Datenschutz - Microsoft 365 an der TU Wien

Campus IT Home
Microsoft Datenschutz-Folgeabschätzung

Auf dieser Seite finden Nutzer_innen von Microsoft 365-Diensten Informationen zu datenschutzrelevanten Aspekten, die im Zuge der Implementierung an der TU Wien berücksichtigt wurden. Die Hinweise richten sich an Studierende sowie Mitarbeiter_innen der TU Wien, die Microsoft-365-Dienste (inklusive Teams) verwenden.

Datenschutzkonformität

Die TU Wien ist Verantwortliche im Sinne der DSGVO für die Nutzung von Microsoft 365 und hat Microsoft Ireland Operations Limited als Auftragsverarbeiter eingebunden. Microsoft wurde vertraglich und datenschutzrechtlich geprüft; die Einhaltung wird fortlaufend überwacht. Insbesondere hat die TU Wien:

den Auftragsverarbeitungsvertrag (DPA) mit Microsoft abgeschlossen und die einschlägigen Vertragsunterlagen geprüft,
eine Datenschutz-Folgenabschätzung (DSFA) mit Risikoabwägung durchgeführt,
ein Transfer Impact Assessment (TIA) durchgeführt, um eventuelle Risiken einer Drittlandübermittlung zu evaluieren,
konkrete technische und organisatorische Maßnahmen (TOM) definiert und umgesetzt, um spezifische Risiken der Microsoft-365-Nutzung zu minimieren.

Microsoft 365 wird an der TU Wien als Betriebsmittel eingesetzt. Es dient der TU-weiten Kommunikation und Zusammenarbeit in Studium, Lehre, Forschung und Verwaltung.

Verarbeitung personenbezogener Daten

Mit den Microsoft-365-Anwendungen können – je nach Nutzungskontext – grundsätzlich alle Arten personenbezogener Daten verarbeitet werden, einschließlich besonderer Kategorien im Sinne des Artikel 9 DSGVO sowie Daten nach Art. 10 DSGVO. Die Rechtsgrundlage richtet sich stets nach dem Primärzweck der jeweiligen Verarbeitung. Beispielsweise bei Verarbeitungen zu Forschungszwecken sind insbesondere die einschlägigen Bestimmungen des Forschungsorganisationsgesetzes (FOG) maßgeblich; bei studienbezogenen Verarbeitungen die einschlägigen Bestimmungen des Universitätsgesetzes (UG). Daher haben die Nutzer_innen bei der inhaltsbezogenen Verarbeitung auf Microsoft 365 sicherzustellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden. Die Systeme selbst wurden von der TU Wien geprüft; als Verantwortliche im Sinne der DSGVO hat sie entschieden, Microsoft 365 als Betriebsmittel einzusetzen.

Microsoft verarbeitet als eigener Verantwortlicher bestimmte dienstbezogene Metadaten zu Abrechnungs-/Kostenkalkulationszwecken, zur Bereitstellung und zum sicheren Betrieb der Dienste (Support, Störungsanalyse) sowie zu Produktverbesserungs- und Optimierungszwecken. Ein Teil dieser Verarbeitungen ist für die Diensterbringung technisch erforderlich; einige Funktionen sind produktseitig fest integriert und nur eingeschränkt konfigurier- bzw. deaktivierbar. Die TU Wien nimmt ihre gesellschaftliche Verantwortung als Universität sowie ihre Schutzrolle gegenüber Studierenden und Mitarbeiter_innen ernst: Sie hat die damit verbundenen Risiken eingehend geprüft, einschlägige Untersuchungsberichte herangezogen und im Rahmen einer Datenschutz-Folgenabschätzung Erforderlichkeit und Verhältnismäßigkeit bewertet; auf dieser Grundlage wurden risikominimierende Standardkonfigurationen festgelegt, und werden regelmäßig überprüft.

Personengebundene Lizenz

Zur Nutzung von Microsoft 365 an der TU Wien benötigen Sie ein TU Wien Microsoft-Konto (Azure Active Directory) mit einer personengebundenen Named-User-Lizenz. Jede_r Studierende erhält automatisch eine Lizenz solange er_sie softwarebezugsberechtigt ist

Mitarbeitende: Die Lizenz gilt, solange ein aktives Dienstverhältnis besteht beziehungsweise bis sie über das Serviceportal zurückgegeben wird.
Studierende: Die Lizenz wird angeboten, solange eine Zulassung/Immatrikulation an der TU Wien besteht – die Lizenzüberprüfung von installierten Apps erfolgt durch die Internentanbindung.

Zur Lizenzüberprüfung muss mindestens alle 30 Tage eine Internetverbindung bestehen. Ist ein Gerät länger offline, wechselt Microsoft 365 in einen eingeschränkten Funktionsmodus: Die Apps bleiben installiert, Dokumente können angezeigt und gedruckt, jedoch nicht neu erstellt oder bearbeitet werden. Sobald wieder eine Internetverbindung besteht, wird die volle Funktionalität automatisch reaktiviert.

Implementierte Maßnahmen

Folgende Maßnahmen wurden an der TU Wien umgesetzt beziehungsweise vorgesehen, um Risiken im Zusammenhang mit der Nutzung von Microsoft 365 zu reduzieren:

Authentifizierung. Für Studierendenkonten ist die Multi-Faktor-Authentifizierung bei Zugriffen außerhalb des Netzes der TU Wien verpflichtend aktiviert. Für Mitarbeitende ist die Einführung von Multi-Faktor-Authentifizierung geplant und befindet sich in Umsetzung.
Protokollierung und risikobasierte Erkennung. Ein allgemeines Audit-Log von Benutzeraktionen wird nicht verwendet, es werden ausschließlich gezielte Audit-Protokolle mit stark eingeschränktem Zugriff eingesetzt. Diese dienen insbesondere, der Erkennung auffälliger Anmeldeversuche, ungewöhnlicher Standortwechsel, riskanter Sign-ins, potenziell gefährdeter Konten sowie zur Protokollierung bestimmter Administrationsvorgänge. Zusätzlich besteht ein verschlüsseltes, tenant-gebundenes Hintergrund-Log für Datensicherheits-Untersuchungen, auf das nur im Anlassfall nach aktiver Initiierung durch Global Admins zugegriffen werden kann; der Zugriff durch Global Admins ist ebenfalls geloggt.
Supportzugriffe durch Microsoft. Zugriffe von Microsoft auf Tenant-Inhalte sind technisch beschränkt. Supportzugriffe auf Tenant-Daten sind nur in Ausnahmefällen nach ausdrücklicher Freigabe durch die TU Wien über Customer Lockbox möglich und werden vollständig protokolliert.
Verschlüsselung. Verbindungen zwischen Endgeräten und den Cloud-Diensten sind durch Transportverschlüsselung (TLS) abgesichert. Medienströme bei 1:1-Meetings werden verschlüsselt übertragen; für Gruppenmeetings steht derzeit keine gleichwertige Ende-zu-Ende-Verschlüsselung zur Verfügung. Eine zentrale tenantseitige Verschlüsselung mittels BYOK/CustKey ist organisatorisch in Planung.
Connected Experiences. Für die Microsoft-Anwendungen der TU Wien ist eine differenzierte Konfiguration der „Connected Experiences“ geplant. Funktionen zur Barrierefreiheit sowie allgemeine Quality-of-Life-Funktionen sollen aktiviert bleiben, während Connected Experiences mit Datenzugriff durch Microsoft deaktiviert werden sollen. Funktionen mit Verarbeitung nutzerbezogener Daten sollen zunächst im Rahmen einer Testphase mit einer Testgruppe geprüft werden.
Partner-Apps in Teams. Partner-Apps können von Anwender_innen standardmäßig nicht selbst installiert werden.
Telemetrie und Diagnosedaten. Telemetriedaten werden zentral auf das erforderliche Mindestniveau beschränkt. Für zentral verwaltete TUclient-Geräte werden entsprechende Policies ausgerollt; für nicht verwaltete Endgeräte (BYOD) werden datenschutzfreundliche Standardeinstellungen empfohlen.
Vertragliche und organisatorische Absicherungen. Ergänzend stützt sich die TU Wien auf vertragliche und organisatorische Garantien, insbesondere die EU Data Boundary, das Microsoft DPA 2025 einschließlich zusätzlicher Garantien, den Abschluss von Standardvertragsklauseln, die Einbindung in das Data Privacy Framework sowie die Durchführung eines Transfer Impact Assessments.
Laufende Überprüfung. Die Maßnahmen und Konfigurationen werden im Rahmen des Datenschutz- und Risikomanagements laufend überprüft und bei Bedarf angepasst.

