Datenschutzerklärung und Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung bei der Nutzung von Microsoft 365 in der Freien und Hansestadt Hamburg.
Senatskanzlei
Sie lesen den Originaltext
Dummy placeholder
Dieser Inhalt wurde automatisch übersetzt
Dieser Inhalt kann durch die automatische Übersetzung Fehler enthalten
Nahezu alle Bürgerinnen und Bürger sowie Unternehmen treten mit der Verwaltung früher oder später in Kontakt. In bestimmten Fällen setzen wir hierzu einzelne, geprüfte und freigegebene Cloud-Anwendungen aus dem Dienstangebot „Microsoft 365“ der Microsoft Ireland Operations Limited, Dublin, Irland, ein.
Hierbei werden personenbezogene Daten verarbeitet. Daten sind personenbezogen, wenn sie einer natürlichen Person zugeordnet werden können. Im Folgenden informieren wir Sie darüber, welche personenbezogenen Daten wir in diesem Fall erheben, bei wem wir sie erheben und was wir mit diesen Daten machen. Außerdem informieren wir Sie über Ihre Rechte in Datenschutzfragen und an wen Sie sich diesbezüglich wenden können.
1. Wer sind wir und auf welcher Rechtsgrundlage verarbeiten wir Daten?
Datenschutzrechtlich verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von Microsoft 365 ist die jeweilige Behörde, die Microsoft 365 einsetzt (im Folgenden „wir“). Unsere Kontaktangaben können Sie der folgenden Liste entnehmen:
Leitstelle Teams / M365 Senat der Freien und Hansestadt Hamburg - Senatskanzlei Amt für IT und Digitalisierung Postanschrift: Rathausmarkt 1, 20095 Hamburg bestcloudbasis@sk.hamburg.de
2. Welche Rolle hat Microsoft bei der Verarbeitung?
Bei einem Teil des Dienstangebotes von Microsoft 365 handelt es sich um einen Telekommunikationsdienst im Sinne des Telekommunikationsgesetzes (TKG). Insbesondere betrifft dies Audio- und Videokonferenzen, Chats und E-Mail – diese Funktionen sind sog. „interpersonelle Kommunikationsdienste“ im Sinne von § 3 Nr. 24 TKG. Für die zur Erbringung dieser Dienste erforderliche Verarbeitung personenbezogener Daten – wie die Übertragung und Zwischenspeicherung von Kommunikationsinhalten während laufender Kommunikationsvorgänge – ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Ireland („Microsoft“) datenschutzrechtlich verantwortlich. Als Anbieter des Telekommunikationsdienstes ist Microsoft in diesem Bereich an das Telekommunikationsgeheimnis gebunden und gesetzlich auf die Geheimhaltung und den Schutz der verarbeiteten Daten verpflichtet. Für Informationen zu der Datenverarbeitung, die in der Verantwortlichkeit von Microsoft als Telekommunikationsanbieter erfolgt, siehe die Datenschutzerklärung von Microsoft. Dort finden Sie Angaben über Umfang, Zweck und Rechtsgrundlage der Verarbeitung sowie Kontaktangaben für die Ausübung von Ihren Rechten gegenüber Microsoft.
Bei der übrigen Datenverarbeitung im Rahmen von Microsoft 365, die nicht zur Erbringung von Telekommunikationsdiensten gehört, handelt Microsoft nicht in eigener Verantwortung, sondern als Auftragsverarbeiter der Behörde gemäß Art. 28 DSGVO. Dies betrifft etwa den Austausch von Dateien über Teams, SharePoint oder OneDrive oder die Verarbeitung von Kalendereinträgen.
3. Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?
