Datenschutzhinweise für Online-Meetings, Telefon-/Videokonferenzen und Webinare via „Microsoft Teams“

Wir möchten Sie nachfolgend gemäß den Vorgaben der Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Microsoft Teams (nachfolgend bezeichnet als „Teams”) informieren.

 

Zweck der Verarbeitung

Wir nutzen das Tool „Microsoft Teams“, um Telefonkonferenzen, Online-Meetings und/oder Videokonferenzendurchzuführen (nachfolgend bezeichnet als „Online-Meetings“).

Das Tool bietet zudem die Möglichkeit den Bildschirm zu teilen, Gespräche aufzuzeichnen, Chatinhalte abzuspeichern und je nach genutzter Version auch Gesprächsinhalte zu transkribieren und mittels künstlicher Intelligenz zu einem Gesprächsprotokoll zusammenfassen zu lassen.

Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South Country Business Park, Leopardstown, Dublin 18, Irland. Der Mutterkonzern ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, die ihren Sitz in den USA hat.

 

Verantwortlich für die Datenverarbeitung

Verantwortlich für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von Online-Meetings stehen, ist die b.invest gemeinnützige Gesellschaft für Investitionen in Bildung mbH, Breslauer Straße 29 58511 Lüdenscheid, vertreten durch Heike Müller-Bärwolf. Telefon: 02351 6564-100. E-Mail: mail@b-invest.org.

 

Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten benannt. Diesen können Sie erreichen per E-Mail über Emailadresse datenschutz@b-invest.org oder postalisch über Datenschutz, b.invest gemeinnützige Gesellschaft für Investitionen in Bildung mbH, Breslauer Straße 29 58511 Lüdenscheid.

 

Umfang der Verarbeitung

Wenn wir ein Online-Meeting aufzeichnen möchten, werden wir Ihnen das vor Beginn der Aufzeichnung transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App angezeigt.

Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren.

Zudem haben wir Microsoft Copilot für Microsoft 365 (im folgenden „Copilot“) im Einsatz. Dies ist eine Assistentenfunktion mit künstlicher Intelligenz, welche es ermöglicht Videotelefonate zu transkribieren und die wichtigsten Inhalte im Sinne eines Gesprächsprotokolls zusammen zu fassen. Wenn wir die Gesprächsinhalte transkribieren lassen, werden wir Ihnen das vor Beginn der Aufzeichnung transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App angezeigt.

 

Welche Daten werden verarbeitet?

Bei der Nutzung von „Microsoft Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen, ob Sie z. B. ihren Bildschirm teilen und ob das Videotelefonat aufgezeichnet oder transkribiert wird.

 

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), Passwort (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional).

Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen.

Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.

Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z. B. die IP-Adresse des Geräts gespeichert werden.

Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Eingaben bzw. gewährten Ansichten verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Bei eingeschalteter Transkription wird auch ihre Stimme erfasst und gesprochenes Wort in Text niedergeschrieben und mittels künstlicher Intelligenz zusammengefasst. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Teams-Applikationen“ abschalten bzw. stummstellen.

Die Konferenztools erfassen dabei alle Daten, die Sie zur Nutzung des Tools bereitstellen (E-Mail-Adresse, Name, ggf. Telefonnummer). Sofern innerhalb der Konferenz Inhalte ausgetauscht, hochgeladen oder in sonstiger Weise bereitgestellt werden (z.B. Bildschirm teilen), werden auch diese auf den Servern von Microsoft verarbeitet.

Copilot greift über Microsoft Graph auf Inhalte und Kontext zu. Das Tool verwendet eine Kombination aus LLMs (Large Language Models – große Sprachmodelle), einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning-Techniken und umfangreiche Datasets, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Dazu erhält Copilot Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden aus Microsoft Graph um unternehmensspezifische und kontextbezogene Antworten erzeugen zu können.  Copilot hat die Möglichkeit grundsätzlich auf alle im jeweiligen Tenant gespeicherten Daten zuzugreifen und diese Informationen für die Auswertung zu verwenden. Unter einem Tenant versteht man eine isolierte Instanz in Microsoft-Cloud-Services wie Azure, Office 365 oder Microsoft 365, die einem einzelnen Kunden oder einer Organisation zugewiesen wird. Angezeigt werden nur die Daten, für welche der einzelne Benutzer mindestens eine Anzeigeberechtigung hat.

 

Rechtsgrundlagen der Datenverarbeitung

Die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings ist Art. 6 Abs. 1b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Steht weder ein Vertrag noch vorvertragliche Maßnahmen im Raum und haben Sie uns Ihre ausdrückliche Einwilligung zu dieser Datenverarbeitung erteilt, so ist die Rechtsgrundlage Art. 6 Abs. 1a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt Rechte als Betroffener). Sofern die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erfolgt und die Verarbeitung erforderlich und gesetzlich zulässig ist, beruht die Datenverarbeitung auf Art. 6 Abs. 1c DSGVO. Darüberhinausgehend kann es unter begründeten Umständen auch sein, die Verarbeitung ggf. auf Art. 6 Abs. 1f DSGVO (berechtigtes Interesse) zu stützen.

