Vertrags erfolgt. Zudem können Sie der Datenverarbeitung widersprechen, sofern die Voraussetzungen des § 23 KDG gegeben sind.

Soweit eine Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit ganz oder teilweise mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtsmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt. Es erfolgt dann eine unverzügliche Löschung Ihrer Daten, wenn keine andere Rechts-grundlage für die Verarbeitung besteht.

Weder eine automatisierte Entscheidungsfindung noch ein Profiling im Sinne des § 24 Abs. 1 und 4 KDG finden statt.

VI. Beschwerde bei der Datenschutzaufsicht

Sie haben das Recht, eine Beschwerde bei der Datenschutzaufsicht einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch uns gegen gesetzliche Datenschutzvorschriften verstößt. Die für uns zuständige Datenschutzaufsicht erreichen Sie unter:

Katholisches Datenschutzzentrum Dortmund

Brackeler Hellweg 144

44309 Dortmund

Telefon: +49 (0)231 13 89 85 -0

E-Mail: info(at)kdsz.de

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_cvar	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_hsr	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo