Informationen nach Art. 13 und 14 Datenschutzgrundverordnung (DSGVO) für Microsoft-Dienste

1. Verantwortlicher für die Datenverarbeitung

Die nachfolgenden Datenschutzinformationen gelten für die Nutzung im nachfolgend beschriebenen Umfang der von der Hamburger Hafen und Logistik Aktiengesellschaft (HHLA) bereitgestellten Microsoft-Dienste. Die verantwortliche Stelle für die Datenverarbeitung ist:

Hamburger Hafen und Logistik AG
Bei St. Annen 1
20457 Hamburg

Unseren Datenschutzbeauftragten erreichen Sie unter der oben genannten Adresse oder unter datenschutz@hhla.de.

2. Datenverarbeitung bei Nutzung von Microsoft-Diensten

Microsoft-Dienste sind ein zentrales IT-Werkzeug in unserem Konzern, welches uns die Digitalisierung, Modernisierung und Effizienz unserer Geschäftsprozesse und den dazugehörigen Verwaltungsaktivitäten, ermöglicht.

Die Verarbeitung erfolgt dabei im Auftrag der HHLA durch

Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
D18 P521
Irland

Bitte beachten Sie, dass diese Datenschutzinformationen nur über die Verarbeitung Ihrer personenbezogenen Daten durch die HHLA, bei der Nutzung von Microsoft-Dienste informieren. Die Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch Microsoft können Sie der entsprechenden Erklärung von Microsoft entnehmen. Zusätzliche Details von Microsoft zu diesem Thema finden Sie hier:

Microsoft Servicevertrag

Microsoft-Datenschutzbestimmungen

Bei der Nutzung von Microsoft-Diensten werden verschiedene Datenarten verarbeitet. Die Art und der Umfang der Daten hängen u.a. von Ihrem Nutzerverhalten ab und davon, welche Inhalte Sie teilen bzw. welche Angaben Sie machen.

Folgende Datenkategorien können bei Nutzung von Microsoft-Diensten verarbeitet werden: 

Bezeichnungen und Inhalte von Dokumenten und Dateien, Aufgaben und Lösungen im Rahmen von Arbeitsabläufen, Ausarbeitungen oder Abstimmungen.

Des Weiteren werden Kommunikationsdaten wie der Zeitpunkt und die Beteiligten von Kontakten sowie Kommunikationsinhalte, beispielsweise Textchats oder Audio- und Videokommunikation, erfasst. Persönliche Stamm- und Kontaktdaten wie Name, Vorname, geschäftliche E-Mail-Adresse und Telefonnummer können ebenfalls verarbeitet werden. 

Zur Sicherstellung des Zugangs und der Nutzung können Authentifizierungsdaten wie E-Mail-Adresse und Passwort, Kontaktdaten, sonstige technische Daten und eindeutige Identifikationsnummern und Signaturen, wie IP-Adressen, verarbeitet werden. 

Hinzu kommen Logfiles mit Zugriffszeitpunkten, die Details zur Anwendung, IP-Adressen, Zeitstempel der ersten und letzten Aktivität sowie den Anwesenheitsstatus umfassen, sowie systemgenerierte Protokolldaten. Geräteinformationen wie Name des Geräts, verwendete Anwendung, Browser und Betriebssystem können ebenso erfasst werden wie Produktfeedback einschließlich relevanter Geräte- und Anwendungsinformationen.

Unsere Beschäftigte sind zum vertraulichen Umgang mit diesen Daten individuell und durch interne verbindliche Regularien verpflichtet.

Bitte beachten Sie, dass Microsoft als Dienstanbieter eigene Datenschutzbestimmungen hat, die für die über die Microsoft-Dienste verarbeiteten Daten gelten. Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von Microsoft Cloud-Diensten finden Sie unter: https://privacy.microsoft.com/de-de/privacystatement.

3. Zwecke der Verarbeitung

Abhängig von der jeweiligen Nutzung von Microsoft-Diensten können Daten zu unterschiedlichen Zwecken verarbeitet werden. Die Zwecke der Verarbeitung sind abhängig von der Nutzung der jeweiligen Microsoft-Dienste.

