Nutzungsbedingungen zum Einsatz von M365 an der Universität Hamburg

Diese Nutzungsbedingungen enthalten Regelungen zum Einsatz von Microsoft 365 (M365) für alle Nutzenden an der Universität Hamburg (UHH).

Diese Nutzungsbedingungen gelten für alle Personen (Beschäftigte, Angehörige u. Mitglieder UHH, Studierende, Externe), die einen Zugang zu den Anwendungen in M365 der UHH erhalten haben oder auf M365-Anwendungen der UHH über einen Zugang zugreifen können.

1. Voraussetzung für eine Nutzung ist, dass diese Nutzungsbedingungen zu Beginn der Nutzung von M365 durch die nutzende Person zur Kenntnis genommen werden.
2. Nutzende müssen sich unter Verwendung von Mehr-Faktor-Authentifizierung (MFA bzw. 2FA) anmelden, d.h. neben der Benutzerkennung und dem Passwort ist ein weiterer Faktor erforderlich (Benutzerkennung@uni-hamburg.de + Multifaktorauthentifizierung via login.uni-hamburg.de). Die UHH behält sich das Recht vor, Anmeldungen ohne zweiten Authentifizierungsfaktor oder mit risikobehafteten Parametern (z.B. Torbrowser IP) automatisch abzulehnen.

1. Die allgemeine Nutzung der Dienste durch die in Ziffer 2 benannten Personen ist gekoppelt an die Vertragslaufzeit des EES-Vertrages (Enrollment for Education Solutions) der UHH mit Microsoft in der jeweils gültigen Fassung. Der Nutzungszeitraum ist beschränkt auf die Dauer dieses Vertragsverhältnisses. Änderungen hinsichtlich dieses Vertrags und des daraus resultierenden Nutzungsumfangs gibt die fachverantwortliche Stelle innerhalb der UHH unverzüglich auf geeignetem Wege bekannt. Mit dem Zugang der Mitteilung über die Beendigung des Vertragsverhältnisses dürfen die jeweiligen Softwareprodukte bzw. die Dienste nicht mehr weiter genutzt werden. Vor der Löschung muss durch die fachverantwortliche Stelle geprüft werden, ob etwaige Aufbewahrungspflichten für die enthaltenen Daten einer Löschung entgegenstehen.
2. Das individuelle Nutzungsrecht ist beschränkt auf den Zeitraum, in dem die Person unter den Geltungsbereich nach Ziff. 2 dieser Nutzungsbedingungen fällt und ein Nutzungsrecht eingeräumt bekommen hat.
3. Verlässt eine nutzende Person die UHH, so wird der Zugang zum M365 Account grundsätzlich zum Tag des Austritts gemeinsam mit dem lokalen Benutzerkonto gesperrt. Im Anschluss wird der Account nach den Vorgaben der UHH (z.B. Benutzungsordnung des Regionalen Rechenzentrums (RRZ) gelöscht. Die jeweilige nutzende Person hat vor dem Verlassen der UHH etwaige erforderliche dienstliche oder für das jeweilige Studium relevante Daten rechtzeitig zu sichern.

1. Die UHH weist den Nutzenden zu Studien-, Lehr- und Verwaltungszwecken eine personengebundene Lizenz zur Nutzung von M365 zu. Die Nutzenden erklären sich mit den Lizenzbedingungen, insbesondere denen des Herstellers einverstanden. Die Nutzung von M365 ist für private oder kommerzielle Zwecke ist grundsätzlich nicht gestattet. Mit der Lizenzzuweisung erhalten alle Nutzenden einen Microsoft-Account (sog. Microsoft-Geschäfts-, Schul- oder Unikonto). Die Zugangsdaten dürfen in keinem Fall an Dritte weitergegeben werden.
2. Die dienstliche Nutzung von M365 sollte nur auf dienstlichen Geräten oder für Bring your own Device (BYOD) zugelassenen Geräten erfolgen und wird ggf. technisch forciert. Bei der Nutzung von öffentlichen oder privaten Geräten kann allerdings kein vollumfänglicher Support angeboten werden – es kann nur eine eingeschränkte Hilfe durch das Regionale Rechenzentrum (RRZ) erfolgen.

1. Die Nutzung der Dienste von M365 erfolgt nach den Lizenzbedingungen des Herstellers.
2. Die UHH behält sich vor, den Nutzenden lediglich eine Auswahl an Software und Diensten anzubieten oder einzelne Funktionen der Software und Dienste einzuschränken. Es besteht kein Anspruch von nach Ziff. 2 benannten Personen auf die Nutzung aller zur Verfügung stehenden Funktionen der Microsoft Dienste.
3. Es ist untersagt, die Dienste auf eine rechtswidrige oder unautorisierte Weise zu verwenden oder solche Inhalte zu speichern bzw. zu verbreiten.
4. Im Rahmen der Durchführung von Prüfungen sollte vorrangig das Videokonferenzsystem Zoom des Zoom-Services der UHH genutzt werden.
5. Die Verwendung des Dienstes Teams Analytics & Reports ist untersagt.

1. Bei dem Microsoft-Account handelt es sich um einen persönlichen Account nach dem Geltungsbereich unter Ziff. 2 dieser Nutzungsbedingungen.
2. Andere Nutzende haben grundsätzlich keinen Zugriff auf den persönlichen Arbeitsbereich einer nutzenden Person. Das Einsehen der Daten durch andere Nutzende ist daher nicht möglich. Dies geschieht erst dann, wenn Daten geteilt oder weitergeleitet werden. Sowohl für das Teilen als auch für das Weiterleiten ist eine Rechtsgrundlage erforderlich und die Datenschutzgrundsätze sind einzuhalten.
3. Sofern Daten im Teams-Umfeld gespeichert werden, hat jedes Team-Mitglied Zugriff auf die hier enthaltenen unverschlüsselten Daten bzw. diesen Team-Bereich. Ausgenommen hiervon sind persönliche Kanäle in denen nur die jeweiligen Mitlieder des Kanals Zugriff haben. Dieser Bereich ist aber wiederum getrennt von den jeweiligen persönlichen Bereichen der Nutzenden.
4. Vorgesetzte, Teamleitende etc. erhalten grundsätzlich keinen Zugriff auf den Account und den persönlichen Bereich der Nutzenden.
5. Aufzeichnungen aus Besprechungen werden im Besprechungschat angezeigt und gespeichert. Zugriff auf diese Aufzeichnung haben die jeweiligen Teilnehmenden der Besprechung sowie die organisierende Person selbst.
6. Die Administrierenden des RRZ haben im Rahmen ihrer dienstlichen Aufgaben administrative Zugriffsrechte.
7. Beim Teilen von Inhalten (auch intern) ist das „need-to-know“ Prinzip einzuhalten. Folglich werden nur Dateien mit Personen geteilt, die einen Zugriff darauf für ihre konkrete Tätigkeit benötigen. Die Einrichtung und Verwaltung der Zugriffsrechte obliegt den Besitzenden der Daten/Teams/SharePoint-Seiten.
8. Der Zugriff auf die Kamerabilder durch die übrigen Teilnehmenden an einer dienstlichen Teams-Besprechung erfolgt erst nach der Freigabe von der jeweiligen Person. Eine Verpflichtung zur Freigabe besteht allerdings nicht.
9. Besitzende von Daten müssen diese entsprechend den durch die UHH vorgegebenen Klassifizierungsmöglichkeiten in M365 nutzen, um eine korrekte Zugriffssteuerung zu ermöglichen.
10. In Dateinamen und Dateipfaden sind keine personenbezogenen Daten anzugeben.

1. Die Daten in M365 werden zurzeit nicht separat in anderen Systemen der UHH gesichert. Wegen des Falles eines nie gänzlich auszuschließenden Datenverlustes wird Nutzenden daher empfohlen, die für ihre Tätigkeit erforderlichen Daten in anderen von der UHH zur Verfügung gestellten Systemen zu sichern.
2. Bei den in M365 gespeicherten Inhalten handelt es sich um temporäre Speicherungen. Zur dauerhaften Aktenhaltung sind die M365 Produkte weder geeignet, noch innerhalb der UHH bestimmt. Dauerhaft aufzubewahrende Akteninhalte sind daher zeitnah in einer finalisierten Version in eine geeignete Aktenhaltung zu überführen. Die Aussonderung in M365 hat spätestens mit Aussonderung der Akte zu erfolgen. Die Fristen ergeben sich aus dem durch das Universitätsarchiv festgelegten Fristenplan in seiner jeweils geltenden Fassung.

