Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South Country Business Park, Leopardstown, Dublin 18, Irland. Der Mutterkonzern ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, welche ihren Sitz in den USA hat.

Zweck der Verarbeitung

Wir nutzen Microsoft Teams, um Telefonkonferenzen, Online-Meetings und/oder Videokonferenzen durchzuführen (nachfolgend bezeichnet als „Online-Meetings“). Microsoft Teams bietet zudem die Möglichkeit den Bildschirm zu teilen, Gespräche aufzuzeichnen, Chatinhalte abzuspeichern und je nach genutzter Version auch Gesprächsinhalte zu transkribieren und mittels künstlicher Intelligenz zu einem Gesprächsprotokoll zusammenfassen zu lassen.

Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings ist Art. 6 Abs. 1b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Stehen weder ein Vertrag noch vorvertragliche Maßnahmen im Raum, noch haben Sie uns Ihre ausdrückliche Einwilligung zu dieser Datenverarbeitung erteilt, so ist die Rechtsgrundlage Art. 6 Abs. 1a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt Rechte als Betroffener). Sofern die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erfolgt und die Verarbeitung erforderlich und gesetzlich zulässig ist, beruht die Datenverarbeitung auf Art. 6 Abs. 1c DSGVO. Darüber hinaus kann es unter begründeten Umständen auch sein, dass die Verarbeitung ggf. auf Art. 6 Abs. 1f DSGVO (berechtigtes Interesse) gestützt wird.

Erforderlichkeit der Bereitstellung der personenbezogenen Daten
Die Bereitstellung personenbezogener Daten von Ihnen, erfolgt primär freiwillig auch für die Entscheidung über einen Vertragsabschluss, die Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen. Wir können eine Entscheidung im Rahmen vertraglicher Maßnahmen jedoch nur treffen, sofern Sie solche personenbezogenen Daten angeben, die für den Vertragsschluss, die Vertragserfüllung bzw. vorvertragliche Maßnahmen erforderlich sind.

Löschung von Daten

Wir löschen die von uns über Microsoft Teams erfassten Daten, sobald Sie uns zur Löschung auffordern, Sie Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenverarbeitung entfällt und keine anderen, vorrangigen Gründe gemäß den geltenden Datenschutzgesetzen wie z.B. gesetzliche Aufbewahrungspflichten dagegensprechen. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Umfang der Verarbeitung
Wir verwenden Microsoft Teams, um Online-Meetings durchzuführen. Wenn wir ein Online-Meeting aufzeichnen möchten, werden wir Ihnen das vor Beginn der Aufzeichnung transparent mitteilen und – soweit erforderlich – um eine Zustimmung (Einwilligung) bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App angezeigt.

Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir mögliche Chatinhalte im Nachgang herunterladen und abspeichern.

Zudem haben wir Microsoft Copilot für Microsoft 365 (im folgenden „Copilot“) im Einsatz. Dies ist eine Assistentenfunktion mit künstlicher Intelligenz, welche es ermöglicht Videotelefonate zu transkribieren und die wichtigsten Inhalte im Sinne eines Gesprächsprotokolls zusammen zu fassen. Wenn wir die Gesprächsinhalte transkribieren lassen, werden wir Ihnen das vorher transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.

Welche Daten werden verarbeitet?
Bei der Nutzung von Microsoft Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen, ob Sie z.B. ihren Bildschirm teilen und ob das Videotelefonat aufgezeichnet oder transkribiert wird.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

• Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), Passwort (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional).
• Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen.
• Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
• Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
• Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Eingaben bzw. gewährten Ansichten verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Bei eingeschalteter Transkription wird auch Ihre Stimme erfasst und gesprochenes Wort in Text niedergeschrieben und mittels künstlicher Intelligenz zusammengefasst. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Teams-Applikationen“ abschalten bzw. stummstellen.

Das Konferenztool erfasst dabei alle Daten, die Sie zur Nutzung des Tools bereitstellen (E-Mail-Adresse, Name, ggf. Telefonnummer). Sofern innerhalb der Konferenz Inhalte ausgetauscht, hochgeladen oder in sonstiger Weise bereitgestellt werden (z.B. Bildschirm teilen), werden auch diese auf den Servern von Microsoft verarbeitet.