Microsoft Teams dient der internen und externen Kommunikation und Zusammenarbeit. Hierbei werden Daten verarbeitet, um beispielsweise Online-Besprechungen, Chats und Dateiaustausch zu ermöglichen. Die Zwecke umfassen die Koordination von Projekten, den Informationsaustausch innerhalb von Teams oder Abteilungen, die Durchführung von Online-Meetings sowie die effiziente Kommunikation mit externen Partnern. Hierbei können Kommunikationsinhalte (Text, Audio, Video), Metadaten zu Kommunikationsvorgängen (Teilnehmer, Zeitpunkt), geteilte Dokumente und Dateien sowie Statusinformationen (Anwesenheit) verarbeitet werden. Grundsätzlich finden keine Aufzeichnungen der Online-Meetings statt. Sofern wir im Einzelfall Online-Meetings (z.B. für Schulungszwecke) aufzeichnen möchten, werden wir Ihnen dies im Vorfeld mitteilen und Sie, sofern erforderlich, um Ihre Einwilligung bitten. Beim Start einer Aufzeichnung erhalten alle Teilnehmer des Meetings hierüber einen systemseitigen Hinweis. Sofern Sie mit der Aufzeichnung nicht einverstanden sind, können Sie jederzeit das Meeting verlassen oder Ihre Kamera oder Mikrofon deaktivieren. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Hierzu wenden Sie sich bitte an die unten bezeichneten Kontaktdaten. Lehnen Sie die Aufnahme ab oder widerrufen oder beschränken Sie Ihre Einwilligung, entstehen Ihnen hieraus keine Nachteile. Informieren Sie hierüber bitte unmittelbar den Moderator des jeweiligen Online-Meetings.

Microsoft Forms wird zur Erstellung und Durchführung von Umfragen, Formularen, Tests und allgemeiner Datenabfrage verwendet. Die Verarbeitung der Daten dient der Erfassung von Meinungen, Unternehmensdaten, Feedback, Anmeldungen oder Prüfungsleistungen. Die spezifischen Zwecke umfassen die Evaluierung von Veranstaltungen, die Durchführung von Abstimmungen oder digitalen Fragebögen sowie die Sammlung von Informationen für administrative Prozesse. Die hierbei verarbeiteten Datenkategorien umfassen die von Ihnen eingegebenen Antworten und Inhalte sowie gegebenenfalls personenbezogene Basisdaten zur Identifizierung des Teilnehmers.

Microsoft SharePoint ermöglicht die zentrale Speicherung und Verwaltung von Dokumenten und Informationen sowie die Zusammenarbeit an Projekten. Die Zwecke der Datenverarbeitung liegen in der Bereitstellung von Arbeitsbereichen für Teams, der gemeinsamen Bearbeitung von Dokumenten, der Archivierung von Informationen und der Sicherstellung des Zugriffs auf relevante Unterlagen. Hierbei werden z.B. Bezeichnungen und Inhalte von Dokumenten und Dateien, Zugriffsrechte und Versionshistorien verarbeitet.

Microsoft OneDrive dient der persönlichen Dateispeicherung und dem Dateiaustausch. Die Nutzung von OneDrive ermöglicht Ihnen, geschäftliche Dokumente sicher zu speichern und bei Bedarf mit anderen Personen zu teilen. Die Zwecke der Datenverarbeitung umfassen die Bereitstellung eines persönlichen Speicherplatzes, die Sicherung wichtiger Dokumente und die Ermöglichung des Zugriffs auf Dateien von verschiedenen Geräten aus. Die verarbeiteten Daten sind primär die von Ihnen in OneDrive gespeicherten Dokumente und Dateien sowie Metadaten wie Dateinamen und Änderungsdaten.

4. Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung von Microsoft-Diensten erfolgt auf verschiedenen Rechtsgrundlagen. Grundsätzlich sind Microsoft-Dienste als IT-Tool bzw. Betriebsmittel zu verstehen, weshalb die Rechtsgrundlage für spezifische Datenverarbeitungen immer jene ist, für die die ursprüngliche Datenverarbeitung angedacht ist.

