Datenschutz-Hinweise für DATEV-Umfragen mit Microsoft Forms

Inhaltsverzeichnis

1. Verantwortliche für die Datenverarbeitung

2. Datenschutzbeauftragter

3. Erhebung und Verarbeitung persönlicher Daten bei Teilnahme an Umfragen von DATEV mit Microsoft Forms

4. Gerätekennung und Standortdaten

5. Weitere Verarbeitungszwecke

6. Dauer der Speicherung

7. Empfänger personenbezogener Daten

8. Drittland

9. Betroffenenrechte

10. Widerspruch

11. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

12. Was passiert, wenn die Daten nicht bereitgestellt werden

13. Sicherheit

14. Links zu anderen Webseiten

1. Verantwortliche für die Datenerhebung

DATEV eG, Nürnberg
vertreten durch

Prof. Dr. Robert Mayr (Vorsitzender)
Julia Bangerth (stellv. Vorsitzende)
Prof. Dr. Peter Krug (stellv. Vorsitzender)
Prof. Dr. Christian Bär
Diana Windmeißer
Vorsitzender des Aufsichtsrats: Nicolas Hofmann

Kontakt
Paumgartnerstr. 6-14
90429 Nürnberg
Telefon: +49 911 319-0
E-Mail: info@datev.de

2. Datenschutzbeauftragter

DATEV eG
Datenschutzbeauftragter
Walter Deinzer

Kontakt
Paumgartnerstraße 6-14
90429 Nürnberg
Telefon: +49 911 319-0
E-Mail: datenschutz@datev.de

3. Erhebung und Verarbeitung persönlicher Daten bei Teilnahme an Umfragen von DATEV mit Microsoft Forms

DATEV nutzt das Tool „Microsoft Forms“, um Umfragen und Abstimmungen in Forms bzw. in Online-Meetings, Videokonferenzen und/oder Webinaren durchzuführen. Microsoft Forms ist ein Service der Microsoft Corporation. Die Verarbeitung erfolgt dabei im Auftrag der DATEV durch

Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
D18 P521
Irland

Bitte beachten Sie, dass diese Datenschutzhinweise Sie nur über die Verarbeitung Ihrer personenbezogenen Daten durch DATEV, bei der Nutzung einer Microsoft Forms Umfrage informieren. Falls Sie Informationen über die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft benötigen, bitten wir Sie, die entsprechende Erklärung bei Microsoft einzusehen. Hier finden Sie weitere Informationen von Microsoft zu diesem Thema:

Datenschutzerklärung von Microsoft – Microsoft-Datenschutz

Microsoft Servicevertrag
Sicherheit und Datenschutz in Microsoft Forms

Bei der Nutzung von Microsoft Forms werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben Sie bei der Teilnahme an einer Abstimmung oder Umfrage in Forms machen, insbesondere dann, wenn Fragestellungen „offen“ formuliert sind.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

• IP-Adresse
• Benutzername, Anzeigename, E-Mail-Adresse,
• Profilbild (optional, wenn in Microsoft 365 hinterlegt)
• Bevorzugte Sprache
• Status (optional, wenn in Microsoft 365 hinterlegt)
• Datum und Uhrzeit der Öffnung des Fragebogens
• Datum und Uhrzeit der Absendung der Antwort

Angaben in der Umfrage: Diese Angaben sind umfragenspezifisch. Der Benutzer, die Benutzerin entscheidet, bei der Eingabe von Freitext in Antwortfeldern welche personenbezogenen Daten übermittelt werden.

Rechtsgrundlage: Die Rechtsgrundlage dieser Verarbeitung ist abhängig vom jeweiligen Kontext, in dem die Umfrage durchgeführt wird. Sie kann zur Vertragserfüllung (Art. 6 Abs. 1 lit. b) DS-GVO) oder zur Wahrung berechtigter Interessen von uns oder Dritten (Art. 6 Abs. 1 lit. f) DS-GVO) erforderlich sein. Zum Beispiel für die Gewährleistung der IT-Sicherheit und des IT-Betriebs.

