LMU IT-Servicedesk
print

Links und Funktionen
Sprachumschaltung

Navigationspfad


Inhaltsbereich

Datenschutzinformationen zur Erstellung von dienstlichen Microsoft-Konten (Microsoft 365)

Allgemeine Hinweise

Wie andere Softwarehersteller nutzt auch Microsoft personengebundene Lizenzen. Für die Nutzung von Microsoft 365 (M365) bedarf es daher eines personenbezogenen Microsoft-Kontos. Dieses LMU-Microsoft-Konto wird anhand Ihrer Daten aus den LMU- und LRZ-Identity-Management-System erstellt und von der LMU kontrolliert.

Dieser Account wird entweder pseudonym in den Systemen von Microsoft oder aus den angebundenen Identity-Management-Systemen der Hochschulen erstellt.

Als Mitglied der LMU erhalten Sie ein persönliches, von der LMU verwaltetes Microsoft-Konto. Hierfür müssen Sie Ihre LMU-Benutzerkennung im LMU-Benutzerkonto einmalig freischalten. Nach erfolgter Freischaltung ist die Nutzung von M365 und den für Sie lizensierten Microsoft-Produkten möglich, solange und soweit diese von der LMU zur Verfügung gestellt werden bzw. solange Sie Mitglied der LMU sind. Die Freischaltung kann im LMU-Benutzerkonto rückgängig gemacht werden (siehe „Dauer der Speicherung der personenbezogenen Daten“).

M365 wird betrieben von der Firma Microsoft Corporation, Microsoft Corporation, One Microsoft Way Redmond, Washington 98052.

Vertragspartner für die LMU ist:

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland.

Mit der Erstellung Ihres LMU-Microsoft-Kontos gelten die Nutzungsbedingungen von Microsoft (https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen) (externer Link), die Microsoft-Produkt- und Onlinebestimmungen (https://www.microsoft.com/licensing/terms/de-DE/productoffering) (externer Link) und die Nutzungshinweise der LMU zu M365. Die Datenschutzinformationen von Microsoft zu M365 finden Sie unter https://privacy.microsoft.com/de-de/privacystatement (externer Link).

Kurzzusammenfassung

  • Die LMU verwaltet die über myapps.microsoft.com/lmu.de verfügbaren Anwendungen bzw. ermöglicht den Zugriff auf Dienste von Dritten.
  • Bei der Nutzung der Onlinedienste von Microsoft entsteht ein digitaler Fußabdruck.
  • Neben der LMU sind insbesondere Microsoft Ireland Operations Limited und Microsoft Corporation an der Verarbeitung personenbezogener Daten beteiligt.
  • Ihr Microsoft Account-Profil ist grundsätzlich für alle Mitglieder und innerhalb des Teams für eingeladene Gäste sichtbar, um Zusammenarbeit und Kommunikation zu ermöglichen.
  • Mit Teams können auch Externe mit Ihnen bzw. Sie mit diesen kommunizieren.

Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Nutzung eines LMU-Microsoft-Kontos und von M365 als Software- und Clouddienstlösung zur Sicherstellung der Verwaltung, dem Betreiben von Arbeitsstätten sowie der Durchführung von Studium, Forschung und Lehre an der LMU und allen gesetzmäßigen Aufgaben der LMU. M365 bezeichnet ein Produktpaket aus Office-Programmen und Clouddiensten. Die Software dient der täglichen Erledigung von Büroarbeiten, als Kommunikations- und Organisationslösung sowie zur Datenspeicherung und zum Datenaustausch.Dies beinhaltet insbesondere die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen Support, einschließlich Offenlegung für folgende Zwecke von Microsoft, wobei Microsoft hier als eigener Verantwortlicher handelt:

  • Abrechnung- und Kontoverwaltung
  • Vergütung
  • Interne Berichterstattung und Modellierung
  • Bekämpfung von Betrug
  • Cyberkriminalität oder Cyberangriffen
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung
  • Einhaltung gesetzlicher Verpflichtungen

Es werden auch Statistiken über die Nutzung erstellt.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken (z.B. zur internen Überprüfung der Sicherheitssysteme und zur Gewährleistung der internen Netz- und Informationssicherheit gemäß Art. 6 Abs. 1 BayDSG) erfolgt durch die LMU nicht. Die LMU verarbeitet nur die personenbezogenen Daten, die Sie uns zur Verfügung gestellt haben oder die im Rahmen der Tätigkeit an der LMU in zulässiger Weise erhoben wurden (Art. 4 Abs. 2 BayDSG).

