Informationen zum Datenschutz für Kollaboration und Kommunikation mittels Microsoft 365
Zusammenfassung
Verantwortlicher & Zweck der Datenverarbeitung
- Die Stadt Calw, speziell der Oberbürgermeister, ist verantwortlich für die Datenverarbeitung.
- Microsoft 365 wird zur Zusammenarbeit und Kommunikation genutzt. Dies beinhaltet E-Mails, Kalender, Chat, Telefonie, Videokonferenzen und die gemeinsame Arbeit an Dokumenten.
Welche Daten werden verarbeitet?
- Personenbezogene Daten: Name, Adresse, E-Mail, Telefonnummer, Benutzernamen, Passwörter, berufliche Kontaktinformationen.
- Kommunikationsdaten: E-Mail-Inhalte, Chat-Nachrichten, Anrufprotokolle, Videokonferenzen.
- Authentifizierungsdaten: Logins, Passwörter, Zeitpunkte und Orte der Anmeldungen.
- Systemdaten: IP-Adressen, Geräteinformationen, Cookies, Telemetrie- und Diagnosedaten.
Kategorien der betroffenen Personen
- Beschäftigte der Stadt Calw & Externe Benutzer (z.B. Dienstleister, Gäste)
Rechtsgrundlage
- Die Verarbeitung erfolgt gemäß DSGVO und weiteren gesetzlichen Vorgaben, z.B. Art. 6 Abs. 1 lit. b) und e) DSGVO.
Sicherheitsmaßnahmen
- Verschiedene Maßnahmen wie Überwachung, Deaktivierung unsicherer Funktionen, Pseudonymisierung und regelmäßige Überprüfung.
- Daten können an interne und externe Stellen weitergegeben werden, z.B. Microsoft, wenn dies zur Erfüllung der Zwecke notwendig ist.
- Daten werden nur so lange gespeichert, wie es für die angegebenen Zwecke erforderlich ist
Rechte der Betroffenen
- Auskunftsrecht: Sie können erfahren, welche Daten von Ihnen verarbeitet werden.
- Recht auf Berichtigung: Falsche Daten können berichtigt werden.
- Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen.
- Recht auf Einschränkung: Sie können die Einschränkung der Verarbeitung verlangen.
- Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten widersprechen.
- Beschwerderecht: Sie können sich bei einer Aufsichtsbehörde beschweren.
Kontakt
- Bei Fragen wenden Sie sich an den Datenschutzbeauftragten der Stadt Calw.
1. Präambel
Mit diesen Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten in der Microsoft 365-Instanz der Stadt Calw. Bei Microsoft 365 handelt es sich um Cloud- Anwendungen zum Zwecke der Kollaboration, der Sicherheit, des Datenschutzes und der Verarbeitung von verschiedensten Daten. Der Kern dieser Zusammenstellung umfasst vor allem die Applikationen:
- Identitätssystem und Authentifizierungssystem für Anwendungen und Endgeräte (Entra ID)
- Exchange Online (E-Mail, Kalender, Adressbuch, Aufgaben),
- OneDrive und SharePoint Online (Speicherung, Verarbeitung, Applikationsplattform) und
- Microsoft Teams (Kollaboration, Chat, Meeting und Telefonie).
Im Rahmen dieses Produktportfolios finden Sie eine genauere Aufstellung der eingesetzten Produkte innerhalb dieses Dokuments.
Diese Datenschutzerklärung umfasst nicht die Drittapplikationen und Schnittstellen Dritter, die an die Microsoft 365 Plattform angebunden wurden. Hierfür verweisen wir auf die gesonderten Datenschutzerklärungen innerhalb der nicht zu Microsoft 365 gehörenden Applikationen.
2. Wer ist für die Datenverarbeitung verantwortlich?
Verantwortliche im Sinne des Datenschutzrechts ist der Oberbürgermeister Stadt Calw und die jeweilige Organisation, die Microsoft 365 einsetzt und Ihre Daten verarbeitet.
Verantwortlicher | Adresse | Datenschutzkontakt |
Große Kreisstadt Calw
|
Marktplatz 9
75365 Calw |
info@calw.de |
Im Folgenden werden alle Verantwortlichen als: Stadt Calw bezeichnet.