Die Verarbeitung personenbezogener Daten von Mitarbeiterinnen und Mitarbeiter unserer Behörde durch uns erfolgt auf der folgender rechtlichen Grundlage:
Art. 88 DSGVO in Verbindung mit folgenden Kollektivvereinbarungen: IT-Rahmenvereinbarung Teil 1 und Teil 2; § 93 HmbPersVG-Vereinbarung „Regelungen zur Bürokommunikation und zu E-Government“; § 93 HmbPersVG-Vereinbarung „Allgemeine Regeln der Bürokommunikation“
Art. 6 Abs. 1 Buchst. b DSGVO in Verbindung mit dem Arbeitsvertrag (bei Angestellten) bzw. Art. 6 Abs. 1 Buchst. c DSGVO in Verbindung mit den Regelungen zum Beamtenverhältnis (bei Beamtinnen und Beamten)
Die Verarbeitung personenbezogener Daten von externen Teilnehmenden erfolgt auf der Grundlage folgender Gesetze:
Art. 6 Abs. 1 S. 1 lit. e DSGVO in Verbindung mit § 4 HmbDSG (die Verarbeitung ist erforderlich zur Erfüllung der in unserer Zuständigkeit liegenden Aufgaben oder in Ausübung der öffentlichen Gewalt, die uns übertragen wurde)
4. Wer sind die Ansprechpersonen?
Fragen in datenschutzrechtlichen Angelegenheiten können Sie an die bzw. den für die Behörde zuständige(n) Datenschutzbeauftragte(n) richten. Die Kontaktangaben finden Sie in der nachfolgenden Liste:
Datenschutzbeauftragte/r Senat der Freien und Hansestadt Hamburg - Senatskanzlei Amt für IT und Digitalisierung Postanschrift: Rathausmarkt 1, 20095 Hamburg itd-dsb@sk.hamburg.de
Für Fragen, die inhaltlich das Verwaltungsverfahren betreffen (z.B. „wann bekomme ich eine Antwort“, „waren die Unterlagen richtig“, „fehlt noch etwas“), wenden Sie sich bitte an die oben genannte verantwortliche Stelle.
Wenn Sie einen Antrag auf Wahrnehmung Ihrer Betroffenenrechte nach den Art. 15 ff. DSGVO (also auf Auskunft, Berichtigung, Löschung u.a., s. hierzu unten Ziff. 8) stellen wollen, wenden Sie sich bitte ebenfalls an die oben genannte verantwortliche Stelle.
5. Zu welchem Zweck verarbeiten wir Ihre personenbezogenen Daten?
Die Nutzung von Microsoft 365 dient zur Durchführung des täglichen Geschäftsablaufes der Behörde. Insbesondere ermöglicht die Nutzung der Microsoft-365-Applikationen die Kommunikation intern und extern. Sofern Sie eine Supportanfrage stellen, verarbeiten wir Ihre Daten zum Zwecke der sachgemäßen und effizienten Bearbeitung Ihrer Anfrage zur Nutzung von Microsoft 365.
6. Welche personenbezogenen Daten verarbeiten wir?
Bei der Nutzung von Microsoft Teams werden insbesondere Kontaktdaten, Inhaltsdaten, Metadaten, Daten zur Nutzung und Betriebsdaten und im Fall der Nutzung des Dienstes über ein Benutzerkonto auch Kontodaten verarbeitet.
Verarbeitung von Daten bei Registrierung mit einem Benutzerkonto Für externe Teilnehmende: Wenn Sie über ein Benutzerkonto bei Microsoft verfügen und über dieses Microsoft-365-Applikationen nutzen, kann Microsoft die o.g. Daten Ihrem Benutzerkonto zuordnen. Für Ihr Benutzerkonto wird in unserer Microsoft-365-Struktur ein Gastobjekt angelegt, das Ihre E-Mail-Adresse und Ihre Authentifizierungsdaten enthält. Darüber hinaus haben wir keinen Zugriff auf Ihr Benutzerkonto. Für die damit verbundene Verarbeitung ist Microsoft im Rahmen der Nutzungsvereinbarung verantwortlich. Ein Benutzerkonto ist für die Teilnahme an den von uns angebotenen Microsoft Teams Besprechungen (Videokonferenzen) jedoch nicht erforderlich, Sie können also auch ohne Registrierung bei Microsoft Teams Besprechungen teilnehmen. Sie haben ferner die Möglichkeit, Ihren Benutzernamen frei zu wählen und anstatt Ihres tatsächlichen Namens ein Pseudonym zu