Datenschutz und Sicherheit (Microsoft Teams)

A. Disclaimer für Teilnehmer
Audio- und Videokonferenz-Lösung der Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Nutzungsbedingungen und Informationen zur Verarbeitung personenbezogener Daten
– Für Teilnehmende – Version 1.0 / 13.04.2021 –
Inhaltsverzeichnis

(A) Nutzungsbedingungen für Teilnehmende
(B) Einsatz privater Endgeräte
(C) Risiken der Videobildübertragung
(D) Beschränkte Haftung
(E) Informationen zur Verarbeitung von personenbezogenen Daten (Datenschutzhinweise nach Art. 13 DS-GVO)
(F) Einwilligungserklärung

(A) Nutzungsbedingungen für Teilnehmende

Haspa Direkt hat die Lösung Microsoft Teams für Audio- und Videokonferenzen (im Folgenden Teams) implementiert, um eine direkte und persönliche Kommunikation zu ermöglichen und den Austausch innerhalb des Unternehmens zu unterstützen.

Konferenzlösungen dürfen nicht missbräuchlich benutzt werden, insbesondere sind bedrohende und belästigende Anrufe zu unterlassen sowie keine Informationen mit rechts- oder sittenwidrigen Inhalten an beliebige Anrufer zu übermitteln und diese nicht auf solche Informationen hinzuweisen. Dazu zählen vor allem Informationen, die im Sinne der Paragrafen 130, 130a und 131 StGB der Volksverhetzung dienen, zu Straftaten anleiten oder Gewalt verherrlichen oder verharmlosen, sexuell anstößig sind, im Sinne des Paragraf 184 StGB pornografisch sind, geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden oder in ihrem Wohl zu beeinträchtigen oder das Ansehen der beteiligten Unternehmen schädigen können.

Sofern HD-Teilnehmende im Verlauf eines Meetings die Gastgeber-Funktion für das jeweilige Meeting erhalten, sind in diesem Fall insbesondere folgende Vorgaben zu beachten:

  • Ein Hinzufügen bzw. Einladen weiterer Teilnehmender ist nicht gestattet.
  • Die Zugangsinformationen zu einem Teams Meeting (Link, Einwahlnummer, Passwort, PIN) sind vertraulich zu behandeln und dürfen nicht an Dritte versendet bzw. weitergegeben werden.
  • Die Aufzeichnung von Teams Konferenzen ist verboten.
  • Die relevanten HD-internen Regelungen und Vereinbarungen finden entsprechend Anwendung und sind einzuhalten.
(B) Einsatz privater Endgeräte

Es dürfen seitens der HD ausschliesslich dienstliche Endgeräte verwendet werden.

(C) Risiken der Videobildübertragung

Es kann nicht ausgeschlossen werden, dass die Inhalte eines Teams Meetings durch Dritte gefilmt und im Internet veröffentlicht werden. Dadurch ist es unter Umständen möglich, dass diese dauerhaft weltweit abgerufen, gespeichert, verändert oder anderweitig genutzt werden können.

Außerdem ist nicht auszuschließen, dass durch die o.g. Umstände das Persönlichkeitsrecht, einschließlich des Rechts am eigenen Bild bzw. gesprochenen Wort und des Rechts auf informationelle Selbstbestimmung des Nutzers von Teams (Gastgeber:in / Einladende:r und Teilnehmende) verletzt werden könnten.

(D) Beschränkte Haftung

Für Aufträge, die wir nicht ausgeführt haben oder die wir möglicherweise fehlerhaft ausgeführt haben, haften wir nach den für die jeweilige Auftragsart vereinbarten Bedingungen (z.B. Bedingungen für den Überweisungsverkehr, Bedingungen für das Wertpapiergeschäft), aus denen sich Haftungsbeschränkungen ergeben können. Entsprechendes gilt für nicht von dir bzw. vom Berechtigten autorisierte Aufträge.

Soweit wir dir beratend zur Verfügung stehen und dir Informationen geben, bemühen wir uns, solche Informationen sorgfältig zu beschaffen und zu prüfen. Gleichwohl können wir keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der zur Verfügung gestellten Informationen übernehmen. Gleiches gilt für Webseiten, auf die ein Informant, z.B. ein Vertriebspartner oder ein sonstiger als zuverlässig bekannter Dritter, mittels eines Links verweist. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte solcher Links, insbesondere im Falle späterer und nicht vorhersehbarer Veränderungen. Für die Inhalte der verlinkten Seiten ist ausschließlich deren jeweiliger Betreiber verantwortlich. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Wenn du eine Worterkennungsfunktion bzw. Wortkorrekturfunktion aktiviert hast, haften wir nicht für Schäden und Verluste, die darauf beruhen. Denkbar sind zum Beispiel eine fehlerhafte oder unvollständige Datenübermittlung, ein Datenverlust oder eine Veränderung deines Auftrags. Auch solcherart erzeugte und nicht erkennbare Missverständnisse gehen nicht zu unseren Lasten.

Die vorgenannten Haftungsbeschränkungen und -ausschlüsse gelten nicht, soweit die HD oder ihre Erfüllungsgehilfen (Informant:innen, Vertriebspartner:innen) vorsätzlich oder grob fahrlässig handeln. Im Falle der einfachen Fahrlässigkeit haftet die HD nur bei der Verletzung von wesentlichen Vertragspflichten (solche Pflichten, auf deren Einhaltung durch die HD der/die Nutzer:in vertrauen durfte). Im Bereich der wesentlichen Vertragspflichten ist die Haftung der HD für einfache Fahrlässigkeit der Höhe nach auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden beschränkt.