Sofern personenbezogene Daten von Beschäftigten verarbeitet werden, ergibt sich aus Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG und der Betriebsvereinbarung Mitarbeiterbefragungen der DATEVeG eine Rechtsgrundlage für die Durchführung, Ausübung und Erfüllung des Beschäftigtenverhältnisses. In allen anderen Fällen ist die Rechtsgrundlage für die Durchführung zur Wahrung berechtigter Interessen Art. 6Abs. 1lit. f) DS-GVO.

Das Interesse der DATEVeG besteht in der Information zu Service-, Angebots- und Produktverbesserungen sowie der Verbesserung der Kunden -und Mitarbeiterzufriedenheit.

Die Teilnahme an Umfragen und oder Abstimmungen ist grundsätzlich freiwillig.

4. Gerätekennung und Standortdaten

Es werden keine Gerätekennungen und keine weiteren Standortdaten erfasst.

5. Weitere Verarbeitungszwecke

Ihre personenbezogenen Daten können von DATEV aufgrund von anderen rechtlichen Verpflichtungen z.B. richterlicher Anordnung verarbeitet werden. Rechtsgrundlage aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 lit. c) DS-GVO) oder im öffentlichen Interesse (Art. 6 Abs. 1 lit. e) DS-GVO).

Soweit erforderlich, verarbeitet DATEV Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Zum Beispiel für:

• Gewährleistung der IT-Sicherheit und des IT-Betriebs, z.B. Übertragungsprotokolle,
• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten.

Rechtsgrundlage für diese Verarbeitungen ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 lit. f) DS-GVO).

Weitere Verarbeitungszwecke von Microsoft:

Nach Information von Microsoft verarbeitet Microsoft im Rahmen von „Geschäftstätigkeiten“ Daten für die folgenden Aktivitäten, jeweils mit der Bereitstellung der Produkte und Services für den Kunden verbunden: (1) Abrechnungs- und Kontoverwaltung; (2) Vergütung (z. B. Berechnung von Mitarbeiter-provisionen und Partner-Incentives); (3) interne Berichterstattung und Geschäftsmodellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten; (5) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Beschränkungen für die Offenlegung verarbeiteter Daten).

Bei der Verarbeitung für diese Geschäftstätigkeiten wendet Microsoft die Grundsätze der Datenminimierung an und verwendet oder verarbeitet keine Kundendaten, Professional Services-Daten oder personenbezogenen Daten für: (a) Benutzerprofilerstellung, (b) Werbung oder ähnliche kommerzielle Zwecke oder (c) alle anderen Zwecke, mit Ausnahme der in diesem Abschnitt genannten Zwecke. Für die Verarbeitung von Daten zu den vorab genannten Geschäftszwecken, bestimmt Microsoft sowohl die Mittel als auch die Zwecke der Datenverarbeitung. Microsoft sieht sich für diese Datenverarbeitungen allein als für die Einhaltung aller geltenden Gesetze sowie die Erfüllung der Verpflichtungen verantwortlich.

6. Dauer der Speicherung

Sind Ihre personenbezogenen Daten für die oben genannten Zwecke nicht mehr erforderlich, werden diese regelmäßig gelöscht.

Anonymisierte Protokolldaten werden bis zu 30 Tage für den Zugriff von DATEV gespeichert. Eine Einsicht erfolgt ausschließlich zur Feststellung von Systemfehlern, Fehlerbehebung, Klären von Sicherheitsfragen sowie zur Prüfung von Manipulationen oder sonstigem Missbrauch. Sie ist ausschließlich Administratoren der M365 Plattform zugänglich.

Daten, die in Umfragen erhoben werden, werden so lange aufgehoben, wie sie zur Zweckerfüllung benötigt werden. Im Einzelfall ist der Aufbewahrungszeitraum bzw. die Löschfrist durch die jeweils spezifische Umfrage geregelt. Teilnehmende werden in der Umfrage zu den Lösch- und Aufbewahrungsfristen informiert.

