Datenschutz
Wo liegen meine Daten für Exchange Online?
Microsoft speichert die Daten, die von den Nutzer_innen in Microsoft 365 eingebracht werden, einschließlich des Inhalts von Exchange Online Postfachinhalte (E-Mail-Text, Kalendereinträge und der Inhalt von E-Mail-Anlagen), redundant in 4 Rechenzentren innerhalb der Europäischen Union (Standorte sind Irland, Niederlande, Finnland und Österreich).
Im folgenden Screenshot sehen Sie, wo sich die Daten der einzelnen Dienste befinden (Screenshot von unserem Microsoft Tenant).
Welche persönlichen Daten werden durch die Multifaktor-Authentifizierung (MFA) gespeichert?
Personenbezogene Daten sind Informationen auf Benutzer_innen-Ebene, die mit einer bestimmten Person verknüpft sind, z. B. gesperrte Benutzer_innen, umgangene Benutzer_innen, Microsoft Authenticator-Gerätetoken-Änderungsanfragen, Aktivitätsberichte der mehrstufigen Authentifizierung und die Microsoft Authenticator-Aktivierungen.
Diese Informationen werden 90 Tage lang aufbewahrt.
Azure AD Multi-Faktor-Authentifizierung protokolliert keine persönlich identifizierbaren Informationen, wie Benutzer_innen-Namen, Telefonnummern oder IP-Adressen. UserObjectId wird jedoch verwendet, um Authentifizierungsversuche von Benutzer_innen zu erkennen; diese Protokolldaten werden 30 Tage lang gespeichert.
Referenzlink: Azure Active Directory Multifactor Authentication: Datenresidenz und Kundendaten
Referenzlink: Überblick über die Datenspeicherung der Produktbedingungen
Azure AD Multi-Factor Authentication gespeicherte Daten:
- OATH-Token (= GUID Referenz)
Der_Die Benutzer_in verwendet hier einen Authentifizierungs-Key, über den wir keine weitere Referenz haben (das kann eine Google-Authenticator App sein, ein Key von einer beliebigen Website generiert, etc.).
Hier wird nicht der Key selbst gespeichert, sondern nur die sogenannte GUID (= Referenz zu der jeweils verwendeten App - für uns nicht identifizierbar).
- Unidirektionale SMS/Anruf (= Telefonnummer)
Der_Die Benutzer_in wählt als Authentifizierungsmethode "Anruf oder SMS Code" und hinterlegt seine/ihre Telefonnummer (stimmt dieser Aktion auch zu).
Referenzlink: Erstmalige Einrichtung - Multifaktor-Authentifizierung (MFA) - Service Support - TU coLAB (tuwien.ac.at)
Microsoft Authenticator App (= mobiles Geräte, Device)
Der_Die Benutzer_in wählt als zusätzlichen Faktor die Microsoft Authenticator App und gibt damit das Detail seines/ihres Smartphone-Modells preis (iOS oder Android und sogar die Marke, ob iPhone, beispielsweise Samsung, Huawei etc.).
Gibt es einen Auftragsverarbeitungsvertrag mit Microsoft?
Mit Microsoft existiert ein Auftragsverarbeitungsvertrag (DPA), siehe:
Licensing Documents (microsoft.com)
Wurde eine Datenschutzfolgeabschätzung durchgeführt?
Die Abteilung Datenschutz und Dokumentenmanagement hat mit der TU.it eine Datenschutzfolgeabschätzung (DSFA) durchgeführt.
Die TU Wien setzt Microsoft 365 als Betriebsmittel ein.
Wie lange sind meine E-Mails gespeichert, wenn ich kein aktiver Studierender mehr bin?
Der Studierenden-Account inkl. Mailbox bleibt bis zum Ende der Inskriptionsfrist des nachfolgenden Semesters aktiv.
Studierende, die sich "beurlauben" lassen, brauchen sich um ihre Mailbox keine Sorgen zu machen, da sie genauso wie im laufenden Studium voll funktionsfähig bleibt.
Ablaufwarnungen werden den Nutzer_innen und Genehmiger_innen in drei verschiedenen Phasen zugesandt: ein halbes Jahr, zwei Monate und einen Monat vor Ablauf des Mailbox Account.
Weitere Infos zu Accounts:
https://www.it.tuwien.ac.at/services-fuer-studierende/accounteinrichtung