Datenschutzerklärung Microsoft 365 bei der AOK Nordost

Die Verarbeitung der Daten erfolgt im Auftrag der AOK Nordost durch die Microsoft Deutschland GmbH und bei der Microsoft Ireland Operations, Ltd.

Die Video- und Audiodaten werden verschlüsselt übertragen und nicht gespeichert. Kommunikationen und ihre Teilnehmer werden ohne Inhalte, Chats auch mit ihren Inhalten, als Verlaufsprotokoll nach Abschluss den Beteiligten zur Verfügung gestellt, sofern ihre technische Identität der AOK Nordost bekannt ist, sie also keine Gast-Nutzer sind. Metadaten der Kommunikation werden für Supportzwecke max. einen Monat gespeichert und anschließend gelöscht. Telemetrie- bzw. Metadaten werden durch Microsoft pseudonymisiert erhoben und gespeichert sowie für weitere Zwecke wie z.B. Support, Qualitätskontrolle, Fehlersuche, Produktverbesserung genutzt. Weitere Informationen zur Verarbeitung dieser Daten durch Microsoft finden Sie hier. Dies stellt ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO dar. Sie haben das Recht, dieser Datenverarbeitung zu widersprechen (Art. 21 Abs. 1 DSGVO). Eine automatisierte Entscheidungsfindung findet nicht statt (Art. 22 DSGVaO).

Die Verantwortliche Stelle nach Art. 4 Nr. 7 DSGVO

AOK Nordost – Die Gesundheitskasse vertreten durch den Vorstand:
Daniela Teichert (Vors.); Hans-Joachim Fritzen (Stellv.); 14456 Potsdam

Die Grundlage der Verarbeitung der personenbezogenen Daten interner Mitarbeiter:innen sowie Bewerber:innen ergeben sich aus:

• Artikel 88 DSGVO i.V.m. anwendbaren Tarifverträgen
• 26 BbgDSG i.V.m. Dienstanweisungen und/oder –Vereinbarungen zur Durchführung des Beschäftigungsverhältnisses
• 106 GewO i.V.m. §315 BGB, Ausübung des Weisungsrechts des Arbeitgebers nach billigem Ermessen

Für externe Nutzer kommen die folgenden Rechtsgrundlagen in Betracht:

• Artikel 6 Abs. 1 lit. b DSGVO i.V. m. §145 ff. BGB im Rahmen der Begründung oder Durchführung eines Vertrages von Dienstleistern als natürliche Person
• Artikel 6 Abs. 1 lit. c DSGVO im Rahmen der Begründung oder Durchführung eines Vertrages nach §145 ff. BGB
• 5 Abs. 1 BbgDSG zur Erfüllung der in der Zuständigkeit der AOK Nordost liegenden Aufgabe

Für sonstige Betroffene (z.B. Versicherte, andere Behörden, Leistungserbringer) sind weitere gemeinsame Rechtsgrundlagen maßgeblich:

• Artikel 6 Abs. 1 lit. a,e DSGVO
• 67 b Abs. 1 SGB X i. V. m. §284 Abs. 1 SGB V und §22 Abs. 1 Nr. 1 BDSG
• 30 Abs. 1 SGB IV i. V. mit Rechtsgrundlagen für interne und externe Nutzer
• § 2, 12 SGB V
• 69 Abs. 1 Nr. 1 SGB X
• 67 Abs. 1 HS 1 SGB V

Weiterhin gelten für alle Nutzer die nachstehend genannten berechtigten Interessen der AOK Nordost als Grundlagen der Datenverarbeitung (Artikel 6 Abs. 1 lit. f DSGVO). Die Verarbeitung von pbD mit technischem Bezug wie z.B. IP-Adressen, Telefonnummern u.ä. als verbindender Parameter bei der Nutzung digitaler Anwendungen als Arbeitsmittel stellt ein grundlegendes berechtigtes Interesse der AOK Nordost dar. Dies umfasst auch die Gewährleistung von IT-Sicherheit (Erwägungsgrund 49) sowie die ggf. erforderlich werdende Geltendmachung rechtlicher Ansprüche z.B. bei Betrug (ErwG 47) und anderer strafrechtlich relevanter Sachverhalte (ErwG 50). Schließlich werden die Erbringung von Support, Qualitätskontrolle, Fehlersuche und Produktverbesserung vom berechtigten Interesse ebenfalls umfasst (ErwG 47, 50).