Es findet durch die LMU keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung Ihres LMU-Microsoft-Accounts oder M365 statt.

Sichtbarkeit Ihrer Aktivitäten

Da es sich beim LMU-Microsoft-Konto um einen Online-Account und bei M365 um ein cloudbasiertes Angebot mit einer sehr breiten Software- und Dienstpalette handelt, ist eine Beurteilung der Sichtbarkeit Ihrer Aktivitäten nicht abschließend möglich. Nachfolgend wird auf die gängigsten Anwendungen eingegangen.

  • Ihre Aktivitäten können immer dann sichtbar sein, wenn Sie sich im Rahmen dieser Clouddienste mit anderen Nutzern zusammenschließen.
  • Wenn Dateien über OneDrive oder andere Clouddienste freigegeben werden, können diese für andere Nutzer sichtbar sein.
  • Andere Nutzer können Sie im Rahmen der Clouddienste suchen und einladen. Dabei können Ihr Name sowie weitere Daten aus Ihrem LMU-Microsoft-Konto sichtbar sein.
  • Bei der Zusammenarbeit an Dokumenten können die Änderungen, die Sie oder andere an geteilten Dokumenten sowie Metadaten wie Änderungszeitpunkte etc. vornehmen, sichtbar sein.

Benutzungsprofil

Ihr LMU-Microsoft-Konto enthält in der initialen Befüllung nur Ihren Vor- und Nachnamen, Ihre im Benutzerkonto hinterlegte LMU-E-Mail-Adresse und Ihren Zugehörigkeitsstatus zur LMU. In einigen Diensten ist es möglich, das Benutzerprofil um weitere Angaben zu ergänzen. Dies ist für die dienstliche Nutzung und für die Erfüllung von öffentlichen Aufgaben nicht erforderlich. Die entsprechenden Ergänzungen erfolgen freiwillig, sollen aus Gründen der Datensparsamkeit aber nicht erfolgen.

Betroffene Personenkreise

  • Personen, die Microsoft 365 nutzen oder administrieren
  • Personen, die in der Kommunikation und in Dokumenten genannt werden bzw. identifizierbar sind

Rechtliche Grundlagen

Wir verarbeiten Ihre Daten im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO), des Bayerischen Datenschutzgesetzes (BayDSG) und der sonstigen anwendbaren Datenschutzbestimmungen.

Die Verarbeitung der personenbezogenen Daten für die Nutzung von M365 erfolgt im Rahmen der freiwilligen Nutzung gemäß Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), im Übrigen im Rahmen der Erfüllung von Dienstaufgaben gemäß Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG. insbesondere Art. 11 Abs. 1 BayEGovG, § 13 Abs. 7 TMG, Art. 6 Abs, 1 BayDSG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO, Art. 20a GG, Art. 3, 3a, 141 BayVerf. Im Einzelnen sind dies:

Für Beschäftigte und Bedienstete:

  • Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Tarifvertrag, Arbeitsvertrag, Tarifvertrag, § 106 GewerbeordnungArt. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Art. 33 Abs. 5 GG
  • Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV
Für die Lehre:
  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG (Art. 55 Abs. 2 BayHSchG)

Für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung):

  • Art. 6 Abs. 1 lit. b DSGVO, Art. 49 Abs. 1 lit. c DSGVO (Datenkategorie 1. und 6.) - für lizenzierte Personen
  • Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG, Art. 49 Abs. 1 lit. d DSGVO (Datenkategorie 2.-5.,7.,8.) - für vertraglich nicht erforderliche Zwecke

Für die Statistik:

  • Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, § 3 HStatG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO

Verarbeitung von personenbezogenen Daten

 Folgende Daten werden zwischen der LMU und Microsofts AzureAD synchronisiert:

  • Name & Vorname
  • LMU-E-Mail-Adresse
  • Zugehörigkeitsstatus (Studierende/r, Beschäftigte/r, andere Mitglieder)