verwenden. Nähere Informationen zur Verarbeitung von Daten im Zusammenhang mit einem Benutzerkonto und zu den Verarbeitungszwecken finden Sie in der Datenschutzerklärung von Microsoft. In bestimmten Fällen besteht darüber hinaus die Möglichkeit, dass für Sie ein Gastkonto bei der Behörde erstellt wird und dieses Konto mit Ihrem Benutzerkonto bei Microsoft verbunden wird. Hierfür wird ein Profil für Sie angelegt, welches Ihren Namen, Ihre E-Mail-Adresse und ggf. weitere Profildaten enthält und Ihre Authentifizierungsdaten (Benutzername, Kennwort oder PIN-Code, Sicherheitsfrage, Audit-Protokoll, Telefonnummer) werden verarbeitet. Für Mitarbeiterinnen und Mitarbeiter unserer Behörden: Wenn Sie die von uns bereitgestellten Anwendungen aus Microsoft 365 nutzen, werden hierzu im Rahmen der Verwaltung des Nutzungskontos personenbezogene Basisdaten verarbeitet, insbesondere Ihr Vorname und Name, Ihre dienstliche E-Mail-Adresse und ggf. weitere Angaben wie Geburtsort, Geburtsdatum, Adresse und Geschlecht. Ggf. können im Rahmen der Benutzerverwaltung Angaben zu ihrem Beschäftigtenstatus und Einstellungsinformationen verarbeitet werden. Darüber hinaus verarbeitet Microsoft Ihre Authentifizierungsdaten (Benutzername, Kennwort oder PIN-Code, Sicherheitsfrage, Historie der Anmeldevorgänge).
Verarbeitung von Inhaltsdaten Die Inhalte, die Sie im Rahmen Ihrer Nutzung von Microsoft 365 teilen (Chats, Fotos, Videos, Audioaufnahmen, Grafiken, Whiteboard-Inhalte und Dokumente), werden in unserem Auftrag von Microsoft auf Servern innerhalb der EU verarbeitet und sind während der Übertragung und im gespeicherten Zustand durch Verschlüsselung geschützt. Inhalte von Videokonferenzen werden nicht aufgezeichnet. Microsoft 365 ermöglicht außerdem die Organisation und Verwaltung von Kontaktdaten; in diesem Rahmen können Kontaktinformationen wie Adressen, E-Mail-Adressen, Telefonnummern, Social-Media-Kennungen oder Notfallkontaktdaten verarbeitet werden.
Verarbeitung von Metadaten und sonstige Daten Darüber hinaus verarbeitet Microsoft Metadaten zu Ihrer Nutzung der Microsoft-365-Dienste (zum Beispiel werden zu Änderungen an Dokumenten oder zu Kommentaren der Autor bzw. die Autorin sowie Datum und Uhrzeit gespeichert) sowie Verbindungsdaten zu Kommunikationsvorgängen über Microsoft Teams. Außerdem verarbeitet Microsoft Betriebsdaten (z.B. Ihre IP-Adresse und technische Daten zu Ihrer Verbindung und zu dem von Ihnen benutzten Endgerät wie Browsertyp, IMEI-Nummer, SIM-Kartennummer, MAC-Adresse), Internetaktivitätsdaten (Suchverlauf), Standortdaten (Mobilfunk-ID, Geolokalisierungsdaten, Standort bei Beginn/Ende des Anrufs, Standortdaten, die aus der Nutzung von WLAN-Zugriffspunkten abgeleitet werden) und pseudonymisierte Kennungen. Nähere Informationen hierzu und zu den Verarbeitungszwecken finden Sie in der Datenschutzerklärung von Microsoft.
Verarbeitung von Daten bei Supportanfragen Wenn Sie eine Supportanfrage stellen, werden Ihre Kontaktdaten erfasst (Name, E-Mail-Adresse und Telefonnummer) und zum Zwecke der Lösung Ihrer Supportanfrage an Dataport ÄoR übermittelt.
7. Wie verarbeiten wir diese Daten und geben wir diese weiter?
Wenn Microsoft 365 zur Kommunikation eingesetzt wird, erhalten die jeweils beteiligten Personen (z.B. Absender und Empfänger einer E-Mail oder die an einer Konferenz teilnehmenden Personen) Zugriff auf die Kommunikationsinhalte. Dasselbe gilt für Dateien und andere Inhalte, die über Microsoft 365 mit anderen Personen geteilt werden.
