Start toom Baumarkt/Datenschutzhinweise/Office 365 Anwendungen

Datenschutzhinweise für Office 365 Anwendungen

Diese Informationen geben Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten, wenn Sie Office 365 Anwendungen (im Folgenden auch „O365 Anwendungen“), bereitgestellt durch die REWE digital GmbH, nutzen. Wir informieren Sie darüber, welche Daten wir bei der Nutzung von Ihnen erheben und wie wir sie verwenden. Außerdem klären wir Sie über Ihre Rechte nach geltendem Datenschutzrecht auf und teilen Ihnen mit, an wen Sie sich bei Fragen wenden können.

1. Verantwortliche Stelle

Die für die Datenverarbeitung verantwortliche Stelle ist die Gesellschaft, die in Ihrem Arbeitsvertrag als Arbeitgeber oder in Ihrem Vertrag zur Leistungserbringung als Auftraggeber genannt ist.

Fragen zur Verarbeitung Ihrer Daten können Sie jederzeit an den jeweiligen Datenschutzbeauftragten der verantwortlichen Gesellschaft richten. Eine Liste der Datenschutzbeauftragten finden Sie im Anhang A dieser Datenschutzhinweise.

2. Verarbeitete personenbezogene Daten

2.1 Anwendungsübergreifende Verarbeitung personenbezogener Daten in O365 Anwendungen

Im Rahmen der Nutzung von O365 Anwendungen werden anwendungsübergreifend folgende Daten erhoben und verarbeitet:

Account-Informationen

  • Anmeldeinformationen (Nutzer-ID, E-Mail, Accounts, etc.)
  • Personenstammdaten für Nutzer und Adressbuch (Name, E-Mail, Organisation, Telefonnummer, etc.)
  • Berechtigungsinformationen für O365 Anwendungen
  • Protokolldaten (IP-Adressen, Zugriffsdaten, Versionierungsinformationen von Dateien, etc.)
  • ergänzte Angaben im persönlichen Profil (geschäftliche Kontaktdaten und Bild/Avatar ohne Personenbezug)

2.2 Anwendungsspezifische Verarbeitung personenbezogener Daten in O365 Anwendungen

Im Rahmen der Nutzung von O365 Anwendungen werden anwendungsspezifisch, zusätzlich zu den unter 2.1 genannten Daten, folgende Daten erhoben und verarbeitet:

Word, Excel, PowerPoint

▪ Erfassung der aktuell Bearbeitenden einer Datei (diese Information ist für alle aktuell Bearbeitenden sichtbar)

▪ Bearbeitungsposition und Änderung der aktuell Bearbeitenden (diese Information ist für alle aktuell Bearbeitenden sichtbar)

OneDrive for Business

▪ Eigene hochgeladene/synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)

▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)

SharePoint Online

▪ Eigene hochgeladene / synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)

▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)

Teams (Kanäle)

▪ Dateien (Chat, Ablage, Notizen, Dokumentation, etc.)

▪ Text (Chat, Newsfeed, Notizen, Dokumentation, etc.)

▪ Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)

▪ Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten, etc.)

▪ Persönliche Kontakte & persönliche Kontaktgruppen

Teams-Meetings

▪ Audio- und Videokommunikation im Rahmen von Telefonaten und Konferenzen (ggf. inklusive Desktop-Sharing)

▪ Persönliche Hintergründe für Videokommunikation (Bilddateien)

▪ Chat (Text, Dateien, etc.)

▪ Telefonie-Historie (Getätigte Anrufe, Verpasste Anrufe, etc.)

▪ Sprachaufzeichnungen für den Anrufbeantworter (inkl. Transkription)

▪ Persönliche Kontaktdaten für die Einladung von Teilnehmern zu Meetings (E-Mail-Adresse, Nutzername, etc.)

▪ Persönliche Kontaktdaten für das Anrufen von Teilnehmern (Telefonnummern, etc.)

Teams-Telefonie

▪ Kontaktdaten (wie z. B. Name, Vorname, Telefonnummer, Zeit und Dauer des Anrufs)

Outlook (E-Mail)

▪ Persönliche E-Mail-Kommunikation (gesendete E-Mails, empfangene E-Mails, Nachrichten & Anhänge, Ordnerstrukturen für Ablage, etc.)

▪ Persönliche Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)

▪ Persönliche Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten)

▪ Persönliche Kontakte / Kontaktgruppe

Forms (Formulare/Umfragen)

▪ eigene erstellte Formulare / Umfragen

▪ Die ID der Rückmeldung (laufende Nummer), Startzeit und Fertigstellungszeit

▪ Sofern die Umfrage nicht anonym ist, zusätzlich: Name und E-Mail-Adresse

Systemlogdateien

▪ Anmeldeinformationen (User-ID, Anwendung, Anmeldezeitstempel)

3. Rechtsgrundlagen und Zwecke der Datenverarbeitung

Datenverarbeitung zur Erfüllung des Arbeitsverhältnisses

Wir verarbeiten Ihre personenbezogenen Daten (vgl. s. Punkt 2) gem. Art. 88 DSGVO i. V. m. den in nationalen Gesetzen spezifizierten Ausführungen zum Beschäftigungsverhältnis, wie z. B. für Deutschland in § 26 Abs. 1 S. 1 BDSG-neu niedergelegt, sofern diese für die Erfüllung des Arbeitsverhältnisses erforderlich sind. Die Nichtbereitstellung hätte in diesen Fällen zur Folge, dass die Aufgaben i. R. d. Arbeitsverhältnisses nicht (ausreichend) erfüllt werden könnten.

Die anwendungsübergreifend verarbeiteten, personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.

Die anwendungsspezifischen verarbeiteten, personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.

Datenverarbeitung zur Erfüllung des Vertragsverhältnisses

Wir verarbeiten Ihre personenbezogenen Daten (vgl. s. Punkt 2) gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO, sofern diese im Rahmen von Vertragsverhältnissen erforderlich sind (Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen). Dies gilt insbesondere für alle personenbezogenen Daten im Rahmen von Vertragsverhältnissen, die abseits eines Beschäftigungsverhältnisses verarbeitet werden müssen, beispielsweise bei Verträgen mit Externen. Die Nichtbereitstellung hätte in diesen Fällen zur Folge, dass die Aufgaben i. R. d. Vertragsverhältnisses nicht (ausreichend) erfüllt werden könnten.

Die anwendungsübergreifend verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.

Die anwendungsspezifischen verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.

Datenverarbeitung aufgrund berechtigten Interesses

Insofern wir Ihnen O365 Anwendungen weder zur Erfüllung eines Arbeitsverhältnisses noch zur Erfüllung eines Vertragsverhältnisses bereitstellen, verarbeiten wir Ihre personenbezogenen Daten (vgl. s. Punkt 2) im Rahmen unseres sogenannten berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Unsere berechtigten Interessen liegen darin, unseren Mitarbeitern sowie teilweise externen Gesellschaften, die Nutzung O365 Anwendungen zur Vereinfachung und Optimierung Ihrer Aufgaben zu ermöglichen.

Die anwendungsübergreifend verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.1) erheben und verarbeiten wir zur grundlegenden Bereitstellung der O365 Anwendungen, dem sicheren Betrieb der Lösung sowie für den Supportfall und der Fehlerbehebung.

Die anwendungsspezifischen verarbeiteten personenbezogenen Daten (vgl. s. Punkt 2.2) dienen sowohl der persönlichen Verwaltung von geschäftlichen Informationen und Daten als auch der Zusammenarbeit und dem Austausch von geschäftlichen Informationen und Daten mit anderen Mitarbeitern und Geschäftspartnern.

Darüber hinaus kann die Nutzung von O365-Anwendungen in einzelnen Gesellschaften durch Betriebsvereinbarungen geregelt sein.

Gegen diese Verarbeitung steht jedem Betroffenen ein eigenes Widerspruchsrecht für die Zukunft zu. Der Widerspruch ist auf Gründe zu stützen, die sich aus Ihrer besonderen Situation ergeben, es sei denn, die berechtigten Interessen des Verantwortlichen überwiegen diese. Nach erfolgreichem Widerspruch werden die Daten gelöscht.

4. Datenempfänger & Datenverarbeitung außerhalb der EU

Der Betrieb der Produkte liegt bei Microsoft Ireland Operations Ltd., South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Es gilt die Datenschutzerklärung von Microsoft: https://privacy.microsoft.com/de-de/privacystatement. Grundsätzlich ist Microsoft Datenempfänger (= Nutzdaten).

Für alle REWE Group Gesellschaften (mit Ausnahme der REWE digital GmbH) tritt die REWE digital GmbH als Datenempfänger auf (= Nutzerstammdaten & Berechtigungen). Für alle selbstständigen Kaufleute der REWE Group ist die REWE Markt GmbH und in Folge die REWE digital GmbH Datenempfänger (= Nutzerstammdaten & Berechtigungen).

Ihre Daten werden von uns ausschließlich an Microsoft weitergegeben, welche uns bei der Datenverarbeitung im Rahmen einer Auftragsverarbeitung streng weisungsgebunden unterstützen. Von uns eingesetzte Dienstleister müssen besondere Vertraulichkeitsanforderungen erfüllen. Sie erhalten nur in dem Umfang und für den Zeitraum Zugang zu Ihren Daten, der für die Erfüllung der Aufgaben erforderlich ist.

Die Server von Microsoft befinden sich ausschließlich in der EU. Microsoft kann die Daten zum Zwecke von Support und Wartungstätigkeiten an die Microsoft Corporation in den USA übermitteln. Als geeignete Garantie für die Rechtmäßigkeit der Datenübermittlung hat Microsoft Ireland Operations Ltd. u. a. einen EU-Standardvertrag nach Art. 46 Abs. 2 lit. c DSGVO mit der Microsoft Corporation, One Microsoft Way, Redmond, WA 98056 USA, abgeschlossen.

5. Speicherdauer & Löschfristen

Account-Informationen

▪ Anmeldeinformationen (Nutzer-ID, E-Mail, Accounts, etc.)

▪ Personenstammdaten für Nutzer und Adressbuch (Name, E-Mail, Organisation, Telefonnummer, etc.)

▪ Berechtigungsinformationen für O365 Anwendungen ▪ Protokolldaten (IP-Adressen, Zugriffsdaten, Versionierungsinformationen von Dateien, etc.)

▪ ergänzte Angaben im persönlichen Profil (geschäftliche Kontaktdaten / Bild / Avatar ohne Personenbezug)

Rechtsgrundlage

• Art. 6 Abs. 1 S. 1 lit. b) DSGVO

• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG

• Art. 6 Abs. 1 S. 1 lit. f) DSGVO

Aufbewahrungsfristen:

Vorgang

Auswirkung

Frist

Fristbeginn

Die Daten werden so lange verarbeitet, wie es für die Erfüllung des Arbeits- oder Vertragsverhältnisses notwendig ist bzw. solange es der Vereinfachung und Optimierung der Aufgaben im Rahmen des Arbeits- oder Vertragsverhältnisses dient.

Auswirkung

Die Daten werden spätestens nach 60 Kalendertagen zur Löschung markiert und werden nach weiteren 30 Kalendertagen gelöscht.

Frist

60 Tage für das Setzen der Löschmarkierung. Nach weiteren 30 Tagen Löschung

Fristbeginn

Mit Wegfall der genannten Zwecke.

Ergänzte Eingaben im persönlichen Profil durch die nutzende Person

Auswirkung

Ergänzte Eingaben im persönlichen Profil können jederzeit durch den Nutzer selbst gelöscht werden.

Frist

sofort

Fristbeginn

sofort

Abweichend gelten diese nachfolgenden Aufbewahrungs- bzw. Löschfristen für bestimmte personenbezogene Daten in einzelnen Anwendungen.

Word, Excel, PowerPoint

• Erfassung der aktuellen Bearbeitenden einer Datei (Diese Information ist für alle aktuellen Bearbeitenden sichtbar)

• Bearbeitungsposition und Änderung der aktuellen Bearbeiter (Diese Information ist für alle aktuellen Bearbeiter sichtbar)

Rechtsgrundlage

Art. 6 Abs. 1 lit. f) DSGVO

Aufbewahrungsfristen:

Vorgang

Auswirkung

Löschfrist

Fristbeginn

Erfassung der aktuellen Bearbeiter einer Datei (Diese Information ist für alle aktuellen Bearbeiter sichtbar)

Auswirkung

Die in unter 2.1 aufgeführten Daten werden nur genau innerhalb des Zeitraums verarbeitet, in dem der Nutzer eine Datei bearbeitet.

Löschfrist

sofort

Fristbeginn

Ende der Bearbeitung der Datei

Bearbeitungsposition und Änderung der aktuellen Bearbeiter (Diese Information ist für alle aktuellen Bearbeiter sichtbar).

Auswirkung

Die in unter 2.1 aufgeführten Daten werden nur genau innerhalb des Zeitraums verarbeitet, in dem der Nutzer eine Datei bearbeitet.

Löschfrist

sofort

Fristbeginn

Ende der Bearbeitung der Datei

OneDrive for Business

▪ eigene hochgeladene/synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)

▪ inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.).

Rechtsgrundlage

Art. 6 Abs. 1 lit. f) DSGVO

Aufbewahrungsfrist:

Vorgang

Auswirkung

Frist

Fristbeginn

Deaktivierung des Nutzers für die Anwendung. Sobald es zur Erfüllung des Arbeits- oder Vertragsverhältnisses nicht mehr notwendig ist bzw. sobald dies nicht mehr der Vereinfachung und Optimierung der Aufgaben im Rahmen des Arbeits- oder Vertragsverhältnisses dient

Auswirkung

Ab dem Zeitpunkt des Rechteentzugs steht OneDrive for Business nicht mehr zur Verfügung

Frist

▪ Rechteentzug: sofort (kein Zugriff mehr) ▪ Nach 60 Tagen wird der User aus dem System gelöscht ▪ Nach 90 Tagen werden die Daten gelöscht

Fristbeginn

▪ Das Datum, zu dem die Deaktivierung stattfindet. ▪ Das Datum, zu dem die Deaktivierung stattfindet. ▪ Das Datum, zu dem die Deaktivierung stattfindet.

Antrag auf Löschung des persönlichen OneDrive for Business

Auswirkung

Löschung des persönlichen OneDrive for Business

Frist

Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht

Fristbeginn

Das Datum zu dem die Löschung beantragt wird. ▪ Das Datum zu dem die Löschung beantragt wird.

Darüber hinaus ist der jeweilige Nutzer aufgefordert bei OneDrive for Business den Inhalt auf Löschfristen zu prüfen bzw. sind durch den Nutzer Löschfristen zu definieren und organisatorisch einzuhalten.

Auswirkung

Technisch keine Auswirkung. Die Prüfung und Löschung ist organisatorisch durch den/die besitzenden Personen abzusichern

Frist

Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht

Fristbeginn

Der Zeitpunkt, zu dem die Datei(en) durch eine Person gelöscht wurde. ▪ Das Datum, zu dem die Löschung durchgeführt wurde.

SharePoint Online

▪ Eigene hochgeladene / synchronisierte Dateien (Dokumente, Bilder, Video, Audio, etc.)

▪ Inhaltliche Beiträge (Postings im Rahmen von News-Feeds, etc.)

Rechtsgrundlage

Art. 6 Abs. 1 lit. f) DSGVO

Aufbewahrungsfrist:

Vorgang

Auswirkung

Frist

Fristbeginn

Löschen von Daten durch die nutzende Person ▪ Löschung des Sharepoints an sich

Auswirkung

Die Daten stehen nicht mehr zur Verfügung

Frist

Daten werden sofort in den Papierkorb verschoben ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht

Fristbeginn

Der Zeitpunkt, zu dem die Datei(en) durch eine Person gelöscht wurde. ▪ Das Datum, zu dem die Löschung durchgeführt wurde.

Löschung des Sharepoint an sich

Auswirkung

Die Daten stehen nicht mehr zur Verfügung

Frist

Rechteentzug: sofort ▪ Daten werden sofort in den Papierkorb verschoben. ▪ Nach 30 Tagen werden die Daten aus dem Papierkorb gelöscht

Fristbeginn

Das Datum zu dem die Löschung beantragt wurde. ▪ Das Datum zu dem die Löschung beantragt wurde. ▪ Das Datum zu dem die Löschung beantragt wurde.

Teams (Kanäle)

▪ Dateien (Chat, Ablage, Notizen, Dokumentation, etc.)

▪ Text (Chat, Newsfeed, Notizen, Dokumentation, etc.)

▪ Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)

▪ Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten, etc.)

▪ Persönliche Kontakte & persönliche Kontaktgruppen

Rechtsgrundlage 

Art. 6 Abs. 1 lit. f) DSGVO

Aufbewahrungsfrist:

Vorgang

Auswirkung

Frist

Fristbeginn

Teams-Kanal wird gelöscht

Auswirkung

Kanal wird in den Papierkorb verschoben

Frist

30 Tage nach Löschung

Fristbeginn

Datum der Verschiebung des Kanals in den Papierkorb

Eigener Chat-Verlauf wird ausgeblendet

Auswirkung

Chat wird nur für den Benutzer selbst ausgeblendet

Frist

Keine

Fristbeginn

sofort

Eigene Beiträge in Chats werden gelöscht

Auswirkung

Chat-Beitrag steht nicht mehr zur Verfügung

Frist

Keine

Fristbeginn

sofort

Chat-Einträge außerhalb von Teams-Kanälen

Auswirkung

Löschung nach Fristablauf

Frist

1 Jahr

Fristbeginn

Datum des Chat-Eintrags

Benutzer scheidet aus Unternehmen aus

Auswirkung

Anonymisierung der Beiträge

Frist

30 Tage nach Löschung des Accounts

Fristbeginn

Datum des Ausscheidens + 60 Tage

Gast-Beiträge (Gast-Nutzer)

Auswirkung

Keine Löschung

Frist

Keine

Fristbeginn

n/a

Benutzer verlässt einen Teams-Kanal

Auswirkung

Keine; Die Daten und Beiträge bleiben bestehen

Frist

Keine

Fristbeginn

n/a

Kalender-Eintrag wird abgelehnt oder gelöscht

Auswirkung

Der Termin steht im Kalender für die Person nicht mehr zur Verfügung

Frist

sofort

Fristbeginn

sofort

Aufgabe wird gelöscht

Auswirkung

Aufgabe steht nicht mehr zur Verfügung

Frist

sofort

Fristbeginn

sofort

Persönliche Kontakte & persönliche Kontaktgruppe wird gelöscht

Auswirkung

Kontaktinformationen werden direkt gelöscht

Frist

sofort

Fristbeginn

sofort

Teams-Meetings

▪ Audio- und Videokommunikation im Rahmen von Telefonaten und Konferenzen (ggf. inklusive Desktop-Sharing)

▪ Persönliche Hintergründe für Videokommunikation (Bilddateien)

▪ Chat (Text, Dateien, etc.)

▪ Telefonie-Historie (Getätigte Anrufe, Verpasste Anrufe, etc.)

▪ Sprachaufzeichnungen für den Anrufbeantworter (inkl. Transkription)

▪ Persönliche Kontaktdaten für die Einladung von Teilnehmern zu Meetings (E-Mail-Adresse, Nutzername, etc.)

▪ Persönliche Kontaktdaten für das Anrufen von Teilnehmern (Telefonnummern, etc.)

Rechtsgrundlage       

 • Art. 6 Abs. 1 S. 1 lit. b) DSGVO

• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG

• Art. 6 Abs. 1 S. 1 lit a) DSGVO für die Aufzeichnung von Ton- und Bildaufnahmen

Aufbewahrungsfrist:

Vorgang

Auswirkung

Frist

Fristbeginn

Audio- und Videokommunikation ggf. inklusive Desktop-Sharing

Auswirkung

Die Daten werden nicht gespeichert, sondern ausschließlich übermittelt

Frist

Sofort

Fristbeginn

Sofort

Löschung von persönlichen Hintergründen

Auswirkung

Das Hintergrundbild wird in den Papierkorb des eigenen PC bzw. Notebook verschoben

Frist

Sofort

Fristbeginn

Sofort

Chats

Auswirkung

Löschung des Chateintrags

Frist

1 Jahr

Fristbeginn

Datum des Chateintrags

Einzelverbindungsnachweis (EVN) • Die Einzelverbindungsnachweise werden nur so lange aufbewahrt werden, wie dies zur Zweckerfüllung (Abrechnungszwecke: Überprüfung der Höhe der Rechnung) erforderlich ist.

Auswirkung

Löschung des EVN-Eintrags aus der Telefonanlage Köln • Löschung EVN-Eintrag beim Dienstleister / in regionalen Standorten

Frist

30 Tage • 90 Tage

Fristbeginn

Tag des durchgeführten Telefonats • Tag des durchgeführten Telefonats

Abrechnungsbelege ohne EVN unterliegen Steuergesetzen (z.B. AO)

Auswirkung

Anonymisierung der Beiträge

Frist

10 Jahre

Fristbeginn

Das dem Belegdatum darauffolgende Kalenderjahr

Teams-Mailbox

Auswirkung

s. Outlook (E-Mail)

Frist

11 Jahre

Fristbeginn

Tag des Mailboxeintrags

Mailbox-Transkription

Auswirkung

s. Outlook (E-Mail)

Frist

11 Jahre

Fristbeginn

Tag der Erstellung der Transkription

Rufnummernzuordnung

Auswirkung

Nach Ende des Beschäftigungsverhältnisses

Frist

90 Tage

Fristbeginn

Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt

Anrufhistorie

Auswirkung

Löschung des Eintrags aus der Teams-Ansicht

Frist

5 Wochen

Fristbeginn

Der Tag, an dem der Eintrag in der Anrufhistorie aufgenommen wurde

Kontaktlisten

Auswirkung

Nach Ende des Beschäftigungsverhältnisses oder durch Löschung der nutzenden Person selbst

Frist

90 Tage

Fristbeginn

Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt bzw. der Tag zu dem die Löschung durch die benutzende Person erfolgte.

Aufzeichnung von Teams-Sitzungen

Auswirkung

Die Löschung unterliegt keiner technischen Vor-Einstellung. Sie ist von der aufzeichnenden Person, gemäß den jeweiligen Löschfristen aus den zugehörigen Datenschutzhinweisen, durchzuführen.

Frist

Organisatorisch über die zugehörigen Datenschutzhinweise zur Aufzeichnung der Sitzung geregelt.

Fristbeginn

Organisatorisch über die zugehörigen Datenschutzhinweise zur Aufzeichnung der Sitzung geregelt.

Outlook (E-Mail)

▪ Persönliche E-Mail-Kommunikation (Gesendete E-Mails, Empfangene E-Mails, Nachrichten & Anhänge, Ordnerstrukturen für Ablage, etc.)

▪ Persönliche Kalender-Informationen (inkl. Verknüpfung mit Teams-Meetings)

▪ Persönliche Aufgaben (Inhalte, Verantwortlichkeiten, Fälligkeiten)

▪ Persönliche Kontakte / Kontaktgruppe

Rechtsgrundlage

• Art. 6 Abs. 1 S. 1 lit. b) DSGVO

• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG

Aufbewahrungsfristen:

Vorgang

Auswirkung

Frist

Fristbeginn

Benutzer scheidet aus Unternehmen aus

Auswirkung

Postfach wird zur Löschung freigegeben. Die Inhalte werden in das E-Mail-Archiv überführt.

Frist

11 Jahre

Fristbeginn

Erstellungsdatum der jeweiligen Mail

Standard-Löschung von Mails nach Zeitablauf

Auswirkung

Der Eintrag steht nicht mehr zur Verfügung

Frist

11 Jahre

Fristbeginn

Erstellungsdatum der jeweiligen Mail

Standard-Löschung von Kalendereinträgen

Auswirkung

Der Eintrag steht nicht mehr zur Verfügung

Frist

11 Jahre

Fristbeginn

Datum des Kalendereintrags

Persönliche Aufgaben / Kontakte

Auswirkung

Es erfolgt nur eine Löschung, wenn der Benutzer aus dem Unternehmen ausscheidet.

