Informationspflichten der IHK für München und Oberbayern zum Einsatz von Microsoft Forms

1. Bezeichnung der Verarbeitungstätigkeit

Die Datenschutzhinweise erfolgen gegenüber Externen und Mitarbeitenden im Zusammenhang mit dem Einsatz von Microsoft Forms in der IHK für München und Oberbayern (IHK).

2. Name und Kontaktdaten des Verantwortlichen

Industrie- und Handelskammer für München und Oberbayern
Hausanschrift: Max-Joseph-Str. 2, 80333 München
Postanschrift: 80323 München
Telefon: +49 89 5116-0
Fax: +49 89 5116-1306
E-Mail: info@muenchen.ihk.de

3. Kontaktdaten der behördlichen Datenschutzbeauftragten

Die behördliche Datenschutzbeauftragte der IHK für München und Oberbayern erreichen Sie unter der o. g. Anschrift, z. H. der Datenschutzbeauftragten,

Tel. +49 89 5116-0 bzw. Fax +49 89 5116-81683

E-Mail: datenschutzbeauftragter@muenchen.ihk.de

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Mit Microsoft Forms kann die IHK für München und Oberbayern Umfragen erstellen, Terminabstimmungen inkl. Anmeldung zu Prüfungsterminen/Veranstaltungen und (Prüfer-)Schulungen ermöglichen, Antworten der angefragten Personen/Unternehmen hierzu erhalten und diese je nach Einstellung anonymisiert bzw. personenbezogen auswerten. Nach der Erstellung eines Formulars können interne und externe Personen dazu eingeladen werden, dieses auszufüllen und an uns übermitteln. Für Externe ist kein Microsoft-Konto erforderlich.

Folgende Kategorien personenbezogener Daten werden beim Einsatz von Microsoft Forms verarbeitet:

  • E-Mailadresse
  • Thema und Fragen der jeweiligen Umfrage
  • Antworten zu Fragestellungen
  • Statistische Auswertung (je nach Einstellung personenbezogen oder anonymisiert) -
    Zahl der Antworten, Durchschnittliche Zeit für das Ausfüllen, Status (aktiv, nicht aktiv), ID-Nummer, Anrede
  • Ergebnisse der Auswertungen
  • Einstellungen (individuell voreinstellbar)

Wer dieses Formular ausfüllen kann

  • Jeder kann antworten
  • Nur Personen in meiner Organisation können antworten
    • Namen erfassen
    • Eine Antwort pro Person
    • Bestimmte Personen in meiner Organisation können antworten

Optionen für Antworten

  • Antwort akzeptieren
  • Startdatum
  • Enddatum
  • Zeitdauer festlegen
  • Fragen in zufälliger Reihenfolge
  • Statusanzeige anzeigen
  • Ausblenden Weitere Antworten senden
  • Anpassen der Dankeschön-Nachricht (Freitextfeld)
  • Erstellung von Freitextfeldern für Pflicht- und freiwillige Angaben

Ihre Daten werden dafür erhoben und für folgende Zwecke mit folgenden Rechtsgrundlagen verarbeitet:

  • Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG
  • Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG
  • Datenverarbeitung zur Erfüllung von IHK-Aufgaben, v. a. Rechtspflicht bzw. einer Aufgabe im öffentlichen Interesse
    Rechtsgrundlage: Art. 6 Abs. 1 lit. c) DSGVO bzw. Art. 6 Abs. 1 lit. e) DSGVO, § 1 IHKG bzw. § 1 Abs. 5 IHKG i.V.m. spezialgesetzlichen Regelungen oder i.V.m. Art. 4 Abs. 1 BayDSG (u. a. zur Gewährleistung von IT-Sicherheit)
  • Einwilligung
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO
  • Vertrag oder zur Durchführung einer vorvertraglichen Maßnahme
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO

Microsoft Forms - Einsatz von Cookies

Ferner kommen beim Einsatz von Micrsoft Forms ausschließlich notwendige Cookies (Funktionscookies) und damit solche gem. § 25 Abs. 2 Nr. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zur Anwendung wie folgt:

Cookie NameBeschreibungDauer
ai_sessionDieser Cookie ist mit der Software Microsoft
Application Insights verknüpft, die statistische Nutzungs- und Telemetriedaten für auf der Azure-Cloud-Plattform erstellte Anwendungen sammelt. Dies ist ein eindeutiger anonymer Sitzungsbezeichner-Cookie. Der Hauptzweck dieses Cookies ist die Performancestabilisierung
Sitzung
MicrosoftApplicationsTelemetryDeviceIdCookie zur Installation einer eindeutigen Geräte-ID, die dazu dient, das Verhalten der Benutzer und ihre Interaktion mit der Microsoft-Anwendung auf dem Gerät zu verfolgen10 Jahre
__RequestVerificationTokenVerhindern von Angriffen durch websiteübergreifende AnforderungsfälschungSitzungsende
MS0Speichert das Sitzungsidentifikations-Cookie90 Tage
RpsAuthNonceErmöglichen die Platzierung von Microsoft-Formularen auf der Website. Es wird verwendet, um Benutzer zu unterscheiden.1 Monat oder Sitzung
MSFPCKritisches Service-Cookie zur anonymen Analyse der Servicenutzung und zu statistischen Zwecken aggregiert.1 Jahr

Folgende notwendige Cookies werden gem. § 25 Abs. 2 Nr. 2 TDDDG nur bei der Authentifizierung gegen ein Active Directory verwendet.

