Datenschutzerklärung zur Nutzung von Microsoft 365 Services am Energiestandort Heilbronn

Mit diesen Datenschutzinformationen möchten wir Sie über die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 Services informieren, die Ihnen von dem nachfolgend genannten Verantwortlichen bereitgestellt werden.

Unter „Microsoft 365 Services“ nachfolgend MS 365 verstehen wir all jene Microsoft Anwendungen, die der Verantwortliche einsetzt. Unter www.office.com haben Sie die Möglichkeit, eine Auflistung dieser Microsoft Services zu erhalten.

MS 365 dient vorwiegend der Kommunikation und Zusammenarbeit innerhalb und mit den Unternehmen am Energiestandort Heilbronn.

Bei der Nutzung der MS 365 Anwendungen werden personenbezogene Daten über Sie verarbeitet. Bitte beachten Sie, dass dieser Datenschutzhinweis Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch uns als Verantwortlichen informiert, wenn Sie gemeinsam mit uns Anwendungen von Microsoft nutzen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die entsprechenden Erklärungen von Microsoft einzusehen.

MS 365 ist ein Produkt der Firma

Microsoft Corporation
One Microsoft Way Redmond
WA 98052-6399, USA

Wir haben mit dem Anbieter Microsoft Datenschutzvereinbarungen abgeschlossen, um ein Mindestmaß an Datenschutz zu garantieren. Diese werden regelmäßig aktualisiert. Beachten Sie bitte, dass wir auf die Datenverarbeitungen von Microsoft keinen Einfluss haben. In dem Umfang, in dem Microsoft personenbezogene Daten in Verbindung mit den legitimen Geschäftsvorgängen von Microsoft verarbeitet, ist Microsoft unabhängiger Datenverantwortlicher für diese Nutzung und als solcher verantwortlich für die Einhaltung aller geltenden Gesetze und Verpflichtungen eines Datenverantwortlichen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Microsoft erhalten Sie in den Datenschutzerklärung von Microsoft unter:

https://privacy.microsoft.com/de-de/privacystatement

Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten.

Wer ist für die Datenverarbeitung verantwortlich und an wen können sich Betroffene wenden?

Verantwortlich für die Verarbeitung Ihrer Daten ist diejenige Gesellschaft am Energiestandort Heilbronn, von der Sie eine Einladung bzw. ein Angebot zur Nutzung einer MS365 Anwendung erhalten haben. Soweit mehrere Gesellschaften die Zwecke der Verarbeitung gemeinsam festlegen, sind dies gemeinsame Verantwortliche im Sinne der DSGVO.

Standortgesellschaften sind:

ZEAG Energie AG

Heilbronner Versorgungs GmbH

Gasversorgung Unterland GmbH

Netzgesellschaft Heilbronn Franken

Netzgesellschaft Heilbronn Land

ZEAG Engineering GmbH

Alle erreichbar unter der Adresse:

Weipertstr. 39, 74076 Heilbronn

Für allgemeine Fragen zu MS365 wenden Sie sich bitte an: kontakt@energiestandort-heilbronn.de

Unsere Datenschutzbeauftragten erreichen Sie unter datenschutz@zeag-energie.de oder unter datenschutz@hnvg.de.

Wie werden Ihre Daten verarbeitet?

Wir erhalten Ihre personenbezogenen Daten auf unterschiedlichen Wegen. Dies

sind insbesondere:

  • Die von Ihnen selbst bereitgestellten Stammdaten, die Sie ggf. in MS365 hinterlegen.
  • Daten, die mittels des Einsatzes sowie der Nutzung der jeweiligen MS365 Services erhoben werden
  • Daten, die wir von Ihnen beim Zugriff auf MS365 Services erhalten, oder die Sie uns im Rahmen einer Kooperation oder eines Dienstleistungsverhältnisses mitgeteilt haben.

Welche personenbezogenen Daten werden verarbeitet und zu welchen Zwecken?

Im Rahmen des Einsatzes von MS365 werden je nach Einsatzzweck unterschiedliche personenbezogene Daten von Ihnen verarbeitet.

Insbesondere können dies sein:

Stammdaten wie z.B.:

  • Namen (Vornamen, Nachname, Geburtsname, Titel);
  • Profilbilder, die Sie uns übermittelt haben;
  • Geschäftliche Adress- und Kontaktdaten (Straße, Hausnummer, Postleitzahl, Ort, E-Mailadresse, Telefonnummer);
  • Organisatorische Angaben (Abteilung, Beschreibung der Position, Titel der Position (intern/extern), etc.)

Inhaltsdaten wie z.B.:

  • Video- und Tonaufnahmen im Zusammenhang mit der Nutzung von Microsoft 365 Teams/ Skype;
  • Kommunikationsdaten (wie z. B. E-Mail-Daten, Telefondaten oder Chat-Nachrichten);
  • Kalenderdaten sowie Termindaten;
  • Daten Ihrer Person im Rahmen von technischen Back-Ups.

Meta-Anwendungsdaten wie z.B.:

  • System-Identifikatoren, Identifikator für die Einmalanmeldung, System- und Gerätepasswörter, Logfiles;
  • Instant-Messaging-Konten, Videokonferenz- und andere Nachrichtenkonten, Netzwerk-ID und Infrastruktur-Informationen, IP-Adresse, geographische Standortinformationen, Workflow-Daten (Rollen, Aktivitäten);
  • System- und Geräteprotokolle, Zeitstempel (Datum sowie Uhrzeit) und von Ihnen mittels unserer Unternehmenssysteme und Geräte generierte elektronische Inhalte;

Internetnutzung (welche Internetseiten wann besucht wurden, sofern diese Seiten zu Microsoft 365 gehören und hierüber Zugriffe erfolgen);

  • Daten Ihrer Person im Rahmen von technischen Back-Ups.

Analysedaten wie z.B.:

  • Nutzungsanalyse enthalten Daten der Kategorie „Metadaten“ (wie z. B. im Rahmen von Qualitätssicherungsmaßnahmen und Fehlerbehebung);
  • Statistische Nutzungsdaten zur Kommunikation der Kategorien „Stammdaten“, „Inhaltsdaten“ sowie „Metadaten“.

Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Bereitstellung eines modernen Arbeitsplatzes der eine optimale Lösung für Kollaboration und Kommunikation innerhalb und außerhalb des verantwortlichen Unternehmens bietet. Dies kann beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen, Terminabsprachen, Aufgabenplanungen oder auch die Nutzung innovativer Werkzeuge zur Automatisierung von Abläufen sein.

Die Bereitstellung und der sichere, reibungslose Betrieb von MS 365 Anwendungen gehört ebenfalls zu einem der Zwecke, für welche personenbezogene Daten verarbeitet werden. Von dieser Verarbeitung erfasst sind unter anderem die vom System erstellten Protokolle bzw. administrativen Ereignisse (z.B. Log-Dateien über die Anmeldung und Nutzeraktionen) sowie die Metadaten über Anrufe und Besprechungen, welche zu Fehler-, Support-, Statistik- sowie zu Nachweiszwecken genutzt werden.

Zweckänderungen

Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten

Die Verarbeitung Ihrer personenbezogenen Daten kann auf Grundlage einer der folgenden Rechtsgrundlagen erfolgen:

Zur Erfüllung eines Vertrages, dessen Vertragspartei Sie sind (Art. 6 Abs. 1 lit. b) DSGVO);

Auf Grund ein berechtigtes Interesse von uns oder Dritten, ohne dass ein überwiegendes Interesse Ihrerseits entgegensteht. (Art. 6 Abs. 1 lit. f) DSGVO)

Berechtigte Interessen unsererseits bezüglich des Einsatzes von MS365 sind dabei:

  • Technische Unterstützung bei der täglichen Ausübung Ihrer Tätigkeit,
  • Aufrechterhaltung und Sicherstellung eines ordnungsgemäßen Betriebes der IT,
  • Performance- und Lastenmessung im Netzwerk zur Optimierung der Dienste,
  • Sicherstellung von Geschäftsunterlagen im Falle möglicher Gerichtsverhandlungen, Aufdeckung und Untersuchung von Straftaten bei Vorliegen tatsächlicher Anhaltspunkte (begründeter zu dokumentierender Verdacht),
  • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
  • Zur Erfüllung einer gesetzlichen Pflicht, wie z. B. im Rahmen eines Legal Holds (bspw. im Rahmen eines Rechtsstreits oder einer internen Investigation) oder einer Betriebsprüfung;

Darüber hinaus kann der Verantwortliche Ihre Daten auf Basis einer von Ihnen abgegebenen Einwilligung verarbeiten. Ihre unmittelbare Einwilligung geben Sie z. B. für die Verarbeitung Ihres eigenen (Video-)Bildes und Audiosignals in allen MS365 Services, bei denen Sie ein Bild bereitstellen oder Ihre Kamera oder ihr Mikrofon aktivieren. Ihre Einwilligung gegen Sie auch, wenn Sie aktiv an einer Umfrage ober MS Forms teilnehmen, die freiwillig erfolgt.

Besondere Verarbeitungen

Videokonferenzen und Aufzeichnungen von Bild und Ton

Soweit nicht vertraglich anders vereinbart, erfolgt die Nutzung von Videokonferenzsystemen durch unsere Gäste und Kooperationspartner immer freiwillig. Sie können jederzeit Bild- und Tonübertragung deaktivieren, wenn Sie diese vorübergehend oder dauerhaft nicht bereitstellen wollen. Sollten Sie eine andere Kommunikationsform wüschen, sprechen Sie uns an. Wir werden dann, wenn möglich, eine andere Kommunikationsform beispielsweise eine Telefonkonferenz anbieten. Sollte dies nicht möglich sein, können Sie auch auf die Teilnahme verzichten. Bei freiwilligen Angeboten entstehen Ihnen hierdurch keine Nachteile.

Eine Bild- und Tonaufzeichnung in Videokonferenzen erfolgt nur, wenn Sie uns hierzu Ihre Einwilligung erteilt haben. Die genauen Umstände werden Ihnen im Vorfeld oder im Rahmen der Videokonferenz mitgeteilt.

Soweit nicht anders angegeben, können Sie auch unter einem Pseudonym als Benutzername an Veranstaltungen teilnehmen.

Umfragen und Tests

Soweit nicht vertraglich anders vereinbart, erfolgt die Teilnahme an Umfragen oder Tests durch unsere Gäste und Kooperationspartner immer freiwillig. Sie können Umfragen jederzeit Abbrechen. Soweit nicht anders angegeben werden Umfragen immer anonymisiert. Die bedeutet, dass keine personenbezogenen Daten in der Umfrage erhoben werden. Die übermittelte IP-Adresse wird nicht zusammen mit der Umfrage gespeichert.

Umfragen werden unmittelbar nach Abschluss des Umfragezeitraumes anonymisiert.

Bei Test werden nur die personenbezogenen Daten abgefragt, die für den Test erforderlich sind. Ergebnisse werden regelmäßig aus den Umfragetools in eine interne Dokumentation überführt.

Übermittlung von personenbezogenen Daten an Dritte

Um die oben genannten Zwecke zu erfüllen, kann es vorkommen, dass wir Ihre personenbezogenen Daten an andere übermitteln müssen. Dabei handelt es sich z. B. um Dienstleister, d. h. Unternehmen, die uns die zur Verfügung gestellten Produkte und Services anbieten, wie etwa Anbieter von IT-Systemen und IT-Support. Ferner können dies weitere verbundene Unternehmen wie die Stadt Heilbronn und deren Tochtergesellschaften oder die EnBW und deren Tochtergesellschaften sein.

Wir informieren Sie nachfolgend darüber, an welche Empfänger wir Ihre personenbezogenen Daten übermitteln können. Die Einhaltung der Verarbeitungsvoraussetzungen im nationalen/internationalen Kontext wird durch den Verantwortlichen im Sinne der DSGVO sichergestellt.

Diese Empfänger sind u. a.:

  • Andere Unternehmen der Stadt Heilbronn oder der EnBW
  • Support- und IT-Dienstleister, die Ihre Daten in unserem Auftrag verarbeiten;
  • Professionelle Berater, wie Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und andere professionelle Berater

Weitere Empfänger sind die folgenden Unternehmen des Microsoft Konzerns, von denen wir den MS365 Service beziehen.

  • Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung
  • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke
  • Sowie deren Unterauftragsverarbeiter und   Supportdienstleister

Übermittlung von personenbezogenen Daten an Empfänger im außereuropäischen Ausland

Wir übermitteln Ihre Daten auch an Dienstleister und Erfüllungsgehilfen, die sich in Drittstaaten befinden und dort eine Datenverarbeitung vornehmen. Die Einhaltung eines angemessenen Datenschutzniveaus ist in allen Fällen sichergestellt, in denen wir nicht explizit bei der Abfrage Ihrer Einwilligung darauf hingewiesen haben, dass eventuell kein dem europäischen Datenschutzniveau vergleichbares Datenschutzniveau vorliegt. Sämtliche unserer Dienstleister in Drittstaaten verarbeiten die Daten entsprechend unseren Weisungen und sind vertraglich gebunden. Im Einzelnen übermitteln wir Ihre Daten an folgende Drittländer:

Die mit der Microsoft Corporation abgeschlossenen Datenschutzklauseln finden Sie hier: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14

Für Datenübermittlungen im Wege von Administrationszugriffen ist auch ein Zugriff aus einem anderen Land möglich, da oftmals die Betriebsfähigkeit der Systeme nach dem Follow-the-Sun Prinzip sichergestellt wird. Ihre Daten werden jedoch nicht in weiteren Ländern gespeichert. Ein Datenzugriff erfolgt in diesen Fällen ebenfalls nur, wenn die Einhaltung eines adäquaten Datenschutzniveaus durch uns sichergestellt wurde.

Wie lange werden Ihre Daten gespeichert?

Wir speichern Ihre Daten so lange, wie dies zur Nutzung der MS 365 Anwendungen erforderlich ist bzw. solange ein Zweck oder eine Rechtsgrundlage gegeben ist.

Vom Anwender explizit freigegebene Positionsdaten bzw. Standortdaten werden ausschließlich während der Besprechung verarbeitet. Eine darüber hinaus gehende Speicherung dieser Daten erfolgt nicht.

Metadaten von Anrufen und Besprechungen werden maximal 120 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht. Eine Anpassung der Fristen für Live Events (120 Tage) und Teams Besprechungen/Anrufe (90) Tage können nicht angepasst werden. Diese werden jedoch für die Stabilität des Systems, Support und auch zur Abwehr von Angriffen in diesem Vektor benötigt. Zugriff haben nur bestimmte berechtigte und überwachte Administratoren.

Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.

E-Mails und Anlagen werden im Rahmen der gesetzlichen Aufbewahrungsfristen aufbewahrt und sodann gelöscht, wenn keine anderen Zwecke vorhanden sind.

Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.

Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.

Die Löschung Ihrer personenbezogenen Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Welche Rechte habe ich in Bezug auf meine Daten?