Frist

11 Jahre

Fristbeginn

Der Tag, der auf den letzten Tag des Beschäftigungsverhältnisses folgt

Persönliche Aufgaben / Kontakte werden vom Benutzer selbst gelöscht

Auswirkung

Der Eintrag wird in den Papierkorb verschoben und dort nach Ablauf der nebenstehenden Frist endgültig gelöscht.

Frist

30 Tage

Fristbeginn

Eintrittsdatum in den Papierkorb

Forms (Formulare/Umfragen)

Bei der Einstellung anonym werden nur notwendige Protokolldaten verarbeitet. Die Einstellung personalisiert verarbeitet zusätzlich die Anmeldeinformationen.

▪ Umfragen durch eine Person

▪ Umfragen aus einem Teams-Kanal

Rechtsgrundlage

• Art. 6 Abs. 1 S. 1 lit. b) DSGVO

• Art. 6 Abs. 1 S. 1 lit.b ) DSGVO, i. V. m. Art. 88 DSGVO, i. V. m. nationalen Gesetzen DE: § 26 Abs. 1 Satz 1 BDSG

Aufbewahrungsfristen:

Vorgang

Auswirkung

Frist

Fristbeginn

Forms-Abfrage wird gelöscht

Auswirkung

Die Forms-Abfrage und ihre Ergebnisse werden in den Papierkorb verschoben. Die Löschung aus dem Papierkorb erfolgt nach den nebenstehenden Angaben

Frist

30 Tage

Fristbeginn

Eintrittsdatum in den Papierkorb

Ergebnisse einer Forms-Umfrage werden exportiert

Auswirkung

Die Ergebnisse sind nicht mehr an technische Löschungen gekoppelt

Frist

Unterliegt der Verantwortung der exportierenden Person

Fristbeginn

n/a – nicht anwendbar

Aufbewahrungsfrist

Auswirkung

Die Aufbewahrungsfrist ist durch den/die Inhaber der Forms-Abfrage festzulegen

Frist

Durch den/die Inhaber der Forms-Abfrage festzulegen

Fristbeginn

n/a – nicht anwendbar

Systemlogdateien

Parameter

Beschreibung

Datum

Beschreibung

Datum und Zeit des Vorgangs.

ClientIP

Beschreibung

Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird.

Erstell-Datum

Beschreibung

Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer die Aktivität ausgeführt hat.

Herkunft

Beschreibung

Der Ursprung aus welcher Applikation der Vorgang hervorgerufen wurde. Beispiele sind hierbei SharePoint, OneDrive oder Exchange Online.

Id

Beschreibung

Der eindeutige Bezeichner eines Überwachungsdatensatzes.

Vorgang

Beschreibung

Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter.

OrganizationId

Beschreibung

Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.

UserAgent

Beschreibung

Liefert Informationen mit welcher Zugangsart dieses Event ausgeführt wurde. Dazu gehören Browser, der Name des Browsers, als auch die genutzte Version. Ebenfalls wird hier die Applikation dargestellt inkl. der Version.

UserId

Beschreibung

Der UPN (User Principal Name) des Benutzers, der die Aktion (in der Eigenschaft "Operation" angegeben), die zu einem Eintrag geführt hat, ausgeführt hat, zum Beispiel my_name@my_domain_name.

UserType

Beschreibung

Der Typ des Benutzers, der den Vorgang ausgeführt hat. In der Tabelle UserType finden Sie Informationen zu den Typen von Benutzern.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f) DSGVO

Aufbewahrungsfristen:

Vorgang

Auswirkung

Frist

Fristbeginn

Erstellung Protokolleintrag

Auswirkung

Löschung nach Ablauf der Aufbewahrungsfrist

Frist

365 Tage

Fristbeginn

Tag des Protokolleintrags

 

6. Automatisierte Entscheidungsfindung & Profiling

Mit Ihren personenbezogenen Daten findet weder eine automatisierte Entscheidungsfindung noch Profiling statt.