Soweit dies für die Erbringung von Telekommunikationsleistungen erforderlich ist (zum Beispiel für eine Videokonferenz über Teams) oder im Rahmen unseres Auftragsverarbeitungsvertrags mit Microsoft vorgesehen ist, erhält und verarbeitet Microsoft notwendigerweise die o.g. Daten. Microsoft ist als Telekommunikationsanbieter an das Fernmeldegeheimnis gebunden (§ 3 TTDSG) und im Übrigen als Auftragsverarbeiter gemäß Art. 28 DSGVO auf den Datenschutz verpflichtet.
Ferner wird die Behörde bei der technischen Bereitstellung und Administration der Dienste von Microsoft 365 unterstützt durch die Dataport AöR, Altenholzer Straße 10-14, 24161 Altenholz, Deutschland („Dataport“). Hierzu kann sicherheitsüberprüftes Personal von Dataport im Einzelfall zu Zwecken der IT-Administration und des Supports Zugriff auf in Microsoft 365 vorhandene Daten erhalten. Dataport ist als Auftragsverarbeiter gem. Art. 28 DSGVO auf den Datenschutz verpflichtet. Die Verarbeitung durch Dataport erfolgt ausschließlich in Deutschland.
Im Übrigen werden personenbezogene Daten, die über Microsoft 365 verarbeitet werden, grundsätzlich nicht an Dritte weitergegeben.
8. Werden Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet?
Grundsätzlich werden die im Rahmen der Nutzung von Microsoft 365 verarbeiteten Daten in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert. Dort unterliegen Sie der EU-Datenschutzgrundverordnung oder gleichwertigen Schutzvorschriften.
Sofern ausnahmsweise Teilnehmer an der Kommunikation teilnehmen, die sich außerhalb des EWR befinden, werden die diesen zugänglichen Kommunikationsinhalte notwendig auch an deren Standorte übermittelt.
Zusätzlich kann Microsoft Telemetriedaten sowie Daten des Azure Active Directory zum Zwecke der Authentifizierung in Staaten außerhalb des Europäischen Wirtschaftsraums übermitteln, insbesondere in die USA. Microsoft ist unter dem Trans-Atlantic Data Privacy Framework (DPF) zertifiziert, welches die EU mit den USA zur Sicherstellung eines angemessenen Datenschutzniveaus für in den USA verarbeitete Daten vereinbart hat. Zum Schutz Ihrer personenbezogenen Daten hat die Microsoft Ireland Operations Limited darüber hinaus mit der Microsoft Corporation (USA) die von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Datenübermittlung in Drittstaaten (Art. 46 Abs. 2 Buchstabe c DSGVO) sowie zusätzliche Garantien insbesondere vertraglicher Art vereinbart.
9. Wie lange speichern wir Ihre Daten?
Sofern Sie an einer Videokonferenz via Microsoft Teams teilnehmen, werden die Konferenzinhalte nicht aufgezeichnet.
Wenn Sie Ihr Nutzerkonto löschen oder Ihr Nutzerkonto gelöscht wird, werden alle Anwenderdaten, die nicht in Gruppenablagen liegen, automatisch gelöscht. Bei der Löschung von einzelnen Daten oder Änderungen von Dateien im Rahmen Ihrer Kommunikation mit uns, speichert Microsoft Kopien hiervon bis zu 90 Tage, im Falle von SharePoint 93 Tage (u.a. um Backups bereitzustellen und so die Datensicherheit gewährleisten zu können). Dies gilt auch bei der Löschung von Teams oder von bestimmten Teamskanälen.
Im Übrigen werden die in Microsoft 365 verarbeiteten Inhaltsdaten durch uns so lange verarbeitet, wie es für die jeweilige Nutzung der Microsoft-365-Dienste (z.B. Teams oder SharePoint) und die damit jeweils verfolgten Zwecke erforderlich ist. Das gilt nicht, sofern ausnahmsweise abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben oder die Speicherung zum Zweck der Rechtsverteidigung oder -durchsetzung erforderlich ist (insbesondere innerhalb der gesetzlichen Verjährungsfristen bzw. während laufender Verfahren). Sofern Daten lediglich zu den vorgenannten Zwecken aufbewahrt werden, ist der Datenzugriff auf das dafür nötige Maß beschränkt.
