Übersicht

sprungmarken_marker_18844

Datenschutzinformation für den Einsatz von M365

Stand: 8.1.26 (Version: 4192.2500)
Inhaltliche Angaben

Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die erfolgende Verarbeitung Ihrer personenbezogenen Daten sowie über Ihre Rechte aus dem Datenschutzrecht. Personenbezogene Daten sind nach Art. 4 Nr. 1 der EU-Datenschutz-Grundverordnung (DS-GVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

 

1. Verantwortlicher und Datenschutzbeauftragte

Verantwortlicher für die Datenverarbeitung im Sinne der DS-GVO sowie anderer datenschutzrechtlicher Bestimmungen ist:

Karlsruher Institut für Technologie (KIT)
Kaiserstraße 12, 76131 Karlsruhe
Deutschland
Tel.: +49 721 608-0
Fax: +49 721 608-44290
E-Mail: info∂kit edu

Das Karlsruher Institut für Technologie ist Körperschaft des öffentlichen Rechts. Es wird vertreten durch die/den jeweilige/n Präsident/in.

Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@kit edu oder der Postadresse mit dem Zusatz „Die Datenschutzbeauftragte“.

 

2. Art und Weise der Datenverarbeitung

a.    Umfang und Zweck: Wir verarbeiten Ihre personenbezogenen Daten

  • Vorname, Nachname, KIT-Account 
  • Organisationsbezeichnung 
  • dienstliche Adresse, dienstliche Telefonnummer, dienstliche E-Mail-Adresse 

für den Zweck der Bereitstellung einer cloudbasierten Kommunikations- und Kollaborationslösung. Zum Zeitpunkt der zur Verfügungstellung dieser Information werden am KIT folgende Anwendungen vom M365 eingesetzt:

  • M365 Entra ID; 
  • Office Anwendungen;
  • MS-Teams;
  • MS OneDrive; 
  • MS SharePoint Online; 
  • MS OneNote; 
  • MS Planner; 
  • MS Forms; 
  • MS To Do; 
  • MS Lists; 
  • MS Whiteboard; 
  • MS Exchange Hybrid; 
  • MS Copilot; 
  • MS Visio; 
  • MS Project; 
  • MS Power Platform; 
  • MS Clipchamp; 
  • MS Loop

Bei der Nutzung der Anwendungen von M365 werden – abhängig von den genutzten Funktionen – weitere personenbezogene Daten verarbeitet:

  • Kommunikationsdaten (Videostream, Audiostream, Chatinhalte, Metadaten); 
  • Aktivitätsdaten; 
  • IP-Adresse und sonstige Geräteinformationen; 
  • Personenbezogene Daten in Dokumenten und Dateien;
  • Zugriffsprotokolle und andere Diagnosedaten; 
  • Sonstige personenbezogene Daten, die für die Nutzung von spezifischen Funktionen erforderlich sind.

Weitere Details zum Umfang und Zweck können dem Anhang 1 „Daten, Zwecke und Speicherdauer“ entnommen werden.


b.    Empfänger: Zugriff auf die o.g. Daten erhalten am KIT insbesondere die dafür zuständigen Beschäftigten des Informationstechnologie-Zentrum Scientific Computing Center (SCC) des KIT, die über die zugehörige Administrationsrolle verfügen. Soweit Sie mit anderen Personen kommunizieren, sind diese Empfänger Ihrer hierdurch offengelegten personenbezogenen Daten.
Für den Einsatz von M365 arbeiten wir mit dem externen Dienstleister „Microsoft Ireland Operations Limited“ (One Microsoft Place, South County Business Park, Carmanhall And Leopardstown, Dublin, D18 P521, Irland) zusammen, der von uns vertraglich verpflichtet wurde. Der betreffende Dienstleister arbeitet ausschließlich nach unserer Weisung. Dies stellen wir durch strikte vertragliche Regelungen, technische und organisatorische Maßnahmen und ergänzende Kontrollen sicher. Microsoft verarbeitet die Daten zur Vertragserfüllung und speichert sie auf Servern in der Europäischen Union. Genauere Angaben können Sie dem Anhang 2 „Dienstleister/Auftragsverarbeiter“ entnehmen.
Darüber hinaus müssen entsprechend den archivrechtlichen Vorschriften Unterlagen vor ihrer Löschung dem KIT-Archiv angeboten werden. Dieses entscheidet über die Übernahme von Unterlagen. Das KIT-Archiv wahrt dabei die berechtigten Interessen der Betroffenen nach Maßgabe des Landesarchivgesetz BW (LArchG) und der übrigen einschlägigen Rechtsvorschriften.


