Nutzungsvereinbarung für den Umgang mit personenbezogenen Daten im Zusammenhang mit Microsoft Office 365
Die Hochschule für Künste (HfK) wird Ihnen als Studierende(r), Lehrender, Mitarbeiter organisatorische Informationen zu dem Studium allgemein sowie zu Ihrem Studiengang an ein von der HfK bereitgestelltes E-Mail-Postfach zusenden.
Die HfK bietet Ihnen zum vorstehend beschriebenen Zweck optional die Nutzung von Microsoft Office 365 ("Office 365") plus benutzerbezogenem OnlineSpeicher an. Es steht Ihnen frei, sich über die E-Mail-Adresse und den OnlineSpeicher auch zu anderen Themen mit Ihren Kommilitonen oder sonstigen Dritten auszutauschen.
I. Beschreibung von Microsoft Office 365
Das von der HfK bereitgestellte Angebot Office 365 nutzt den Service Exchange (E-Mail- Service). Zur
Nutzung des Services wird ein Browser benötigt. Dort wird die Anwendung Outlook Web Access
(OWA) verwendet, um auf die E-Mails zugreifen zu können. Sie können auch mit Ihrer E-Mail Client Software, welche auf Ihrem lokalen Computer installiert ist, auf den E-Mail Service von Office 365 zugreifen. Weitere Informationen hierzu finden Sie im Portal der HfK im Bereich „Office 365“. Office 365 basiert auf der Cloud-Computing Technologie. Das bedeutet, dass die Anwendungen und Dateien im Wesentlichen nicht auf Ihrem lokalen Computer ausgeführt, verarbeitet und gespeichert werden, sondern in den Rechenzentren der Microsoft Corporation, USA, die im Auftrag der
Microsoft Irland Operations Ltd. ("Microsoft Irland") den genannten Service für die HfK erbringt. Die
Daten werden dabei weitgehend innerhalb der EU verarbeitet. Für die einzelnen
Datenverarbeitungsschritte ist dabei wie nachstehend näher ausgeführt teilweise die HfK, Am
Speicher XI 8, 28217 Bremen, Deutschland und teilweise Microsoft Irland Operations Ltd., Carmanhall Road, Sandyford Industrial Estate, Dublin 18, Irland, datenschutzrechtlich die verantwortliche Stelle.
II. Erforderlichkeit einer Einwilligung bei Nutzung von Office 365
Bitte beachten Sie, dass die HfK Ihnen Office 365 nur zur Verfügung stellen kann, wenn Sie nachstehende Einwilligungserklärung sowohl gegenüber der HfK (bezüglich der in ihrer Verantwortung stehenden Datenverarbeitung) als auch gegenüber der Microsoft Irland (soweit diese für die Datenverarbeitung Verarbeitung verantwortlich ist) abgeben.
Wenn Sie Office 365 nicht nutzen möchten, können Sie weiterhin ihr E-Mail-Postfach nutzen, das allein auf Servern der HfK in Deutschland betrieben wird. Jedoch können Sie mit diesem Postfach nur Nachrichten bis zu einer Größe von 20 MB (Megabyte) empfangen und senden, und haben eine maximale Postfachgröße von 500 MB (Megabyte) zur Verfügung. Auch der benutzerbezogene OnlineSpeicher und die Nutzung von Office 365 als installierte Version auf Ihren Clientgeräten (max. 5) steht hier nicht zur Verfügung.