Darüber hinaus gilt: Im Verwaltungsverfahren werden die Daten für die Dauer der Bearbeitung gespeichert. Nach Abschluss des Verfahrens werden Ihre Daten so lange gespeichert, wie es nach den geltenden Bestimmungen, insbesondere den gesetzlichen Aufbewahrungsfristen und der Akten- und Geschäftsordnung vorgeschrieben ist.
Für Informationen zur Speicherung von Daten durch Microsoft in der Verantwortung von Microsoft siehe im Übrigen die Datenschutzerklärung von Microsoft.
10. Welche Rechte (Auskunftsrecht, Widerspruchsrecht usw.) haben Sie?
Sie haben nach der DS-GVO verschiedene Rechte. Einzelheiten ergeben sich insbesondere aus Artikel 15 bis 18 und 21 der DS-GVO-Grundverordnung. Diese Rechte können Sie gegenüber der verantwortlichen Stelle (s. Ziff. 2) geltend machen.
Recht auf Auskunft Sie können Auskunft über Ihre personenbezogenen Daten verlangen, die wir verarbeiten. Bitte beschreiben Sie in Ihrem Auskunftsantrag Ihr Anliegen möglichst genau, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern.
Recht auf Berichtigung Wenn Ihre Angaben nicht (mehr) zutreffend sind, können Sie eine Berichtigung verlangen. Wenn Ihre Daten unvollständig sind, können Sie eine Vervollständigung verlangen.
Recht auf Löschung Sie können grundsätzlich die Löschung Ihrer personenbezogenen Daten verlangen. Das Datenschutzrecht sieht jedoch Ausnahmen vom Anspruch auf Löschung vor. Insofern weisen wir darauf hin, dass eine Löschung nicht immer bzw. nicht in jedem Fall vollständig möglich ist (z.B., soweit personenbezogene Daten im Rahmen eines Verwaltungsverfahrens verarbeitet werden müssen; dies geschieht dann auf gesetzlicher Grundlage).
Recht auf Einschränkung der Verarbeitung Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Recht auf Widerspruch Sie haben das Recht, jederzeit und ohne Angabe von Gründen der Verarbeitung Ihrer Daten zu widersprechen. Bitte beachten Sie, dass ein Widerspruch nur zukünftige Verarbeitungen verhindert.
Recht auf Beschwerde Wenn Sie glauben, dass wir Ihrem Anliegen nicht oder nicht in vollem Umfang nachgekommen sind, können Sie bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einlegen:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ludwig-Erhard-Straße 22, 20459 Hamburg Tel.: (040) 4 28 54 - 40 40 E-Fax: (040) 4 279 – 11811 E-Mail: mailbox@datenschutz.hamburg.de
Allgemeine Hinweise zu diesen Rechten
Wir antworten grundsätzlich innerhalb eines Monats, nachdem wir Ihren Antrag erhalten haben. Wenn wir länger als einen Monat für eine abschließende Klärung brauchen, erhalten Sie eine Zwischennachricht.
Wenn es Gründe gibt, warum wir Ihr Anliegen nicht erfüllen können, teilen wir Ihnen dies mit. Sie erhalten in jedem Fall eine Nachricht von uns.
Sonderzeichen und Namen können fälschlicherweise übersetzt werden
Zum Weiterlesen
Senatskanzlei
Neue Impulse für die Modernisierung von Staat und Verwaltung
Die Digitalministerkonferenz (DMK) ist das zentrale politische Gremium von Bund und Ländern mit der Zielsetzung, die Digitalisierung in Deutschland zu gestalten, länderübergreifende Strategien abzustimmen und zentrale Themen der digitalen Transformation zu koordinieren. 2026 übernimmt Hamburg...
Angesichts der zu erwartenden starken Schneefälle mit bis zu 15 Zentimeter Neuschnee und Schneeverwehungen durch starke Winde appelliert der Hamburger Senat, am morgigen Freitag möglichst zuhause zu bleiben.