c.    Datenübertragung ins Ausland: Soweit im Einzelfall eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU / des EWR erforderlich ist, erfolgt die Übermittlung im Verhältnis zu Microsoft durch einen Angemessenheitsbeschlusses gemäß Art. 45 DS-GVO und (soweit dieser nicht oder nicht länger Anwendung findet) aufgrund der Standarddatenschutzklauseln der EU-Kommission als geeignete Garantie für ein angemessenes Datenschutzniveau im Sinne von Artikel 46 Absatz 2 Buchstabe c DS-GVO bzw. im Verhältnis zur Person im Drittland, mit der die Kommunikation stattfindet, als Ausnahmefall gemäß Artikel 49 Absatz 1 Buchstabe b, c bzw. d DS-GVO.


d.    Rechtsgrundlage: Bei Nutzung

  • im Beschäftigtenkontext ist die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DS-GVO in Verbindung mit § 15 Absatz 1 Landesdatenschutzgesetz (LDSG), da die Datenverarbeitung für die Durchführung des Dienstverhältnisses erforderlich ist.

  • für Hochschulaufgaben des KIT ergibt sich die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DS-GVO in Verbindung mit § 12 Landeshochschulgesetz in Verbindung mit §§ 2, 20 KIT-Gesetz.

  • zur Erfüllung der übrigen Aufgaben des KIT ergibt sich die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DS-GVO in Verbindung mit § 4 LDSG in Verbindung mit § 2 KIT-Gesetz.

  • bei optionalen Nutzungsmöglichkeiten ist die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe a DS-GVO (Einwilligung). 

e.    Speicherdauer: Die personenbezogenen Daten werden so lange gespeichert wie es für o.g. Zwecke erforderlich ist. Die Aufbewahrungsdauer für Logdaten wird vom Hersteller vorgegeben. Sie beträgt Stand 01/2025 30 Tage. Für Logdaten, die herstellerseitig als möglicherweise sicherheitsrelevant eingestuft werden, beträgt die Dauer max. 180 Tage. Nach diesen Fristen werden die Logdaten automatisiert vom System gelöscht. 
Soweit eine nähere Beschreibung möglich ist, finden Sie detaillierte Informationen in Anhang 1 „Daten, Zwecke und Speicherdauer“ zu diesen Datenschutzhinweisen.
Gemäß Art. 5 Abs. 1 lit. e DS-GVO i.V.m. § 8 Abs. 2 Landesarchivgesetz (LArchG) und den §§ 3 und 2 LArchG werden die Daten ggf. vom KIT-Archiv übernommen und dort in der Regel unbegrenzt aufbewahrt.

 

3. Ihre Rechte

Hinsichtlich der Sie betreffenden personenbezogenen Daten haben Sie gegenüber uns folgende Rechte:

  • Recht auf Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a DS-GVO beruht (Artikel 7 Absatz 3 DS-GVO)
  • Recht auf Bestätigung, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (Artikel 15 DS-GVO)
  • Recht auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Artikel 16 DS-GVO)
  • Recht auf unverzügliche Löschung der Sie betreffenden Daten (Artikel 17 DS-GVO)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO)
  • Recht auf Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe b beruht (Artikel 20 DS-GVO)
  • Recht auf Widerspruch gegen die künftige Verarbeitung der Sie betreffenden Daten, sofern die Daten nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e oder f DS-GVO verarbeitet werden (Artikel 21 DS-GVO)

 

4. Anhänge zur Datenschutzinformation

 

4.1 Anhang 1 „Daten, Zwecke und Speicherdauer“

Nachfolgend erhalten Sie weitere, spezifische Informationen über die Art und Weise der Datenverarbeitung im Zusammenhang mit dem Einsatz von M365:

#    Zweck der Verarbeitung (inkl. Benennung der entsprechenden M365 Dienste) Kategorien von personenbezogenen Daten Speicherdauer
1.

