Microsoft Forms – Mustererklärung im Sinne des Datenschutzes

Microsoft Forms – Mustererklärung im Sinne des Datenschutzes

Du bist hier:
< zurück

Microsoft Forms ist das universelle Umfragewerkzeug in Microsoft 365. In diesem Bereich gilt es natürlich auch eine entsprechende Datenschutzerklärung zu hinterlegen und optimaler Weise auch Nutzungsbedingungen. Diese könnten per Conditional Access Terms of Use automatisiert gegeben werden oder auch innerhalb des Forms.

Logs des Artikels

Version 1 8.4.2021 Erstellung des Beitrages
Version 2 6.2.2022 Aktualisierung und Ergänzungen

Microsoft Forms

Microsoft Forms ist ein universelles Umfragewerkzeug in Office 365. Es können Umfragen innerhalb von Nutzer:innen der Umgebung durchgeführt werden, sowie auch anonyme Umfragen. Es gibt keine Begrenzung der Anzahl der Möglichkeiten des Ausfüllens, aber viele Möglichkeiten für Fragen, Auswahl oder sogar die Möglichkeit des Uploads von Dateien.

Microsoft Forms wird eingesetzt beispielsweise für: 

  • Mitarbeiterumfragen
  • Anmeldungen für Veranstaltungen
  • Umfragen im Unternehmen (z.B. Inventar)
  • Prüfungen / Prüfungsbögen

Cookies bei Microsoft Forms

Microsoft Forms nutzt die folgenden Cookies: 

  • AADAuth.forms
  • AADAuthCode.forms
  • DCLcid
  • FormsWebSessionId
  • MSFPC
  • MicrosoftApplicationstelemetryDeviceId
  • MicrosoftApplicationTelemetryFirstLaunchTime
  • OIDCAuth.forms
  • OpenIdConnect.nonce.Y2…
  • RpsAuthNone
  • _RequestVerifcationToken
  • ai_Session
  • usenewauthrollout

Dazu kommt

  • lokaler Speicher: https://forms.office.com
  • Service Worker: https:forms.office.com
  • Sitzungsspeicher: https:forms.office.com

Microsoft

  • MC1
  • MS0
  • MSCC
  • MUID
  • _cs_c
  • _cs_id

Office

  • MC1
  • MUID

webshell.suite.office.com

  • ClientStorageCookie

Sind alle Cookies notwendig -> Einwilligung nötig?

Dies bestimmt sich nach § 25 TTSDG:

“§ 25 Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.”https://www.gesetze-im-internet.de/ttdsg/__25.html

Bewertung

 

 

Datenschutzerklärung und Nutzungsbedingungen

Es ist möglich eine Datenschutz und Cookies Erklärung zu hinterlegen. Dies wird im Microsoft 365 Admincenter zentral für alle Anwendungen in Office 365 als URL hinterlegt.

Weiterhin könnte man mit Conditional Access auch der Nutzung entsprechende Regelungen vorschieben.

Ich empfehle beides zu tun. So könnte ihr allen Nutzer:innen die Datenschutzerklärung und Nutzungsbedingungen mitgeben, die diese nicht übersehen können.

Empfehlungen

  1. allgemeine Datenschutzerklärung des Unternehmens im Microsoft 365 Admincenter hinterlegen
    ( Allgemeiner Text für Office 365 )
  2. Mustertext für Nutzer:innen zum Kopieren bereits stellen für Text Teil 1 und die ersten beiden Fragen
    (siehe unten)
  3. Schulung und Badge für FTEs als Forms-Führerschein
    (2-3h Schulung A. Was ist Forms B. Nutzungsszenarien (Do & Don´ts) C. Datenschutz D. Urheberrecht E. Information BR)
  4. BR & DS vorlegen bei Bedarf
    In einigen Unternehmen müssen alle Umfragen durch den BR und DS genehmigt werden. Dies führt zu viel Aufwand und zeitliche Verzögerungen. Es bietet sich daher eine Ampelskala an, die der/die Mitarbeiter:in selber  bestimmen kann und nur bei rot die Umfrage vorlegt, sowie bei gelb nur Stichpunktartig geprüft wird. 
  5. Conditional Access
    Hiermit kann auch eine Einwilligung vor Nutzung eingeholt werden oder nur die Datenschutzerklärung und Nutzungsbedingungen mitgegeben. Dazu nutzt man die Funktion “Terms of Use”. 

 

Ein Beispiel für eine Mustererklärung

 

Teil 1: Technischer Teil / Verantwortlicher

Teil 2: Spezifischer Teil zur Umfrage

Dieses Forms wird von der XY zur Verfügung gestellt.

Im Rahmen der Datenverarbeitung wird Office 365 mit einem deutschen Tenant aus einem SharePoint Online aus angeboten. Die Verarbeitung für Microsoft Forms findet UI findet in Dublin/Amsterdam (EU) statt. Für die Verarbeitung sind die benötigten Verträge mit Microsoft inklusive Zusatzverträge und aktueller DPA (09.12.2020) geschlossen worden. Weitere Informationen finden Sie hier.

Um ihre Betroffenenrechte durchzusetzen, stehen wir Ihnen unter datenschutz@xy.de unser Datenschutzteam zur Verfügung.

Folgende personenbezogene Daten werden in diesem Forms verarbeitet: Vorname, Nachname, X,XX,XX,XX,XX,X

Verantwortlich für dieses Forms ist: XY, Adresse
Kontakt per Email: xy @domain.de 

Der Datenschutzbeauftragte des Verantwortlichen ist erreichbar unter: XX@domain.de 

Die Umfrage selber wird erstellt durch XXX aus der Abteilung XX. Diese dient dem Zweck XX.

Die Informationen in diesem Forms inklusive der dahinter liegenden Excel wird für 90 Tage nach dem Veranstaltung vom XX:XX:2021 gespeichert und dann automatisch gelöscht. 

Kontakt zum Ersteller/in der Umfrage: XXX@domain.de 

erste Frage im Forms

Ich stimme der Verarbeitung meiner personenbezogenen Daten unter der oben in der Beschreibung verarbeitet werden dürfen. (Einwilligung) 

  • Ja
  • Nein

Name

Vorname