Speichern von Daten in OneDrive und SharePoint

Microsoft 365 speichert Inhalte aus OneDrive und SharePoint Online – einschließlich über Office-Apps erstellter/hochgeladener Dateien – standardmäßig innerhalb der EU/EFTA. Seit Februar 2025 ist die EU Data Boundary vollständig umgesetzt; damit werden Accountdaten sowie Inhaltsdaten für Microsoft 365 in EU/EFTA-Rechenzentren gespeichert und verarbeitet. Auch bei Supportfällen verbleiben die dabei anfallenden Professional-Services-Daten (z. B. Support-Protokolle, Case-Notizen) im EU/EFTA-Raum.

Microsoft verschlüsselt Daten im Transport und im Ruhezustand. OneDrive/SharePoint verwenden u. a. AES-256 auf Datei-/Chunk-Ebene sowie zusätzliche service-seitige Verschlüsselung und Schlüsselverwaltung; Verbindungen werden ausschließlich über TLS bereitgestellt.

Malware-Schutz/Scans. Microsoft setzt für SharePoint/OneDrive/Teams eine integrierte Virenerkennung ein. Dateien werden asynchron beziehungsweise bei Download gescannt; als bösartig erkannte Dateien werden gesperrt und können nicht geöffnet oder geteilt werden. (Es findet kein flächendeckendes inhaltliches Profiling zu anderen Zwecken statt)

Hinweise zur Nutzung. OneDrive ist der persönliche Speicher auf Basis der SharePoint-Plattform und kann über Webbrowser oder Sync-App/Dateimanager eingebunden werden. Konkrete Freigabe-Policies werden TU-intern vorgegeben.

Datenaufbewahrung

Für Fristen nach Löschung/Beendigung verweisen wir auf die Microsoft-Dokumentation zur Datenaufbewahrung/-löschung.

Nutzungsbedingungen

Bei der Nutzung von Microsoft 365 gelten die Microsoft-Datenschutzbestimmungen sowie die TUW-internen Richtlinien (Datenschutz, IT-Sicherheitsrichtlinien). Ergänzende Bedingungen zu KI-Funktionen und verbundenen Erfahrungen werden – wo erforderlich – gesondert bekanntgegeben.

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einstellungen zur Verwendung von Cookies auf dieser Website.	1 Jahr	HTML	Homepage TU Wien
SimpleSAML	Wird benötigt, um die Sessions der eingeloggten Benutzer_innen voneinander unterscheiden zu können.	Session	HTTP	Login TU Wien
SimpleSAMLAuthToken	Wird benötigt, um die Sessions der eingeloggten Benutzer_innen voneinander unterscheiden zu können.	Session	HTTP	Login TU Wien
fe_typo_user	Wird benötigt, damit im Falle eines Typo3-Frontend-Logins die Session-ID wiedererkannt wird um Zugang zu geschützten Bereichen zu gewähren.	Session	HTTP	Homepage TU Wien
staticfilecache	Wird benötigt, um die Auslieferungszeit der Website zu optimieren.	Session	HTTP	Homepage TU Wien
JESSIONSID	Wird benötigt, damit im Falle eines LectureTube-Logins die Session-ID wiedererkannt wird um Zugang zu geschützten Bereichen zu gewähren.	Session	HTTP	LectureTube TU Wien
_shibsession_lecturetube	Wird benötigt, um die Sessions der eingeloggten Benutzer_innen voneinander unterscheiden zu können.	Session	HTTP	LectureTube TU Wien

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo TU Wien
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo TU Wien
_pk_ses	Wird benötigt, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo TU Wien