Verzeichnisdienst M365 Entra ID

Cloudbasierter Identitäts- und Zugriffsverwaltungsdienst zur Verwaltung von Benutzeridentitäten und Steuerung von Anwendungen und Daten sowohl in der Cloud als auch vor Ort

Basisdaten:

  • Vorname
  • Nachname
  • Kontoname
  • OE/DE-Bezeichnung
  • dienstliche Adresse 
  • dienstliche Telefonnummer,
  • dienstliche E-Mail-Adresse
  • Public Key (SMIME)

Logdaten bei Benutzeraktivitäten:

Anmelde-Logs, bestehend aus: Zugreifende Anwendung, Benutzer-ID, IP-Adresse, Status erfolgreich/nicht erfolgreich, Ressourcen-ID (M365-Dienst), Zeit der Anmeldung, Ort der Anmeldung (abgeleitet aus IP-Adresse), Betriebssystem, Browserversion

Logdaten bei Administrationsaktivitäten:

Aktivitätsprotokolle: Datum und Uhrzeit des Auftretens einer Aktivität, protokollierender Dienst, Kategorie und Name der Aktivität, Status der Aktivität (Erfolg oder Fehler)

Attribute Basisdaten gemäß Deprovisionierungsrichtlinie Deprovisionierungsordnung_20171221.PDF.

Die Aufbewahrungsdauer für Logdaten wird vom Hersteller vorgegeben. Sie beträgt Stand 12/2025 30 Tage. Für Logdaten, die herstellerseitig als möglicherweise sicherheitsrelevant eingestuft werden, beträgt die Dauer max. 180 Tage. Nach diesen Fristen werden die Logdaten automatisiert vom System gelöscht.
2.

Veranstaltungen (online) mit auch externen Teilnehmern (MS Teams):

Durchführung von Veranstaltungen, Öffentlichkeitsarbeit

(Siehe zu Meetings (online) mit ausschließlich internen Teilnehmern unten Zweck #5)
  • Name;
  • Geschäftliche Kontaktdaten;
  • Teilnahme; und
  • Inhalt (Audio und Video, Chat, Sprachtranskription).
 Die Aufbewahrung richtet sich nach der Teams-Aufbewahrungsrichtlinie, die zentral festgelegt ist. Diese Richtlinie besagt, dass die Standardverfallszeit von Meetingaufzeichnungen 60 Tage beträgt, soweit der Benutzer, der die Aufzeichnung initiiert, diese nicht verkürzt oder verlängert hat.
3.

Produktstabilität und Verbesserung (durch Diagnosedaten) (M365):

Diagnose von Supportfällen und Sicherheitsvorfällen.
  • Produkt- und Service-Nutzungsdaten (Fehlerberichte, Absturzdaten);
  • und Produkt- und Service-Leistungsdaten (Anwendungsleistungsdaten).
 Die Aufbewahrung von Diagnosedaten unterliegt der Beschreibung in anderen Verarbeitungstätigkeiten, weil sie nicht isoliert, sondern im Zusammenhang mit der Verfolgung einer anderen Verarbeitungstätigkeit entstehen.
4.

Produktivitätsförderung (MS Word, Excel, PowerPoint, OneNote, Publisher Access, Project, Visio, Forms, Power Platform, Clipchamp, Loop, Whiteboard):

Bereitstellung von Anwendungen für Geschäftszwecke.
  • Beschäftigten-Kontaktdaten (Name, E-Mail-Adresse);
  • Inhaltsdaten (Dateien, Kommentare, Profile wie Unterschriften usw.); und
  • Software-Setup und Inventardaten (vom Benutzer festgelegte Software-Einstellungen).
 Da diese Verarbeitungstätigkeit die Produktivitäts-Apps aus einer rein funktionalen Perspektive beschreibt und die Verarbeitung der einzelnen in den Apps verarbeiteten Daten in separaten Verarbeitungstätigkeiten beschrieben werden, hängt die Aufbewahrung von Kommentaren, Verfassern, Änderungen usw. in Dateien von der Aufbewahrung der Dateien zu diesen separaten Verarbeitungstätigkeiten ab. Siehe für die Aufbewahrung einzelner Inhalte daher die entsprechende Verarbeitungstätigkeit. Die Software-Einstellungen für MS OneDrive und MS SharePoint sind unter Punkt 9 beschrieben: Unterstützung von Kollaboration (MS SharePoint, MS OneDrive).
5.