Die Rechtsgrundlagen für die konkreten Verarbeitungen Ihrer personenbezogenen Daten (z.B. Veranstaltungsteilnahme) bleiben unberührt und können somit auf Grundlage Ihrer Einwilligung (Artikel 6 Absatz 1 Buchstabe a DSGVO), der Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b DSGVO), der rechtlichen Verpflichtung (Artikel 6 Absatz 1 Buchstabe c DSGVO), des öffentlichen Interesses (Artikel 6 Absatz 1 Buchstabe e DSGVO) beziehungsweise des berechtigten Interesses (Artikel 6 Absatz 1 Buchstabe f DSGVO) oder zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erfolgen (§ 26 BDSG).

Rechtsgrundlage für Datenverarbeitungen, die allein aufgrund der allgemeinen Verwendung von Microsoft-Diensten erfolgen ist Art. 6, Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Führung eines digitalisierten, modernen und effizienten Unternehmensbetriebs.

Darüber hinaus dient insbesondere die Verarbeitung von Logfiles unserem berechtigten Interesse eine angemessene Datensicherheit für unsere alle Nutzer, deren dienstlichen Endgeräte und dem IT-Betrieb zu gewährleisten sowie gesetzlichen Verpflichtungen zu technischen und organisatorischen Schutzmaßnahmen nachzukommen.

5. Cookies bei Nutzung von Microsoft-Webanwendungen

Auf den Websites von Microsoft werden Cookies verwendet, um die zur Verfügung stehenden Microsoft-Applikationen verwendungsfreundlich zu gestalten. Cookies sind kleine Dateien, die der Web-Browser automatisch erstellt und die auf dem Endgerät (Laptop, Tablet, Smartphone usw.) gespeichert werden, wenn Sie die entsprechende Microsoft-Seite besuchen. Bei Bedarf kann jede Nutzerin und jeder Nutzer die Browser-Einstellungen zu Cookies selbst verändern. Die Nutzung von personenbezogenen Daten durch Microsoft zur Erstellung von Profilen oder zu Werbezwecken oder ähnlicher kommerzieller Zwecke ist ausgeschlossen. Bitte beachten Sie, dass Microsoft als Dienstanbieter eigene Datenschutzbestimmungen hat, die für die über die Microsoft-Dienste verarbeiteten Daten gelten.

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von Microsoft Cloud-Diensten finden Sie unter: https://privacy.microsoft.com/de-de/privacystatement

6. Weitergabe Ihrer Daten

Wir übermitteln Ihre Daten grundsätzlich nicht an Dritte. Eine Weitergabe erfolgt nur, sofern die Daten gerade zur Weitergabe bestimmt sind, Sie vorher ausdrücklich in die Übermittlung eingewilligt haben oder wir aufgrund gesetzlicher Vorschriften hierzu verpflichtet bzw. berechtigt sind. 

Bei der Verarbeitung Ihrer Daten unterstützt uns Microsoft als Dienstleister und grundsätzlich als weisungsgebundener Auftragsverarbeiter im Sinne des s Art. 4 Ziff. 8 bzw. Art. 28 DSGVO. Eine Datenverarbeitung außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Es kann jedoch nicht ausgeschlossen werden, dass Ihre Daten auch außerhalb der EU bzw. des EWR verarbeitet bzw. an Microsoft übermittelt werden, etwa wenn Sie selbst die Verbindung aus einem Land außerhalb der EU/EWR herstellen. Im Hinblick auf diese Datentransfers in Drittstaaten setzen wir die aktuellen EU-Standardvertragsklauseln ein.

Darüber hinaus gibt es Schnittstellen der Microsoft-Dienste untereinander und zu anderen betrieblichen IT-Systemen der HHLA. Je nach Konfiguration und Notwendigkeit werden hierbei personenbezogen Daten übertragen. Die Konfiguration dieser Schnittstellen erfolgt unter Einhaltung der internen und gesetzlich geltenden Datenschutzregelungen. Im Einzelfall können Ihre Daten durch eine Schnittstelle an weisungsgebundene Auftragsverarbeiter übermittelt werden (z.B. IT-Dienstleister u.a. für Fernwartungen und Support, Hosting-Anbieter, Rechenzentren, etc.). Die weitergegebenen Daten dürfen durch den Auftragsverarbeiter nur auf Basis von Vereinbarungen nach Art. 28 DSGVO verarbeitet werden. Die Auftragsverarbeiter unterliegen der Vertraulichkeit und sind zur Wahrung des Datenschutzes vertraglich verpflichtet.