In Bezug auf die Verarbeitung ihrer personenbezogenen Daten haben Sie gemäß Art. 15 DSGVO das Recht, Auskunft über die durch uns zu Ihrer Person verarbeiteten Daten zu verlangen. Des Weiteren stehen Ihnen die Rechte zu, Daten gemäß Art. 16 DSGVO berichtigen oder gemäß Art. 17 DSGVO löschen zu lassen, sowie die Verarbeitung gemäß Art. 18 DSGVO einzuschränken. Des Weiteren haben Sie gemäß Art. 19 DSGVO das Recht, die Herausgabe der durch Sie bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Hinsichtlich des Auskunftsrechts gelten die Einschränkungen des § 34 BDSG und bezüglich des Löschungsrechts die Ausnahmen des § 35 BDSG.

WIDERSPRUCHSRECHT ART. 21 DSGVO
Sofern wir Ihre Daten aufgrund berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) oder zur Wahrnehmung einer öffentlichen Aufgabe (Art. 6 Abs. 1 e) DSGVO) verarbeiten und wenn sich aus Ihrer besonderen Situation Gründe gegen diese Verarbeitung ergeben, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht auf Widerspruch gegen diese Verarbeitung. Im Falle eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr zu diesen Zwecken, es sei denn wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Ein Recht auf Widerspruch steht Ihnen – ohne Einschränkung - gemäß Art. 21 Abs. 2 und 3 DSGVO gegen jede Art der Verarbeitung zu Zwecken der Direktwerbung zu.

Ihren Widerspruch können Sie jederzeit formfrei an uns richten. Zur bestmöglichen Bearbeitung bitten wir Sie, die unter Ziffer 1 genannten Kontaktdaten zu nutzen.

Kann ich erteilte Einwilligungen widerrufen?

Sofern wir Ihre Daten auf Basis einer von Ihnen erteilten Einwilligung verarbeiten, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Ihre Daten werden dann nicht mehr zu den von der Einwilligung umfassten Zwecken verarbeitet. Bitte beachten Sie, dass die Rechtmäßigkeit der Datenverarbeitung, welche vor dem Widerruf erfolgt ist, durch den Widerruf nicht berührt wird. Wie Sie Ihren Widerruf im Einzelnen erklären können, entnehmen Sie bitte den vorangegangenen Informationen bzw. der Information in der jeweiligen Einwilligung.
Richten Sie Ihren Widerruf bitte an die unter Ziffer 1 genannten Kontaktdaten.

Hier wird ihr Widerruf – sofern technisch möglich – direkt zentral umgesetzt oder Ihnen wird erläutert wie Sie selbst den Widerruf umsetzen können, da eine zentrale Umsetzung durch uns bei manchen technischen Verfahren nicht möglich ist.

Habe ich ein Beschwerderecht bei einer Aufsichtsbehörde?

Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, können Sie sich gemäß Art. 77 DSGVO jederzeit mit einer Beschwerde an eine Datenschutzaufsichtsbehörde wenden. Dies gilt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Muss ich die Daten bereitstellen oder ist die Bereitstellung für den Vertragsschluss erforderlich?

Mit Ausnahme der technisch notwendigen Daten zur Anzeige unserer Webseite ist jegliche Datenbereitstellung durch Sie freiwillig. Sollte dies ausnahmsweise anders sein, so ist dies an der entsprechenden Stelle in dieser Erklärung explizit erwähnt.

Wird anhand meiner Daten eine automatisierte Entscheidungsfindung durchgeführt? Und wenn ja, wie wird das gemacht und welche Auswirkungen hat dies auf mich?

Nein, eine automatisierte Entscheidungsfindung findet nicht statt.

Können diese Informationen geändert werden? Und wenn ja, wie erfahre ich hiervon?

Da unsere Datenverarbeitung Änderungen unterliegt werden wir auch unsere Datenschutzinformationen von Zeit zu Zeit anpassen. Wir werden Sie über Änderungen rechtzeitig informieren. Den jeweils aktuellen Stand dieser Datenschutzbestimmungen finden Sie an dieser Stelle.