Datenschutzerklärung für die Verarbeitung personenbezogener Daten in Microsoft 365

Der Schutz Ihrer Privatsphäre ist für das Europäische Patentamt (EPA) von höchster Bedeutung. Wir sind dem Schutz Ihrer personenbezogenen Daten und Ihrer Rechte als betroffener Person verpflichtet. Alle personenbezogenen Daten (d. h. Daten, mit denen Sie direkt oder indirekt identifiziert werden können) werden nach Treu und Glauben, auf rechtmäßige Weise und mit der gebotenen Sorgfalt verarbeitet.

Die Verarbeitung erfolgt nach den Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt. Wir sind darauf bedacht, dass unser Datenschutzrahmen der aktuellen optimalen Praxis entspricht. Seine Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO) wurde unlängst in einem Audit bestätigt.

1. Wie und warum verarbeiten wir Ihre personenbezogenen Daten?

Wir haben unsere Nutzung von Microsoft 365 erweitert, die cloud-basierte Dienste wie OneDrive, MS Teams und MS Forms umfasst. Die in Microsoft 365 enthaltenen Anwendungen werden für die Nutzer mit dem Ziel bereitgestellt, die Flexibilität zu erhöhen und die Kommunikation und Zusammenarbeit sowohl innerhalb des EPA als auch zwischen dem EPA und externen Parteien zu verbessern.

Für die Bereitstellung der oben genannten Dienste werden personenbezogene Daten verarbeitet, d. h. erhoben und in den Cloud-Servern von Microsoft gespeichert.

Die verarbeiteten Daten werden nicht für automatisierte Entscheidungen einschließlich Profiling verwendet.

2. Welche personenbezogenen Daten verarbeiten wir?

Wir verarbeiten die folgenden Kategorien/Arten von personenbezogenen Daten:

  • Angaben zur persönlichen Identifizierung: Benutzername, Vor- und Zuname, E-Mail-Adresse, Telefonnummer (Arbeit), Beruf und bevorzugte Sprache
  • Angaben zur elektronischen Identifizierung: IP-Adresse, Cookies, Verbindungsdaten und Zugriffszeiten
  • Metadaten, die für die Wartung des bereitgestellten Dienstes verwendet werden
  • alle Daten, die im Rahmen der Dateifreigabe für berufliche Aktivitäten (potenziell) verarbeitet werden (z. B. Nachrichten, Bilder, Dateien, Sprachmitteilungen, Kalendereinträge oder Kontakte)

3. Wer ist für die Verarbeitung der Daten verantwortlich?

Die Verarbeitung personenbezogener Daten erfolgt unter der Verantwortung unseres Chief Information Officer, der unserer Abteilung Business Information Technology (BIT) angehört und als bevollmächtigter Datenverantwortlicher des EPA handelt.

Die personenbezogenen Daten werden vom externen Dienstleister des EPA, Microsoft, für die folgenden Aktivitäten verarbeitet:

  • Unterstützung der Endnutzer und Problemlösung für Anwendungen und Funktionen von Microsoft 365
  • Nachverfolgung von Änderungen von Nutzern und Gruppen
  • Verwaltung der in Microsoft 365 hochgeladenen Inhalte, einschließlich der Politik für Speicherfristen
  • Verwaltung der Einstellungen von Microsoft 365
  • Unterstützung, Betrieb und Wartung der Online-Dienste des EPA

Weitere Informationen über die Verarbeitung personenbezogener Daten durch Microsoft finden sich in der Datenschutzerklärung von Microsoft.

4. Wer hat Zugriff auf Ihre personenbezogenen Daten und für wen werden sie offengelegt?

Personenbezogene Daten werden bedarfsorientiert für folgende Empfänger offengelegt:

  • EPA-Bedienstete und externe Nutzer, die von Microsoft-365-Diensten zum Informationsaustausch umfasst sind
  • Mitarbeiter von BIT und Microsoft, die an der für den Dienst erforderlichen Datenverarbeitung beteiligt sind

Die personenbezogenen Daten werden in der Europäischen Union (EU) gemäß der vom EPA implementierten Anwendungskonfiguration gespeichert.

Sie werden nicht für andere Zwecke verwendet und auch nicht für andere Empfänger offengelegt.

5. Wie schützen wir Ihre personenbezogenen Daten?

Wir ergreifen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor versehentlicher oder rechtswidriger Vernichtung, Verlust oder Veränderung sowie unbefugter Offenlegung oder unbefugtem Zugang zu schützen.

Microsoft 365 wurde so konfiguriert, dass die Vertraulichkeit der ausgetauschten Informationen gewahrt wird, indem alle Kommunikationsvorgänge und die Speicherung verschlüsselt erfolgen. Der anonyme Zugriff ist nicht gestattet. Alle Informationen, die Sie über Chats, Videokonferenzen oder Dateifreigaben zu Microsoft 365 hinzufügen, stehen nur den oben in Punkt 4 genannten spezifischen Nutzern und Gruppen zur Verfügung.