Copilot greift über Microsoft Graph auf Inhalte und Kontext zu. Das Tool verwendet eine Kombination aus LLMs (Large Language Models – große Sprachmodelle), einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning-Techniken und umfangreiche Datasets, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Dazu erhält Copilot Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden aus Microsoft Graph um unternehmensspezifische und kontextbezogene Antworten erzeugen zu können.  Copilot hat die Möglichkeit grundsätzlich auf alle im jeweiligen Tenant gespeicherten Daten zuzugreifen und diese Informationen für die Auswertung zu verwenden. Unter einem Tenant versteht man eine isolierte Instanz in Microsoft-Cloud-Services wie Azure, Office 365 oder Microsoft 365, die einem einzelnen Kunden oder einer Organisation zugewiesen wird. Angezeigt werden nur die Daten, für welche der einzelne Benutzer mindestens eine Anzeigeberechtigung hat.

Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

Weitere Empfänger: Microsoft erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist.

Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:

• Öffentliche Stellen und Institutionen (z. B. Staatsanwaltschaft, Polizei, Aufsichtsbehörden, Finanzamt) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
• Empfänger, an die die Weitergabe zur Vertragsbegründung oder -erfüllung unmittelbar erforderlich ist, wie z. B. Wirtschaftsauskunfteien.

Ort der Datenverarbeitung
Microsoft ist ein Dienst, dessen Mutterkonzern in den USA sitzt. Die Verarbeitung der Daten während der Videotelefonie erfolgt regulär innerhalb des Europäischen Wirtschaftsraums.

Microsoft 365 Anrufe und auch Microsoft Copilot für Microsoft 365 Anrufe an das LLM (Large Language Model) werden an die nächstgelegenen Rechenzentren in der Region weitergeleitet, können aber auch in andere Regionen anrufen, in denen Kapazität in Zeiten mit hoher Auslastung verfügbar ist. Für Benutzer aus der Europäischen Union (EU) hat Microsoft zusätzliche Sicherheitsvorkehrungen getroffen, um die EU-Datengrenze einzuhalten (https://learn.microsoft.com/de-de/privacy/eudb/eu-data-boundary-learn). Der EU-Datenverkehr bleibt innerhalb der EU-Datengrenze, während der weltweite Datenverkehr zur LLM-Verarbeitung in die EU und andere Länder oder Regionen geschickt werden kann. (https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy).

Um ein angemessenes Datenschutzniveau zu gewährleisten, wurden mit Microsoft, im Rahmen der AGB ein Auftragsverarbeitungsvertrag sowie zusätzlich als weiterführende Garantie sog. EU-Standardvertragsklauseln vereinbart. Zudem ist Microsoft nach dem EU-US-Data Privacy Framework, einem Übereinkommen zwischen den USA und der Europäischen Union, aktiv zertifiziert (https://www.dataprivacyframework.gov/list). Das Übereinkommen soll sicherstellen, dass die europäischen Datenschutzstandards bei der Verarbeitung eingehalten werden. Weitere Informationen zur Datenverarbeitung auf der Seite von Microsoft, können der Datenschutzerklärung von Microsoft (https://privacy.microsoft.com/de-de/privacystatement) entnommen werden.

Andernfalls findet eine Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums oder an eine internationale Organisation nur statt, soweit dies zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, die Weitergabe gesetzlich vorgeschrieben ist oder Sie uns eine Einwilligung erteilt haben.

Schutzmaßnahmen
Microsoft 365 und Copilot erfüllen bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen des Unternehmens Microsoft gegenüber kommerziellen Microsoft-365-Kunden, einschließlich der Datenschutz-Grundverordnung und der Datengrenze der Europäischen Union.

Eingabeaufforderungen, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, werden laut Microsoft nicht zum Trainieren von Grundlagen-LLMs verwendet, auch nicht für die von Copilot verwendeten.

Microsoft verspricht einen verantwortlichen Umgang mit den Daten, auf welche KI Zugriff erhält und hat dazu interne Leitlinien erstellt:  Microsoft KI-Grundsätze und der Microsoft Responsible AI Standards: https://www.microsoft.com/de-de/ai/principles-and-approach.

Copilot arbeitet mit mehreren Schutzmaßnahmen, einschließlich, aber nicht beschränkt auf, Blockieren schädlicher Inhalte, Erkennen von geschütztem Material und Blockieren von Eingabeaufforderungseinschleusungen (Jailbreak-Angriffe).

Weitere Hinweise zur Datenverarbeitung und Datensicherheit durch Microsoft generell finden Sie hier: https://privacy.microsoft.com/en-gb/privacystatement. Weitere Hinweise zur Datenverarbeitung und Datensicherheit speziell im Rahmen der Nutzung von Copilot finden Sie hier: https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy.