Datenschutzerklärung für Anwendungen in Microsoft 365 (M365)

§ 1 Verantwortlicher & Datenschutzbeauftragter

Der Verantwortliche im Sinne der Kirchlichen Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Verantwortlicher im Sinne von § 4 Nr. 9 KDR-OG ist (im Weiteren „Malteser“ genannt) sind Malteser Hilfsdienst e.V. oder Malteser Deutschland gGmbH (einschließlich der Tochtergesellschaften), jeweils Erna-Scheffler-Straße 2, 51103 Köln, +49 (0) 221 9822 0, malteser@malteser.org, www.malteser.de

Datenschutzbeauftragter: Rechtsanwalt Dr. Karsten Kinast LLM, Kinast Rechtsanwaltsgesellschaft mbH, Hohenzollernring 54, 50672 Köln, E-Mail: datenschutz-malteser@kinast.eu

§ 2 Einzelne Verarbeitungstätigkeiten

Der Verantwortliche setzt in der Zusammenarbeit mit Ihnen Anwendungen in Microsoft 365 (M365) ein. Die Datenschutzerklärung von Microsoft können Sie hier einsehen.

1. Teilnahme an Online Meetings

a) Art und Umfang der Datenverarbeitung

Wir nutzen Online Meeting-Tools wie Microsoft Teams, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen.

Die von uns genutzten Meeting-Tools sind Services der Microsoft Corporation. Um die entsprechende Anwendung auf Ihrem Endgerät zu installieren, kann ein Aufruf der Internetseite von Microsoft oder des jeweiligen App-Stores erforderlich sein, wo die Malteser nicht für die Verarbeitung Ihrer Daten verantwortlich sind. Wenn Sie die jeweilige App nicht nutzen möchten, können Sie an den Online-Meetings in der Regel auch über Ihren Internet-Browser teilnehmen.

Der Umfang der Datenverarbeitung hängt davon ab, welche Daten Sie im Zusammenhang mit der Teilnahme an einem Online-Meeting zur Verarbeitung bereitstellen bzw. welche Angaben Sie machen.  Folgende Angaben werden bei der Nutzung bzw. Teilnahme erhoben:

  • Angaben zum Benutzer: bspw. Anzeige-/Benutzername, ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache
  • Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort
  • Text-, Audio- und Videodaten: Sie haben die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Eingaben verarbeitet (i.d.R. Textbeiträge, von Ihnen hochgeladene Dateien), um diese im Online-Meeting anzuzeigen. Wenn Sie die Mikrofon-Funktion aktivieren, erheben wir alle akustischen Beiträge, die Sie während des Online-Meetings machen. Wenn Sie die Kamera-Funktion aktivieren, erheben wir während des Online-Meetings Ihr Videobild. Alle Teilnehmenden des Online Meetings können Sie dann ggf. hören und/oder sehen. Sie können die Kamera oder das Mikrofon jederzeit selbst deaktivieren. Wenn eine Aufzeichnung stattfinden sollte, werden Sie zu Beginn des Meetings in Kenntnis gesetzt (vgl. unten Ziffer 2). Die Aufnahmen werden so lange gespeichert, wie sie für den Zweck benötigt werden.

b) Rechtsgrundlage

Sofern die genannte Datenverarbeitung im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses stehen, dient § 53 KDR-OG als Rechtsgrundlage. Bei der Verarbeitung Ihrer personenbezogenen Daten, die zur Erfüllung eines mit uns geschlossenen Vertrages oder einer bestehenden Vertragsbeziehung erforderlich sind, dient § 6 Abs. 1 lit. c KDR-OG als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Sollten bei der Teilnahme an einem Online-Meeting personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung des Meeting-Tools sein, so ist § 6 Abs. 1 lit. g KDR-OG Rechtsgrundlage für die Verarbeitung Ihrer Daten. Unser berechtigtes Interesse besteht in diesen Fällen an der effektiven Durchführung von Online-Meetings.

Sie haben das Recht, dieser Verarbeitung Ihrer personenbezogenen Daten jederzeit nach § 23 KDR-OG zu widersprechen. Sie können Ihren Widerspruch jederzeit unmittelbar selbst geltend machen, indem Sie die Mikrofon- und/oder Kamerafunktion deaktivieren. Überdies können Sie Ihren Widerspruch Sie an den Verantwortlichen richten.

c) Speicherdauer

Wir zeichnen Online Meetings in der Regel nicht auf (vgl. hierzu unten Ziff. 2), so dass lediglich Ihre Benutzerangaben, die Meeting-Metadaten sowie Ihre Beiträge in der Chatfunktion gespeichert werden.

Wir löschen Ihre personenbezogenen Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten nehmen wir eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht vor.

2. Aufzeichnung von Online Meetings

a) Art und Umfang der Datenverarbeitung

Wenn wir Online Meetings aufzeichnen wollen, werden wir Ihnen das im Vorfeld transparent mitteilen und, falls erforderlich, um Ihre Zustimmung bitten.

Aufzeichnungen der Videokonferenz stehen nur Teilnehmenden oder Berechtigten zur Verfügung. Bei Aufzeichnung erscheint für alle Teilnehmer ein visueller Warnhinweis für die gesamte Dauer, der zudem eine Verlinkung auf die Datenschutzerklärung von Microsoft enthält.

Video-Konferenz-Anwendungen wie bspw. Teams bieten zumeist die Möglichkeit, den Hintergrund durch Weichzeichnung oder Hintergrundbilder unkenntlich zu machen.

Wenn Sie nicht möchten, dass Ihr gesprochenes oder geschriebenes Wort aufgezeichnet wird, lassen Sie Ihr Mikrofon ausgeschaltet und schreiben Sie nichts in den Chat. Sie können die Kamera oder das Mikrofon jederzeit selbst deaktivieren

b) Rechtsgrundlage

Ihre personenbezogenen Daten erheben wir gemäß § 6 Abs. 1 lit. g KDR-OG. Unser berechtigtes Interesse besteht in diesen Fällen an der Verfügbarmachung von Informationen für Mitarbeiter in der Organisation.

Sie haben das Recht, dieser Verarbeitung Ihrer personenbezogenen Daten jederzeit nach § 23 KDR-OG zu widersprechen. Sie können Ihren Widerspruch jederzeit unmittelbar selbst geltend machen, indem Sie die Mikrofon- und/oder Kamerafunktion deaktivieren. Überdies können Sie Ihren Widerspruch Sie an den Verantwortlichen richten.

c) Speicherdauer

Aufzeichnungen werden in M365-Anwendungen wie OneDrive (vgl. unten Ziff. 6) oder ggf. in MS Stream (sichtbar innerhalb der Malteser IT-Infrastruktur, entsprechend der durch den Organisator eingestellten Berechtigungen) gespeichert und veröffentlicht. Weitere Veröffentlichungen werden nicht ohne Ihre ausdrückliche Einwilligung vorgenommen.

Wir löschen Ihre personenbezogenen Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten nehmen wir eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht vor.

3. Datenspeicherung und Kooperation in M365 (Cloud-Speicher)

a) Art und Umfang der Datenverarbeitung

M365-Anwendungen wie SharePoint, OneDrive oder Teams ermöglichen es, Daten abzulegen und mit anderen Nutzern zu teilen. Somit ist es möglich, gemeinsam an Dokumenten zu arbeiten und sich mithilfe der Kommentarfunktion dazu auszutauschen. In OneDrive können beispielsweise Dateien gespeichert, für andere Personen freigeben und von jedem mit dem Internet verbundenen Gerät aus darauf zugegriffen werden.

Der Umfang der Datenverarbeitung hängt davon ab, welche Daten, die sich in den Dokumenten befinden, geteilt und bearbeitet werden.

Folgende Angaben werden bei der Nutzung mindestens verarbeitet: Anzeige-/Benutzername, ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache

b) Rechtsgrundlage für die Datenverarbeitung:

Sofern die genannte Datenverarbeitung im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses stehen, dient § 53 KDR-OG als Rechtsgrundlage. Bei der Verarbeitung Ihrer personenbezogenen Daten, die zur Erfüllung eines mit uns geschlossenen Vertrages oder einer bestehenden Vertragsbeziehung erforderlich sind, dient § 6 Abs. 1 lit. c KDR-OG als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Sollte beim Teilen/Bearbeiten von Dokumenten personenbezogene Daten verarbeitet werden, die nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung sind, so ist § 6 Abs. 1 lit. g KDR-OG die Rechtsgrundlage für die Verarbeitung Ihrer Daten. Unser Interesse besteht in diesen Fällen an der effektiven Speicherung und gemeinsamen Bearbeitung von Dokumenten, die relevant für die gemeinsame Zusammenarbeit sind.

c) Speicherdauer

Wir löschen Ihre personenbezogenen Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

4. Terminbuchung über Planungs-Tools

a) Art und Umfang der Datenverarbeitung

M365-Anwendungen wie Bookings sind Planungs-Tools, über die Termine geplant, vereinbart und verwaltet werden können.

Der Umfang der Datenverarbeitung hängt davon ab, welche Daten zur Terminbuchung relevant sind und angegeben werden müssen, um den Termin festhalten und vereinbaren zu können.

Aus Gründen der Zuordnung und Nachvollziehbarkeit werden dabei mindestens Kontaktdaten wie Name, E-Mail-Adresse und/oder Telefonnummer verarbeitet. Wenn es bspw. um Terminvereinbarungen im gesundheitlichen Rahmen geht, werden möglicherweise auch Gesundheitsdaten von Ihnen verarbeitet.

b) Rechtsgrundlage für die Datenverarbeitung

Bei der Verarbeitung Ihrer personenbezogenen Daten, die zur Erfüllung eines mit uns geschlossenen Vertrages oder einer bestehenden Vertragsbeziehung erforderlich sind, dient § 6 Abs. 1 lit. c KDR-OG als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Sollten Sie im Rahmen einer Terminbuchung Angaben zu Ihrer Gesundheit machen, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung gem. § 11 Abs. 2 a KDR-OG. Sie haben die Möglichkeit, diese Einwilligung jederzeit und ohne Angabe von Gründen formlos zu widerrufen. Den Widerruf richten Sie bitte an oben genannten Verantwortlichen.

c) Speicherdauer

Wir löschen Ihre personenbezogenen Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

5. Nutzung von Umfrage-Tools

a) Art und Umfang der Datenverarbeitung

Umfrage-Tools wie Microsoft Forms können für Umfragen, aber auch Anmeldungen zu verschiedenen Veranstaltungen genutzt werden. Dadurch, dass die Formulare individuell erstellt und angepasst werden, hängt der Umfang der Datenverarbeitung von dem jeweiligen Zweck ab, zu dem das Formular verwendet werden soll.

Sollten in der Umfrage Angaben zu Ihrer Gesundheit machen, verarbeiten wir zusätzlich Ihre Gesundheitsdaten.

b) Rechtsgrundlage für die Datenverarbeitung

Sofern die genannte Datenverarbeitung im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses stehen, dient § 53 KDR-OG als Rechtsgrundlage. Bei der Verarbeitung Ihrer personenbezogenen Daten, die zur Erfüllung eines mit uns geschlossenen Vertrages oder einer bestehenden Vertragsbeziehung erforderlich sind, dient § 6 Abs. 1 lit. c KDR-OG als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Sollte beim Ausfüllen der Umfrage / des Formulars personenbezogene Daten verarbeitet werden, die nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von Microsoft Forms sind, so ist § 6 Abs. 1 lit. g KDR-OG die Rechtsgrundlage für die Verarbeitung Ihrer Daten. Unser Interesse besteht in diesen Fällen zu einem Ergebnis in der geplanten Umfrage zu gelangen.

Sollten Sie im Rahmen einer Umfrage oder Anmeldung zu einer Veranstaltung Angaben zu Ihrer Gesundheit machen, verarbeiten wir diese mithilfe Ihrer Einwilligung gem. § 11 Abs. 2 a KDR-OG. Sie haben die Möglichkeit diese Einwilligung jederzeit und ohne Angabe von Gründen formlos zu widerrufen. Den Widerruf richten Sie bitte an oben genannten Verantwortlichen.

c) Speicherdauer

Wir löschen Ihre personenbezogenen Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

§ 3 Weitergabe der Daten

Wir verwenden Ihre Daten ausschließlich zu den oben genannten Zwecken. Die M365-Dienste werden durch unseren IT-Dienstleister, die SoCura GmbH bereitgestellt, eine Tochtergesellschaft des Malteser Hilfsdienst e.V. Ihre Daten werden weitergegeben an die Microsoft Corporation, mit der Verträge zur Auftragsverarbeitung gem. § 29 KDR-OG geschlossen wurden.

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir die Speicherung von Inhaltsdaten auf Rechenzentren in Deutschland und der Europäischen Union beschränkt haben. Wenn sich Teilnehmende an Online-Meetings in einem Drittland aufhalten, können wir nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.

M365-Anwendungen übermitteln technische Daten zur Nutzererfahrung sowie zur Funktionalität (Diagnosedaten, Telemetriedaten) in die USA. Die Übermittlung erfolgt auf der Grundlage von Standardvertragsklauseln einschließlich zusätzlicher Garantien gem. § 40 Abs. 2  KDR-OG. Ihre Inhaltsdaten (bspw. Dateien, Beiträge, Ton oder Videobild) werden jedoch im Zuge dessen nicht übermittelt.

§ 4 Rechte des Betroffenen

Aus der KDR-OG ergeben sich für Sie als Betroffenen zu der Verarbeitung Ihrer personenbezogenen Daten folgende Rechte:

Widerrufsrecht (§ 8 KDR-OG), Anspruch auf Auskunft (§ 17 KDR-OG), Berichtigung Ihrer Daten (§ 18 KDR-OG), Löschung (§ 19 KDR-OG), Einschränkung der Datenverarbeitung (§ 20 KDR-OG), Recht auf Datenübertragbarkeit (§ 22 KDR-OG), Widerspruchsrecht (§ 23 KDR-OG).

In den Fällen, in denen wir Ihre Daten auf Grundlage eines von uns nachgewiesenen berechtigten Interesses nach § 6 Abs. 1 g KDR-OG verarbeiten, haben Sie haben das Recht, dieser Verarbeitung Ihrer personenbezogenen Daten jederzeit nach § 23 KDR-OG zu widersprechen. Ihren Widerspruch richten Sie an: datenschutz@malteser.org

Gemäß § 48 KDR-OG steht Ihnen das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden. Wenn Sie der Ansicht sind, dass Ihre Daten rechtswidrig von dem Verantwortlichen verarbeitet wurden oder dass Ihre Betroffenenrechte verletzt wurden, dann wenden Sie sich bitte an die Datenschutzaufsicht: Herr RA Dieter Fuchs, Wittelsbacherring 9, 53115 Bonn, E-Mail: fuchs@orden.de

§ 5 Datensicherheit und Sicherungsmaßnahmen

Wir verpflichten uns, Ihre Privatsphäre zu schützen und Ihre personenbezogenen Daten vertraulich zu behandeln. Um eine Manipulation oder einen Verlust oder Missbrauch Ihrer bei uns gespeicherten Daten zu vermeiden, treffen wir umfangreiche technische und organisatorische Sicherheitsvorkehrungen, die regelmäßig überprüft und dem technologischen Fortschritt angepasst werden.