Informationspflichten der IHK für München und Oberbayern zum Einsatz von Microsoft Forms
1. Bezeichnung der Verarbeitungstätigkeit
Die Datenschutzhinweise erfolgen gegenüber Externen und Mitarbeitenden im Zusammenhang mit dem Einsatz von Microsoft Forms in der IHK für München und Oberbayern (IHK).
2. Name und Kontaktdaten des Verantwortlichen
Industrie- und Handelskammer für München und Oberbayern
Hausanschrift: Max-Joseph-Str. 2, 80333 München
Postanschrift: 80323 München
Telefon: +49 89 5116-0
Fax: +49 89 5116-1306
E-Mail: info@muenchen.ihk.de
3. Kontaktdaten der behördlichen Datenschutzbeauftragten
Die behördliche Datenschutzbeauftragte der IHK für München und Oberbayern erreichen Sie unter der o. g. Anschrift, z. H. der Datenschutzbeauftragten,
Tel. +49 89 5116-0 bzw. Fax +49 89 5116-81683
E-Mail: datenschutzbeauftragter@muenchen.ihk.de
4. Zwecke und Rechtsgrundlagen der Verarbeitung
Mit Microsoft Forms kann die IHK für München und Oberbayern Umfragen erstellen, Terminabstimmungen inkl. Anmeldung zu Prüfungsterminen/Veranstaltungen und (Prüfer-)Schulungen ermöglichen, Antworten der angefragten Personen/Unternehmen hierzu erhalten und diese je nach Einstellung anonymisiert bzw. personenbezogen auswerten. Nach der Erstellung eines Formulars können interne und externe Personen dazu eingeladen werden, dieses auszufüllen und an uns übermitteln. Für Externe ist kein Microsoft-Konto erforderlich.
Folgende Kategorien personenbezogener Daten werden beim Einsatz von Microsoft Forms verarbeitet:
- E-Mailadresse
- Thema und Fragen der jeweiligen Umfrage
- Antworten zu Fragestellungen
- Statistische Auswertung (je nach Einstellung personenbezogen oder anonymisiert) -
Zahl der Antworten, Durchschnittliche Zeit für das Ausfüllen, Status (aktiv, nicht aktiv), ID-Nummer, Anrede - Ergebnisse der Auswertungen
- Einstellungen (individuell voreinstellbar)
Wer dieses Formular ausfüllen kann
- Jeder kann antworten
- Nur Personen in meiner Organisation können antworten
- Namen erfassen
- Eine Antwort pro Person
- Bestimmte Personen in meiner Organisation können antworten
Optionen für Antworten
- Antwort akzeptieren
- Startdatum
- Enddatum
- Zeitdauer festlegen
- Fragen in zufälliger Reihenfolge
- Statusanzeige anzeigen
- Ausblenden Weitere Antworten senden
- Anpassen der Dankeschön-Nachricht (Freitextfeld)
- Erstellung von Freitextfeldern für Pflicht- und freiwillige Angaben
Ihre Daten werden dafür erhoben und für folgende Zwecke mit folgenden Rechtsgrundlagen verarbeitet:
- Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG
- Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG
- Datenverarbeitung zur Erfüllung von IHK-Aufgaben, v. a. Rechtspflicht bzw. einer Aufgabe im öffentlichen Interesse
Rechtsgrundlage: Art. 6 Abs. 1 lit. c) DSGVO bzw. Art. 6 Abs. 1 lit. e) DSGVO, § 1 IHKG bzw. § 1 Abs. 5 IHKG i.V.m. spezialgesetzlichen Regelungen oder i.V.m. Art. 4 Abs. 1 BayDSG (u. a. zur Gewährleistung von IT-Sicherheit) - Einwilligung
Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO - Vertrag oder zur Durchführung einer vorvertraglichen Maßnahme
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
Microsoft Forms - Einsatz von Cookies
Ferner kommen beim Einsatz von Micrsoft Forms ausschließlich notwendige Cookies (Funktionscookies) und damit solche gem. § 25 Abs. 2 Nr. 2 Telekommunikation-Telemedien-Datenschutz-gesetz (TTDSG) zur Anwendung wie folgt:
| Cookie Name | Beschreibung | Dauer |
|---|---|---|
| ai_session | Dieser Cookie ist mit der Software Microsoft Application Insights verknüpft, die statistische Nutzungs- und Telemetriedaten für auf der Azure-Cloud-Plattform erstellte Anwendungen sammelt. Dies ist ein eindeutiger anonymer Sitzungsbezeichner-Cookie. Der Hauptzweck dieses Cookies ist die Performancestabilisierung | Sitzung |
| MicrosoftApplicationsTelemetryDeviceId | Cookie zur Installation einer eindeutigen Geräte-ID, die dazu dient, das Verhalten der Benutzer und ihre Interaktion mit der Microsoft-Anwendung auf dem Gerät zu verfolgen | 10 Jahre |
| __RequestVerificationToken | Verhindern von Angriffen durch websiteübergreifende Anforderungsfälschung | Sitzungsende |
| MS0 | Speichert das Sitzungsidentifikations-Cookie | 90 Tage |
| RpsAuthNonce | Ermöglichen die Platzierung von Microsoft-Formularen auf der Website. Es wird verwendet, um Benutzer zu unterscheiden. | 1 Monat oder Sitzung |
| MSFPC | Kritisches Service-Cookie zur anonymen Analyse der Servicenutzung und zu statistischen Zwecken aggregiert. | 1 Jahr |
Folgende notwendige Cookies werden gem. § 25 Abs. 2 Nr. 2 nur bei der Authentifizierung gegen ein Active Directory verwendet.