Meetings (online) mit ausschließlich internen Teilnehmern (MS Teams):

Bereitstellung von Audio- und Videokonferenz- und Kollaborationsfunktionalitäten.

(Siehe zu Veranstaltungen (online) mit auch externen Teilnehmern oben Zweck #1)
  • Name;
  • Geschäftliche Kontaktdaten;
  • Teilnahme; und
  • Inhalt (Audio und Video, Chat, Sprachtranskription).
 Die Aufbewahrung richtet sich nach der zentral festgelegten Teams-Aufbewahrungsrichtlinie. Die Standardverfallszeit von Meetingaufzeichnungen beträgt 60 Tage, soweit der Benutzer, der die Aufzeichnung initiiert, diese nicht verkürzt oder verlängert hat.
6.

Sprachübertragung (MS Teams):

Anbieten von Audio-Kommunikation.
  • Name;
  • Geschäftliche Kontaktdaten;
  • Teilnahme; und
  • Inhalt (Audio und Video, Chat, Sprachtranskription).
 Audiosignale werden gestreamt und nicht gespeichert, es sei denn, eine Audioübertragung wird aufgezeichnet. Die Standardverfallszeit der Aufzeichnung beträgt 60 Tage, soweit der Benutzer, der die Aufzeichnung initiiert, diese nicht verkürzt oder verlängert hat.
7.

Direktnachrichten und Gruppenkommunikation (MS Teams):

Bereitstellung von Funktionen für die Zusammenarbeit per Chat.
  • Name;
  • Geschäftliche Kontaktdaten;
  • Teilnahme; und
  • Inhalt (Chat, Dateien).
 Die Richtlinien für die Aufbewahrungsdauer können vom Administrator im Rahmen einer Gruppenrichtlinie definiert und von den einzelnen Benutzern eingerichtet werden. Microsoft erlaubt die Auswahl der folgenden Richtlinien durch den Benutzer: 7 Tage, 30 Tage, 90 Tage, 1 Jahr, 5 Jahre oder „nie“ (d.h. keine Löschung der Daten). Die wirksame Standardeinstellung ist „nie“, keine Löschung der Daten, wobei der Benutzer die Möglichkeit hat, eine andere Aufbewahrungsrichtlinien zu wählen. Beim Löschen eines Kontos (nach Deprovisionierungsordnung) bzw. eines Teams werden die Chats ebenfalls gelöscht.
8.

Kollaborationsfunktionalität (MS Teams):

Bereitstellung von Funktionen für die Kollaboration mittels Kanäle.
  • Name;
  • Geschäftliche Kontaktdaten;
  • Teilnahme; und
  • Inhalt (Audio und Video, Chat, Sprachtranskription).
 Daten bleiben erhalten, bis sie durch manuelles Löschen des Kanals oder der Daten entfernt werden. (Siehe Punkt 9)
9.

Unterstützung von Kollaboration (MS SharePoint, MS OneDrive):

Bereitstellung von Speicher- und Zugriffsmanagement für die Unterstützung von Kollaboration.
  • Inhaltsdaten (Dokumente, Tabellenkalkulationen, Präsentationen usw.); und
  • Kontaktdaten (Name, E-Mail-Adresse).
 SharePoint-Online: Löschen von SharePoint-Sites: Personen, die Teams/Teamseiten/Kanäle erstellt haben, können diese auch löschen, sofern die Inhalte nicht mehr benötigt werden. Aktuell ist keine automatische Löschung von SharePoint-online-Seiten vorgesehen. OneDrive: Hier gilt die Deprovisionierungsordnung am KIT. 30 Tage nach der Löschung des KIT-Kontos werden OneDrive-verzeichnisse für 93 Tage in den OneDrive-Papierkorb verschoben. Einzelne Inhalte aus OneDrive-Verzeichnissen löschen die zugeordneten Personen bei Bedarf selbst. Aktuell ist keine Richtlinie zur automatisierten Löschung von Inhalten aktiviert.
10.

