Datenschutzerklärung für „Microsoft Teams“

Stand: März 2023

Wir – die Bionorica SE – setzen uns nicht nur für den Schutz Ihrer Gesundheit ein, sondern auch für den Schutz Ihrer Daten und damit Ihrer Privatsphäre. Mit dieser Datenschutzerklärung klären wir Sie darüber auf,

  • welche personenbezogenen Daten wir im Rahmen unserer Telefon- und Videokonferenzen sowie sonstiger Online-Meetings unter Verwendung der (Video-) Konferenzlösung „Microsoft Teams“ von Ihnen erheben, speichern, sperren, löschen oder anderweitig verarbeiten (zusammen als „Verarbeitung“ bezeichnet), 
  • wofür wir sie nutzen,
  • wie Sie der Nutzung widersprechen bzw. Einwilligungen widerrufen können und
  • welche Rechte Sie als Betroffene haben, wie Sie also z.B. erklärte Einwilligungen widerrufen und wie Sie sonstige Rechte auf Auskunft, Berichtigung, Beschwerde und Löschung Ihrer Daten wahrnehmen können.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle für die Datenverarbeitung im Sinne der DS-GVO ist

Bionorica SE
Kerschensteinerstr. 11-15
92318 Neumarkt
Telefon: +49 (0) 9181 231-90
Telefax: +49 (0) 9181 231-265
E-Mail: info@bionorica.de

Sie erreichen unseren betrieblichen Datenschutzbeauftragten per E-Mail unter datenschutz@bionorica.de oder postalisch unter der obigen Adresse mit dem Vermerk „der Datenschutzbeauftragte“.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verwendung der (Video-)Konferenzlösung „Microsoft Teams“ in ihren Desktop-, Mobil- und Browservarianten. Dabei nutzen wir „Microsoft Teams“ für die Durchführung unserer üblichen Bürokommunikation, interne und externe Telefon- und Videokonferenzen, Bewerbungsgespräche, Webinare und/oder sonstigen Online-Meetings (nachfolgend: Online-Meetings). „Microsoft Teams“ ist ein Service der Microsoft Corporation mit Sitz in Irland.

Hinweis: Soweit Sie die Internetseite von „Microsoft Teams“ aufrufen, ist der Anbieter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internet­seite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen. Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzen. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern. Die jeweils aktuelle Version ist auf unserem Internetauftritt verfügbar. Bitte besuchen Sie unseren Internetauftritt regelmäßig und informieren Sie sich über die jeweils geltenden Datenschutzbestimmungen.

3. Welche Quellen und Daten nutzt die Bionorica SE?

Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Online-Meetings unter der Nutzung von „Microsoft Teams“ erhalten. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting bereitstellen.

Die von uns verarbeiteten personenbezogenen Daten umfassen insbesondere:

  • Angaben zum Benutzer (z.B. Anzeige- oder Nutzername, Profilbild (optional), bevorzugte Sprache, ggf. E-Mailadresse)
  • Logfiles, Protokolldaten
  • Text-, Audio- und Videodaten (Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Online-Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.)
  • Metadaten (z.B. IP-Adresse, Zeitpunkt der Teilnahme, Meeting-ID, Ort, Telefon­nummer, Geräte-/Hardware Informationen)
  • Bei Einwahl mit dem Telefon (z.B. Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungs­daten, wie z.B. die IP-Adresse des Geräts gespeichert werden.)
  • Aufgrund der Rechtsauffassung der uns zuständigen Datenschutzbehörde sehen wir von dem Aufzeichnen von Online-Meetings grundsätzlich ab (Vgl. Ziffer 5). Sollte eine solche Aufzeichnung im Einzelfall z.B. auf Ihren ausdrück­lichen Wunsch und mit Ihrer ausdrücklichen Einwilligung erfolgen, werden Daten in Form von Video-, Audio- und Präsentations­auf­nahmen verarbeitet.

Um an einem Online-Meeting teilzunehmen bzw. den Meeting-Raum zu betreten, müssen Sie zumindest einen Usernamen für das jeweilige Online-Meeting angeben. Hierbei steht es Ihnen natürlich frei auch z.B. „Gast“ oder „Anonym“ anzugeben.