Die gesetzliche Haftung der HD im Falle der Verletzung von Leben, Körper und Gesundheit, der Übernahme von Garantiehaftungsrisiken sowie die Haftung nach dem Produkthaftungsgesetz bleiben unberührt.

(E) Informationen zur Verarbeitung von personenbezogenen Daten (Datenschutzhinweise nach Art. 13 DS-GVO)

(1) Welche Informationen enthält dieses Dokument?
Die Microsoft Corporation, One Microsoft Way, Redmond; WA 98052-6399 USA betreibt im Auftrag der Haspa Direkt Servicegesellschaft für Direktvertrieb mbH, Steindamm 80, 20099 Hamburg, im folgenden HD, die Teams Lösungen und zugehörige Audio- und Chat-Services (im Folgenden Teams), um den Mitarbeitenden der HD eine sichere, cloud-basierte Collaboration-Plattform zur Verfügung zu stellen, welche die Zusammenarbeit für alle Beteiligten optimiert. Mit der Anwendung Teams stehen Funktionen für professionelle Meetings, Anrufe und die Zusammenarbeit im Team zur Verfügung.

Die Erfüllung der Anforderungen der anwendbaren Datenschutzgesetze ist sichergestellt. Anbei folgt ein detaillierter Überblick über den Umgang mit Daten und zugehörigen Rechten. Zum Abschluss findet sich die Einwilligungserklärung zur Verarbeitung personenbezogener Daten aufgrund der Nutzung von Teams.

(2) Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlicher für die Verarbeitung ist die

Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Steindamm 80
20099 Hamburg
Telefon 040 28876-0
E-Mail info@haspa-direkt.de

Sie erreichen unsere/n Datenschutzbeauftragten unter:

Beauftragter für den Datenschutz
Hamburger Sparkasse
Postfach
20454 Hamburg
E-Mail datenschutz@haspa-direkt.de

(3) Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Teams-Konferenz von Ihnen erhalten.

Mit der Nutzung von Teams werden folgende personenbezogene Daten(-kategorien) verarbeitet:

  • Bestellinformationen (Vor- und Nachname, Postadresse, E-Mail-Adresse, Telefonnummer, IP-Adresse, Rechnungsempfänger)
  • Registrierungsinformationen (E-Mail-Adresse, Aktivierungscodes, Konferenzcodes, Benutzername, Kennwort, Vorname, Nachname, Firmenname, Organisations-ID- Universal Unique Identifier)
  • Konfigurations- und Kommunikationsdaten (Gerätename, Geodaten, IP-Adresse, User Agent Identifier, Operating System Type und Version, Client Version, Endpoint-MAC-Adressen, Zeitzone, Domainname, Aktivitätsprotokolle, Hardwaretyp)
  • Konferenzinformationen (Titel, Datum, Uhrzeit, Dauer, Anzahl Meetings, Anzahl Teilnehmende, Gastgebername, Bildschirmauflösung, Einwahlmethode, Diagnoseinformationen)
  • Unterstützungsleistungen / Support (Name, E-Mail-Adresse, Telefonnummer, Authentifizierungsinformationen, Systeminformationen, Error-Logfiles)
  • Präsentationsmaterial das als Teil der Konferenz verwendet wird
  • Dateiverweise, Sachnummern und andere für Rechnungszwecke angeforderte Referenzen
  • Informationen zum spezifischen Branding und zur Ankündigung von Nachrichten
  • Aufnahmen zum Zwecke der Wiedergabe, Bearbeitung und Transkription (diese Funktion ist seitens HD unterbunden)
  • Zugriffs- und Administrationsrechte für Online-Self-Service-Produkte
  • Feedback zur Benutzerbeurteilung während der Konferenz zu Qualitäts- und Überwachungszwecken
  • Aufzeichnungen aller eingehenden und ausgehenden Kontakte für Monitoring, Training, Coaching und Qualitätszwecke
  • Andere Daten, die gemäß den gesetzlichen Bestimmungen und anderen Informationen erforderlich sind, die von dem Nutzer freiwillig durch die Nutzung der von den Datenexporteuren bereitgestellten Dienste offengelegt werden

Im Rahmen der Bereitstellung der Teams Konferenzlösung, werden vom Auftragsverarbeiter insbesondere personenbezogene Daten(-kategorien) im Rahmen von

  • Beauftragung und Bereitstellung von Teams Konferenzlösungen
  • Hosting von Teams Konferenzlösungen (Speichern von Audio-/Videoaufzeichnungen (diese Funktion ist seitens HD unterbunden), Chats oder geteilten Dokumenten zum späteren Abruf)
  • Verwaltung von Konferenzen und Teilnehmendendaten (z.B. Speichern von Teilnehmendendaten, Agenda, Kommentaren)
  • Verwalten von Einladungen
  • Bereitstellung von Operatorleistungen und Support
  • Bereitstellung von Reportings

verarbeitet.

