Datenschutzhinweise für Office 365 Anwendungen
Diese Informationen geben Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten, wenn Sie Office 365 Anwendungen (im Folgenden auch „O365 Anwendungen“), bereitgestellt durch die REWE digital GmbH, nutzen. Wir informieren Sie darüber, welche Daten wir bei der Nutzung von Ihnen erheben und wie wir sie verwenden. Außerdem klären wir Sie über Ihre Rechte nach geltendem Datenschutzrecht auf und teilen Ihnen mit, an wen Sie sich bei Fragen wenden können.
1. Verantwortliche Stelle
Die für die Datenverarbeitung verantwortliche Stelle ist die Gesellschaft, die in Ihrem Arbeitsvertrag als Arbeitgeber oder in Ihrem Vertrag zur Leistungserbringung als Auftraggeber genannt ist.
Fragen zur Verarbeitung Ihrer Daten können Sie jederzeit an den jeweiligen Datenschutzbeauftragten der verantwortlichen Gesellschaft richten. Eine Liste der Datenschutzbeauftragten finden Sie im Anhang A dieser Datenschutzhinweise.
2. Verarbeitete personenbezogene Daten
2.1 Anwendungsübergreifende Verarbeitung personenbezogener Daten in O365 Anwendungen
Im Rahmen der Nutzung von O365 Anwendungen werden anwendungsübergreifend folgende Daten erhoben und verarbeitet:
Account-Informationen
- Anmeldeinformationen (Nutzer-ID, E-Mail, Accounts, etc.)
- Personenstammdaten für Nutzer und Adressbuch (Name, E-Mail, Organisation, Telefonnummer, etc.)
- Berechtigungsinformationen für O365 Anwendungen
- Protokolldaten (IP-Adressen, Zugriffsdaten, Versionierungsinformationen von Dateien, etc.)
- ergänzte Angaben im persönlichen Profil (geschäftliche Kontaktdaten und Bild/Avatar ohne Personenbezug)
2.2 Anwendungsspezifische Verarbeitung personenbezogener Daten in O365 Anwendungen
Im Rahmen der Nutzung von O365 Anwendungen werden anwendungsspezifisch, zusätzlich zu den unter 2.1 genannten Daten, folgende Daten erhoben und verarbeitet:
Word, Excel, PowerPoint
▪ Erfassung der aktuell Bearbeitenden einer Datei (diese Information ist für alle aktuell Bearbeitenden sichtbar)
▪ Bearbeitungsposition und Änderung der aktuell Bearbeitenden (diese Information ist für alle aktuell Bearbeitenden sichtbar)
OneDrive for Business
▪ Eigene hochgeladene/synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)
▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)
SharePoint Online
▪ Eigene hochgeladene / synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)
▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)
Teams (Kanäle)
▪ Dateien (Chat, Ablage, Notizen, Dokumentation, etc.)
▪ Text (Chat, Newsfeed, Notizen, Dokumentation, etc.)
▪ Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)
▪ Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten, etc.)
▪ Persönliche Kontakte & persönliche Kontaktgruppen
Teams-Meetings
▪ Audio- und Videokommunikation im Rahmen von Telefonaten und Konferenzen (ggf. inklusive Desktop-Sharing)
▪ Persönliche Hintergründe für Videokommunikation (Bilddateien)
▪ Chat (Text, Dateien, etc.)
▪ Telefonie-Historie (Getätigte Anrufe, Verpasste Anrufe, etc.)
▪ Sprachaufzeichnungen für den Anrufbeantworter (inkl. Transkription)
▪ Persönliche Kontaktdaten für die Einladung von Teilnehmern zu Meetings (E-Mail-Adresse, Nutzername, etc.)
▪ Persönliche Kontaktdaten für das Anrufen von Teilnehmern (Telefonnummern, etc.)
Teams-Telefonie
▪ Kontaktdaten (wie z. B. Name, Vorname, Telefonnummer, Zeit und Dauer des Anrufs)
Outlook (E-Mail)
▪ Persönliche E-Mail-Kommunikation (gesendete E-Mails, empfangene E-Mails, Nachrichten & Anhänge, Ordnerstrukturen für Ablage, etc.)
▪ Persönliche Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)
▪ Persönliche Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten)
▪ Persönliche Kontakte / Kontaktgruppe
Forms (Formulare/Umfragen)
▪ eigene erstellte Formulare / Umfragen
▪ Die ID der Rückmeldung (laufende Nummer), Startzeit und Fertigstellungszeit
▪ Sofern die Umfrage nicht anonym ist, zusätzlich: Name und E-Mail-Adresse
Systemlogdateien
▪ Anmeldeinformationen (User-ID, Anwendung, Anmeldezeitstempel)
3. Rechtsgrundlagen und Zwecke der Datenverarbeitung
Datenverarbeitung zur Erfüllung des Arbeitsverhältnisses
Wir verarbeiten Ihre personenbezogenen Daten (vgl. s. Punkt 2) gem. Art. 88 DSGVO i. V. m. den in nationalen Gesetzen spezifizierten Ausführungen zum Beschäftigungsverhältnis, wie z. B. für Deutschland in § 26 Abs. 1 S. 1 BDSG-neu niedergelegt, sofern diese für die Erfüllung des Arbeitsverhältnisses erforderlich sind. Die Nichtbereitstellung hätte in diesen Fällen zur Folge, dass die Aufgaben i. R. d. Arbeitsverhältnisses nicht (ausreichend) erfüllt werden könnten.
Die anwendungsübergreifend verarbeiteten, personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.
Die anwendungsspezifischen verarbeiteten, personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.
Datenverarbeitung zur Erfüllung des Vertragsverhältnisses
Wir verarbeiten Ihre personenbezogenen Daten (vgl. s. Punkt 2) gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO, sofern diese im Rahmen von Vertragsverhältnissen erforderlich sind (Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen). Dies gilt insbesondere für alle personenbezogenen Daten im Rahmen von Vertragsverhältnissen, die abseits eines Beschäftigungsverhältnisses verarbeitet werden müssen, beispielsweise bei Verträgen mit Externen. Die Nichtbereitstellung hätte in diesen Fällen zur Folge, dass die Aufgaben i. R. d. Vertragsverhältnisses nicht (ausreichend) erfüllt werden könnten.
Die anwendungsübergreifend verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.
Die anwendungsspezifischen verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.
Datenverarbeitung aufgrund berechtigten Interesses
Insofern wir Ihnen O365 Anwendungen weder zur Erfüllung eines Arbeitsverhältnisses noch zur Erfüllung eines Vertragsverhältnisses bereitstellen, verarbeiten wir Ihre personenbezogenen Daten (vgl. s. Punkt 2) im Rahmen unseres sogenannten berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Unsere berechtigten Interessen liegen darin, unseren Mitarbeitern sowie teilweise externen Gesellschaften, die Nutzung O365 Anwendungen zur Vereinfachung und Optimierung Ihrer Aufgaben zu ermöglichen.
Die anwendungsübergreifend verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.
Die anwendungsspezifischen verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.
Darüber hinaus kann die Nutzung von O365-Anwendungen in einzelnen Gesellschaften durch Betriebsvereinbarungen geregelt sein.
Gegen diese Verarbeitung steht jedem Betroffenen ein eigenes Widerspruchsrecht für die Zukunft zu. Der Widerspruch ist auf Gründe zu stützen, die sich aus Ihrer besonderen Situation ergeben, es sei denn, die berechtigten Interessen des Verantwortlichen überwiegen diese. Nach erfolgreichem Widerspruch werden die Daten gelöscht.
4. Datenempfänger & Datenverarbeitung außerhalb der EU
Der Betrieb der Produkte liegt bei Microsoft Ireland Operations Ltd., South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Es gilt die Datenschutzerklärung von Microsoft: https://privacy.microsoft.com/de-de/privacystatement. Grundsätzlich ist Microsoft Datenempfänger (= Nutzdaten).
Für alle REWE Group Gesellschaften (mit Ausnahme der REWE digital GmbH) tritt die REWE digital GmbH als Datenempfänger auf (= Nutzerstammdaten & Berechtigungen). Für alle selbstständigen Kaufleute der REWE Group ist die REWE Markt GmbH und in Folge die REWE digital GmbH Datenempfänger (= Nutzerstammdaten & Berechtigungen).
Ihre Daten werden von uns ausschließlich an Microsoft weitergegeben, welche uns bei der Datenverarbeitung im Rahmen einer Auftragsverarbeitung streng weisungsgebunden unterstützen. Von uns eingesetzte Dienstleister müssen besondere Vertraulichkeitsanforderungen erfüllen. Sie erhalten nur in dem Umfang und für den Zeitraum Zugang zu Ihren Daten, der für die Erfüllung der Aufgaben erforderlich ist.
Die Server von Microsoft befinden sich ausschließlich in der EU. Microsoft kann die Daten zum Zwecke von Support und Wartungstätigkeiten an die Microsoft Corporation in den USA übermitteln. Als geeignete Garantie für die Rechtmäßigkeit der Datenübermittlung hat Microsoft Ireland Operations Ltd. u. a. einen EU-Standardvertrag nach Art. 46 Abs. 2 lit. c DSGVO mit der Microsoft Corporation, One Microsoft Way, Redmond, WA 98056 USA, abgeschlossen.
5. Speicherdauer & Löschfristen
Account-Informationen
▪ Anmeldeinformationen (Nutzer-ID, E-Mail, Accounts, etc.)
▪ Personenstammdaten für Nutzer und Adressbuch (Name, E-Mail, Organisation, Telefonnummer, etc.)
▪ Berechtigungsinformationen für O365 Anwendungen ▪ Protokolldaten (IP-Adressen, Zugriffsdaten, Versionierungsinformationen von Dateien, etc.)
▪ ergänzte Angaben im persönlichen Profil (geschäftliche Kontaktdaten / Bild / Avatar ohne Personenbezug)
Rechtsgrundlage
• Art. 6 Abs. 1 S. 1 lit. b) DSGVO
• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG
• Art. 6 Abs. 1 S. 1 lit. f) DSGVO
Aufbewahrungsfristen:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Die Daten werden so lange verarbeitet, wie es für die Erfüllung des Arbeits- oder Vertragsverhältnisses notwendig ist bzw. solange es der Vereinfachung und Optimierung der Aufgaben im Rahmen des Arbeits- oder Vertragsverhältnisses dient. | Auswirkung | Die Daten werden spätestens nach 60 Kalendertagen zur Löschung markiert und werden nach weiteren 30 Kalendertagen gelöscht. | Frist | 60 Tage für das Setzen der Löschmarkierung. Nach weiteren 30 Tagen Löschung | Fristbeginn | Mit Wegfall der genannten Zwecke. |
Ergänzte Eingaben im persönlichen Profil durch die nutzende Person | Auswirkung | Ergänzte Eingaben im persönlichen Profil können jederzeit durch den Nutzer selbst gelöscht werden. | Frist | sofort | Fristbeginn | sofort |
Abweichend gelten diese nachfolgenden Aufbewahrungs- bzw. Löschfristen für bestimmte personenbezogene Daten in einzelnen Anwendungen.
Word, Excel, PowerPoint
• Erfassung der aktuellen Bearbeitenden einer Datei (Diese Information ist für alle aktuellen Bearbeitenden sichtbar)
• Bearbeitungsposition und Änderung der aktuellen Bearbeiter (Diese Information ist für alle aktuellen Bearbeiter sichtbar)
Rechtsgrundlage
Art. 6 Abs. 1 lit. f) DSGVO
Aufbewahrungsfristen:
Vorgang | Auswirkung | Löschfrist | Fristbeginn | |||
---|---|---|---|---|---|---|
Erfassung der aktuellen Bearbeiter einer Datei (Diese Information ist für alle aktuellen Bearbeiter sichtbar) | Auswirkung | Die in unter 2.1 aufgeführten Daten werden nur genau innerhalb des Zeitraums verarbeitet, in dem der Nutzer eine Datei bearbeitet. | Löschfrist | sofort | Fristbeginn | Ende der Bearbeitung der Datei |
Bearbeitungsposition und Änderung der aktuellen Bearbeiter (Diese Information ist für alle aktuellen Bearbeiter sichtbar). | Auswirkung | Die in unter 2.1 aufgeführten Daten werden nur genau innerhalb des Zeitraums verarbeitet, in dem der Nutzer eine Datei bearbeitet. | Löschfrist | sofort | Fristbeginn | Ende der Bearbeitung der Datei |
OneDrive for Business
▪ eigene hochgeladene/synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)
▪ inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.).
Rechtsgrundlage
Art. 6 Abs. 1 lit. f) DSGVO
Aufbewahrungsfrist:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Deaktivierung des Nutzers für die Anwendung. Sobald es zur Erfüllung des Arbeits- oder Vertragsverhältnisses nicht mehr notwendig ist bzw. sobald dies nicht mehr der Vereinfachung und Optimierung der Aufgaben im Rahmen des Arbeits- oder Vertragsverhältnisses dient | Auswirkung | Ab dem Zeitpunkt des Rechteentzugs steht OneDrive for Business nicht mehr zur Verfügung | Frist | ▪ Rechteentzug: sofort (kein Zugriff mehr) ▪ Nach 60 Tagen wird der User aus dem System gelöscht ▪ Nach 90 Tagen werden die Daten gelöscht | Fristbeginn | ▪ Das Datum, zu dem die Deaktivierung stattfindet. ▪ Das Datum, zu dem die Deaktivierung stattfindet. ▪ Das Datum, zu dem die Deaktivierung stattfindet. |
Antrag auf Löschung des persönlichen OneDrive for Business | Auswirkung | Löschung des persönlichen OneDrive for Business | Frist | Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht | Fristbeginn | Das Datum zu dem die Löschung beantragt wird. ▪ Das Datum zu dem die Löschung beantragt wird. |
Darüber hinaus ist der jeweilige Nutzer aufgefordert bei OneDrive for Business den Inhalt auf Löschfristen zu prüfen bzw. sind durch den Nutzer Löschfristen zu definieren und organisatorisch einzuhalten. | Auswirkung | Technisch keine Auswirkung. Die Prüfung und Löschung ist organisatorisch durch den/die besitzenden Personen abzusichern | Frist | Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht | Fristbeginn | Der Zeitpunkt, zu dem die Datei(en) durch eine Person gelöscht wurde. ▪ Das Datum, zu dem die Löschung durchgeführt wurde. |
SharePoint Online
▪ Eigene hochgeladene / synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)
▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)
Rechtsgrundlage
Art. 6 Abs. 1 lit. f) DSGVO
Aufbewahrungsfrist:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Löschen von Daten durch die nutzende Person ▪ Löschung des Sharepoints an sich | Auswirkung | Die Daten stehen nicht mehr zur Verfügung | Frist | Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht | Fristbeginn | Der Zeitpunkt, zu dem die Datei(en) durch eine Person gelöscht wurde. ▪ Das Datum, zu dem die Löschung durchgeführt wurde. |
Löschung des Sharepoint an sich | Auswirkung | Die Daten stehen nicht mehr zur Verfügung | Frist | Rechteentzug: sofort ▪ Daten werden sofort in den Papierkorb verschoben. ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht | Fristbeginn | Das Datum zu dem die Löschung beantragt wurde. ▪ Das Datum zu dem die Löschung beantragt wurde. ▪ Das Datum zu dem die Löschung beantragt wurde. |
Teams (Kanäle)
▪ Dateien (Chat, Ablage, Notizen, Dokumentation, etc.)
▪ Text (Chat, Newsfeed, Notizen, Dokumentation, etc.)
▪ Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)
▪ Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten, etc.)
▪ Persönliche Kontakte & persönliche Kontaktgruppen
Rechtsgrundlage
Art. 6 Abs. 1 lit. f) DSGVO
Aufbewahrungsfrist:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Teams-Kanal wird gelöscht | Auswirkung | Kanal wird in den Papierkorb verschoben | Frist | 30 Tage nach Löschung | Fristbeginn | Datum der Verschiebung des Kanals in den Papierkorb |
Eigener Chat-Verlauf wird ausgeblendet | Auswirkung | Chat wird nur für den Benutzer selbst ausgeblendet | Frist | Keine | Fristbeginn | sofort |
Eigene Beiträge in Chats werden gelöscht | Auswirkung | Chat-Beitrag steht nicht mehr zur Verfügung | Frist | Keine | Fristbeginn | sofort |
Chat-Einträge außerhalb von Teams-Kanälen | Auswirkung | Löschung nach Fristablauf | Frist | 1 Jahr | Fristbeginn | Datum des Chat-Eintrags |
Benutzer scheidet aus Unternehmen aus | Auswirkung | Anonymisierung der Beiträge | Frist | 30 Tage nach Löschung des Accounts | Fristbeginn | Datum des Ausscheidens + 60 Tage |
Gast-Beiträge (Gast-Nutzer) | Auswirkung | Keine Löschung | Frist | Keine | Fristbeginn | n/a |
Benutzer verlässt einen Teams-Kanal | Auswirkung | Keine; Die Daten und Beiträge bleiben bestehen | Frist | Keine | Fristbeginn | n/a |
Kalender-Eintrag wird abgelehnt oder gelöscht | Auswirkung | Der Termin steht im Kalender für die Person nicht mehr zur Verfügung | Frist | sofort | Fristbeginn | sofort |
Aufgabe wird gelöscht | Auswirkung | Aufgabe steht nicht mehr zur Verfügung | Frist | sofort | Fristbeginn | sofort |
Persönliche Kontakte & persönliche Kontaktgruppe wird gelöscht | Auswirkung | Kontaktinformationen werden direkt gelöscht | Frist | sofort | Fristbeginn | sofort |
Teams-Meetings
▪ Audio- und Videokommunikation im Rahmen von Telefonaten und Konferenzen (ggf. inklusive Desktop-Sharing)
▪ Persönliche Hintergründe für Videokommunikation (Bilddateien)
▪ Chat (Text, Dateien, etc.)
▪ Telefonie-Historie (Getätigte Anrufe, Verpasste Anrufe, etc.)
▪ Sprachaufzeichnungen für den Anrufbeantworter (inkl. Transkription)
▪ Persönliche Kontaktdaten für die Einladung von Teilnehmern zu Meetings (E-Mail-Adresse, Nutzername, etc.)
▪ Persönliche Kontaktdaten für das Anrufen von Teilnehmern (Telefonnummern, etc.)
Rechtsgrundlage
• Art. 6 Abs. 1 S. 1 lit. b) DSGVO
• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG
• Art. 6 Abs. 1 S. 1 lit a) DSGVO für die Aufzeichnung von Ton- und Bildaufnahmen
Aufbewahrungsfrist:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Audio- und Videokommunikation ggf. inklusive Desktop-Sharing | Auswirkung | Die Daten werden nicht gespeichert, sondern ausschließlich übermittelt | Frist | Sofort | Fristbeginn | Sofort |
Löschung von persönlichen Hintergründen | Auswirkung | Das Hintergrundbild wird in den Papierkorb des eigenen PC bzw. Notebook verschoben | Frist | Sofort | Fristbeginn | Sofort |
Chats | Auswirkung | Löschung des Chateintrags | Frist | 1 Jahr | Fristbeginn | Datum des Chateintrags |
Einzelverbindungsnachweis (EVN) • Die Einzelverbindungsnachweise werden nur so lange aufbewahrt werden, wie dies zur Zweckerfüllung (Abrechnungszwecke: Überprüfung der Höhe der Rechnung) erforderlich ist. | Auswirkung | Löschung des EVN-Eintrags aus der Telefonanlage Köln • Löschung EVN-Eintrag beim Dienstleister / in regionalen Standorten | Frist | 30 Tage • 90 Tage | Fristbeginn | Tag des durchgeführten Telefonats • Tag des durchgeführten Telefonats |
Abrechnungsbelege ohne EVN unterliegen Steuergesetzen (z.B. AO) | Auswirkung | Anonymisierung der Beiträge | Frist | 10 Jahre | Fristbeginn | Das dem Belegdatum darauffolgende Kalenderjahr |
Teams-Mailbox | Auswirkung | s. Outlook (E-Mail) | Frist | 11 Jahre | Fristbeginn | Tag des Mailboxeintrags |
Mailbox-Transkription | Auswirkung | s. Outlook (E-Mail) | Frist | 11 Jahre | Fristbeginn | Tag der Erstellung der Transkription |
Rufnummernzuordnung | Auswirkung | Nach Ende des Beschäftigungsverhältnisses | Frist | 90 Tage | Fristbeginn | Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt |
Anrufhistorie | Auswirkung | Löschung des Eintrags aus der Teams-Ansicht | Frist | 5 Wochen | Fristbeginn | Der Tag, an dem der Eintrag in der Anrufhistorie aufgenommen wurde |
Kontaktlisten | Auswirkung | Nach Ende des Beschäftigungsverhältnisses oder durch Löschung der nutzenden Person selbst | Frist | 90 Tage | Fristbeginn | Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt bzw. der Tag zu dem die Löschung durch die benutzende Person erfolgte. |
Aufzeichnung von Teams-Sitzungen | Auswirkung | Die Löschung unterliegt keiner technischen Vor-Einstellung. Sie ist von der aufzeichnenden Person, gemäß den jeweiligen Löschfristen aus den zugehörigen Datenschutzhinweisen, durchzuführen. | Frist | Organisatorisch über die zugehörigen Datenschutzhinweise zur Aufzeichnung der Sitzung geregelt. | Fristbeginn | Organisatorisch über die zugehörigen Datenschutzhinweise zur Aufzeichnung der Sitzung geregelt. |
Outlook (E-Mail)
▪ Persönliche E-Mail-Kommunikation (Gesendete E-Mails, Empfangene E-Mails, Nachrichten & Anhänge, Ordnerstrukturen für Ablage, etc.)
▪ Persönliche Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)
▪ Persönliche Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten)
▪ Persönliche Kontakte / Kontaktgruppe
Rechtsgrundlage
• Art. 6 Abs. 1 S. 1 lit. b) DSGVO
• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG
Aufbewahrungsfristen:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Benutzer scheidet aus Unternehmen aus | Auswirkung | Postfach wird zur Löschung freigegeben. Die Inhalte werden in das E-Mail-Archiv überführt. | Frist | 11 Jahre | Fristbeginn | Erstellungsdatum der jeweiligen Mail |
Standard-Löschung von Mails nach Zeitablauf | Auswirkung | Der Eintrag steht nicht mehr zur Verfügung | Frist | 11 Jahre | Fristbeginn | Erstellungsdatum der jeweiligen Mail |
Standard-Löschung von Kalendereinträgen | Auswirkung | Der Eintrag steht nicht mehr zur Verfügung | Frist | 11 Jahre | Fristbeginn | Datum des Kalendereintrags |
Persönliche Aufgaben / Kontakte | Auswirkung | Es erfolgt nur eine Löschung, wenn der Benutzer aus dem Unternehmen ausscheidet. | Frist | 11 Jahre | Fristbeginn | Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt |
Persönliche Aufgaben / Kontakte werden vom Benutzer selbst gelöscht | Auswirkung | Der Eintrag wird in den Papierkorb verschoben und dort nach Ablauf der nebenstehenden Frist endgültig gelöscht. | Frist | 30 Tage | Fristbeginn | Eintrittsdatum in den Papierkorb |
Forms (Formulare/Umfragen)
Bei der Einstellung anonym werden nur notwendige Protokolldaten verarbeitet. Die Einstellung personalisiert verarbeitet zusätzlich die Anmeldeinformationen.
▪ Umfragen durch eine Person
▪ Umfragen aus einem Teams-Kanal
Rechtsgrundlage
• Art. 6 Abs. 1 S. 1 lit. b) DSGVO
• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG
Aufbewahrungsfristen:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Forms-Abfrage wird gelöscht | Auswirkung | Die Forms-Abfrage und ihre Ergebnisse werden in den Papierkorb verschoben. Die Löschung aus dem Papierkorb erfolgt nach den nebenstehenden Angaben | Frist | 30 Tage | Fristbeginn | Eintrittsdatum in den Papierkorb |
Ergebnisse einer Forms-Umfrage werden exportiert | Auswirkung | Die Ergebnisse sind nicht mehr an technische Löschungen gekoppelt | Frist | Unterliegt der Verantwortung der exportierenden Person | Fristbeginn | n/a – nicht anwendbar |
Aufbewahrungsfrist | Auswirkung | Die Aufbewahrungsfrist ist durch den/die Inhaber der Forms-Abfrage festzulegen | Frist | Durch den/die Inhaber der Forms-Abfrage festzulegen | Fristbeginn | n/a – nicht anwendbar |
Systemlogdateien
Parameter | Beschreibung | |||
---|---|---|---|---|
Datum | Beschreibung | Datum und Zeit des Vorgangs. | ||
ClientIP | Beschreibung | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. | ||
Erstell-Datum | Beschreibung | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer die Aktivität ausgeführt hat. | ||
Herkunft | Beschreibung | Der Ursprung aus welcher Applikation der Vorgang hervorgerufen wurde. Beispiele sind hierbei SharePoint, OneDrive oder Exchange Online. | ||
Id | Beschreibung | Der eindeutige Bezeichner eines Überwachungsdatensatzes. | ||
Vorgang | Beschreibung | Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. | ||
OrganizationId | Beschreibung | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich. | ||
UserAgent | Beschreibung | Liefert Informationen mit welcher Zugangsart dieses Event ausgeführt wurde. Dazu gehören Browser, der Name des Browsers, als auch die genutzte Version. Ebenfalls wird hier die Applikation dargestellt inkl. der Version. | ||
UserId | Beschreibung | Der UPN (User Principal Name) des Benutzers, der die Aktion (in der Eigenschaft "Operation" angegeben), die zu einem Eintrag geführt hat, ausgeführt hat, zum Beispiel my_name@my_domain_name. | ||
UserType | Beschreibung | Der Typ des Benutzers, der den Vorgang ausgeführt hat. In der Tabelle UserType finden Sie Informationen zu den Typen von Benutzern. |
Rechtsgrundlage
Art. 6 Abs. 1 lit. f) DSGVO
Aufbewahrungsfristen:
Vorgang | Auswirkung | Frist | Fristbeginn | |||
---|---|---|---|---|---|---|
Erstellung Protokolleintrag | Auswirkung | Löschung nach Ablauf der Aufbewahrungsfrist | Frist | 365 Tage | Fristbeginn | Tag des Protokolleintrags |
6. Automatisierte Entscheidungsfindung & Profiling
Mit Ihren personenbezogenen Daten findet weder eine automatisierte Entscheidungsfindung noch Profiling statt.
7. Rechte der betroffenen Person
Betroffene Personen haben das Recht auf Auskunft seitens des Verantwortlichen über die sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.
Werden Daten auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO erhoben (Datenverarbeitung zur Wahrung berechtigter Interessen), steht der betroffenen Person das Recht zu, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Beschwerderecht bei einer Aufsichtsbehörde
Jede betroffene Person hat außerdem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.
Anhang A - Zuweisung DSB zu Gesellschaften / Geschäftsfeldern
Die nachfolgende Zuweisung von DSBs betrifft ausschließlich Gesellschaften der REWE Group, die ein Beteiligungsverhältnis von über 50% aufweisen und in denen die Bestellung eines Datenschutzbeauftragten gesetzlich notwendig oder freiwillig erfolgt ist.
Bei datenschutzbezogenen Fragen wenden Sie sich bitte an den für ihre Gesellschaft (Arbeitgeber bzw. Vertragspartner) zuständigen Datenschutzbeauftragten.
Eine Zuordnung der bestellten Datenschutzbeauftragten zu Gesellschaften / Geschäftsfelder der REWE Group kann der nachfolgenden Tabelle entnommen werden:
Gesellschaften / Geschäftsfelder | Bestellter Datenschutzbeauftragter | |||
---|---|---|---|---|
Holding, Handel National, Convience Deutschland, Baumarkt, REWE digital, Payment Solutions, REWE Group Buying | Bestellter Datenschutzbeauftragter | datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de | ||
Handel International (nur Österreich) & REWE digital Austria | Bestellter Datenschutzbeauftragter | REWE International Dienstleistungsgesellschaft m.b.H. Datenschutzbeauftragter Industriezentrum NÖ-Süd, Straße 3, Objekt 16 A-2355 Wiener Neudorf Tel.: +43 2236 600 1331 E-Mail: datenschutz@rewe-group.at | ||
Handel International (alle Länder außer Österreich) | Bestellter Datenschutzbeauftragter | KINAST Rechtsanwaltsgesellschaft mbH Datenschutzbeauftragter Hohenzollernring 54 50672 Köln E-Mail (BILLA): dpo-billa@kinast-partner.de E-Mail (PENNY): dpo-penny@kinast-partner.de Bitte in der Kommunikation datenschutz@rewe-group.at (DS Team Handel International) immer in CC dazu nehmen! | ||
Convience Niederlande / Belgien | Bestellter Datenschutzbeauftragter | FIRST PRIVACY B.V. Naritaweg 127-137 1043 BS Amsterdam Netherlands E-Mail: office@first-privacy.com Tel.: +31 (0) 20 211 7114 | ||
Campina Verde Deutschland & Eurogroup Deutschland | Bestellter Datenschutzbeauftragter | Steinberg Rechtsanwälte Datenschutzbeauftragte Kaiser-Wilhelm-Ring 3-5 50672 Köln E-Mail: Datenschutz@EurogroupDe.eu | ||
Touristik National | Bestellter Datenschutzbeauftragter | DER Touristik Group GmbH Datenschutzbeauftragte Emil-von-Behring-Str.6 60439 Frankfurt Tel.: +49 (0) 69 9588 2529 E-Mail: datenschutz@dertouristik.com | ||
Touristik International | Bestellter Datenschutzbeauftragter | Kontaktdaten des jeweils zuständigen DSBs können angefragt werden bei DER Touristik Group GmbH Datenschutzbeauftragte Emil-von-Behring-Str.6 60439 Frankfurt Tel.: +49 (0) 69 9588 2529 E-Mail: datenschutz@dertouristik.com |
Die nachfolgende Zuweisung von DSBs betrifft ausschließlich Gesellschaften der REWE Group, die KEIN Beteiligungsverhältnis von über 50% aufweisen:
Gesellschaften / Geschäftsfelder | Bestellter Datenschutzbeauftragter | |||
---|---|---|---|---|
Selbstständige REWE-Kaufleute | Bestellter Datenschutzbeauftragter | datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de | ||
Selbstständige toom Baumarkt-Partnermärkte | Bestellter Datenschutzbeauftragter | datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de | ||
PRO-DATA Steuerberat.ges. mbH | Bestellter Datenschutzbeauftragter | datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de |