AADNonce.formsEindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern.Sitzung
AADAuth.formsAzure Active Directory Token für die Authentifizierung90 Tage
AADAuthCode.formsEin Authentifizierungscode, der zum Einlösen vom Azure Active Directory Authentifizierungstoken verwendet wird.90 Tage
AADSID.formsAzure Active Directory Authentifizierungssitzungs-ID90 Tage
AADState.formsAuthentifizierungsstatus, um anzugeben, ob der Benutzer authentifiziert ist.90 Tage
AADNonce.formsEindeutige Kennung einer Authentifizierungssitzung, um eine Wiedergabe zu verhindern.Sitzung

Rechtsgrundlagen ·

  • Gewährleistung einer datenschutzkonformen IT-Infrastruktur sowie Sicherheit der Verarbeitung personenbezogener Daten – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG ·
  • Identifizierung der Benutzer (z.B. Lizenzierung, Authentifizierung und Autorisierung) – Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG

Allgemeine Einstellungen - Technischer Datenschutz (Datenschutzfreundliche Grundeinstellung)

Die IHK setzt die M365-Software und Dienste dieser Lizenzen nur insoweit ein bzw. lässt dies zu (Privacy by Design bzw. Privacy by Default), als dies datenschutzrechtskonform möglich ist und bei denen Microsoft Auftragsverarbeiter ist. Nicht datenschutzkonforme Anwendungen sind zentral über die IT deaktiviert bzw. datenschutzkonform eingestellt. Dies gilt auch für Microsoft Forms.

5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Unsere im Wege der Auftragsverarbeitung (jeweils aktueller Stand) eingebundenen Dienstleister für haben Zugriff auf die Daten wie folgt:

Datenkranz: s. o. Ziffer 4

  • Microsoft Ireland Operations Limited
    One Microsoft Place
    South County Business Park
    Leopardstown
    Dublin 18
    Ireland
  • Microsoft Enterprise Service Privacy (Processor 2 Processor / P2P)
    Microsoft Corporation
    One Microsoft Way
    Redmond, Washington 98052, USA

    Zweck: Zugriff auf Microsoft Multifaktor Authentifizierung zum Zwecke der Serviceerbringung in der Georegion Deutschland oder Georegion Europa; ferner Zugriff auf Dokumente und Kommunikation über M365-Dienste und Software

Die Rechenzentren, welche die IHK nutzt, sind vorrangig in Deutschland und im Übrigen in der EU ansässig.

Drittstaatentransfers sind bis auf die unter dieser Ziffer 5 aufgeführten Ausnahmen unterbunden.

Verbleibende Drittstaatentransfers werden DSGVO-konform von Microsoft Enterprise Service Privacy gestützt auf einen Vertrag über Auftragsverarbeitung (Data Processing Addendum/DPA) und Standardvertragsklauseln (SCC) mit Microsoft Enterprise Service Privacy (P2P, d. h. zwischen Auftragsverarbeiter und Subunternehmer) sowie durch zusätzliche Sicherungen von MS, sofern nicht auch hier wegen der Anonymisierung der Daten Datenschutz nicht zu beachten ist. Es handelt sich hierbei um erweiterte Informationspflichten, Haftungsklauseln und Vereinbarungen, dass Microsoft Anfragen von US-Behörden vorab gerichtlich klären lässt.

Soweit Daten in Drittstaaten übermittelt werden, verwendet Microsoft stets eine dem aktuellen Stand der Technik entsprechende Verschlüsselung. Microsoft sichert zu, dass das Unternehmen – selbst wenn es zu einer Offenlegung der Daten gegenüber Sicherheitsbehörden gesetzlich verpflichtet sein sollte – nicht den Verschlüsselungsschlüssel preisgibt oder die Umgehung der Verschlüsselung ermöglicht.


6. Dauer der Speicherung der personenbezogenen Daten

Anmeldeprotokolle werden 1 Jahr aufbewahrt.

Im Übrigen werden personenbezogene Daten gelöscht, wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind (IHK-Löschkonzept).

7. Betroffenenrechte

Nach der EU-Datenschutzgrundverordnung stehen Ihnen folgende Rechte zu:

Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).

Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).

Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).

Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die IHK für München und Oberbayern, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unsere Datenschutzbeauftragte (Tel. +49 89 5116-0, E-Mail: datenschutzbeauftragter@muenchen.ihk.de).

Wo können Sie sich beschweren?

Sie haben die Möglichkeit, sich mit einer Beschwerde an die Datenschutzbeauftragte der IHK für München und Oberbayern oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Datenschutzaufsichtsbehörde ist:

Bayerischer Landesbeauftragter für den Datenschutz

Wagmüllerstr. 18

80538 München

Tel. 089/212672-0

Fax 089/212672-50

E-Mail: poststelle@datenschutz-bayern.de

www.datenschutz-bayern.de


8. Widerrufsrecht bei Einwilligung

Wenn Sie durch eine entsprechende Erklärung in die Verarbeitung Ihrer personenbezogenen Daten durch die IHK eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.


9. Automatisierte Entscheidungsfindung, Profiling‎ Die IHK für München und Oberbayern setzt keine Tools ein, die eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ermöglichen.