In Einzelfällen können weitere gesetzliche Verpflichtungen zur Übermittlung von Daten vorliegen, die jedoch nicht allgemein, sondern nur im konkreten Einzelfall entstehen können. Hierunter fällt auch eine Kooperation mit Ermittlungsbehörden und eine Datenweitergabe in diesem Rahmen unter Beachtung des Datenschutzrechts.
 

7. Speicherdauer

Wir verarbeiten Ihre Daten grundsätzlich nur bis zur Erledigung der Zwecke, für die die Daten erhoben wurden. Danach werden Ihre Daten gelöscht, es sei denn die Verarbeitung bzw. Speicherung Ihrer Daten ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Im Übrigen gelten folgende Speicher- bzw. Löschfristen: 

• Alle Benutzerkontodaten sowie ggf. Mail-Postfächer, Chats und Daten in OneDrive und SharePoint werden grundsätzlich nach Beendigung der Bereitstellung des Dienstes gelöscht.
• Gespeicherte technische Protokolle/technische Diagnoseinformationen (z.B. Log-Files) werden nach den Standardfristen in der Regel spätestens nach 90 Tagen gelöscht oder anonymisiert.
• Aufgezeichnete Online-Meetings werden abhängig vom jeweiligen Aufzeichnungszweck gespeichert. Die konkrete Speicherdauer wird in Bezug auf die jeweilige Aufzeichnung den Teilnehmern vorab mitgeteilt.
   

8. Kein Profiling oder automatisierte Entscheidungsfindung

Im Zuge der Nutzung von Microsoft-Diensten findet kein Profiling und keine automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO durch unser Unternehmen statt. Ihre Daten werden nicht für automatisierte Einzelentscheidungen verwendet, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

9. Widerspruch oder Widerruf gegen die Verarbeitung Ihrer Daten

Falls Sie eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben. Die Zulässigkeit der Verarbeitung Ihrer Daten bis zum Zeitpunkt Ihres Widerrufs bleibt unberührt.

Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollen. Wir prüfen dann die Sachlage und werden entweder die Datenverarbeitung anpassen, einstellen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.

10. Ihre Rechte als betroffene Person

Die folgenden Rechte stehen Ihnen aufgrund der anwendbaren Datenschutzgesetze zur Verfügung:

• Das Recht auf Erteilung von Auskünften über die Verarbeitung der eigenen personenbezogenen Daten gem. Art. 15 DSGVO.
• Das Recht auf Berichtigung sowie Löschung einschließlich des „Rechts auf Vergessenwerden“ gem. Art. 16, 17 DSGVO.
• Das Recht, eine Einschränkung der Verarbeitung zu verlangen gemäß Art. 18 DSGVO.
• Das Recht auf Übertragbarkeit der Daten („Datenportabilität“) gemäß Art. 20 DSGVO.
• Das Recht keiner automatisierten Entscheidungsfindung unterworfen zu sein, die rechtliche Wirkung entfaltet oder eine Beeinträchtigung verursacht gemäß Art. 22 DSGVO.
• Das Recht, einer Verarbeitung einschließlich einem Profiling aufgrund Ihrer besonderen Situation zu widersprechen gemäß Art. 6 Abs. 1 lit. f, 21 DSGVO.
   

Das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden. In Hamburg ist die zuständige Aufsichtsbehörde:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg, Ludwig-Erhard-Str 22, 20459 Hamburg, E-Mail: mailbox@datenschutz.hamburg.de

Sämtliche Betroffenenrechte mit Ausnahme des Beschwerderechts bei der Aufsichtsbehörde können gegenüber dem Konzerndatenschutzbeauftragten bzw. gegenüber dem zuständigen betrieblichen Datenschutzbeauftragten geltend gemacht werden. Nutzen Sie hierfür bitte den unten genannten Ansprechpartner.

Kontakt zum Datenschutzbeauftragten:

Sie haben zudem das Recht, sich jederzeit an unseren Datenschutzbeauftragten zu wenden (datenschutz@hhla.de).