Aufgaben und Planung (Planner, MS To Do, MS Lists):

Planen und terminieren von Aufgaben für Einzelpersonen und/oder für Teams.
  • Kontaktdaten (Name, E-Mail-Adresse); und
  • Inhaltsdaten (Formularantworten).
 Keine automatische Löscheinstellung
11.

Datensicherheit (MS Defender):

Schutz von Daten und IT-Systemen vor unberechtigtem Zugriff, Änderung oder Löschung.

 Siehe einzelne Defenderkategorien Siehe einzelne Defenderkategorien
11a. Defender for Endpoint Dateien (Name, Größe, Hash), Prozesse, Registry-Daten, Netzwerkverbindungen, Geräteinfo (IDs, OS-Version) Portal: 180 Tage Advanced Hunting: 30 Tage
11b. Defender for Identity AD- und Netzwerk-Events zur Erkennung verdächtiger Identitätsaktivitäten 180 Tage
11c. Defender for Office 365 (Plan 1) E-Mail- und Metadaten, Alerts, Audit-Logs, Quarantäne, Reports, Submissions, Real-Time-Detections

Alerts: 90 Tage

E-Mail: 30 Tage

Audit: 7 Tage

Quarantäne: 30 Tage
11d. Defender for Office 365 (Plan 2) Alle Plan 1-Daten plus Action Center, AIR, Advanced Hunting, Kampagnen, Incidents, Threat Analytics

Action Center: 180 Tage

AIR: 60 Tage

Advanced Hunting: 30 Tage

Attack Simulation: 18 Monate
11e. Defender for Cloud Apps Netzwerkinformationen, OAuth-App-Nutzung, Nutzer- und App-Auditdaten, Dateimetadaten/-inhalte Bis zu 180 Tage
11f. Defender XDR / Microsoft 365 Defender Alerts, Incidents, Cases, Konfigurationsdaten aus verbundenen Diensten

Alerts/Incidents: 180 Tage

Advanced Hunting: 30 Tage

Cases: permanent
12.

Ermöglichung der Vertragsdurchführung durch Microsoft (M365):

Bereitstellung von systemgenerierten Protokolldaten, die durch die Nutzer-Interaktionen mit M365-Funktionen ausgelöst werden, sowie Diagnosedaten (wenn die Diagnosedatenfunktion aktiviert ist) und Metadaten zum Zweck der Bereitstellung von aggregierten Daten
  • Systemgenerierte Protokolldaten;
  • Diagnosedaten; und
  • Metadaten.
 Für systemgenerierte Protokolldaten und, Diagnosedaten gilt die Speicherdauer des jeweiligen Zwecks der Verarbeitung der in diesem Dokument aufgeführt ist.
13.

KI-gestützte Produktivität (MS Copilot Chat):

Ermöglichung des Einsatzes von KI für alltägliche Aktivitäten zum Suchen, Zusammenfassen und Verfassen von Inhalten.
  • Inhaltsdaten (Dateien, Gespräche, Metadaten); und
  • Beschäftigten-Berechtigungsnachweise (Org-ID (Azure Active Directory-Objekt-ID / Entra ID-Objekt-ID)).
 Von Nutzern erstellte Inhalte werden bis zur Löschung durch den Nutzer gespeichert.


            


4.2 Anhang 2 „Dienstleister/Auftragsverarbeiter“

Abhängig vom Zweck der Verarbeitung, für den wir den jeweiligen Dienstleister in Anspruch nehmen, teilen wir bestimmte personenbezogenen Daten (soweit erforderlich) mit den folgenden Dienstleistern:

(Sub-)Dienstleister

Jurisdiktion, in welcher der (Sub-) Dienstleister sitzt

Grund der Einbindung des (Sub-) Dienstleisters

Microsoft Ireland Operations Ltd.:

Irland

Bereitstellung von M365;

Microsoft Corp.:

USA

Bereitstellung von M365;

Weitere Unterauftragsverarbeiter der Microsoft Ireland Operations Ltd., die für den betreffenden Dienst in der jeweils neuesten Fassung der Liste der Unterauftragsverarbeiter unter https://www.microsoft.com/en-us/trust-center/privacy/data-access aufgeführt sind.

Siehe verlinkte Liste

Bereitstellung von M365.