Bei Fragen zu Microsoft 365 können Sie sich gerne an den Fachbereich 1 der Stadt Calw wenden:
Fachbereich 1
Marktplatz 9
75365 Calw
Telefon: 07051 / 167-200
E-Mail: mbuck@calw.de
Bei Fragen zum Datenschutz können Sie sich an den Datenschutzbeauftragten der Stadt Calw wenden:
Städtischer Datenschutzbeauftragter
Marktplatz 9
75365 Calw
Telefon: 07051 / 167-123
E-Mail: datenschutz@calw.de
Für welche Zwecke verarbeiten wir personenbezogenen Daten?
Bezug und Nutzung der Applikationen Microsoft 365 für umfassende Zusammenarbeit und Kommunikation als Hilfsmittel für die Verwaltung im Rahmen der Elektronischen Verwaltungsarbeit. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support. Es werden auch Statistiken über die Nutzung erstellt.
Unter Kollaboration wird hier beispielsweise die gemeinsame Arbeit an Dateien, die E-Mail-Kommunikation, Besprechungen, Live-Übertragungen und innovative Werkzeuge (IT-Applikationen) verstanden.
Welche Arten von personenbezogenen Daten?
Im Rahmen der Nutzung von Microsoft 365 werden personenbezogenen Daten verarbeitet. Eine Verarbeitung von personenbezogenen Daten kann automatisch erfolgen oder durch Eingabe durch Nutzerinnen und Nutzer.
Personenbezogene Daten werden im Rahmen von User-ID-basierten (mit Microsoft 365-Benutzerkonto der Stadt Calw) sowie nicht User-ID-basierten Vorgängen (Business2Business-User, z. B. externe Personen ohne Microsoft 365-Benutzerkonto der Stadt Calw) verarbeitet.
Es könnten Daten auch in Drittanbieter Apps verarbeitet werden. Diese sind aktuell deaktiviert.
Zum Zweck der Kollaboration mit bzw. zwischen Usern und Gästen (User-ID-basierte Vorgänge) innerhalb des Tenants sowie des sicheren IT-Betriebes werden von diesen folgenden personenbezogenen Daten verarbeitet:
- Dokumente und Dateien
Diverse Arten von Dokumenten und Dateien können verarbeitet werden.
- Kommunikationsdaten des Nutzers
Chat, Telefonie, Videotelefonie, Live-Übertragungen von Ton und ggf. Bild und Bildschirm, Foto,
- Kommunikationsdaten durch das System erzeugt
Zeitpunkt, Ort, Jitter-Wert, Datentransferrate, IP-Adresse, Gerätebezeichnung
- Personenbezogene Basisdaten für den Account (das Benutzerkonto) ergänzbar mit usergenerieten Angaben
Vorname, Nachname, Adresse, UPN (User principal name; technischer Benutzername), Telefonnummer, Position, Organisation, Mailadresse, Telefon- und Faxnummer
- Authentifizierungsdaten
Logindaten, Passwort, Benutzername, Zeitpunkt, Ort
- Kontaktinformationen
Berufliche und allgemein Kontakt-, Arbeits-, und Organisationsdaten (z.B. Name, E-Mail, Gesellschaft, Personalnummer, ggf. Foto etc.) und private Kontaktinformationen (Private Telefonnummern und Adresse) der Beschäftigten.
- Profilierung
Risikoprofil im Rahmen der Cybersecurity und IT-Sicherheit (z.B. Identitätsschutz)
- Logfile mit Zugriffen
Metadaten und Administrative Ereignisse
- System generierte Protokolldaten
Telemetrie- und Diagnosedaten, die von der Software erstellt werden.
- Geräteinformationen
(einschließlich Informationen zur eingesetzten Software bzw. des genutzten Dienstes)
- Cookies
Zum Zweck der sicheren und stabilen Bereitstellung der Dienste werden technisch notwendige Cookies eingesetzt. Diese kleinen dem Browser anheftenden Cookies sind zum Beispiel Authentifizierungscookies zum Single-Sign-On.