7. Rechte der betroffenen Person

Betroffene Personen haben das Recht auf Auskunft seitens des Verantwortlichen über die sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

Werden Daten auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO erhoben (Datenverarbeitung zur Wahrung berechtigter Interessen), steht der betroffenen Person das Recht zu, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Beschwerderecht bei einer Aufsichtsbehörde

Jede betroffene Person hat außerdem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

Anhang A - Zuweisung DSB zu Gesellschaften / Geschäftsfeldern

Die nachfolgende Zuweisung von DSBs betrifft ausschließlich Gesellschaften der REWE Group, die ein Beteiligungsverhältnis von über 50% aufweisen und in denen die Bestellung eines Datenschutzbeauftragten gesetzlich notwendig oder freiwillig erfolgt ist.

Bei datenschutzbezogenen Fragen wenden Sie sich bitte an den für ihre Gesellschaft (Arbeitgeber bzw. Vertragspartner) zuständigen Datenschutzbeauftragten.

Eine Zuordnung der bestellten Datenschutzbeauftragten zu Gesellschaften / Geschäftsfelder der REWE Group kann der nachfolgenden Tabelle entnommen werden:

Gesellschaften / Geschäftsfelder

Bestellter Datenschutzbeauftragter

Holding, Handel National, Convience Deutschland, Baumarkt, REWE digital, Payment Solutions, REWE Group Buying

Bestellter Datenschutzbeauftragter

datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de

Handel International (nur Österreich) & REWE digital Austria

Bestellter Datenschutzbeauftragter

REWE International Dienstleistungsgesellschaft m.b.H. Datenschutzbeauftragter Industriezentrum NÖ-Süd, Straße 3, Objekt 16 A-2355 Wiener Neudorf Tel.: +43 2236 600 1331 E-Mail: datenschutz@rewe-group.at

Handel International (alle Länder außer Österreich)

Bestellter Datenschutzbeauftragter

KINAST Rechtsanwaltsgesellschaft mbH Datenschutzbeauftragter Hohenzollernring 54 50672 Köln E-Mail (BILLA): dpo-billa@kinast-partner.de E-Mail (PENNY): dpo-penny@kinast-partner.de Bitte in der Kommunikation datenschutz@rewe-group.at (DS Team Handel International) immer in CC dazu nehmen!

Convience Niederlande / Belgien

Bestellter Datenschutzbeauftragter

FIRST PRIVACY B.V. Naritaweg 127-137 1043 BS Amsterdam Netherlands E-Mail: office@first-privacy.com Tel.: +31 (0) 20 211 7114

Campina Verde Deutschland & Eurogroup Deutschland

Bestellter Datenschutzbeauftragter

Steinberg Rechtsanwälte Datenschutzbeauftragte Kaiser-Wilhelm-Ring 3-5 50672 Köln E-Mail: Datenschutz@EurogroupDe.eu

Touristik National

Bestellter Datenschutzbeauftragter

DER Touristik Group GmbH Datenschutzbeauftragte Emil-von-Behring-Str.6 60439 Frankfurt Tel.: +49 (0) 69 9588 2529 E-Mail: datenschutz@dertouristik.com

Touristik International

Bestellter Datenschutzbeauftragter

Kontaktdaten des jeweils zuständigen DSBs können angefragt werden bei DER Touristik Group GmbH Datenschutzbeauftragte Emil-von-Behring-Str.6 60439 Frankfurt Tel.: +49 (0) 69 9588 2529 E-Mail: datenschutz@dertouristik.com

Die nachfolgende Zuweisung von DSBs betrifft ausschließlich Gesellschaften der REWE Group, die KEIN Beteiligungsverhältnis von über 50% aufweisen:

Gesellschaften / Geschäftsfelder

Bestellter Datenschutzbeauftragter

Selbstständige REWE-Kaufleute

Bestellter Datenschutzbeauftragter

datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de

Selbstständige toom Baumarkt-Partnermärkte

Bestellter Datenschutzbeauftragter

datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de

PRO-DATA Steuerberat.ges. mbH

Bestellter Datenschutzbeauftragter

datenschutz süd GmbH Datenschutzbeauftragter Oskar-Jäger-Straße 50 50825 Köln Tel.: +49 (0) 221 179 1860 E-Mail: rewe-group@datenschutz-sued.de