Die Datenzentren von Microsoft sind nach mehreren Sicherheitsstandards zertifiziert, darunter ISO27001, SOC1 und SOC2, NIST Cybersecurity Framework (CSF), ISO27017 und ISO27018 Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud.

Microsoft hat eine Reihe von Sicherheitsmaßnahmen implementiert, um die Verfügbarkeit der Informationen zu gewährleisten. Dabei ist mindestens vorgesehen, dass die Daten zwischen zwei Datenzentren derselben Region repliziert werden, Redundanzkontrollen durchgeführt werden und Backups erfolgen, die vor der Übermittlung und Speicherung verschlüsselt werden.

Die Datenzentren verfügen über physische und logische Maßnahmen zur Sicherheitsüberwachung, darunter:

  • Videoüberwachung der Umgebung
  • seismische und umwelttechnische Überwachung der Gebäude
  • Überwachung von Sicherheitsbedrohungen wie z. B. Würmern, Denial-of-Service-Angriffen, unbefugtem Zugriff und anderen unrechtmäßigen Aktivitäten

Microsoft hat über 700 Sicherheitsmaßnahmen in seinen Systemen, Servern und Datenzentren implementiert. Dazu zählen Sicherheitsmaßnahmen gegen versehentliche oder rechtswidrige Zerstörung, Verlust, unbefugten Zugriff, Benutzung, Veränderung oder Offenlegung. Diese internen Kontrollen werden jährlich in einem Audit geprüft. Bei Bedarf können Auditinformationen im Rahmen einer Geheimhaltungsvereinbarung bereitgestellt werden. Die Informationen sind bei ihrer Speicherung und Übermittlung verschlüsselt.

Wie vorstehend erwähnt, werden die personenbezogenen Daten in der EU gemäß der vom EPA implementierten Anwendungskonfiguration gespeichert. Sie können jedoch Unterauftragnehmern in anderen Ländern abhängig von den Erfordernissen bezüglich Wartung, Unterstützung oder Betrieb von cloud-basierten Diensten und der Verfügbarkeit dieses Know-hows zur Verfügung gestellt werden. Wird Zugriff auf die Daten gewährt, so geschieht dies befristet und nur für die Daten, die für das spezifische Wartungs-, Unterstützungs- oder Betriebsverfahren erforderlich sind. Die folgenden Sicherheitsmaßnahmen sind im Einsatz:

  • Bei allen Transfers in Drittländer nutzt Microsoft Standardvertragsklauseln der EU für den Datentransfer mit seinen Unterdatenverarbeitern.
  • Microsoft verlangt, dass sich die Unterdatenverarbeiter dem Microsoft Supplier Security and Privacy Assurance Program. anschließen. Dieses Programm soll die Praxis der Datenverarbeitung standardisieren und stärken und gewährleisten, dass die Geschäftsprozesse und -systeme der Lieferanten mit denen von Microsoft konform sind.

6. Wie können Sie auf Ihre Daten zugreifen, Ihre Daten berichtigen und empfangen oder deren Verarbeitung beschränken bzw. ihr widersprechen?

Sie haben gemäß Artikel 14 der Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt das Recht, auf Ihre Daten zuzugreifen, sie zu berichtigen und zu empfangen sowie ihre Verarbeitung zu beschränken und der Verarbeitung zu widersprechen.

Wenn Sie von einem dieser Rechte Gebrauch machen möchten, wenden Sie sich bitte schriftlich mit Angaben zu Ihrem Antrag an unseren Chief Information Officer unter CIO_CTO_Office@epo.org.

Wir werden Ihren Antrag baldmöglichst und in jedem Fall innerhalb von drei Monaten nach Eingang des Antrags bearbeiten. Gemäß Artikel 14 (7) der Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt kann dieser Zeitraum jedoch bei Bedarf unter Berücksichtigung der Komplexität und Zahl der eingegangenen Anträge verlängert werden. Wir werden Sie innerhalb eines Monats ab Eingang Ihres Antrags über eine solche Verlängerung und die Gründe dafür informieren.

7. Auf welcher Rechtsgrundlage basiert die Verarbeitung Ihrer Daten?

Die Verarbeitung erfolgt nach Artikel 5 a) der Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt.

Personenbezogene Daten werden im Einklang mit der Politik des EPA zur Informationssicherheit erhoben und verarbeitet.

8. Wie lange speichern wir Ihre Daten?

Laut Microsofts Standardpolitik für Microsoft 365 können Daten bis zu 93 Tage nach ihrer Löschung durch den Nutzer wiederhergestellt werden.

9. Kontakt

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte schriftlich an unseren Chief Information Officer unter CIO_CTO_Office@epo.org.

Alternativ können Sie sich auch an unseren Datenschutzbeauftragten wenden unter dpo@epo.org.

Quick Navigation