(4) Wer bekommt meine Daten?
Mitarbeitende der HD erhalten eine Benutzerkennung, um auf Teams zuzugreifen. Aus selbst erstellten oder teilgenommenen Meetings sind für diese Benutzer hierbei die folgenden Daten zugänglich:

  • Titel, Beschreibung und Datums-/Zeitangaben des Meetings
  • Meeting-Informationen zum Zugang (Aufruflink, Meetingnummer, PIN/Passwort, Einwahldaten für Videosystem- und Telefonzugang)
  • Profilbild/Benutzername/E-Mail-Adresse der Teilnehmenden des Meetings

Für die Teilnahme an einem Meeting ist für Externe keine eigene Benutzerkennung erforderlich. Die Einladung zu einem Meeting wird durch eine:n Gastgeber:in / Einladende:n bei der Erstellung eines neuen Meetings an die vorgesehenen Teilnehmenden übermittelt. Für diese Teilnehmenden sowie für den/die Gastgeber:in / Einladenden sind während des Meetings folgende Daten zugänglich:

  • Titel, Beschreibung und Datums-/Zeitangaben des Meetings
  • Meeting-Informationen zum Zugang (Aufruflink, Meetingnummer, PIN/Passwort, Einwahldaten für Videosystem- und Telefonzugang)
  • Profilbild und Benutzername der Teilnehmenden der Meetings
  • Audio-/Videoinhalte, die durch die Teilnehmenden des Meetings im Verlauf erzeugt werden
  • Präsentationsmaterial oder andere Dateien, die als Teil des Meetings verwendet werden
  • Grafische Inhalte, die auf dem elektronischen Whiteboard durch die Teilnehmenden während des Meetings erzeugt werden (in jedem Meeting steht ein solches elektronisches Whiteboard für manuell zu erstellenden Visualisierungen zur Verfügung)
  • Inhalte von Chatverläufen (sichtbar für alle Teilnehmenden des Meetings oder nur für einzelne Teilnehmende bei direkten Chats)

Folgender durch die HD beauftragter Kreis hat unter Beachtung der anwendbaren datenschutzrechtlichen Vorschriften die Möglichkeit, auf personenbezogene Daten zuzugreifen:

  • die Anwendungsadministratoren der HD zu Support und Analysezwecken.
  • die Anwendungsadministratoren der noris network AG zu Support und Analysezwecken.
  • die Anwendungsadministratoren der HD im Rahmen besonderer Reportingfunktion (anlassbezogene Identifizierung von Vorgängen oder Verdachtsfällen, die die Privatsphäre anderer verletzen (Verleumdungen), rassistische, sexistische oder auch politische Aufrufe, die nicht im Einklang mit unserer Rechtsordnung sind, unter aktiver Einbindung unserer Unternehmensbereiche CPL, Datenschutz, zusammen mit der Revision.).
  • die zuständigen Administratoren von Microsoft Teams zu Support und Analysezwecken (Metadaten aus Reportings wie z.B. Uhrzeit, Meeting Nummer und Dauer; vom Meeting selbst lediglich Logdaten, wenn diese von der Anwendungsadministration im Rahmen von Supportarbeiten zur Verfügung gestellt werden).
  • die zuständigen Mitarbeitenden des Herstellers (Microsoft) der Anwendung (z.B. für Supportlogs zur Fehlerbehebung, Fehleranalyse).

Die Daten sind während der Kommunikation/Konversation zwischen dem Endgerät und den Teams-Servern nach dem aktuellen Stand der Technik verschlüsselt. Die hierfür verwendeten Schlüssel werden auf Rechnern innerhalb des Europäischen Wirtschaftsraumes gespeichert.

(5) Wofür verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage?
Die Daten werden im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DS-GVO) sowie aller weiteren maßgeblichen Gesetze verarbeitet.

Die personenbezogenen Daten werden für den Zweck der Nutzung der Anwendung erhoben, verarbeitet und vorgehalten. Die Verarbeitung der Daten:

  • dient der Authentifizierung in der Anwendung (Benutzername, E-Mail-Adresse, Profilbild); Benutzername und Profilbild, sofern diese freiwillig angelegt/hochladen wurden, können den Konversationspartnern zusätzlich zur Authentifizierung dienen
  • dient der Möglichkeit, die Audio-/Videokonferenzen inklusive der enthaltenen Funktionalitäten (wie z.B. Chat, Whiteboard etc.) überhaupt zu nutzen

Für optional gepflegte Angaben zum Profil ist nach der DS-GVO der Zweck und die Rechtsgrundlage zu nennen. Bilder werden unter anderem in der DS-GVO gesondert behandelt. Es ist eine weitere, speziell auf das optional eingefügte Bild, Ausführung erforderlich. Dieses gilt auch für die Einwilligung.

  • Sofern und so weit im Textfeld Benutzername-Eingaben vorgenommen wurden, dienen diese dem eigenen Wunsch, die Identifikation der eigenen Benutzer-/Teilnehmendenkennung weiter auszuprägen.
  • Wenn in dem Feld-Profilbild freiwillig ein Bild hochgeladen wurde, dient dieses ebenfalls dem eigenen Wunsch, das persönliche Profil in der Konversation mit den Kommunikationspartnern freiwillig weiter auszuprägen.

Grundlage der Datenverarbeitung für die Zwecke der Audio- und Videokonferenzlösung der HD auf Basis von Teams ist die Einwilligung (auf der Grundlage von Art. 6 (1) lit. a) DS-GVO bzw. speziell für die Übertragung von Bildern insbesondere bezüglich etwaiger besonderer Kategorien personenbezogener Daten nach Art. 9 (2) lit. a) DS-GVO) – falls diese erteilt wird. Die Einwilligung ist freiwillig und es besteht keinerlei Verpflichtung dazu. Alternativ kannst du die Videoübertragung ausschalten und somit nur per Audio-Übertragung oder alternativ per Telefon teilnehmen bzw. uns direkt per Telefon anrufen.

Wenn diese Einwilligung nicht erteilt wird, hat das keine negativen Konsequenzen. Die erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei nicht erteilter oder auch bei widerrufener Einwilligung ist eine Nutzung von Teams nicht möglich.

Bilder sind dazu geeignet, besondere Kategorien personenbezogener Daten wie z.B. rassische Herkunft, Religion oder Gesundheitsdaten (z.B. Brille) zu offenbaren. Die Verarbeitung des Bildes unter solchen Aspekten gehört nicht zu den Zwecken der Teams Konferenzlösung, jedoch gelten hierfür nach DS-GVO andere Voraussetzungen, weswegen wir speziell das Bild auf Grundlage einer ausdrücklichen Einwilligung nach Art. 9 (2) lit. a) DS-GVO verarbeiten.
Die selbst eingestellten Bilder können, genauso wie Eingaben im Feld -Benutzername- stets aktualisiert und gelöscht werden.

Wenn ein Bild eingestellt wurde, ist für die Verarbeitung diese ausdrückliche Einwilligung erforderlich. Auch diese Einwilligung ist freiwillig und es besteht keinerlei Verpflichtung dazu. Wenn diese Einwilligung nicht erteilt wird, hat das keine negativen Konsequenzen. Die erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Nutzung von Teams ist weiterhin möglich.

Andere Nutzer von Teams könnten sich temporär in Drittländern aufhalten (z.B. Urlaub oder Dienstreise), für die kein Angemessenheitsbeschluss vorliegt und ohne, dass seitens der HD hierfür geeignete Garantien getroffen oder vorgesehen werden können. Sofern in solchen Fällen Teilnehmende über Teams kontaktiert werden, kann es sein, dass Daten einem höheren Risiko ausgesetzt sind, z.B. einem unbefugten Zugriff durch Dritte. Diese Übermittlung ist daher nur mit ausdrücklicher Einwilligung nach Art. 49 (1) lit. a) DS-GVO möglich.

(6) Wie lange werden meine Daten gespeichert?
Daten werden gelöscht, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind.
Sofern eine Einwilligung widerrufen wird, werden die betroffenen Daten gelöscht oder anonymisiert.

(7) Besteht eine Pflicht zur Bereitstellung von Daten?
Die Nutzung der Video- und Audio Funktion Teams Konferenzlösung ist freiwillig. Ohne Verarbeitung der Daten kann Teams nicht verwendet werden. In einem solchen Fall müssen alternative Kommunikationsmedien verwendet werden. Ist eine Teilnahme der Konferenz aus dienstlichen oder anderweitigen Gründen zwingend erforderlich, die Video- und/oder Audiofunktion wird jedoch abgelehnt, besteht die Option der telefonischen Teilnahme.

Es besteht die Möglichkeit, die unter Punkt (11) beschriebenen Rechte geltend zu machen.

(8) Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich, gesetzlich vorgeschrieben ist oder du uns deine Einwilligung erteilt hast. Über Einzelheiten informieren wir dich wie folgt:

Die Teams Lösung wird vom Vertragspartner der HD, Microsoft, bereitgestellt.
Die erforderlichen Regelungen der DS-GVO zur Auftragsverarbeitung (Art. 28) sind vertraglich umgesetzt. Die Verarbeitung und Speicherung der Daten durch Microsoft, erfolgt auch außerhalb der EU/EWR. Diese Verarbeitung erfolgt unter Anwendung der Regelung der EU/US Standard Clausse (2010_87_EU_v._5.2.10 EN).

(9) Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?
Eine automatisierte Entscheidungsfindung erfolgt unter Teams nicht.

(10) Inwieweit werden meine Daten für die Profilbildung (Scoring) genutzt?
Eine Profilbildung im Rahmen von Teams erfolgt nicht.

(11) Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach den Paragrafen 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i.V.m. Paragraf 19 BDSG).

(F) Einwilligungserklärung

Einwilligung zur Nutzung der Audio- und Videokonferenzlösung der HD auf Basis von Teams

Durch die Nutzung der Teams Anwendung willige ich darin ein, dass die HD meine Daten (u.a. E-Mail-Adresse, Benutzernamen, IP-Adresse) zur Durchführung von Videokonferenzen mit Teams wie unter den Punkten (3) bis (6) der Datenschutzhinweise beschrieben für die Zwecke der Teams Konferenzlösung verarbeiten darf, inklusive der Übermittlung an die unter Punkt (4) der Datenschutzhinweise genannten Empfänger (u.a. Hersteller Microsoft mit Sitz in den USA) und ggf. in ein unsicheres Drittland.

Die Verarbeitung und Speicherung der Daten erfolgten durch die Firma Microsoft, auch außerhalb der EU/EWR.

Besonderheiten:

  • Diese Einwilligung umfasst auch wie unter Punkt (8) der Datenschutzhinweise beschrieben, die Möglichkeit der Übermittlung meiner personenbezogenen Daten an ein Drittland außerhalb der EU/des EWR.
  • Für den Fall, dass ich ein Bild in mein Profil eingestellt habe (Hinweis unter Punkt (5) der Datenschutzhinweise), erteile ich hiermit die ausdrückliche Einwilligung nach Art. 9 (2) lit. a) DS-GVO.

Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Es besteht keinerlei Verpflichtung, diese zu erteilen. Das Nicht-Erteilen der Einwilligung hat keine negativen Konsequenzen.

Der Widerspruch kann form¬frei erfolgen und sollte möglichst gerichtet werden an:

Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Steindamm 80
20099 Hamburg
E-Mail info@haspa-direkt.de

Eine vollständige Beschreibung der Datenschutzrechte findet sich unter den obigen Punkten (7) und (11) der Datenschutzhinweise.

B. Disclaimer für Gastgeber
Audio- und Videokonferenz-Lösung der Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Nutzungsbedingungen und Informationen zur Verarbeitung personenbezogener Daten

– Für Gastgeber / Einladende – Version 1.0 / 13.04.2022 –

Inhaltsverzeichnis

(A) Nutzungsbedingungen für Gastgeber/Einladende
(B) Einsatz privater Endgeräte
(C) Risiken der Videobildübertragung
(D) Informationen zur Verarbeitung von personenbezogenen Daten (Datenschutzhinweise nach Art. 13 DSGVO)
(E) Einwilligungserklärung

(A) Nutzungsbedingungen für Gastgeber/Einladende

Haspa Direkt implementierte die Lösung Microsoft Teams für Audio- und Videokonferenzen (im Folgenden Teams), um eine direkte und persönliche Kommunikation zu ermöglichen und den Austausch innerhalb des Unternehmens zu unterstützen.
Wesentliche relevante Vorgaben zur Nutzung sind in den folgenden 10 Regeln zusammengefasst:

  1. Jeder Mitarbeiter von Haspa Direkt erhält einen individuellen Zugang für die Teams Anwendung.
  2. Erlaubte Teilnehmende an Microsoft Teams sind Mitarbeitende der HD, der Haspa AG, der Haspa Finanzholding und der Konzernunternehmen, Angehörige von Partnerunternehmen (mit denen eine vertragliche Beziehung besteht) sowie Kunden der HD.
  3. Die Weitergabe von streng vertraulichen Daten (z.B. besonders schutzwürdiger personenbezogener Daten) ist nicht zulässig.
  4. Zur Wahrung der Vertraulichkeit eines Teams Meetings ist keine Teilnahme an öffentlichen Orten erlaubt.
  5. Titel und Begleittexte zu Meeting-Einladungen dürfen keine vertraulichen Daten enthalten.
  6. Der Zugang zu Microsoft Teams ist stets auf den festgelegten Teilnehmendenkreis zu beschränken.
  7. Die bereitgestellten Zugangsinformationen zu einem Teams Meeting (Link, Einwahlnummer, Passwort, PIN) sind vertraulich zu behandeln und dürfen nicht an Dritte versendet bzw. weitergegeben werden.
  8. Der/Die Gastgeber:in/Einladende muss sich vor Beginn des Teams-Meetings von der korrekten Identität der Teilnehmenden überzeugen.
  9. Der/Die Gastgeber:in/Einladende sollte auf die Einhaltung dieser Vorgaben durch die Teilnehmenden achten und eingreifen, wenn es zu erkennbaren Verstößen kommt.
  10. Die Aufzeichnung von Teams Meetings ist verboten.

Diese Regeln sind in der Handlungsanweisung zur Nutzung von Teams erläutert. Diese Handlungsanweisung ist im Haspa Direkt Intranet veröffentlicht und wurde im Rahmen von Teams-Schulungen den einzelnen Benutzern zur Verfügung gestellt.

Die Regelungen der Betriebsvereinbarung zur Videoberatung gelten ebenfalls für die Nutzung von Teams.

Konferenzlösungen dürfen nicht missbräuchlich benutzt werden, insbesondere sind bedrohende und belästigende Anrufe zu unterlassen sowie keine Informationen mit rechts- oder sittenwidrigen Inhalten an beliebige Anrufer zu übermitteln und diese nicht auf solche Informationen hinzuweisen. Dazu zählen vor allem Informationen, die im Sinne der Paragrafen 130, 130a und 131 StGB der Volksverhetzung dienen, zu Straftaten anleiten oder Gewalt verherrlichen oder verharmlosen, sexuell anstößig sind, im Sinne des Paragraf 184 StGB pornografisch sind, geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden oder in ihrem Wohl zu beeinträchtigen oder das Ansehen der beteiligten Unternehmen schädigen können.

(B) Einsatz privater Endgeräte

Die Nutzung von Teams für HD-Mitarbeitende und ZAK ist derzeit nur auf dienstlichen Endgeräten zulässig.

Externe (bei internen Meetings oder mit Verbundpartnern) bestätigen die Einhaltung folgender Mindestsicherheitsstandards:

  • Aktuelles Betriebssystem (Windows 10, MacOS Sierra, iOS13, Android 10 oder jeweils neuer) mit den aktuellen Updates/Sicherheitspatchen
  • Zugangsschutz zum System (z.B. Passwort, Face-ID, PIN ist aktiviert)
  • Ein aktueller Virenschutz (z.B. McAfee, Avira, Window10 Defender) ist verpflichtend für alle Endgeräte, ausgenommen sind zurzeit Apple-Systeme, hier gilt dies als Empfehlung
(C) Risiken der Videobildübertragung

Es kann nicht ausgeschlossen werden, dass die Inhalte eines Teams Meetings durch Dritte gefilmt und im Internet veröffentlicht werden. Dadurch ist es unter Umständen möglich, dass diese dauerhaft weltweit abgerufen, gespeichert, verändert oder anderweitig genutzt werden können.