Kategorien der betroffenen Personen
Die folgenden Personen können betroffen sein von der Verarbeitung bei Microsoft 365:
Zusammenfassung der Personenkategorien:
a) Beschäftigte der Stadt Calw und Personen mit einem ähnlichen Status (Praktikant*innen, ggf. ehemalige Beschäftigte, Personen verbundener Organisationen)
b) Externe Benutzergruppen (Gäste ohne Benutzerkonto, z.B. Teilnehmer*innen an öffentliche Veranstaltungen, Bewerber*innen; Gäste mit Benutzerkonto, z.B. externe Dienstleistende)
3. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten für Beschäftigte der Stadt Calw
Die Rechtsgrundlage für den Betrieb von Microsoft 365:
- Beschäftigte der Stadt Calw Art. 6 Abs. 1 S. 1. lit. b) DSGVO i.V.m. Arbeitsvertrag, i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW;
Die Verarbeitungen für Zwecke der IT-Sicherheit (insb. Log-Dateien und Metadaten) sowie Cookies (Cookies und §25 Abs. 2 TTDSG) gründen sich auf Art. 6 Abs. 1 lit. b DSGVO i.V.m. Arbeitsvertrag
Die von den Verantwortlichen verfolgten berechtigten Interessen umfassen folgende:
- Feststellung missbräuchlicher Nutzung;
- IT-Sicherheit und kontinuierliche Verbesserung der Dienste.
Sollten bei internen Veranstaltungen Bild- und Tonaufnahmen erstellt werden erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung).
4. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten für Externe und Bürger
Die Rechtsgrundlage für den Betrieb von Microsoft 365:
- Externe Benutzergruppen Art. 6 Abs. 1 S. 1 lit. b) DSGVO i.V.m. entsprechenden Verträgen;
- Bürger Art. 6 Abs. 1 S. 1 lit. a) c) ,e) DSGVO
Die Verarbeitungen für Zwecke der IT-Sicherheit (insb. Log-Dateien und Metadaten) sowie Cookies (Cookies und §25 Abs. 2 TTDSG), Art. 6 Abs. 1 S. 1 lit..e) DSGVO
Sollten bei internen Veranstaltungen Bild- und Tonaufnahmen erstellt werden erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung).
5. Verarbeitungen in Einzelnen / Verarbeitungstätigkeiten
Identitätsmanagement
Im Rahmen des Identitätsmanagements mit Azure Active Directory (AAD/ Entra ID) werden zentral Identitäten, Geräte und Applikationen zentral in Microsoft 365 verarbeitet. Insbesondere werden alle mit Microsoft 365 verknüpften Identitäten der Stadt Calw, sowie Gäste verarbeitet. Dies ermöglicht den sicheren Zugang und Nutzung diverser Microsoft 365 Applikationen.
Datenkategorien
1-11
weitere Rechtsgrundlagen für den Einsatz
Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art 88 DSGVO | Bild des/der Beschäftigen
|
Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art. 88 DSGVO | Lokation des/der Beschäftigten (z.B. bei Verlust des verwalteten Gerätes über Intune, MFA) |
E-Mail, Kalender und Aufgaben
Im Rahmen der Datenverarbeitung in Bezug auf E-Mails, Kalenderdaten und Aufgaben im Speziellen in der Exchange hybriden Umgebung.
Datenkategorien
1,2,3,4,5,6,7,8,9,10
Weitere Rechtsgrundlagen für den Einsatz
Art. 6 Abs. 1 S. 1. lit. b) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW
|
Beschäftigte, BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. b) DSGVO | Externe Personen, zur Vertragsverfüllung oder Vertragsanbahnung |
Art. 6 Abs. 1 S. 1 lit. e) DSGVO | Externe Personen, BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. c), e) DSGVO | Bürger |
Kommunikation: Chat
Im Rahmen der Chat-Kommunikation wird zwischen Beschäftigten und Mitgliedern und auch Gästen kommuniziert. Im Rahmen dessen können neben Chats auch Inhalte wie Dateien geteilt und gemeinsam mit Microsoft Teams bearbeitet werden.
Datenkategorien
1-11
Weitere Rechtsgrundlagen für den Einsatz
Art. 6 Abs. 1 S. 1. lit. b) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW
|
Beschäftigte, BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. b), a) DSGVO | GeschäftspartnerInnen |
Art. 6 Abs. 1 S. 1 lit. a) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW | Onlinebewerbungsbespräche mit BewerberInnen = zu Chat |
Art. 6 Abs. 1 S. 1 lit. a) bzw. e) DSGVO | Externe Personen |
Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art 88 DSGVO | Bild des Beschäftigen, Audiodateien
|
Art. 6 Abs. 1 S. 1 lit. c), e) DSGVO | Bürger |
Kommunikation: Telefonie & Videokonferenzen
Im Rahmen der Videokonferenzen & Telefonie mit Microsoft Teams wird sowohl Microsoft Teams Besprechungen als auch Microsoft Live Events eingesetzt.