III. Datenverarbeitung & Verantwortlichkeit
Diese Ziffer III beschreibt anhand der einzelnen Verarbeitungsschritte den Umgang mit Ihren personenbezogenen Daten bei der Bereitstellung von Office 365 durch die HfK und Microsoft Irland und wer für die Erhebung und Verwendung der Daten rechtlich verantwortlich ist. Die
Verantwortlichkeit in den Verarbeitungsschritten wird dabei durch die farbliche Unterlegung und eine Klammer am Ende des Absatzes hervorgehoben: Die rote Unterlegung beschreibt Handlungen in der Verantwortung der Hochschule für Künste Bremen [HfK], die grün unterlegten Handlungen stehen in der Verantwortung von Microsoft Irland [MS]:
1. Anlage des Nutzerkontos (Immatrikulation)
Im Rahmen der Immatrikulation speichert die HfK Ihren Vor- und Nachnamen, die künftige E- Mailadresse, Ihre Eigenschaft als Student der HfK, einen eindeutige Benutzernamen, der Teile ihres Namens enthalten kann und ein genriertes Passwort, um Ihnen ihr E-Mail-Postfach einzurichten, über das die HfK mit Ihnen im Rahmen des Studiums Kontakt aufnehmen kann. Zugleich wird Ihnen darüber die Kommunikation mit Dritten ermöglicht. Ihren Benutzernamen und Passwort haben Sie
nach der Immatrikulation erhalten. Wenn Sie jetzt ein Mailpostfach in Office 365, einen OnlineSpeicher sowie die Nutzung von Office 365 auf bis zu 5 Clientgeräten erhalten möchten, können Sie dies mit der Zustimmung zu dieser Erklärung veranlassen. Ihre Auswahl wird von der HFK protokolliert und gespeichert. Sofern Sie sich für die Nutzung von Office 365 entschieden haben, werden Ihre oben genannten Stammdaten an Microsoft Irland zwecks Einrichtung der notwendigen Dienste übermittelt. [HFK]
Die technische Einrichtung der notwendigen Dienste in Office 365 erfolgt durch Microsoft Irland, die ihrerseits die Microsoft Corporation damit beauftragt (siehe dazu auch unter 3.). [MS]
2. Nutzerauthentifizierung
Wenn Sie auf Office 365 zugreifen wollen, müssen Sie Ihren Benutzernamen und Ihr Passwort auf den Webservern der HfK eingeben. Diese Informationen werden auf den Webservern der HfK zwecks Nutzerauthentifizierung mit den im Verzeichnisdienst hinterlegten Zugangsdaten abgeglichen und der erfolgreiche oder erfolglose Authentifizierungsversuch protokolliert. Sind Sie als Nutzer gegenüber der HfK authentifiziert, wird Ihre Benutzerkennung an Microsoft Irland mit der
Informationen weitergeben, dass Sie sich erfolgreich angemeldet haben und Zugriff auf die Office 365-Dienste erhalten dürfen. Ihr Passwort wird dabei von der HfK nicht übermittelt. [HFK]
Der Eingang der Zugriffsberechtigung wird von der Microsoft Irland zu Zwecken der Zugriffskontrolle protokolliert, die ihrerseits die Microsoft Corporation damit beauftragt (siehe dazu auch unter 3.).
[MS]
3. Nutzung von Office 365
Wenn Sie nach erfolgreicher Nutzerauthentifizierung die Funktionalitäten von Office 365 nutzen,
d.h. beispielsweise beliebige personenbezogene Nachrichten speichern und/oder übermitteln, ist Microsoft Irland hierfür verantwortlich. Mit der technischen Durchführung beauftragt ist die
Microsoft Corporation. Ihre personenbezogenen Daten werden in den Rechenzentren der Microsoft Corporation in der EU (aktuell in Irland und den Niederlanden), den USA und Kanada verarbeitet und gespeichert, sofern Sie aus Europa, dem Mittleren Osten oder Afrika auf Office 365 zugreifen.