4. Verarbeitungszwecke und Rechtsgrundlage

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdaten­schutzgesetz (BDSG) auf folgenden Rechtsgrundlagen:

4.1. Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 S. 1 b DS-GVO)

Die Verarbeitung von Daten erfolgt im Rahmen von geschlossenen Verträgen (z.B. Mitarbeiterverträge, Kundenverträge), zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage Dritter hin erfolgen (z.B. Bewerber, Aufnahme Geschäftskontakt) oder zur Durchführung aller zum Betrieb und/oder der Verwaltung eines pharmazeutischen Unternehmens erforderlichen Tätigkeiten (z.B. Marketing-Gespräche, Schulungen).

4.2. Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 S. 1 f DS-GVO)

Soweit erforderlich verarbeiten wir personenbezogene Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung unserer berechtigten Interessen. Unser berechtigtes Interesse für die Datenverarbeitung dient der Durchführung von modernen Kommunikationsmöglichkeiten via Online-Meetings, zur Information der Teilnehmer und zur effektiven und effizienten Zusammenarbeit mit diesen (z.B. Gespräche über fachliche Themen, Durchführung von Geschäftsaktivitäten). Im Interesse unserer Mitarbeiter, Geschäftspartner und weiteren Dritten haben wir „Microsoft Teams“ datenschutz­freundlich implementiert und umgesetzt und verzichten auf die Erhebung und Speicherung nicht notwendiger Daten.

4.3. ​​​​​​​Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 a DS-GVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt haben (z.B. Aufzeichnung eines Online-Meetings), ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben.

Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DS-GVO uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf der Einwilligung nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt.

Der Widerruf einer Einwilligung kann kostenlos und formlos an unsere unter Ziff. 1 genannten Kontaktdaten erfolgen. Bei einem telefonischen Widerruf bitten wir Sie ggf. um einen ergänzenden Nachweis Ihrer Identität auf einem anderen Weg.

    5. Erfolgt während eines Online-Meetings eine Aufzeichnung?

    Durch die Videokonferenzfunktion von „Microsoft Teams“ können wir Ihnen eine Teilnahme über Video und/oder Audio an unseren Online-Meetings anbieten. Es erfolgt grundsätzlich keine Aufzeichnung der Veranstaltung.

    In Ausnahmefällen kann eine Aufzeichnung ausschließlich auf Grundlage Ihrer vorab erteilten freiwilligen Einwilligung erfolgen. Für solche Ausnahmefälle erfolgt vorab eine detaillierte Information über die geplante Verarbeitung der Daten (inklusive Speicherdauer und Empfängerkreis).

    6. Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?

    Zur Durchführung von Online-Meetings über „Microsoft Teams“ nutzen wir grund­sätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DS-G­VO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierü­ber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

    7. Wer bekommt meine Daten?

    Online-Meetings - wie auch persönliche Besprechungen - dienen eben dazu, Informa­tionen mit Dritten zu teilen. Personenbezogene Daten werden bei der Nutzung von Online-Meetings damit in erster Linie an die weiteren Teilnehmer übermittelt.

    Darüber hinaus erhalten innerhalb der Bionorica SE diejenigen Stellen und Abteilungen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer Pflichten benötigen, z.B. die IT-Abteilung im Falle von Störungen.

    Auch von uns eingesetzte und sorgfältig ausgewählte und kontrollierte Dienstleister können zu diesen Zwecken Daten erhalten, werden hierbei jedoch im Rahmen einer sog. Auftragsverarbeitung auf die auch für uns geltenden datenschutz­rechtlichen Anforderungen verpflichtet. Dies können z.B. Unternehmen in den Bereichen der IT-Dienstleistungen sowie Telekommunikation sein.

    Der Anbieter von „Microsoft Teams“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist. Eine Weitergabe an weitere Empfänger außerhalb der Bionorica SE erfolgt nur bei Vorliegen einer Rechtsgrundlage (z.B. gesetzliche Verpflichtung, Einwilligung, berechtigtes Interesse etc.).

    8. Werden Daten an Unternehmen in Drittländern oder an eine internationale Organisation übermittelt?

    „Microsoft Teams“ ist Teil von Microsoft Office 365 und ein Dienst, der von einer europäischen Tochtergesellschaft der Microsoft Corporation mit Sitz in den USA angeboten wird. Die Datenverarbeitung mit Office 365 erfolgt auf Grundlage des Microsoft EU Data Boundary auf Servern in Rechen­zentren in der Europäischen Union in Irland und den Niederlanden.

    Dennoch können wir nicht vollständig ausschließen, dass die Microsoft Corporation oder US-Sicherheitsbehörden Zugriff auf die Umstände und Inhalte der Kommunikation über Microsoft Teams haben. Auch die Microsoft Corporation kann gegebenenfalls Zugriff auf die Daten im Rahmen einer Fernwartung haben. Für diesen Zugriffszweck haben wir in Office 365 die Funktionalität „Customer Lock Box“ implemen­tiert. Jeder im Rahmen der Fern­wartung angeforderte Zugriff wird dadurch im Einzelfall von uns geprüft. Im Falle einer Geneh­migung durch uns kann ein solcher Zugriff auch von verbundenen Unter­nehmen von Microsoft von außerhalb der Europäischen Union aus erfolgen. Sofern Daten auch außerhalb der EU durch Microsoft verarbeitet werden können, treffen wir jedoch angemessene und zumutbare Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus, z.B. durch Abschluss sog. EU-Standard­vertrags­klauseln.

    Microsoft behält sich vor, Nutzungsdaten zu eigenen legitimen Geschäftszwecken zu verarbeiten. Auf diese Datenverarbeitungen von Microsoft haben wir keinen Einfluss. In dem Umfang, in dem „Microsoft Teams“ personenbezogene Daten in Verbindung mit den legitimen Geschäftszwecken verarbeitet, ist Microsoft selbständig Verantwortlicher für diese Datenverarbeitungstätigkeiten und als solcher verantwortlich für die Einhaltung aller geltenden Datenschutzbestimmungen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die entsprechende Erklärung von Microsoft einzusehen bzw. sich direkt an Microsoft zu wenden. Informationen dazu finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement bzw. https://learn.microsoft.com/de-de/microsoftteams/teams-privacy.

      9.  Wie lange werden meine Daten gespeichert?

      Wir verarbeiten Ihre personenbezogenen Daten nur solange es für die Erfüllung der oben beschriebenen Verarbeitungszwecke erforderlich ist. Sind die Daten für die Erfüllung der oben beschriebenen Verarbeitungszwecke nicht mehr erforderlich, werden diese gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist zu folgenden Zwecken erforder­lich:

      • Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten: Zu nennen sind das Handelsgesetzbuch (HGB) und das Geldwäschegesetz (GwG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre.
      • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungs­vorschriften. Nach den §§ 195ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

      Folgende Verarbeitungen werden für einen explizit definierten Zeitraum gespeichert:

      • Login-Daten und IP-Adressen werden spätestens nach 90 Tagen gelöscht.
      • Die Chatinhalte im Rahmen eines Online-Meetings werden bei der Verwendung von „Microsoft Teams“ protokolliert und verbleiben in den Chatverläufen aller Meeting-Teilnehmer.
      • Aufzeichnungen von Online-Meetings werden automatisch nach 60 Tagen gelöscht.

      10. Welche Rechte habe ich als Betroffener?

      Als Betroffener haben Sie das Recht auf Auskunft nach Artikel 15 DS-GVO. Bei einer Anfrage, die nicht schriftlich erfolgt, bitten wir Sie ggf. um einen ergänzenden Nachweis Ihrer Identität auf einem anderen Weg. Ferner haben Sie das Recht auf Berichtigung nach Artikel 16 DS-GVO, das Recht auf Löschung nach Artikel 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DS-GVO. Beim Auskunfts­recht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DS-GVO i.V.m. § 19 BDSG).​​​​​​​

      Weiterhin steht Ihnen das Recht auf Widerspruch aus Artikel 21 DS-GVO zu und Sie können einer Verarbeitung von personenbezogenen Daten auf Grundlage der Artikel 6 Abs. 1 e oder f DSGVO jederzeit ohne Angabe von Gründen widersprechen.

      ​​​​​​​