Außerdem ist nicht auszuschließen, dass durch die o.g. Umstände das Persönlichkeitsrecht, einschließlich des Rechts am eigenen Bild bzw. gesprochenen Wort und des Rechts auf informationelle Selbstbestimmung des Nutzers von Teams (Gastgeber / Einladender und Teilnehmende) verletzt werden könnten.

Insbesondere im Falle einer missbräuchlichen Verwendung von Inhalten eines Microsoft Teams oder anderer Verletzungen von Rechten des Nutzers, gelten die gesetzlichen Regelungen zum Schadensersatz.

(D) Informationen zur Verarbeitung von personenbezogenen Daten (Datenschutzhinweise nach Art. 13 DS-GVO)

(1) Welche Informationen enthält dieses Dokument?
Microsoft Corporation, One Microsoft Way, Redmond; WA 98052-6399 USA, betreibt im Auftrag der Haspa Direkt, Steindamm 80, 20099 Hamburg, im folgenden HD, die Teams Lösungen, um den Mitarbeitenden der HD eine sichere, cloud-basierte Collaborations-Plattform zur Verfügung zu stellen, welche die Zusammenarbeit für alle Beteiligten optimiert. Mit Teams stehen Funktionen für professionelle Meetings, Anrufe und die Zusammenarbeit im Team zur Verfügung.

Die Erfüllung der Anforderungen der anwendbaren Datenschutzgesetze ist sichergestellt. Anbei folgt ein detaillierter Überblick über den Umgang mit Daten und zugehörigen Rechten. Zum Abschluss findet sich die Einwilligungserklärung zur Verarbeitung personenbezogener Daten aufgrund der Nutzung von Microsoft Teams.

(2) Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlicher für die Verarbeitung ist die

Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Steindamm 80
20099 Hamburg
Telefon 040 28876-0
E-Mail info@haspa-direkt.de

Sie erreichen unsere/n Datenschutzbeauftragten unter:

Beauftragter für den Datenschutz
Hamburger Sparkasse
Postfach
20454 Hamburg
E-Mail datenschutz@haspa-direkt.de

(3) Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Teams-Konferenz von Ihnen erhalten.

Mit der Nutzung von Teams werden folgende personenbezogene Daten(-kategorien) verarbeitet:

  • Bestellinformationen (Vor- und Nachname, Postadresse, E-Mail-Adresse, Telefonnummer, IP-Adresse, Rechnungsempfänger)
  • Registrierungsinformationen (E-Mail-Adresse, Aktivierungscodes, Konferenzcodes, Benutzername, Kennwort, Vorname, Nachname, Firmenname, Organisations-ID- Universal Unique Identifier)
  • Konfigurations- und Kommunikationsdaten (Gerätename, Geodaten, IP-Adresse, User Agent Identifier, Operating System Type und Version, Client Version, Endpoint-MAC-Adressen, Zeitzone, Domainname, Aktivitätsprotokolle, Hardwaretyp)
  • Konferenzinformationen (Titel, Datum, Uhrzeit, Dauer, Anzahl Meetings, Anzahl Teilnehmende, Gastgebername, Bildschirmauflösung, Einwahlmethode, Diagnoseinformationen)
  • Unterstützungsleistungen / Support (Name, E-Mail-Adresse, Telefonnummer, Authentifizierungsinformationen, Systeminformationen, Error-Logfiles)
  • Präsentationsmaterial das als Teil der Konferenz verwendet wird
  • Dateiverweise, Sachnummern und andere für Rechnungszwecke angeforderte Referenzen
  • Informationen zum spezifischen Branding und zur Ankündigung von Nachrichten
  • Aufnahmen zum Zwecke der Wiedergabe, Bearbeitung und Transkription (diese Funktion ist seitens HD unterbunden)
  • Zugriffs- und Administrationsrechte für Online-Self-Service-Produkte
  • Feedback zur Benutzerbeurteilung während der Konferenz zu Qualitäts- und Überwachungszwecken
  • Aufzeichnungen aller eingehenden und ausgehenden Kontakte für Monitoring, Training, Coaching und Qualitätszwecke
  • Andere Daten, die gemäß den gesetzlichen Bestimmungen und anderen Informationen erforderlich sind, die von dem Nutzer freiwillig durch die Nutzung der von den Datenexporteuren bereitgestellten Dienste offengelegt werden

Im Rahmen der Bereitstellung der Teams Lösung, werden vom Auftragsverarbeiter insbesondere personenbezogene Daten(-kategorien) im Rahmen von

  • Beauftragung und Bereitstellung von Teams Lösungen
  • Hosting von Teams (Speichern von Audio-/Videoaufzeichnungen (diese Funktion ist seitens HD unterbunden), Chats oder geteilten Dokumenten zum späteren Abruf)
  • Verwaltung von Konferenzen und Teilnehmendendaten (z.B. Speichern von Teilnehmendendaten, Agenda, Kommentaren)
  • Verwalten von Einladungen
  • Bereitstellung von Operatorleistungen und Support
  • Bereitstellung von Reportings

verarbeitet.