 

Empfänger / Weitergabe von Daten

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

Weitere Empfänger: Microsoft erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist.

Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:

 

  • Öffentliche Stellen und Institutionen (z. B. Staatsanwaltschaft, Polizei, Aufsichtsbehörden, Finanzamt) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
  • Empfänger, an die die Weitergabe zur Vertragsbegründung oder -erfüllung unmittelbar erforderlich ist, wie z. B. Wirtschaftsauskunfteien.

 

Ort der Datenverarbeitung

Microsoft ist ein Dienst, dessen Mutterkonzern in den USA sitzt. Die Verarbeitung der Daten während der Videotelefonie, erfolgt regulär innerhalb des Europäischen Wirtschaftsraums.

Microsoft 365 Anrufe und auch Microsoft Copilot für Microsoft 365 Anrufe an das LLM (Large Language Model) werden an die nächstgelegenen Rechenzentren in der Region weitergeleitet, können aber auch in andere Regionen anrufen, in denen Kapazität in Zeiten mit hoher Auslastung verfügbar ist. Für Benutzer aus der Europäischen Union (EU) hat Microsoft zusätzliche Sicherheitsvorkehrungen getroffen, um die EU-Datengrenze einzuhalten (https://learn.microsoft.com/de-de/privacy/eudb/eu-data-boundary-learn). Der EU-Datenverkehr bleibt innerhalb der EU-Datengrenze, während der weltweite Datenverkehr zur LLM-Verarbeitung in die EU und andere Länder oder Regionen geschickt werden kann. (https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy).

Um ein angemessenes Datenschutzniveau zu gewährleisten, wurden mit Microsoft, im Rahmen der AGB ein Auftragsverarbeitungsvertrag sowie zusätzlich als weiterführende Garantie sog. EU-Standardvertragsklauseln vereinbart. Zudem ist Microsoft nach dem EU-US-Data Privacy Framework, einem Übereinkommen zwischen den USA und der Europäischen Union, aktiv zertifiziert (https://www.dataprivacyframework.gov/list). Das Übereinkommen soll sicherstellen, dass die europäischen Datenschutzstandards bei der Verarbeitung eingehalten werden. Weitere Informationen zur Datenverarbeitung auf der Seite von Microsoft, können der Datenschutzerklärung von Microsoft(https://privacy.microsoft.com/de-de/privacystatement) entnommen werden.

 

Andernfalls findet eine Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums oder an eine internationale Organisation nur statt, soweit dies zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, die Weitergabe gesetzlich vorgeschrieben ist oder Sie uns eine Einwilligung erteilt haben.

 

Schutzmaßnahmen

Microsoft 365 und Copilot erfüllen bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen des Unternehmens Microsoft gegenüber kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung und der Datengrenze der Europäischen Union.

Eingabeaufforderungen, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, werden laut Microsoft nicht zum Trainieren von Grundlagen-LLMs verwendet, auch nicht für die von Copilot verwendeten.

Microsoft verspricht einen verantwortlichen Umgang mit den Daten, auf welche KI Zugriff erhält und hat dazu interne Leitlinien erstellt:  Microsoft KI-Grundsätze und der Microsoft Responsible AI Standards: https://www.microsoft.com/de-de/ai/principles-and-approach.

Copilot arbeitet mit mehreren Schutzmaßnahmen, einschließlich, aber nicht beschränkt auf, Blockieren schädlicher InhalteErkennen von geschütztem Material und Blockieren von Eingabeaufforderungseinschleusungen (Jailbreak-Angriffe).

Weitere Hinweise zur Datenverarbeitung und Datensicherheit durch Microsoft generell finden Sie hier: https://privacy.microsoft.com/en-gb/privacystatement. Weitere Hinweise zur Datenverarbeitung und Datensicherheit speziell im Rahmen der Nutzung von Copilot finden Sie hier: https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy.

 

Automatisierte Entscheidungsfindung

Zur Begründung, Erfüllung oder Durchführung der Geschäftsbeziehung sowie für vorvertragliche Maßnahmen nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren bzw. Ihre Einwilligung einholen, sofern dies gesetzlich vorgegeben ist.

 

Erforderlichkeit der Bereitstellung der personenbezogenen Daten

Die Bereitstellung personenbezogener Daten von Ihnen, erfolgt primär freiwillig auch für die Entscheidung über einen Vertragsabschluss, die Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen. Wir können eine Entscheidung im Rahmen vertraglicher Maßnahmen jedoch nur treffen, sofern Sie solche personenbezogenen Daten angeben, die für den Vertragsschluss, die Vertragserfüllung bzw. vorvertragliche Maßnahmen erforderlich sind.

 

Ihre Rechte als Betroffene/r

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben. Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben. Sie haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

 

Löschung von Daten

Wir löschen die von uns über Teams erfassten Daten, sobald Sie uns zur Löschung auffordern, Sie Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenverarbeitung entfällt und keine anderen, vorrangigen Gründe gemäß den geltenden Datenschutzgesetzen wie z. B. gesetzliche Aufbewahrungspflichten dagegensprechen. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.