1. Definition externer Personen / B2B-User
• Externe Personen sind alle natürlichen Personen, die nicht Beschäftigte oder Mitglieder der UHH sind (z. B. Kooperationspartner, Dienstleistende, befristet eingebundene Dritte). Diese Personen dürfen M365 ausschließlich zur Zusammenarbeit und Kommunikation im Rahmen von Projekten oder/und projektbezogenen Aufgaben und unter Beachtung dieser Nutzungsbedingungen verwenden. Eine private oder kommerzielle Nutzung ist grundsätzlich ausgeschlossen.
2. Zulässige Freigabebereiche und Formen der Zusammenarbeit
• Eine Zusammenarbeit mit externen Personen kann über definierte Freigabebereiche (Teams, SharePoint Online, OneDrive und weitere) erfolgen, wenn die folgenden Vorgaben erfüllt sind:
1. Externe dürfen von verantwortlichen Personen (z. B. Besitzer der Gruppen) in dedizierte Gruppen (z.B. als Mitglieder in einer SharePoint-Seite oder als Teams-Mitglieder) oder direkt (z.B. in Chats) als „Gäste“ eingeladen werden. Gäste sind in M365 selbst registrierte Accounts oder aus anderen M365-Umgebungen eingeladene Personen. Die Registrierung darf ausschließlich über die von der UHH vorgegebenen Prozesse erfolgen. Die Mitgliedschaften werden systemseitig protokolliert.
2. Der Zugriff ist auf dedizierte Bereiche (z. B. Mitglied in einem bestimmten Team oder Dateiordner-Zugriff) nach dem need-to-know-Prinzip einzuschränken. Das bedeutet, dass zuvor genannte Zugriffe lediglich dann und nur in dem Umfang vergeben werden dürfen, wie sie zur Erreichung des mit der Zugriffsvergabe beabsichtigten Zwecks erforderlich sind. Die Sätze 1 und 2 gelten auch für den Zugang und den Zugriff auf personenbezogene Daten sowie sonstige schützenswerte Informationen.
3. Eine Freigabe von insbesondere personenbezogenen Daten an externe Personen ist grundsätzlich nur für nicht-sensible Inhalte unter Beachtung des Zweckbindungs- sowie des Erforderlichkeitsgrundsatzes erlaubt.
4. Freigaben erfolgen zeitlich begrenzt und mit minimalen Rechten (i.  R. Lesezugriff).
3. Technisch-administrative Rahmenbedingungen
1. Der Zugriff auf M365-Dienste durch externe Personen ist technisch auf die eingeladenen Inhalte zu begrenzen.
2. Der Einladungsprozess muss durch einen UHH-Account erfolgen; anonyme oder selbstregistrierte Gastzugänge sind unzulässig.
3. Eine regelmäßige Überprüfung (mind. jährlich) aller Gastkonten ist verpflichtend. Dabei erfolgt eine automatisierte Anfrage an die nutzende Person, ob die verwendeten Gastzugänge weiterhin benötigt werden. Nach erfolgter Rückmeldung durch die nutzende Person findet das Verfahren nach Ziff. 3 c) dieser Nutzungsbedingungen auf die nicht mehr benötigten Zugänge Anwendung.
4. Datenschutz und Kenntnisnahme der Nutzungsbedingungen zum Einsatz von M365
1. Vor der ersten Nutzung müssen externe Personen über die Verarbeitung ihrer personenbezogenen Daten gemäß DSGVO informiert werden.
2. Die Zustimmung zu den Nutzungsbedingungen ist systemseitig durch technische Voreinstellungen sicherzustellen (z.  protokollierte Zustimmung per Mail).
3. Die Zusammenarbeit darf keine Weitergabe von besonderen Kategorien personenbezogener Daten (z.  Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen, Daten zum Sexualleben oder der sexuellen Orientierung, genetische oder biometrische Daten) sowie personenbezogenen Forschungsdaten beinhalten, ohne vorher die Beratung des/der Datenschutzreferenten/Datenschutzreferentin oder des/der Datenschutzbeauftragten eingeholt zu haben.
5. Verantwortlichkeiten
• Die jeweils einladende Person bzw. Organisationseinheit auf Seiten der UHH ist verantwortlich für bzw. hat sicherzustellen:
• den konkreten Anlass der Zusammenarbeit,
• die Auswahl und Rechtevergabe der eingeladenen Personen,
• die Beachtung der datenschutz- und datensicherheitsrechtlichen Vorgaben,
• die rechtzeitige Deaktivierung des Zugangs nach Projektende oder Zweckfortfall.
6. Die UHH behält sich vor, bestimmte Freigabefunktionen technisch einzuschränken oder vollständig zu unterbinden.

1. Nutzende können vorübergehend oder dauerhaft in der Benutzung der Anwendungen von M365 durch die UHH beschränkt oder hiervon ausgeschlossen werden, wenn
1. der Verdacht eines IT-Sicherheitsvorfalls bei dem betroffenen Account besteht oder
2. sie schuldhaft gegen diese Nutzungsbedingungen verstoßen oder
3. sie die ihnen zur Verfügung gestellten Anwendungen von M365 für strafbare oder dem Leitbild der UHH zuwiderlaufenden Handlungen missbrauchen oder
4. der UHH durch sonstiges rechtswidriges Verhalten der Nutzenden Nachteile entstehen oder
5. die Voraussetzungen für einen Ausschluss der jeweils geltenden Benutzungsordnung des RRZ erfüllt sind.
2. Jede dauerhafte Nutzungseinschränkung oder dauerhafter Ausschluss der Benutzung unterliegt einer Überprüfung durch zwei voneinander unabhängige Personen. Beide Personen sind verpflichtet, ihre Prüfungshandlungen und das Ergebnis der Überprüfung nachvollziehbar zu dokumentieren. Die Dokumentation beinhaltet mindestens die folgenden Punkte:
1. Datum der Prüfungshandlung,
2. Namen der Prüfenden
3. sowie etwaige festgestellte Abweichungen von den Vorgaben dieser Nutzungsbedingungen.
4. Alle im Rahmen dieser Prüfung verarbeiteten Informationen und personenbezogenen Daten sind vertraulich zu behandeln und dürfen ausschließlich zum Zweck der Vorgangsprüfung verwendet werden.
3. Maßnahmen nach Ziff. 10 a) dürfen grundsätzlich erst nach vorheriger erfolgloser Verwarnung gegenüber der nutzenden Person erfolgen. Dies gilt nicht bei Gefahr im Verzug. Über die Verwarnung ist die betroffene Person unverzüglich in geeigneter Form zu informieren. Der betroffenen Person ist grundsätzlich Gelegenheit zur Stellungnahme zu geben. Sofern keine rechtlichen oder informationssicherheitsbezogenen Anforderungen dem widersprechen, ist ihr eine Gelegenheit zur Sicherung ihrer Daten einzuräumen.
4. Vorübergehende Nutzungseinschränkungen sind unverzüglich aufzuheben, sobald eine ordnungsgemäße Nutzung wieder möglich ist.
5. Eine dauerhafte Nutzungseinschränkung oder der vollständige Ausschluss einer nutzenden Person von der weiteren Nutzung kommt nur bei schwerwiegenden oder wiederholten Verstößen i. S. v. Ziff. 10 a) dieser Nutzungsbedingungen in Betracht, wenn auch künftig ein ordnungsgemäßes Verhalten nicht mehr zu erwarten ist. Die Entscheidung über einen dauerhaften Ausschluss erfolgt nach Anhörung der betroffenen Person nach den hierfür vorhandenen Prozessen der UHH.
6. Mögliche Ansprüche der UHH gegenüber der betroffenen Person bleiben unberührt.

Sollte eine nutzende Person Kenntnis von Verstößen gegen diese Nutzungsbedingungen erhalten oder verdächtige Aktivitäten auf ihrem oder einem anderen Account beobachten, so ist dies unverzüglich an abuse"AT"uni-hamburg.de zu melden. Diese Meldung wird vertraulich behandelt und trägt dazu bei, die Sicherheit und Integrität der M365-Umgebung der UHH zu gewährleisten.

Die UHH haftet nicht für Schäden, die Nutzenden durch die Nutzung der M365-Services entstehen, es sei denn diese sind auf vorsätzliches oder grob fahrlässiges Verhalten zurückzuführen.

1. Im Rahmen der Bereitstellung der M365-Dienste werden personenbezogene Daten in der M365-Cloud verarbeitet. Diese personenbezogenen Daten können, je nach verwendetem Service in M365, variieren.
2. Die Nutzenden werden über die Verarbeitung Ihrer personenbezogenen Daten in gesonderten Datenschutzhinweisen gem. Art. 13 DSGVO informiert.
3. Die Nutzenden verpflichten sich, die geltenden datenschutzrechtlichen Vorschriften einzuhalten.

1. Die UHH behält sich das Recht vor, diese Nutzungsbedingungen bei Bedarf anzupassen. Die jeweils aktuelle Version der Nutzungsbedingungen wird an geeigneter Stelle hinterlegt.
2. Eine Änderung kann insbesondere erfolgen:
1. wenn dies aufgrund einer Veränderung der Rechtslage erforderlich wird
2. wenn technische Weiterentwicklungen, neue Funktionen oder Anpassungen erforderlich sind.
3. Die UHH wird die Nutzenden über die Anpassung der Nutzungsbedingungen in geeigneter Form (z.  per E-Mail oder über das Benutzerkonto) informieren.

Version 1. Stand:  4. November 2025