Datenkategorien
1,3,4,5,6,7,9,10,11,
Weitere Rechtsgrundlagen für den Einsatz
Art. 6 Abs. 1 S. 1. lit. b) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW
|
Beschäftigte, BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. a) DSGVO | Onlinebewerbungsbespräche mit BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. b), a) DSGVO | GeschäftspartnerInnen |
Art. 6 Abs. 1 S. 1 lit. a), bzw. e) DSGVO
Art. 6 Abs. 1 S. 1 lit. a) DSGVO |
Externe Personen |
Art. 6 Abs. 1 S. 1 lit. c), e) DSGVO | Bürger |
Zusammenarbeit an Dokumenten und Dateien
Im Rahmen der Zusammenarbeit an Dokumenten und Dateien wird meist SharePoint Online eingesetzt, ob direkt oder im Hintergrund.
Datenkategorien
1,2,4,5,9,10
Weitere Rechtsgrundlagen für den Einsatz
Art. 6 Abs. 1 S. 1. lit. b) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW
|
Beschäftigte, BewerberInnen |
Art. 6 Abs. 1 S. 1 lit. b), a) DSGVO | Geschäftspartner/Innen |
Art. 6 Abs. 1 S. 1 lit. a) e) DSGVO | Externe Personen |
Art. 6 Abs. 1 S. 1 lit. c), e) DSGVO | Bürger |
Sicherheitsfunktionen
Im Rahmen der sicheren und stabilen Bereitstellung von Microsoft 365 werden Sicherheitswerkzeuge aus dem Microsoft 365 Paket eingesetzt. Diese sind als Defender bekannt.
Die Defender Produkte sollen den modernen Arbeitsplatz rund um Windows und Office, also die Microsoft 365 Umgebung bis zum Endgerät abzusichern. Dazu gehören Cybersecurity Werkzeuge von Antivir über Antispam und Schutz von Emails und deren Anhängen.
Datenkategorien
1-13
Rechtsgrundlagen
Art. 6 Abs. 1 S. 1. lit. b), e) DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 15 LDSG BW
|
Beschäftigte, Bewerberinnen |
Art. 6 Abs. 1 S. 1 lit. b), e) DSGVO | Externe Personen |
Art. 6 Abs. 1 S. 1 lit. b), e) DSGVO | DienstleisterInnen |
Art. 6 Abs. 1 S. 1 lit. c), e) DSGVO | Bürger |
Defender für Endpunkt
Microsoft Defender für Endpunkt ist eine Endpunkt-Sicherheitsplattform für Unternehmen, die Unternehmensnetzwerken dabei helfen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und auf Sie zu reagieren.
Defender for Office 365
Microsoft Defender for Office 365 ist ein cloudbasierter E-Mail-Filterdienst, der die Organisation vor erweiterten Bedrohungen für E-Mail- und Zusammenarbeitstools wie Phishing, Kompromittierung geschäftlicher E-Mails und Malwareangriffe schützt. Defender for Office 365 bietet auch Untersuchungs-, Hunting- und Wartungsfunktionen, mit denen Sicherheitsteams Bedrohungen effizient identifizieren, priorisieren, untersuchen und darauf reagieren können.
Internationaler Datentransfer
Im Rahmen der Datenverarbeitung kann es zu einem internationalem Datentransfer kommen. Hierbei handelt es sich um Datentransfer im Supportfall und im Falle des Cybersecurity-Vorfalls.
Für die Stadt Calw
- Rückausnahmen Art. 49 Abs. 1 lit c) DSGVO für Zwecke a) und f) (s. bei „Offenlegung von Daten“).
- Rückausnahmen Art. 49 Abs. 1 lit. d) DSGVO für Zwecke b), c), d) e), g), h) (s. bei (Offenlegung von Daten).
- Bei der Verarbeitung im Zwecke der Bereitstellung gilt die DSGVO unmittelbar für Microsoft als Auftragsdatenverarbeiter:
- Unterauftragsverarbeiter
- Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung
Für Telemetrie- und Diagnosedaten wird abgestellt auf den Standard des DPA und den aktuellen EU- Standardvertragsklauseln, Art 46 Abs. 1 DSGVO für die Verkettung der Microsoft Irland Inc. zu Microsoft Corporation. Es wurde durch Konfiguration die Sammlung und Verarbeitung von Telemetrie- und Diagnosedaten auf ein Minimum reduziert und auch die Speicherung im Tenant reduziert. Seit Ende 2023 werden diese Daten nur noch in Europa verarbeitet und es besteht für personenbezogene Daten in diesem Bereich kein Datentransfer in die USA mehr.
Microsoft Corporation
- Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung zwischen Microsoft Irland und Microsoft Corporation.
- DAPF / EU-Angemessenheitsbeschluss zwischen der EU und Microsoft für HR und NON-HR Daten.
An welche Empfänger oder Kategorien von Empfängern geben wir Ihre Daten im Rahmen dieser Verarbeitungstätigkeit weiter?
Sofern eine Rechtsgrundlage oder Einwilligung zur Weitergabe Ihrer Daten existiert, werden Ihre Daten nur denjenigen Stellen zur Verfügung gestellt, die diese zur Erfüllung der oben genannten Zwecke benötigen. Dabei handelt es sich vorwiegend um Stellen innerhalb der Stadt Calw eingesetzte Dienstleister (z.B. interne IT-Dienstleister und an Microsoft Ireland). Sämtliche Empfänger sind ihrerseits zur Einhaltung des Datenschutzes verpflichtet.
Darüber hinaus übermitteln wir Ihre personenbezogenen Daten, soweit gesetzlich vorgeschrieben, in Einzelfällen an Behörden soweit gesetzlich notwendig.
Wir übermitteln Daten auf der Basis von Standardvertragsklauseln in Verbindung mit Vereinbarungen zur Auftragsverarbeitung. Dazu kommt eine Übermittlung der pseudonymisierten Telemetrie- und Diagnosedaten von Microsoft Irland zu Microsoft Corp. auf Basis von EU-Standardvertragsklauseln. Im Übrigen erfolgt keine Weitergabe an Empfänger in Drittländern, die kein der DSGVO entsprechendes Datenschutzniveau gewähren.
§ 25 Abs. 2 Nr. 2 TTDSG: Die Speicherung oder der Zugriff ist zwingend erforderlich, damit der Anbieter eines Telemediendienstes im Rahmen z.B. von Videotelefonie einen vom Nutzer ausdrücklich angeforderten Telemediendienst erbringen kann.
Offenlegung an Microsoft
Eine Offenlegung einiger personenbezogener Daten kann für folgende Zwecke an Microsoft erfolgen, wie in der DPA (Data Protection Agreement: Vertrag zur Auftragsverarbeitung) vertraglich mit Microsoft vereinbart:
a) Abrechnung- und Kontoverwaltung
b) Interne Vergütung der Microsoftmitarbeitende, sowie der Microsoft Partner
c) Interne Berichterstattung und Modellierung
d) Bekämpfung von Betrug
e) Cyberkriminalität oder Cyberangriffen
f) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit oder Energieeffizienz
g) Finanzberichterstattung
h) Einhaltung gesetzlicher Verpflichtungen
Wie lange speichern wir Ihre Daten?
Wir speichern Ihre Daten so lange, wie dies zur Erfüllung der angegebenen Zwecke erforderlich ist.
Metadaten von Anrufen und Besprechungen werden maximal 120 Tage gespeichert (abhängig vom Datum). Auch hier werden die Daten nach Ablauf der Fristen automatisch gelöscht. Diese Daten werden für die Stabilität des Systems, Support und auch zur Abwehr von Angriffen in diesem Vektor benötigt. Zugriff haben nur bestimmte berechtigte und überwachte Administratoren.
Protokollierte administrative Ereignisse werden 180 Tage gespeichert und danach automatisch gelöscht.
E-Mails und Anlagen werden im Rahmen der gesetzlichen Aufbewahrungsfristen aufbewahrt und sodann gelöscht, wenn keine anderen Zwecke vorhanden sind.