Name	Zweck	Ablauf	Typ	Anbieter
facebook	Wird verwendet, um Anzeigen auszuliefern oder Retargeting zu ermöglichen	90 Tage	HTTP	Meta
__fb_chat_plugin	Wird zum Speichern und Verfolgen von Interaktionen (Marketing/Tracking) benötigt.	Persistent	HTTP	Meta
_js_datr	Wird benötigt, um Benutzer_inneneinstellungen zu speichern.	2 Jahre	HTTP	Meta
_fbc	Wird benötigt, um den letzten Besuch zu speichern (Marketing/Tracking).	2 Jahre	HTTP	Meta
fbm	Wird benötigt, um Kontodaten zu speichern (Marketing/Tracking).	1 Jahr	HTTP	Meta
xs	Wird zum Speichern einer eindeutigen Sitzungs-ID benötigt (Marketing/Tracking).	1 Jahr	HTTP	Meta
wd	Wird benötigt, um die Bildschirmauflösung zu loggen.	1 Woche	HTTP	Meta
fr	Wird benötigt, um Anzeigen zu schalten und deren Relevanz zu messen und zu verbessern.	3 Monate	HTTP	Meta
act	Wird benötigt, um angemeldete Benutzer_innen zu speichern (Marketing/Tracking).	90 Tage	HTTP	Meta
_fbp	Wird zum Speichern und Verfolgen von Besuchen auf verschiedenen Websites benötigt (Marketing/Tracking).	3 Monate	HTTP	Meta
datr	Wird benötigt, um den Browser für Sicherheits- und Website-Integritätszwecke, einschließlich der Wiederherstellung von Konten und der Identifizierung von potenziell gefährdeten Konten zu identifizieren.	2 Jahre	HTTP	Meta
dpr	Wird für Analysezwecke verwendet. Technische Parameter werden protokolliert (z. B. Seitenverhältnis und Abmessungen des Bildschirms), damit Facebook-Apps korrekt angezeigt werden können.	1 Woche	HTTP	Meta
sb	Wird benötigt, um Browserdetails und Sicherheitsinformationen des Facebook-Kontos zu speichern.	2 Jahre	HTTP	Meta
dbln	Wird benötigt, um Browserdetails und Sicherheitsinformationen des Facebook-Kontos zu speichern.	2 Jahre	HTTP	Meta
spin	Wird für Werbezwecke und Berichterstattung über soziale Kampagnen benötigt.	Session	HTTP	Meta
presence	Enthält den "Chat"-Status eingeloggter Benutzer_innen.	1 Monat	HTTP	Meta
cppo	Wird für statistische Zwecke benötigt.	90 Tage	HTTP	Meta
locale	Wird benötigt, um die Spracheinstellungen zu speichern.	Session	HTTP	Meta
pl	Wird für Facebook Pixel benötigt.	2 Jahre	HTTP	Meta
lu	Wird für Facebook Pixel benötigt.	2 Jahre	HTTP	Meta
c_user	Wird für Facebook Pixel benötigt.	3 Monate	HTTP	Meta
bcookie	Wird zur Speicherung von Browserdaten benötigt (Marketing/Tracking).	2 Jahre	HTTP	LinkedIn
li_oatml	Wird verwendet, um LinkedIn-Mitglieder außerhalb von LinkedIn zu Werbe- und Analysezwecken zu identifizieren.	1 Monat	HTTP	LinkedIn
BizographicsOptOut	Wird zum Speichern von Datenschutzeinstellungen benötigt.	10 Jahre	HTTP	LinkedIn
li_sugr	Wird zur Speicherung von Browserdaten benötigt (Marketing/Tracking).	3 Monate	HTTP	LinkedIn
UserMatchHistory	Wird zur Bereitstellung von Werbeeinblendungen oder Retargeting benötigt (Marketing/Tracking).	30 Tage	HTTP	LinkedIn
linkedin_oauth_	Wird benötigt, um seitenübergreifende Funktionen bereitzustellen.	Session	HTTP	LinkedIn
lidc	Wird benötigt, um durchgeführte Aktionen auf der Website zu speichern (Marketing/Tracking).	1 Tag	HTTP	LinkedIn
bscookie	Wird benötigt, um durchgeführte Aktionen auf der Website zu speichern (Marketing/Tracking).	2 Jahre	HTTP	LinkedIn
X-LI-IDC	Wird benötigt, um seitenübergreifende Funktionen bereitzustellen (Marketing/Tracking).	Session	HTTP	LinkedIn
AnalyticsSyncHistory	Speichert den Zeitpunkt, zu dem der/die Benutzer_in mit dem "lms_analytics"-Cookie synchronisiert wurde.	30 Tage	HTTP	LinkedIn
lms_ads	Wird benötigt, um LinkedIn-Mitglieder außerhalb von LinkedIn zu identifizieren.	30 Tage	HTTP	LinkedIn
lms_analytics	Wird benötigt, um LinkedIn-Mitglieder zu Analysezwecken zu identifizieren.	30 Tage	HTTP	LinkedIn
li_fat_id	Wird für eine indirekte Mitgliederidentifikation benötigt, die für Conversion Tracking, Retargeting und Analysen verwendet wird.	30 Tage	HTTP	LinkedIn
U	Wird benötigt, um den Browser zu identifizieren.	3 Monate	HTTP	LinkedIn
_guid	Wird benötigt, um ein LinkedIn-Mitglied für Werbung über Google Ads zu identifizieren.	90 Tage	HTTP	LinkedIn