--- title: Datenschutz url: "https://www.martinbraungruppe.com/de-de/datenschutz-m365/" date: 2023-02-02 modified: 2023-02-02 lastUpdated: 2023-02-02 --- # Datenschutz 1. [Home](https://www.martinbraungruppe.com/de-de/de-de/) 2. Datenschutz M365 Datenschutz ============= --- Scroll down for english version **Datenschutzhinweise** ======================= Informationspflichten über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von Microsoft 365 (Art. 13 DS-GVO) **1. Allgemeine Hinweise** Als für die Verarbeitung Ihrer personenbezogenen Daten Verantwortlicher im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) informieren wir Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Applikationen von Microsoft 365. Verantwortlicher für die Verarbeitung der personenbezogenen Daten ist die Martin Braun Backmittel und Essenzen KG Tillystraße 17 30459 Hannover Kontakt: Wir haben einen Datenschutzbeauftragten benannt. Sie erreichen diesen wie folgt: Martin Braun Backmittel und Essenzen KG Datenschutzbeauftragter Tillystraße 17 30459 Hannover Kontakt: **2. Begriffe** Innerhalb dieser Datenschutzhinweise verwenden wir folgende Begriffe: **Personenbezogene Daten** Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „Sie“) beziehen, wie zum Beispiel Name, Adresse, E-Mail Adresse, Bankdaten, etc.. **Verarbeitung** Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, die Einschränkung, das Löschen oder die Vernichtung der personenbezogenen Daten. **Verantwortlicher** Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. **Auftragsverarbeiter** Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. **Einwilligung** Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. **Aufsichtsbehörde** Aufsichtsbehörde ist eine von einem Mitgliedsstaat eingerichtete unabhängige staatliche Stelle, die die Verarbeitung von personenbezogenen Daten beaufsichtigt. **3. Zwecke der Verarbeitung, Rechtsgrundlagen und berechtigte Interessen** Wir verarbeiten Ihre personenbezogenen Daten zu den folgenden Zwecken: - Sicherheit der M365-Umgebung - Organisation und Verwaltung der M365-Umgebung, inklusive des Benutzermanagements - Gewährleistung der Funktionsfähigkeit der M365-Umgebung - Erbringung von Supportleistungen für die Nutzer von M365-Services - Überprüfung der Konformität der M365-Umgebung - Kollaboration und Austausch zwischen den Nutzern der M365-Umgebung zum Beispiel in Form von Video- oder Telefonkonferenzen, Chats oder Umfragen - Arbeitsorganisation der Nutzer der M365-Services - Datenspeicherung, Aufzeichnungen von Video- oder Webkonferenzen - Datenspeicherung, Aufzeichnungen von Video- oder Webkonferenzen, um eingeladenen Personen, die nicht an der Veranstaltung teilnehmen konnten, später die Aufnahmen zur Verfügung zu stellen. - Anzeige des Verfügbarkeitsstatus - Gewährleistung der Informationssicherheit Diese Verarbeitungen stützen sich auf die folgenden Rechtsgrundlagen: Wir verarbeiten Ihre personenbezogenen Daten in Zusammenhang mit der Nutzung von M365 zum Zwecke des Beschäftigungsverhältnisses, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist, § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG). Wir verarbeiten Ihre personenbezogenen Daten, einschließlich besonderer Kategorien personen-bezogener Daten, zum Zwecke des Beschäftigungsverhältnisses außerdem auf der Grundlage von Betriebsvereinbarungen, Art. 88 DSGVO iVm § 26 Abs. 4 BDSG. Daneben verarbeiten wir Ihre personenbezogenen Daten, wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen, Art. 6 Abs. 1 lit. f) DSGVO. Das berechtigte Interesse im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO ergibt sich bei Verwendung der Applikationen von M365 insbesondere aus sicherheitsrelevanten Aspekten, beispielsweise in Form von Reportings, um Administratorentätigkeiten nachträglich nachvollziehen zu können. Auch Aufzeichnungen von Veranstaltungen, die einem besonderen Dokumentationserfordernis unterliegen (offene Veranstaltungen, Publikumsseminare, öffentliche Vorträge u.ä.), können durch das berechtigte Interesse legitimiert sein. Im Übrigen verarbeiten wir Ihre personenbezogenen Daten, wenn und soweit Sie uns hierfür eine Einwilligung erteilt haben. Dies ist üblicherweise der Fall, wenn Sie kein Mitarbeitender von Martin Braun sind und sich gesondert für eine Veranstaltung über Teams registriert haben. Rechtsgrundlage für die Datenverarbeitung auf Grundlage Ihrer freiwilligen Einwilligung ist Art. 6 Abs. 1 Satz 1 a DSGVO, wobei Ihnen in diesem Fall das Widerrufsrecht für die Zukunft zusteht. Den Widerruf können Sie schriftlich an die Kontaktdaten der unter Ziffer 1. genannten verantwortlichen Stelle richten. Die Rechtmäßigkeit der bis zur Geltendmachung Ihrer Rechte erfolgten Datenverarbeitung bleibt hiervon unberührt. **4. Verarbeitete Daten bei der Nutzung von M365 Teams** Bei der Nutzung von Teams werden verschiedene Kategorien von Daten verarbeitet. Der Um-fang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie im Rahmen der Registrierung zu einer Veranstaltung, vor bzw. während der Teilnahme an einem Teams Meeting machen. **Angaben zum Benutzer:** Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), **Meeting-Metadaten:** Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hard-ware-Informationen **Bei Aufzeichnungen (optional):** MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online- Meeting-Chats. **Bei Einwahl mit dem Telefon:** Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Gegebenenfalls können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden. **Text-, Audio- und Videodaten:** Sie haben ggf. die Möglichkeit, in einem „Online- Meeting“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Einstellungen in Teams abschalten bzw. stummstellen. Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen. **Umfragen über „forms“:** Der Meeting-Owner hat die Möglichkeit über forms eine Umfrage innerhalb des Teams Meeting zu starten. Dadurch werden Ihre Antworten dann verarbeitet, wenn die Umfrage nicht anonym gestellt wurde. Die Antworten erscheinen dem Umfragenden sodann als Auswertung. **5. Empfänger von personenbezogenen Daten** Wir geben Ihre personenbezogenen Daten im Rahmen der oben genannten Verarbeitungszwecke an den folgenden von uns eingesetzten Dienstleister (Auftragsverarbeiter) weiter: - Microsoft Ireland Operations Limited One Microsoft Place, South County Business Park, Leopardtown Dublin 18, Irland und - Microsoft Corporation One Microsoft Way Redmond, Washington 98052, Vereinigte Staaten von Amerika. Dieser Dienstleister arbeitet wiederum mit den folgenden Dienstleistern zusammen: - Unterauftragsverarbeiter und - Supportdienstleister. Die Datenschutzhinweise von Microsoft können Sie hier nachlesen. Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online- Meetings oder Webinaren verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind oder in diesen Hinweisen explizit benannt sind. Sofern aufgezeichnete Meetings anschließend weitergegeben bzw. veröffentlicht werden, wird der Teil-nehmerkreis darüber im Rahmen der Veranstaltung unterrichtet. Dabei wird konkret auf den Empfängerkreis hingewiesen, an welchen die Daten anschließend weitergegeben werden. Beachten Sie, dass Inhalte aus derartigen Veranstaltungen und Meetings häufig gerade dazu dienen, um Informationen mit Mitarbeitenden, Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind. Eine weitergehende Übermittlung der Daten erfolgt nicht bzw. nur dann, wenn Sie der Übermittlung ausdrücklich zugestimmt haben. Eine nicht notwendige Weitergabe Ihrer personenbezogenen Daten an Dritte ohne Ihre ausdrückliche Einwilligung, etwa zu Werbezwecken, erfolgt nicht **6. Datenverarbeitung außerhalb der Europäischen Union** Ihre personenbezogenen Daten werden an ein Drittland übermittelt. Diese Übermittlung wird durch die Standarddatenschutzklauseln legitimiert, die zusätzliche Absicherung für die Verarbeitung Ihrer personenbezogenen Daten in Drittländern enthalten. **7. Ihre Rechte als Betroffener** Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen, vom Recht auf Datenübertragbarkeit Gebrauch machen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18, 20, 21 DSGVO). Bitte setzen Sie sich mit uns in Verbindung, wenn Sie ein Betroffenenrecht geltend machen möchten und wenden sich an die unter Ziffer 2. genannte Kontaktperson. **8. Dauer der Verarbeitung und Löschung von Daten** Wir speichern Ihre personenbezogenen Daten nur so lange, wie es erforderlich ist. Das bedeutet, soweit nicht in dieser Datenschutzerklärung anderweitig beschrieben, speichern wir Ihre personenbezogenen Daten bis zu dem Zeitpunkt, zu dem keine Ansprüche mehr in Zusammenhang mit der Begründung, Durchführung und Abwicklung von Diensten, Verträgen oder vertragsähnlichen Verhältnissen oder der Funktionsfähigkeit der Webseiten bestehen können und auch alle sonstigen Aufbewahrungs- und Dokumentationspflichten erloschen sind. Solche Aufbewahrungs- und Dokumentationspflichten können sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) oder weiteren nationalen Gesetzen ergeben. Ansonsten orientieren wir uns an den gesetzlichen Verjährungsfristen. Wenn eine Aufbewahrung nach diesen Regelungen nicht mehr erforderlich oder zulässig ist, löschen wir Ihre Daten. Ihre personenbezogenen Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und soweit der Löschung keine Aufbewahrungspflichten, an die wir rechtlich gebunden sind, entgegenstehen. **9. Beschwerderecht bei einer Aufsichtsbehörde** Jede betroffene Person kann sich gemäß Art. 77 Abs. 1 DSGVO unbeschadet weiterer Rechtsbehelfe mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden, wenn sie der Ansicht ist, durch die Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen in ihren Rechten verletzt worden zu sein. Die zuständige Aufsichtsbehörde erreichen Sie unter: Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover E-Mail: [poststelle@lfd.niedersachsen.de ](mailto:poststelle@lfd.niedersachsen.de) Telefon: +49 (0) 511 120 45 00 **10. Erforderlichkeit der Bereitstellung der personenbezogenen Daten und möglichen Folgen der Nichtbereitstellung** Die Angabe Ihrer personenbezogenen Daten erfolgt freiwillig. Sofern Sie Ihre Daten nicht bereitstellen, kann dies allerdings zur Folge haben, dass Sie die angebotenen M365-Services nicht nutzen können. **11. Änderung dieser Datenschutzhinweise** Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. In diesem Fall werden die Änderungen öffentlich gemacht bzw. bekannt gegeben. Stand: Februar 2023 Data protection notices ======================= Information requirements on the processing of personal data in the context of the use of Microsoft 365 (Art. 13 GDPR) **1. General information** As the responsible party for processing your personal data within the meaning of Art. 4 No. 7 of the General Data Protection Regulation (GDPR), we inform you about the processing of personal data in the context of the use of Microsoft 365 applications. Controller (responsible party) for the processing of personal data is: Martin Braun Backmittel und Essenzen KG Tillystraße 17 30459 Hannover Kontakt: We have appointed a data protection officer. You can contact him as follows: Martin Braun Backmittel und Essenzen KG Datenschutzbeauftragter Tillystraße 17 30459 Hannover contact: **2. Terms** Within this privacy notice, we use the following terms: **Personal data** Personal data is any information relating to an identified or identifiable natural person (hereinafter "you"), such as name, address, email address, bank details, etc.... **Processing** Processing means any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, arrangement, storage, adaptation or alteration, retrieval, consultation, use, disclosure, restriction, erasure or destruction of the personal data. **Person in charge** The controller is the natural or legal person, public authority, agency or other body which alone or jointly with others determines the purposes and means of the processing of personal data. **Processor** Processor is a natural or legal person, public authority, agency or other body that processes personal data on behalf of the Controller. **Consent** Consent is any indication of intention given voluntarily by the data subject for the specific case in an informed manner and unambiguously, by which the data subject indicates that he or she consents to the processing of personal data relating to him or her. **Supervisory Authority** Supervisory Authority means an independent governmental body established by a Member State to supervise the processing of personal data. **3. Purposes of the processing of personal data, legal terms and legiti- mate interests** We process your personal data for the following purposes: - Security of the M365 environment - Organization and administration of the M365 environment, including user management - Providing support services for users of M365 services - Verifying the compliance of the M365 environment - Collaboration and exchange between users of the M365 environment, for example in the form of video or telephone conferences, chats or surveys - Work organization of the users of the M365 services - Data storage, recordings of video or web conferences in order to make the recordings available later to invited persons who could not attend the event. - Display of availability status - Ensuring information security This processing is based on the following legal bases: We process your personal data regarding the use of M365 for the purpose of the employment relationship if this is necessary for the performance of the employment relationship, Section 26 (1) of the German Federal Data Protection Act (BDSG). We also process your personal data, including special categories of personal data, for the purpose of the employment relationship on the basis of company agreements, Article 88 DSGVO in con-junction with Section 26 (4) BDSG. In addition, we process your personal data if the processing is necessary to protect our legitimate interests, provided that your interests or fundamental rights and freedoms that require the protection of personal data do not override, Art. 6 para. 1 lit. f) DSGVO. The legitimate interest within the meaning of Art. 6 (1) lit. f) DS-GVO arises when using the applications of M365, in particular from security-related aspects, for example in form of reporting to be able to subsequently track administrator activities. Recordings of events that are subject to a special documentation requirement (open events, public seminars, public lectures, etc.) may also be legitimized by the legitimate interest. In other respects, we process your personal data if and to the extent that you have given us consent to do so. The legal basis for data processing based on your voluntary consent is Art. 6 (1) sentence 1 a DSGVO, in which case you have the right of revocation for the future. You can send the revocation in writing to the contact details of the responsible body mentioned under point 2. The lawfulness of the data processing carried out until the assertion of your rights remains unaffected. **4. Data processed when using M365 Teams** When using Teams, various categories of data are processed. The amount of data depends on the information you provide when registering for an event, before or during participation in a Teams meeting. **User details:** first name, last name, phone (optional), email address, password (if "single sign-on" is not used), profile picture (optional), **Meeting-data:** Topic, description (optional), attendee IP addresses, device/hardware information. **If recording (optional):** MP4 file of all video, audio and presentation recordings, M4A file of all audio recordings, text file of online meeting chat. **Dial-In with phone:** information on the incoming and outgoing call number, country name, start and end time. If necessary, further connection data such as the IP address of the device can be stored. **Text-, audio- and videodata**: You may have the opportunity to use the chat, question or survey functions in an "online meeting". To this extent, the text entries you make are processed in order to display them in the "online meeting" and, if necessary, to log them. To enable the display of video and the playback of audio, the data from the microphone of your terminal device and from any video camera of the terminal device will be processed accordingly for the duration of the meeting. You can turn off or mute the camera or microphone yourself at any time via the settings in Teams. To participate in an "online meeting" or to enter the "meeting room", you must at least provide information about your name. **Polls via „forms**“: The meeting owner has the possibility to start a poll within the team meeting via forms. This will process the responses if the survey is not anonymous. The answers will appear to the pollster as an evaluation. **5. Recipients or categories of recipients of personal data** We disclose your personal data - within the scope of the above-mentioned processing purposes – to the following service provider (processor) used by us: - Microsoft Ireland Operations Limited One Microsoft Place, South County Business Park, Leopardtown Dublin 18, Irland and - Microsoft Corporation One Microsoft Way Redmond, Washington 98052, United States of America. This service provider works with the following service providers: - Sub-processors and - Support service provider. Microsoft`s privacy policy can be read here. Personal data processed in connection with participation in online meetings or webinars will not be disclosed to third parties unless it is intended for disclosure or explicitly stated in these notes. If recorded meetings are subsequently passed on or published, the participants will be informed of this as part of the event. Specific reference will be made to the group of recipients to whom the data will subsequently be passed on. Please note that the content of such events and meetings is often used to communicate information with employees, customers, interested parties or third parties and is therefore intended to be passed on. A further transmission of the data will not take place or only if you have expressly consented to the transmission. A non-essential transfer of your personal data to third parties without your ex-press consent, for example for advertising purposes, will not take place. **6. Data processing outside the European Union** Your personal data will be transferred to a third country. This transfer is legitimised by the standard data protection clauses, which contain additional safeguards for the processing of your personal data in third countries. **7. Your rights as a data subject** You can request information about whether we are processing your personal data. If we do, you have the right to access about this personal data as well as other information related to the processing of your data (Art. 15 GDPR). If personal data about you are not (or no longer) accurate or incomplete, you may request that these data be corrected and, if necessary, completed (Art. 16 GDPR). If the conditions of Art. 17, 18, 20, 21 GDPR are met, you can request the deletion or restriction of processing, make use of the right to data portability as well as object to processing. Please contact us if you would like to claim one of these rights: Data protection coordinator: Data privacy officer: **8. Duration of processing an Deletion of data** We store your personal data only for as long as is necessary. This means that, unless otherwise described in this privacy policy, we will store your personal data until such time as no claims can be made in connection with the establishment, performance and settlement of services, contracts or similar relationships or the functionality of the websites and all other storage and documentation obligations have expired. Such retention and documentation obligations may arise, among other things, from the German Commercial Code (HGB) and the German Fiscal Code (AO) or other national relevant regulations. Otherwise, we are guided by the statutory limitation periods. If storage is no longer necessary or permissible under these regulations, we delete your data. Your personal data will be deleted as soon as they are no longer required to achieve the purpose for which they were collected and insofar as the deletion does not conflict with any retention obligations to which we are legally bound. **9. Right of complaint to the supervisor authority** Any data subject may lodge a complaint with the competent supervisory authority pursuant to Article 77 (1) of the GDPR, without prejudice to further legal remedies, if they consider that their rights have been infringed by the processing of their personal data by the controller. You can reach the responsible supervisory authority at: Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover e-mail: [poststelle@lfd.niedersachsen.de ](mailto:poststelle@lfd.niedersachsen.de) phone: +49 (0) 511 120 45 00 **10. Requirement of providing the personal data and possible consequences of not providing it** The provision of your personal data is voluntary. However, if you do not provide your data, this may mean that you cannot use the M365 services offered. **11. Amendment of this privacy protection notices** We revise this data protection notice in the event of changes to data processing or other occasions that make this necessary. In this case, the changes will be made public or announced. February 2023