Die von Sicherheitswerkzeugen und von sonstigen, der IT-Sicherheit dienenden Werkzeugen verarbeiteten personenbezogenen Daten werden für maximal 180 Tage aufbewahrt und dann der Löschung zugeführt. In Einzelfällen und bei Sicherheitsvorfällen kann es dazu kommen, dass einige Daten länger aufbewahrt werden, um den Vorfall zu untersuchen und zukünftige zu unterbinden.
Unter bestimmten Umständen müssen Ihre Daten auch länger aufbewahrt werden, beispielsweise im Zusammenhang mit einer entsprechenden behördlichen oder gerichtlichen Anordnung in Form eines sog. Litigation Hold, welches ein Verbot der Datenlöschung für die Dauer des Verfahrens beinhaltet.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, sind diese regelmäßig zu löschen, es sei denn, deren befristete Aufbewahrung ist zu folgenden Zwecken erforderlich:
- Historisches Archiv der Stadt (Archivgesetz/ Dienstanweisung Datenschutz)
Technisch-organisatorische Maßnahmen
Im Rahmen der Verarbeitung ihrer personenbezogenen Daten haben wir eine Risikoanalyse für die Verarbeitung durchgeführt und darauf beruhend risiko-angepasste technische und organisatorische Maßnahmen eingeführt. Diese Maßnahmen werden regelmäßig geprüft und den bestehenden Risiken angepasst.
Unter anderem haben wir folgenden Maßnahmen ergriffen:
- Monitoring und Überwachung der Umgebung
- Deaktivierung der Feedback-Funktion und Einschränkung des Datentransfers in unsichere Drittländer
- Einschränkung der Funktionen der verbundenen und optional verbundenen Dienste
- Vertragliche Maßnahmen und Zusatzverträge
- Pseudonymisierung von Berichten und Reports
- Automatisches Löschen von Daten in vordefinierten Zyklen
- Werkzeuge zum Entfernen von alten Nutzern und deren Daten
Welche Datenschutzrechte (Rechte von Betroffenen) haben Sie?
Im Folgenden informieren wir Sie über die Ihnen nach dem Datenschutzrecht zustehenden Rechte, die Sie gegenüber dem Verantwortlichen und dem jeweiligen Datenschutzbeauftragten jederzeit unentgeltlich geltend machen können.
Wie Sie den Datenschutzbeauftragten und den Verantwortlichen erreichen, erfahren Sie unter Punkt 1.
Jede betroffene Person hat
- das Recht auf Auskunft nach Art. 15 DSGVO,
- das Recht auf Berichtigung nach Art. 16 DSGVO,
- das Recht auf Löschung nach Art. 17 DSGVO,
- das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
- das Recht auf Widerspruch aus Art. 21 DSGVO,
Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Tel.: 0711/615541-0
FAX: 0711/615541-15
E-Mail: poststelle@lfdi.bwl.de
Eine erteilte Einwilligung externer Personen in die Verarbeitung personenbezogener Daten kann von diesen jederzeit der Stadt Calw gegenüber widerrufen werden. Es ist zu beachten, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Im Rahmen des Beschäftigungsverhältnisses werden bei der Nutzung von Microsoft365 personenbezogene Daten der Beschäftigten im oben dargestellten Umfang verwendet.
Rechte der Betroffenen
1. Auskunftsrecht– Art 15 DSGVO
Sie können von der Stadt Calw eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Recht auf Berichtigung – Art 16 DSGVO
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber der Stadt Calw, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Die Stadt Calw hat die Berichtigung unverzüglich vorzunehmen.
3. Recht auf Einschränkung der Verarbeitung– Art 18 DSGVO
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
- wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:
Ihr o.g. Recht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.
4. Recht auf Löschung – Art 17 DSGVO
Unter den folgenden Voraussetzungen können Sie die Löschung der Sie betreffenden personenbezogenen Daten verlangen:
- Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Ausnahmen:
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
5. Recht auf Unterrichtung – Art 19 DSGVO
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
6. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art 7 Abs. 3 DSGVO
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten Sie bitte formlos an die Daten führende Stelle, der gegenüber Sie in die Datenverarbeitung eingewilligt haben.
7. Widerspruchsrecht – Art 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Beschränkung des Rechts bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken:
Sie haben auch das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, bei der Verarbeitung Sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgt, dieser zu widersprechen.
Ihr Widerspruchsrecht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.
8. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art 77 DSGVO
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.