Weiterhin werden Anmeldeereignisse (letzte 30 Tage) in M365 erhoben und verarbeitet:

  • Datum
  • Uhrzeit
  • Anwendung
  • IP-Adresse damit indirekt Standort
  • Geräteinformationen (Gerätenamen, Browser, Betriebssystem, Verknüpfungstyp)
  • Datum der ersten und letzten Aktivität des Rechners
  • Ggf. Anwesenheitsstatus (abhängig von genutztem Dienst)

Vorkehrungen im Sinne des Datenschutzes

Die LMU hat bei der Implementierung von M365 insbesondere den datenschutzrechtlichen Grundsätzen Datenminimierung, privacy by default und privacy by design soweit technisch möglich Rechnung getragen. Die Protokollierung der Verwendung der Dienste von M365 ist anonymisiert.

Eine Funktion zur Produktivitätsbewertung ist nicht aktiviert.

Die Inventarisierungsfunktion/Telemetrie ist, soweit technisch, möglich abgeschaltet.

Datenübermittlung

Um die Nutzung Ihres LMU-Microsoft-Kontos und M365 entsprechend den o.g. Zwecken zu ermöglichen, müssen personenbezogene Daten an andere folgende Empfänger übermittelt werden:

  • Microsoft Ireland Operations Limited im Rahmen der Auftragsverarbeitung und der Vertragserfüllung.
  • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und Erfüllung eigener Zwecke
  • sowie Unterauftragsverarbeiter (externer Link) und Supportdienstleister.
Microsoft verarbeitet die Daten in unserem Auftrag und darf die Daten entsprechend nur nach unseren Weisungen und für unsere Zwecke nutzen. Microsoft nutzt personenbezogene Daten aber auch für eigene Zwecke und ist insofern dann als eigener Verantwortlicher anzusehen.

Eine Übermittlung von personenbezogenen Daten im Rahmen der Nutzung von M365 in Dritt-länder ohne Angemessenheitsbeschluss und ohne geeignete Garantien, die dem Sicherheitsniveau der EU gleichen, kann nicht vollständig ausgeschlossen werden.

Garantien für den internationalen Datentransfer an die Microsoft Corporation und Unterauftragsverarbeiter stellen die Standardvertragsklauseln dar, die vereinbart wurden, und etwaige Rückausnahmen im Einzelfall gemäß Art. 49 Abs. 1 Satz 1 lit. a, c, d DSGVO. (soweit einschlägig)

Die Stabsstelle IT-Recht der bayerischen Hochschulen und Universitäten hat das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020 analysiert und in Abstimmung mit den CIOs der bayerischen staatlichen Universitäten und Hochschulen sowie deren Datenschutzschutzbeauftragten gemäß Klausel 4g der Standardvertragsklauseln den Bayerischen Landesbeauftragten für den Datenschutz darauf hingewiesen, dass nicht gänzlich auszuschließen ist, dass die Garantien aus Klausel 5b der Standardvertragsklauseln in jeder Hinsicht und jederzeit erfüllt werden können.

Im Hinblick auf die M365-Azure-Cloud hält sich Microsoft an den vom BSI für Deutschland ausgegebenen C5 Standard. In dem wird von Microsoft bestätigt, dass die Daten nur lokal innerhalb Deutschlands gespeichert werden. Weitere Informationen dazu sind abrufbar unter: https://docs.microsoft.com/de-at/compliance/regulatory/offering-c5-germany (externer Link). Diese Bewertung ist erfolgt im Hinblick auf die öffentlich verfügbaren Informationen von Microsoft (externer Link) sowie der Einschätzung von NOYB (externer Link).

Dauer der Speicherung der personenbezogenen Daten

Datenkategorien

1. Dokumente und Dateien
2. Aufgaben und Lösungen
3. Kommunikationsdaten
4. Personenbezogene Basisdaten
5. Authentifizierungsdaten
6. Kontaktinformationen
7. Profilierung
8. Logfile mit Zugriffen
9. System generierte Protokolldaten

Aufbewahrung und Löschung der Daten

Die gespeicherten Daten werden verarbeitet, solange und soweit dies für den jeweiligen Zweck der Datenverarbeitung im Rahmen der Nutzung Ihres LMU-Microsoft-Kontos und M365 erforderlich ist.