(4) Wer bekommt meine Daten?
Mitarbeitende der HD erhalten eine Benutzerkennung (für Gastgeber/Einladende), um auf Teams zuzugreifen. Aus selbst erstellten oder teilgenommenen Meetings sind für diese Benutzer hierbei die folgenden Daten zugänglich:

  •  Titel, Beschreibung und Datums-/Zeitangaben des Meetings
  • Meeting-Informationen zum Zugang (Aufruflink, Meetingnummer, PIN/Passwort, Einwahldaten für Videosystem- und Telefonzugang)
  • Profilbild/Benutzername/E-Mail-Adresse der Teilnehmenden des Meetings

Für die Teilnahme an einem Meeting ist nur für interne Mitarbeiter eine eigene Benutzerkennung erforderlich. Die Einladung zu einem Meeting wird durch eine:n Gastgeber:in/Einladenden bei der Erstellung eines neuen Meetings an die vorgesehenen Teilnehmenden übermittelt. Für diese Teilnehmenden sowie für den/die Gastgeber:in/Einladenden sind während des Meetings folgende Daten zugänglich:

  • Titel, Beschreibung und Datums-/Zeitangaben des Meetings
  • Meeting-Informationen zum Zugang (Aufruflink, Meetingnummer, PIN/Passwort, Einwahldaten für Videosystem- und Telefonzugang)
  • Profilbild und Benutzername der Teilnehmenden der Meetings
  • Audio-/Videoinhalte, die durch die Teilnehmenden des Meetings im Verlauf erzeugt werden
  • Präsentationsmaterial oder andere Dateien, die als Teil des Meetings verwendet werden
  • Grafische Inhalte, die auf dem elektronischen Whiteboard durch die Teilnehmenden während des Meetings erzeugt werden (in jedem Meeting steht ein solches elektronisches Whiteboard für manuell zu erstellenden Visualisierungen zur Verfügung)
  • Inhalte von Chatverläufen (sichtbar für alle Teilnehmenden des Meetings oder nur für einzelne Teilnehmende bei direkten Chats)

Folgender durch die HD beauftragter Kreis hat unter Beachtung der anwendbaren datenschutzrechtlichen Vorschriften die Möglichkeit, auf personenbezogene Daten zuzugreifen:

  • die Anwendungsadministratoren der HD zu Support und Analysezwecken.
  • die Anwendungsadministratoren der noris network ag zu Support und Analysezwecken.
  • die Anwendungsadministratoren der HD im Rahmen besonderer Reportingfunktion (anlassbezogene Identifizierung von Vorgängen oder Verdachtsfällen die die Privatsphäre anderer verletzen (Verleumdungen), rassistische, sexistische oder auch politische Aufrufe, die nicht im Einklang mit unserer Rechtsordnung sind, unter aktiver Einbindung unserer Unternehmensbereiche CPL, Datenschutz, zusammen mit der Revision.
  • die zuständigen Administratoren der Deutschen Telekom zu Support und Analysezwecken (Metadaten aus Reportings wie z.B. Uhrzeit, Meeting Nummer und Daür; vom Meeting selbst lediglich Logdaten, wenn diese von der Anwendungsadministration im Rahmen von Supportarbeiten zur Verfügung gestellt werden).
  • die zuständigen Mitarbeitenden des Herstellers (Microsoft) der Anwendung Teams (z.B. für Supportlogs zur Fehlerbehebung, Fehleranalyse).

Die Daten sind während der Kommunikation/Konversation zwischen dem Endgerät und den Servern nach dem aktuellen Stand der Technik verschlüsselt. Die hierfür verwendeten Schlüssel werden auf Rechnern innerhalb des Europäischen Wirtschaftsraumes gespeichert.

(5) Wofür verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage?
Die Daten werden im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DS-GVO) sowie aller weiteren massgeblichen Gesetze verarbeitet.

Die personenbezogenen Daten werden für den Zweck der Nutzung der Anwendung erhoben, verarbeitet und vorgehalten. Die Verarbeitung der Daten:

  • dient der Authentifizierung in der Anwendung (Benutzername, E-Mail-Adresse, Profilbild); Benutzername und Profilbild, sofern diese freiwillig angelegt/hochladen wurden, können den Konversationspartnern zusätzlich zur Authentifizierung dienen
  • dient der Möglichkeit, die Audio-/Videokonferenzen inklusive der enthaltenen Funktionalitäten (wie z.B. Chat, Whiteboard etc.) überhaupt zu nutzen

Für optional gepflegte Angaben zum Profil ist nach der DS-GVO der Zweck und die Rechtsgrundlage zu nennen. Bilder werden unter anderem in der DS-GVO gesondert behandelt. Es ist eine weitere, speziell auf das optional eingefügte Bild, Ausführung erforderlich. Dieses gilt auch für die Einwilligung.

  • Sofern und so weit im Textfeld -Benutzername- Eingaben vorgenommen wurden, dienen diese dem eigenen Wunsch, die Identifikation der eigenen Benutzer-/Teilnehmendenkennung weiter auszuprägen.
  • Wenn in dem Feld -Profilbild- freiwillig ein Bild hochgeladen wurde, dient dieses ebenfalls dem eigenen Wunsch, das persönliche Profil in der Konversation mit den Kommunikationspartnern freiwillig weiter auszuprägen.

Grundlage der Datenverarbeitung für die Zwecke der Audio- und Videokonferenzlösung der HD auf Basis von Cisco Webex ist die Einwilligung (auf der Grundlage von Art. 6 (1) lit. a) DS-GVO bzw. speziell für die Übertragung von Bildern insbesondere bezüglich etwaiger besonderer Kategorien personenbezogener Daten nach Art. 9 (2) lit. a) DS-GVO) – falls diese erteilt wird. Die Einwilligung ist freiwillig und es besteht keinerlei Verpflichtung dazu. Alternativ kannst du die Videoübertragung ausschalten und somit nur per Audio-Übertragung oder alternativ per Telefon teilnehmen bzw. uns direkt per Telefon anrufen.