7. Empfänger personenbezogener Daten

Für die Erbringung der Vertragsleistung werden diejenigen Daten an Microsoft übertragen, welche zur Bereitstellung des Dienstes erforderlich sind. Insbesondere werden Benutzerkennung und IP-Adresse an Microsoft weitergegeben. Bei Nutzung des Dienstes werden Inhaltsdaten an Microsoft übertragen. Nach Angaben von Microsoft erfolgt die Übertragung der Inhaltsdaten verschlüsselt. Weitere Informationen zur Verarbeitung personenbezogener Daten und zur Verschlüsselung durch Microsoft finden Sie in der Datenschutzerklärung und auf den Microsoft Purview Informationsseiten im Internet.

8. Drittland

Eine Übermittlung personenbezogener Daten an Dienstleister außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt unter Einhaltung der Regelungen des Kapitel V der DS-GVO zur Übermittlung personenbezogener Daten ins Drittland.

Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an „Online-Meeting“, oder an einer Forms- Umfrage in einem Drittland aufhalten. Auch kann im Support- und Wartungsfall in Einzelfällen sowie bei einer Verarbeitung durch Microsoft zu Geschäftszwecken von Microsoft eine Einsichtnahme auf Daten aus dem Drittland nicht ausgeschlossen werden.

Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.

9. Betroffenenrechte

Falls DATEV – Anwendung Daten zu Ihrer Person gespeichert hat, können Sie auf Antrag Auskunft über die zu Ihrer Person gespeicherten Daten erhalten. Bitte informieren Sie uns, wenn wir unrichtige Daten über Sie gespeichert haben oder wenn Sie mit Teilen der Datenspeicherung nicht einverstanden sind, damit wir diese berichtigen, löschen oder deren Verarbeitung einschränken können.

Daten zu Ihrer Person, die Sie eingegeben haben, erhalten Sie im Rahmen der gesetzlichen Vorgaben auf Antrag in einem übertragbaren Format.

Bitte wenden Sie sich zur Ausübung eines Betroffenenrechts an widerspruch@datev.de unter Angabe

• Ihrer Kontaktdaten
• der Betroffenenrechte, die Sie ausüben wollen.

10. Widerspruch

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern diese Verarbeitung im Rahmen der Interessenabwägung oder im öffentlichen Interesse erfolgt. Der Nutzung Ihrer personenbezogenen Daten für Direktwerbung, können Sie jederzeit ohne Angabe von Gründen widersprechen. Bitte wenden Sie sich dazu an widerspruch@datev.de.

11. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Im Fall von Beschwerden können Sie sich an eine Aufsichtsbehörde wenden. Für DATEV ist das Bayerische Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde.

12. Was passiert, wenn die Daten nicht bereitgestellt werden

Ohne diese personenbezogenen Daten sind wir nicht in der Lage, die Abstimmung bzw. die Befragung mit Ihnen durchzuführen.

13. Sicherheit

DATEV ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und personenbezogene Daten vor Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung und unbefugtem Zugang zu schützen. Die Wirksamkeit dieser Maßnahmen wird regelmäßig überprüft, bewertet und evaluiert. Dies trifft auch auf die Auswahl der eingesetzten Auftragsverarbeiter zu.

14. Links zu anderen Webseiten

Rufen Sie eine externe Internetseite von unserer Seite auf (externer Link), wird der externe Anbieter möglicherweise von Ihrem Browser die Information erhalten, von welcher Seite Sie zu ihm gekommen sind. Für diese Daten ist der externe Anbieter verantwortlich. Wir sind, wie jeder andere Anbieter, nicht in der Lage, diesen Vorgang zu beeinflussen.

• Datenschutzhinweise für DATEV-Umfragen mit Microsoft Forms (englische Version)

Stand: Juni 2023