Die Daten werden bis zu 90 Tage nach dem Löschen eines LMU-Microsoft-Kontos gespeichert und dann gelöscht. Das Sperren einer LMU-Benutzerkennung oder eine Änderung in der Lizenzzuweisung ändert daran nichts.


Nummer nach Datenkategorien Löschungsfrist
1-3 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit
4-7 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch
8,9 180 Tage 

Verantwortlicher, zuständige Dienststelle und Support

Verantwortlicher für die Datenverarbeitung ist Microsoft als Lizenzgeber und die LMU als Lizenznehmer.

Verantwortliche und deren Datenschutzbeauftrage (Lizenzgeber)

  • M365 wird betrieben von der Firma Microsoft Corporation, Vertragspartner für die LMU ist Microsoft Ireland Operations Limited.
  • Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland)
  • Microsoft Corporation (One Microsoft Way Redmond, Washington 98052, Vereinigte Staaten von Amerika)
  • Datenschutz (Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft)
Mit der Erstellung Ihres LMU-Microsoft-Kontos gelten die Nutzungsbedingungen von Microsoft (https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen, externer Link), die Microsoft-Produkt- und Onlinebestimmungen (https://www.microsoft.com/licensing/terms/de-DE/productoffering, externer Link) und die Nutzungshinweise der LMU zu M365. Die Datenschutzinformationen von Microsoft zu M365 finden Sie unter https://privacy.microsoft.com/de-de/privacystatement, externer Link).

Verantwortlicher für die Datenverarbeitung als Lizenznehmer im Rahmen des Lizenzvertrages

Ludwig-Maximilians-Universität München
Geschwister-Scholl-Platz 1
80539 München

Zuständige Dienststelle für die Datenverarbeitung

Ludwig-Maximilians-Universität München
Dezernat VI - Informations- und Kommunikationstechnik
Geschwister-Scholl-Platz 1
80539 München
VI@verwaltung.uni-muenchen.de

Allgemeine Fragen und Support

Ludwig-Maximilians-Universität München
Dezernat VI - Informations- und Kommunikationstechnik
Referat IV.1 - EDV-Beschaffungen
Geschwister-Scholl-Platz 1
80539 München
it-servicedesk@lmu.de

Kontaktdaten des behördlichen Datenschutzbeauftragten der LMU

Ludwig-Maximilians-Universität München
-- Behördlicher Datenschutzbeauftragter --
Geschwister-Scholl-Platz 1
80539 München
Tel.: 089-2180-2414
https://www.lmu.de/datenschutz  

Information zu bestehenden Rechten

Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Zudem haben Sie das Recht auf Löschung (Art. 17 DSGVO), Widerspruch (Art. 21 DSGVO), Beschränkung (Art. 18 DSGVO) und auf Widerruf einer Einwilligung für die Zukunft. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Daneben steht Ihnen gemäß Art. 77 DSGVO das Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Die für die LMU zuständige Datenschutz-Aufsichtsbehörde ist der Bayerische Landesbeauftragte für den Datenschutz, https://www.datenschutz-bayern.de (externer Link).

Sollten Sie von Ihren Rechten Gebrauch machen wollen oder haben Sie Fragen, wenden Sie sich bitte an die zuständige Dienststelle für die Datenverarbeitung (s.o.). Diese prüft, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind und trifft dann die erforderlichen Maßnahmen.

Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung der LMU für den internetauftritt unter www.lmu.de/datenschutzerklaerung.

Bereitstellungspflicht

Ohne die die Erstellung eines M365-Accounts ist eine lizenzierte Nutzung von M365 an der LMU nicht möglich.

Soweit die Nutzung von M365 der Erfüllung gesetzlicher Pflichten und Aufgaben oder zur Erfüllung der Arbeits- und Dienstaufgaben der Beschäftigten bzw. Bediensteten dient, ist die Datenverarbeitung erforderlich, im Übrigen freiwillig.

Aktueller Stand

Es gelten die Nutzungshinweise und Datenschutzinformationen in der jeweils geltenden Fassung.
Stand: Juli 2021