| AADNonce.forms | Eindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern. | Sitzung |
| AADAuth.forms | Azure Active Directory Token für die Authentifizierung | 90 Tage |
| AADAuthCode.forms | Ein Authentifizierungscode, der zum Einlösen vom Azure Active Directory Authentifizierungstoken verwendet wird. | 90 Tage |
| AADSID.forms | Azure Active Directory Authentifizierungssitzungs-ID | 90 Tage |
| AADState.forms | Authentifizierungsstatus, um anzugeben, ob der Benutzer authentifiziert ist. | 90 Tage |
| AADNonce.forms | Eindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern. | Sitzung |
Rechtsgrundlagen ·
- Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG ·
- Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG
Allgemeine Einstellungen - Technischer Datenschutz (Datenschutzfreundliche Grundeinstellung)
Die IHK setzt die M365-Software und Dienste dieser Lizenzen nur insoweit ein bzw. lässt dies zu (Privacy by Design bzw. Privacy by Default), als dies datenschutzrechtskonform möglich ist und bei denen Microsoft Auftragsverarbeiter ist. Nicht datenschutzkonforme Anwendungen sind zentral über die IT deaktiviert bzw. datenschutzkonform eingestellt. Dies gilt auch für Microsoft Forms.
5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
Unsere im Wege der Auftragsverarbeitung (jeweils aktueller Stand) eingebundenen Dienstleister für haben Zugriff auf die Daten wie folgt:
Datenkranz: s. o. Ziffer 4
- Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
Ireland - Microsoft Enterprise Service Privacy (Processor 2 Processor / P2P)
Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052, USA
Zweck: Zugriff auf Microsoft Multifaktor Authentifizierung zum Zwecke der Serviceerbringung in der Georegion Deutschland oder Georegion Europa; ferner Zugriff auf Dokumente und Kommunikation über M365-Dienste und Software
Die Rechenzentren, welche die IHK nutzt, sind vorrangig in Deutschland und im Übrigen in der EU ansässig.
Drittstaatentransfers sind bis auf die unter dieser Ziffer 5 aufgeführten Ausnahmen unterbunden.
Verbleibende Drittstaatentransfers werden DSGVO-konform von Microsoft Enterprise Service Privacy gestützt auf einen Vertrag über Auftragsverarbeitung (Data Processing Addendum/DPA) und Standardvertragsklauseln (SCC) mit Microsoft Enterprise Service Privacy (P2P, d. h. zwischen Auftragsverarbeiter und Subunternehmer) sowie durch zusätzliche Sicherungen von MS, sofern nicht auch hier wegen der Anonymisierung der Daten Datenschutz nicht zu beachten ist. Es handelt sich hierbei um erweiterte Informationspflichten, Haftungsklauseln und Vereinbarungen, dass Microsoft Anfragen von US-Behörden vorab gerichtlich klären lässt.
Soweit Daten in Drittstaaten übermittelt werden, verwendet Microsoft stets eine dem aktuellen Stand der Technik entsprechende Verschlüsselung. Microsoft sichert zu, dass das Unternehmen – selbst wenn es zu einer Offenlegung der Daten gegenüber Sicherheitsbehörden gesetzlich verpflichtet sein sollte – nicht den Verschlüsselungsschlüssel preisgibt oder die Umgehung der Verschlüsselung ermöglicht.
6. Dauer der Speicherung der personenbezogenen Daten
Anmeldeprotokolle werden 1 Jahr aufbewahrt.
Im Übrigen werden personenbezogene Daten gelöscht, wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind (IHK-Löschkonzept).
7. Betroffenenrechte
Nach der EU-Datenschutzgrundverordnung stehen Ihnen folgende Rechte zu:
Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die IHK für München und Oberbayern, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unsere Datenschutzbeauftragte (Tel. -1683, E-Mail: datenschutzbeauftragter@muenchen.ihk.de).
Wo können Sie sich beschweren?
Sie haben die Möglichkeit, sich mit einer Beschwerde an die Datenschutzbeauftragte der IHK für München und Oberbayern oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Datenschutzaufsichtsbehörde ist:
Bayerischer Landesbeauftragter für den Datenschutz
Wagmüllerstr. 18
80538 München
Tel. 089/212672-0
Fax 089/212672-50
E-Mail: poststelle@datenschutz-bayern.de
www.datenschutz-bayern.de
8. Widerrufsrecht bei Einwilligung
Wenn Sie durch eine entsprechende Erklärung in die Verarbeitung Ihrer personenbezogenen Daten durch die IHK eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
9. Automatisierte Entscheidungsfindung, Profiling Die IHK für München und Oberbayern setzt keine Tools ein, die eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ermöglichen.