Texte und Anhänge Ihrer E-Mails, Kalendereinträge sowie Webseiteninhalte und hochgeladene Dateien werden dabei nur in Rechenzentren innerhalb der EU verarbeitet. Andere
personenbezogene Daten (z.B. Mailadressen, Mail-Betreffs, Daten des Mailversands und des Zugriffs auf Onlineinhalte von Office 365) werden u.U. auch außerhalb der EU verarbeitet. Da außerhalb der EU ein mit den EU-Standards vergleichbares Datenschutzniveau ("angemessenes
Datenschutzniveau") nicht in jedem Fall besteht hat sich die Microsoft Corporation den Safe HarborRegelungen unterworfen. Die Beachtung dieser Vorgaben soll gewährleisten, dass übermittelte personenbezogene Daten auch in den USA einem angemessenen Datenschutzniveau unterliegen. Allerdings kann aufgrund der Berichte, nach denen ausländische Dienste umfassend und anlasslos auf in die USA übermittelte Daten zugreifen, zurzeit nicht sicher von einem angemessenen Datenschutzniveau ausgegangen werden.
Die Microsoft Corporation setzt überdies für verschiedene Servicetätigkeiten im Betrieb von Office 365
Subunternehmer ein. Soweit diesen Subunternehmern Zugriff auf Ihre personenbezogenen Daten gewährt wird, erfolgt dies allein zu dem Zweck, um Office 365 bereitstellen zu können. Eine Weitergabe an sonstige Dritte findet nicht statt. Die Subunternehmer können außerhalb der
Europäischen Union ihren Sitz haben, auch in solchen Ländern, in denen kein angemessenes Datenschutzniveau herrscht. Die Microsoft Corporation wird Maßnahmen treffen, z.B. durch vertragliche Verpflichtungen, um bei den Subunternehmern ein angemessenes Datenschutzniveau sicherzustellen. [MS]
4. Störungsbeseitigung
Im Fall von Störungen steht Ihnen die HfK als Ansprechpartner zur Verfügung. Die HfK versucht, die
Störungen zunächst selbst zu beheben. Sofern zur Behebung der Störung Unterstützung durch
Microsoft Irland erforderlich ist, wird die HfK Microsoft Irland Ihre E-Mail-Adresse und eine
Beschreibung der Störung übermitteln. Sofern ein direkter Kontakt zwischen Microsoft Irland und
Ihnen zur Störungsbehebung erforderlich ist, übermittelt die HfK ihre Kontaktdetails, nämlich Name, Telefonnummer und E-Mail-Adresse, an Microsoft Irland. [HFK]
Microsoft Irland wird die übermittelten Daten ausschließlich zur Behebung der Störung verwenden. Es kann dabei erforderlich sein, dass Microsoft Irland auf Ihr Postfach zugreift. Microsoft Irland beauftragt die Microsoft Corporation mit der technischen Durchführung der Störungsbeseitigung. Diese speichert die übermittelten Angaben in einer von ihr in den USA betriebenen Datenbank. Ist die Störung beseitigt, werden alle übermittelten Daten zur Klärung der Supportanfrage, die in die USA übermittelt wurden, aus der Datenbank gelöscht. Es wird nur eine Referenz ohne Personenbezug zu dem Vorgang geführt, damit bei nochmaliger Störung eine Lösung zeitnah gefunden werden kann.
Schließlich speichert die Microsoft Corporation unter Umständen die relevanten Protokolldateien, die erforderlich sind, um das Problem zu beseitigen. Diese Protokolldateien enthalten z.B. Informationen über die IP-Adresse, den benutzten Service und das Segment in der Serverfarm, in dem die Daten gespeichert wurden. Damit soll der kontinuierliche Betrieb und die Service Qualität sichergestellt werden. Weiterhin werden die Protokolldateien zur Datensicherheit verwendet. Hier kann nachverfolgt werden, welche Nutzer welche Dienste verwendet haben.
Diese Informationen sind sehr wichtig, um mögliche Angriffe auf persönliche Daten abwehren zu können. Das Personal in der Kundenbetreuung der Microsoft Corporation, das im Fall von Störungen Zugriff auf Nutzerdaten erhalten kann, sitzt in EU Staaten sowie den USA und Kanada. In Einzelfällen können Ihre Anfragen zu Störungen nicht in einem Support Center in der EU gelöst werden. Dann werden sie zum Zweck der Störungsbeseitigung an Mitarbeiter der Microsoft Corporation in anderen Staaten außerhalb der EU weitergegeben. Auch dabei unterliegen sie den Safe HarborRegelungen. [MS]
5. Löschung Ihrer persönlichen Daten
Wenn Sie Ihr Postfach in Office 365 löschen möchten, können Sie dies dem Dezernat 5 – Controlling & IT mitteilen. Es löscht die Nutzungsbefugnis von Office 365 im Verzeichnisdienst der HfK und gibt den Löschauftrag an Microsoft Irland weiter. [HFK]
Die Microsoft Corporation sperrt ihrerseits im Auftrag von Microsoft Irland unmittelbar den Zugriff auf das Postfach. Die Daten bleiben noch für 30 Tage in den Rechenzentren der Microsoft
Corporation gespeichert. Während dieser Zeit ist es möglich, den Zugriff auf das Postfach erneut zu aktivieren, falls die Löschung versehentlich erfolgte. Nach Ablauf der 30 Tage werden die Daten unwiederbringlich gelöscht. Weder die HfK noch Microsoft halten in diesem Fall Sicherungen Ihrer Daten vor. [MS]
6. Betroffenenrechte
Ihre gesetzlichen Auskunfts-, Berichtigungs- und Löschungsansprüche können Sie gegenüber dem Dezernat 5 – Controlling und IT (dezernat5@hfk-bremen.de; +49 421 9595 1100) bei der HfK geltend machen. [HFK]
Sofern sich Ihr Auskunfts-, Berichtigungs- oder Löschungsanspruch gegen Microsoft Irland als verantwortliche Stelle richtet, wenden Sie sich bitte an den oben angegebenen Kontakt bei der HfK. Die HfK wird Ihr Ersuchen an Microsoft Irland weiterleiten und Ihnen die Antwort zukommen lassen. Sollten Sie eine direkte Kontaktaufnahme mit Microsoft Irland wünschen, wird dies ebenfalls über den oben angegebenen Kontakt bei der HfK eingeleitet, da Microsoft Irland Sie nicht als berechtigten Nutzer authentifizieren kann. Microsoft Irland antwortet Ihnen dann direkt. [MS]
IV. Einwilligungserklärung
Vertiefende Informationen zu dem Umgang mit Ihren personenbezogenen Daten können Sie zu den regulären Öffnungszeiten im
Dezernat 5 - Controlling und IT erfahren und finden Sie unter http://www.microsoft.com/dede/office365/trust-center.aspx.
Sie können diese Einwilligung jederzeit gegenüber der HfK mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass der Widerruf stets sowohl für die HfK als auch für Microsoft gilt, da der Dienst nur von beiden gemeinsam erbracht werden kann.
Ihren Widerruf richten Sie bitte an das Dezernat 5 – Controlling und IT (dezernat5@hfk-bremen.de oder schriftlich an Dezernat 5 – Controlling und IT, Am Speicher XI 8, D 28217 Bremen) oder klicken Sie auf der Seite (https://portal.hfk-bremen.de/o365) auf „Widerrufen“.
Im Fall ihres Widerrufs wird Ihr Postfach wie unter Ziffer 5 dargestellt gelöscht. Die HfK wird Ihnen stattdessen ein E-Mail-Postfach in der von der HfK betriebenen Serverumgebung einrichten. Bitte beachten Sie, dass Ihre Daten weder von der HfK noch von Microsoft Irland auf das Postfach bei der
HfK übertragen werden können. Hierfür müssen Sie eigenständig Sorge tragen, in dem Sie Ihre E- Mails vor der Löschung aus Office 365 exportieren. Auch Ihr OnlineSpeicher mit allen darauf gespeicherten Dateien sowie Ihre Lizenzen für die Nutzung von Office 365 auf Clientgeräten werden damit gelöscht.