In der Anwendung MS Teams werden folgende Kategorien personenbezogener Daten verarbeitet:

• Stammdaten der Beschäftigten und ext. Dienstleister
• Identitätsdaten
• Kommunikationsdaten
• technische Daten
• Sozialdaten (§67 SGB X)
• Gesundheitsdaten (Art. 9 EU-DSGVO)

Davon betroffen sind insbesondere folgende Personengruppen:

AOK Nordost-intern (Business-to-Employee):

• Mitarbeitende der AOK sowie deren Gremienmitglieder 

AOK Nordost-extern (Business-to-Administration):

• Geschäftspartner und Firmenkunden sowie Leistungserbringer und Dienstleister inkl. deren Vertreter 

Sonstige Betroffene (Business-to-Business):

• Versicherte, Bevollmächtigte und Betreuer und 

sonst. natürliche Personen ausgenommen der direkten Nutzung gegenüber diesem Personenkreis (Business-to- Consumer)

Sie haben als betroffene Person gemäß der EU-DSGVO folgende Rechte:

• Recht auf Auskunft über verarbeitete Daten (Art. 15 DSGVO)
• Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• zuständige Beschwerdestelle (Art. 13 (2) lit. d DSGVO i.V.m. Art.77 DSGVO)

Sie haben das Recht, sich direkt an eine Aufsichtsbehörde zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.  

Die Anschrift der Datenschutz-Aufsichtsbehörde für die AOK Nordost lautet:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Telefon: 03 32 03/356-0
E-Mail: poststelle@lda.brandenburg.de
Homepage: www.lda.brandenburg.de

Selbstverständlich steht Ihnen der/die Datenschutzbeauftragte der AOK Nordost für Ihre Fragen auch gerne direkt zur Verfügung.

Datenschutzbeauftragte/Datenschutzbeauftragter der AOK Nordost
Brandenburger Str. 72
14467 Potsdam

Kontaktformular zum Datenschutzbeauftragten

Allgemeine Informationen zur Datenverarbeitung können Sie auf unserer Seite Informationen zur Datenverarbeitung und zu Ihren Rechten einsehen.

Die Verarbeitung der Daten erfolgt im Auftrag der AOK Nordost durch die Microsoft Deutschland GmbH und bei der Microsoft Ireland Operations, Ltd im Rahmen einer Auftragsverarbeitungsvereinbarung. In diesem Rahmen werden die erforderlichen Daten dem Auftragsverarbeiter zweckgebunden zur Verfügung gestellt. Dies umfasst die unter https://docs.microsoft.com/de-de/microsoftteams/teams-privacy dokumentierten Daten. Eine Nichtbereitstellung dieser personenbezogenen Daten kann eine Nichtteilnahme an dem jeweiligen Teams-Meeting zur Folge haben.

Die Informationen werden gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit Dritte diese Daten im Auftrag verarbeiten. Die verarbeiteten Daten können auf Server in den USA und sonstigen Drittstaaten übermittelt und dort verarbeitet werden. Microsoft stützt die Übermittlung von Daten in die USA auf das EU-U.S. Data Privacy Framework (DPF) bzw. den auf dieser Grundlage am 10.07.2023 von der EU-Kommission erlassenen Angemessenheitsbeschluss. Im Falle der Datenweitergabe in andere Drittstaaten erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln, sofern es sich nicht um Sozialdaten handelt. Dadurch ist gewährleistet, dass ein Schutzniveau, welches mit dem in der EU vergleichbar ist, besteht. Eine Kopie der Standardvertragsklauseln können Sie hier erhalten.