Datenschutzhinweise für Online-Meetings, Telefon-/Videokonferenzen und Webinare
via „Microsoft Teams“
Ich möchte dich nachfolgend gemäß den Vorgaben der Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Microsoft Teams (nachfolgend bezeichnet als „Teams") informieren.
Zweck der Verarbeitung
Ich nutze das Tool „Microsoft Teams“, um Telefonkonferenzen, Online-Meetings und/oder Videokonferenzen durchzuführen (nachfolgend bezeichnet als „Online-Meetings“).
Das Tool bietet zudem die Möglichkeit den Bildschirm zu teilen, Gespräche aufzuzeichnen, Chatinhalte abzuspeichern und je nach genutzter Version auch Gesprächsinhalte zu transkribieren und mittels künstlicher Intelligenz zu einem Gesprächsprotokoll zusammenfassen zu lassen.
Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South Country Business Park, Leopardstown, Dublin 18, Irland. Der Mutterkonzern ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, die ihren Sitz in den USA hat.
Verantwortlich für die Datenverarbeitung
Die/Der Verantwortliche/n für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von Online-Meetings stehen, bin ich, Kathrin Heimburger, Im Älmel 8, 77974 Meißenheim, vertreten durch mich selbst als Einzelunternehmerin.
Datenschutzbeauftragter
Ich unterliege keiner gesetzlichen Pflicht einen Datenschutzbeautragten zu bestellen.
Umfang der Verarbeitung
Ich verwende Microsoft Teams, um Online-Meetings durchzuführen. Wenn ich ein Online-Meeting aufzeichnen möchte, werde ich dir das vor Beginn der Aufzeichnung transparent mitteilen und – soweit erforderlich – um eine Zustimmung (Einwilligung) bitten. Die Tatsache der Aufzeichnung wird dir zudem in der Teams-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werde ich mögliche Chatinhalte im Nachgang herunterladen und abspeichern.
Zudem habe ich Microsoft Copilot für Microsoft 365 (im folgenden „Copilot“) im Einsatz. Dies ist eine Assistentenfunktion mit künstlicher Intelligenz, welche es ermöglicht Videotelefonate zu transkribieren und die wichtigsten Inhalte im Sinne eines Gesprächsprotokolls zusammen zu fassen. Wenn ich die Gesprächsinhalte transkribieren lasse, werde ich dir das vorher transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Welche Daten werden verarbeitet?
Bei der Nutzung von Microsoft Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten du vor bzw. bei der Teilnahme an einem Online-Meeting machst, ob du z.B. deinen Bildschirm teilst und ob das Videotelefonat aufgezeichnet oder transkribiert wird.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Die Konferenztools erfassen dabei alle Daten, die du zur Nutzung des Tools bereitstellst (E-Mail-Adresse, Name, ggf. Telefonnummer). Sofern innerhalb der Konferenz Inhalte ausgetauscht, hochgeladen oder in sonstiger Weise bereitgestellt werden (z.B. Bildschirm teilen), werden auch diese auf den Servern von Microsoft verarbeitet.
Copilot greift über Microsoft Graph auf Inhalte und Kontext zu. Das Tool verwendet eine Kombination aus LLMs (Large Language Models – große Sprachmodelle), einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning-Techniken und umfangreiche Datasets, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Dazu erhält Copilot Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden aus Microsoft Graph, um unternehmensspezifische und kontextbezogene Antworten erzeugen zu können. Copilot hat die Möglichkeit grundsätzlich auf alle im jeweiligen Tenant gespeicherten Daten zuzugreifen und diese Informationen für die Auswertung zu verwenden. Unter einem Tenant versteht man eine isolierte Instanz in Microsoft-Cloud-Services wie Azure, Office 365 oder Microsoft 365, die einem einzelnen Kunden oder einer Organisation zugewiesen wird. Angezeigt werden nur die Daten, für welche der einzelne Benutzer mindestens eine Anzeigeberechtigung hat.
Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings ist Art. 6 Abs. 1b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Steht weder ein Vertrag noch vorvertragliche Maßnahmen im Raum und hast du uns Ihre ausdrückliche Einwilligung zu dieser Datenverarbeitung erteilt, so ist die Rechtsgrundlage Art. 6 Abs. 1a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt Rechte als Betroffener). Sofern die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erfolgt und die Verarbeitung erforderlich und gesetzlich zulässig ist, beruht die Datenverarbeitung auf Art. 6 Abs. 1c DSGVO. Darüberhinausgehend kann es unter begründeten Umständen auch sein, dass die Verarbeitung ggf. auf Art. 6 Abs. 1f DSGVO (berechtigtes Interesse) gestützt wird.
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachte bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Microsoft erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist.
Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:
Ort der Datenverarbeitung
Microsoft ist ein Dienst, dessen Mutterkonzern in den USA sitzt. Die Verarbeitung der Daten während der Videotelefonie, erfolgt regulär innerhalb des Europäischen Wirtschaftsraums.
Microsoft 365 Anrufe und auch Microsoft Copilot für Microsoft 365 Anrufe an das LLM (Large Language Model) werden an die nächstgelegenen Rechenzentren in der Region weitergeleitet, können aber auch in andere Regionen anrufen, in denen Kapazität in Zeiten mit hoher Auslastung verfügbar ist. Für Benutzer aus der Europäischen Union (EU) hat Microsoft zusätzliche Sicherheitsvorkehrungen getroffen, um die EU-Datengrenze einzuhalten (https://learn.microsoft.com/de-de/privacy/eudb/eu-data-boundary-learn). Der EU-Datenverkehr bleibt innerhalb der EU-Datengrenze, während der weltweite Datenverkehr zur LLM-Verarbeitung in die EU und andere Länder oder Regionen geschickt werden kann. (https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy).
Um ein angemessenes Datenschutzniveau zu gewährleisten, wurden mit Microsoft, im Rahmen der AGB ein Auftragsverarbeitungsvertrag sowie zusätzlich als weiterführende Garantie sog. EU-Standardvertragsklauseln vereinbart. Zudem ist Microsoft nach dem EU-US-Data Privacy Framework, einem Übereinkommen zwischen den USA und der Europäischen Union, aktiv zertifiziert (https://www.dataprivacyframework.gov/list). Das Übereinkommen soll sicherstellen, dass die europäischen Datenschutzstandards bei der Verarbeitung eingehalten werden. Weitere Informationen zur Datenverarbeitung auf der Seite von Microsoft, können der Datenschutzerklärung von Microsoft (https://privacy.microsoft.com/de-de/privacystatement) entnommen werden.
Andernfalls findet eine Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums oder an eine internationale Organisation nur statt, soweit dies zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf deinen Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, die Weitergabe gesetzlich vorgeschrieben ist oder du uns eine Einwilligung erteilt habst.
Schutzmaßnahmen
Microsoft 365 und Copilot erfüllen bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen des Unternehmens Microsoft gegenüber kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung und der Datengrenze der Europäischen Union.
Eingabeaufforderungen, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, werden laut Microsoft nicht zum Trainieren von Grundlagen-LLMs verwendet, auch nicht für die von Copilot verwendeten.
Microsoft verspricht einen verantwortlichen Umgang mit den Daten, auf welche KI Zugriff erhält und hat dazu interne Leitlinien erstellt: Microsoft KI-Grundsätze und der Microsoft Responsible AI Standards: https://www.microsoft.com/de-de/ai/principles-and-approach.
Copilot arbeitet mit mehreren Schutzmaßnahmen, einschließlich, aber nicht beschränkt auf, Blockieren schädlicher Inhalte, Erkennen von geschütztem Material und Blockieren von Eingabeaufforderungseinschleusungen (Jailbreak-Angriffe).[KS9]
Weitere Hinweise zur Datenverarbeitung und Datensicherheit durch Microsoft generell findest du hier: https://privacy.microsoft.com/en-gb/privacystatement. Weitere Hinweise zur Datenverarbeitung und Datensicherheit speziell im Rahmen der Nutzung von Copilot findst du hier: https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy.
Automatisierte Entscheidungsfindung
Zur Begründung, Erfüllung oder Durchführung der Geschäftsbeziehung sowie für vorvertragliche Maßnahmen nutze ich grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollte ich diese Verfahren in Einzelfällen einsetzen, werde ich dich hierüber gesondert informieren bzw. deine Einwilligung einholen, sofern dies gesetzlich vorgegeben ist.
Erforderlichkeit der Bereitstellung der personenbezogenen Daten
Die Bereitstellung personenbezogener Daten von dir, erfolgt primär freiwillig auch für die Entscheidung über einen Vertragsabschluss, die Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen. Ich kann eine Entscheidung im Rahmen vertraglicher Maßnahmen jedoch nur treffen, sofern du solche personenbezogenen Daten angibst, die für den Vertragsschluss, die Vertragserfüllung bzw. vorvertragliche Maßnahmen erforderlich sind.
Ihre Rechte als Betroffene/r
Du hast das Recht auf Auskunft über die betreffenden personenbezogenen Daten. Du kannst dich für eine Auskunft jederzeit an mich wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten ich um Verständnis dafür, dass ich ggf. Nachweise von dir verlange, die belegen, dass du die Person bist, für die du dich ausgibst. Ferner hast du ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dir dies gesetzlich zusteht. Schließlich hast du ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben. Du hast das Recht, dich über die Verarbeitung personenbezogener Daten durch mich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Löschung von Daten
Ich lösche die von mir über Teams erfassten Daten, sobald di mich zur Löschung aufforderst, di deine Einwilligung zur Speicherung widerrufst oder der Zweck für die Datenverarbeitung entfällt und keine anderen, vorrangigen Gründe gemäß den geltenden Datenschutzgesetzen wie z.B. gesetzliche Aufbewahrungspflichten dagegensprechen. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
©Urheberrecht. Alle Rechte vorbehalten.
Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen
Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.