Wenn diese Einwilligung nicht erteilt wird, hat das keine negativen Konsequenzen. Die erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei nicht erteilter oder auch bei widerrufener Einwilligung ist eine Nutzung von Teams nicht möglich.

Bilder sind dazu geeignet, besondere Kategorien personenbezogener Daten wie z.B. rassische Herkunft, Religion oder Gesundheitsdaten (z.B. Brille) zu offenbaren. Die Verarbeitung des Bildes unter solchen Aspekten gehört nicht zu den Zwecken der Teams Lösung, jedoch gelten hierfür nach DS-GVO andere Voraussetzungen, weswegen wir speziell das Bild auf Grundlage einer ausdrücklichen Einwilligung nach Art. 9 (2) lit. a) DS-GVO verarbeiten.
Die selbst eingestellten Bilder können, genauso wie Eingaben im Feld -Benutzername- stets aktualisiert und gelöscht werden.

Wenn ein Bild eingestellt wurde, ist für die Verarbeitung diese ausdrückliche Einwilligung erforderlich. Auch diese Einwilligung ist freiwillig und es besteht keinerlei Verpflichtung dazu. Wenn diese Einwilligung nicht erteilt wird, hat das keine negativen Konsequenzen. Die erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Nutzung von Teams ist weiterhin möglich.

Andere Nutzer von Teams könnten sich temporär in Drittländern aufhalten (z.B. Urlaub oder Dienstreise), für die kein Angemessenheitsbeschluss vorliegt und ohne, dass seitens der HD hierfür geeignete Garantien getroffen oder vorgesehen werden können. Sofern in solchen Fällen Teilnehmende über Teams kontaktiert werden, kann es sein, dass Daten einem höheren Risiko ausgesetzt sind, z.B. einem unbefugten Zugriff durch Dritte. Diese Übermittlung ist daher nur mit ausdrücklicher Einwilligung nach Art. 49 (1) lit. a) DS-GVO möglich.

(6) Wie lange werden meine Daten gespeichert?
Daten werden gelöscht, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind.
Sofern eine Einwilligung widerrufen wird, werden die betroffenen Daten gelöscht oder anonymisiert.

(7) Besteht eine Pflicht zur Bereitstellung von Daten?
Die Nutzung der Video- und Audio Funktion in der Anwendung Teams ist freiwillig. Ohne Verarbeitung der Daten kann Teams nicht verwendet werden. In einem solchen Fall müssen alternative Kommunikationsmedien verwendet werden.

Es besteht die Möglichkeit, die unter Punkt (11) beschriebenen Rechte geltend zu machen.

(8) Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung deiner Aufträge erforderlich, gesetzlich vorgeschrieben ist oder du uns deine Einwilligung erteilt hast. Über Einzelheiten informieren wir dich wie folgt:

Die Teams Lösung wird vom Vertragspartner der HD, Microsoft, bereitgestellt.
Die erforderlichen Regelungen der DS-GVO zur Auftragsverarbeitung (Art. 28) sind vertraglich umgesetzt. Die Verarbeitung und Speicherung der Daten durch Microsoft, erfolgt auch außerhalb der EU/EWR. Diese Verarbeitung erfolgt unter Anwendung der Regelung der EU/US Standard Clausse (2010_87_EU_v._5.2.10 EN).

(9) Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?
Eine automatisierte Entscheidungsfindung erfolgt unter Teams nicht.

(10) Inwieweit werden meine Daten für die Profilbildung (Scoring) genutzt?
Eine Profilbildung im Rahmen von Teams erfolgt nicht.

(11) Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach den Paragrafen 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i.V.m. Paragraf 19 BDSG).

(E) Einwilligungserklärung

Einwilligung zur Nutzung der Audio- und Videokonferenzlösung der HD auf Basis von Teams

Durch die Teilnahme an einem Teams Meeting willige ich darin ein, dass die HD meine Daten (u.a. E-Mail-Adresse, Benutzernamen, IP-Adresse) zur Durchführung von Videokonferenzen mit Teams wie unter den Punkten (3) bis (6) der Datenschutzhinweise beschrieben für die Zwecke der Teams Lösung verarbeiten darf, inklusive der Übermittlung an die unter Punkt (4) der Datenschutzhinweise genannten Empfänger (u.a. Hersteller Microsoft mit Sitz in den USA) und ggf. in ein unsicheres Drittland.

Die Verarbeitung und Speicherung der Daten erfolgten durch die Firma Microsoft, auch außerhalb der EU/EWR.

Besonderheiten:

  • Diese Einwilligung umfasst auch, wie unter Punkt (8) der Datenschutzhinweise beschrieben, die Möglichkeit der Übermittlung meiner personenbezogenen Daten an ein Drittland außerhalb der EU/des EWR.
  • Für den Fall, dass ich ein Bild in mein Profil eingestellt habe (Hinweis unter Punkt (5) der Datenschutzhinweise), erteile ich hiermit die ausdrückliche Einwilligung nach Art. 9 (2) lit. a) DS-GVO.

Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Es besteht keinerlei Verpflichtung, diese zu erteilen. Das Nicht-Erteilen der Einwilligung hat keine negativen Konsequenzen.

Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

Haspa Direkt Servicegesellschaft für Direktvertrieb mbH
Steindamm 80
20099 Hamburg
E-Mail info@haspa-direkt.de