Dr. Daniel Wall
  • Dokument in Textverarbeitung übernehmen

Mitarbeiter, deren personenbezogene Daten im Rahmen von Microsoft 365 verarbeitet werden, haben Anspruch auf Auskunft, Einschränkung, Berichtigung, Löschung und Portierung.

  1. Auskunftsanspruch nach Art. 15 DSGVO

    1. Ermittlung aller in Microsoft 365 gespeicherten personenbezogenen Daten

      Der Arbeitgeber erfüllt vollständig seinen Auskunftsanspruch aus Art. 15 DSGVO, wenn sie aus allen verwendeten Microsoft 365 Modulen die gespeicherten personenbezogenen Daten gemäß folgender 4 Schritte ermittelt.

      Schritt 1:

      Die in die häufigsten Office-Anwendungen, Word, Excel, PowerPoint, Outlook und OneNote sowie alle weiteren von der Anfragenden verwenden Module eingetragenen personenbezogenen Daten werden mittels des Abfrage-Tools der jeweiligen Software (eDicovery-Tool) ermittelt.[1]

      Die Abfrage durchläuft Übereinstimmungen (soweit angegeben) mit: Vorname, Name, E-Mail-Adresse, Alias, Telefonnummer, Postanschrift, Mitarbeiter-ID-Nummer, Sozialversicherungsnummer.

      Schritt 2:

      Die von Microsoft 365 selbst generierten personenbezogenen Daten ("Erkenntnisse") werden, soweit eingesetzt, aus Delve, MyAnalytics und Workplace Analytics ermittelt.

      Schritt 3:

      Die von Microsoft 365 generierten Protokolle mit einem personenbezogenen Datum werden ermittelt. Dies umfasst sämtliche pseudonymisierten Protokolle aus allen Onlinediensten, soweit diese nur mit einem technisch unzumutbaren Aufwand entpseudonymisiert werden können. Soweit Microsoft die Pseudonymisierung durchführt, gilt diese nicht als mit unzumutbaren Mitteln unumkehrbar.

      Schritt 4:

      Der Arbeitgeber prüft, ob ein Fall vorliegt, in welchem der Mitarbeiter dienstlich Microsoft 365 genutzt hat, für die Microsoft selbst der Verantwortliche der Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist.[2]

      In diesem Fall wird der Arbeitgeber den Mitarbeiter darauf hinweisen, dass er eine zusätzliche Betroffenenauskunft unmittelbar an Microsoft richten kann, weil dort möglicherweise weitere personenbezogene Daten über ihn gespeichert sein könnten.

    2. Umfang der Datenauskunft

      Die zu erteilende Datenauskunft umfasst:

      • die Verarbeitungszwecke;
      • die Kategorien personenbezogener Daten, die verarbeitet werden;
      • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
      • die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
      • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
      • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
      • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
      • das Bestehen einer automatisierten Entscheidungsfindung einschließlich und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

      Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

    3. Form der Datenauskunft

      Die Auskunft erfolgt in elektronischer Form, wenn der Antrag in elektronischer Form gestellt wurde, im Übrigen schriftlich.

      Der Arbeitgeber kann die ermittelten Daten textlich und/oder in Screenshots zusammenstellen.

      Der Arbeitgeber wählt die Darstellungsform, die eine präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache ermöglicht.

      Die Datenauskunft stellt der Arbeitgeber unentgeltlich zur Verfügung.

      Das Recht des Betroffenen, eine Kopie aller über ihn gespeicherten personenbezogenen Daten zu erhalten, findet seine Grenze im allgemeinen Persönlichkeitsschutz Dritter. Der Arbeitgeber hat sicherzustellen, dass die dem Mitarbeiter erteilte Auskunft keine personenbezogenen Daten anderer Mitarbeiter enthält.

      Der Arbeitgeber ist berechtigt, an der Datenauskunft Schwärzungen vorzunehmen, soweit dies zum Schutz von Betriebs- oder Geschäftsgeheimnissen oder des Schutzes von geistigem Eigentum zwingend erforderlich ist.

    4. Frist der Datenauskunft

      Der Arbeitgeber stellt der betroffenen Person die Datenauskunft innerhalb eines Monats nach Zugang des Antrags zur Verfügung.

      Entscheidet sich der Arbeitgeber, einem Auskunftsantrag nicht nachzukommen, so unterrichtet sie den Anfragenden unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen, einen gerichtlichen Rechtsbehelf einzulegen und ...

Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge