Data protection

Die Überprüfung der von Microsoft zur Verfügung gestellten Dokumente durch den Datenschutzbeauftragten der Universität Wien hat ergeben, dass Microsoft die formalen Anforderungen im Hinblick auf die DSGVO erfüllt.

In weiterer Folge wurden

• Datenschutz-Folgenabschätzungen (DSFA) durchgeführt,
• ein Auftragsverarbeitungsvertrag (DPA) unterfertigt sowie
• die Verarbeitung im Verarbeitungsverzeichnis der Universität Wien erfasst.

Bei Microsoft 365 handelt es sich nach Ansicht des Datenschutzbeauftragten der Universität Wien um ein Betriebsmittel. Als Grundlage zur Datenverarbeitung ist daher immer jene Rechtsgrundlage heranzuziehen, für die die ursprüngliche Datenverarbeitung angedacht ist (beispielsweise Studierendendaten nach Abschluss des Studiums gemäß § 53 Universitätsgesetz, wenn Studierendendaten über Microsoft 365 gespeichert werden).

Lediglich Datenverarbeitungen, die ausnahmslos aufgrund der Verwendung von Microsoft 365 erfolgen müssen, bedürfen einer gesonderten Rechtsgrundlage. Dies ist aus Sicht des Datenschutzbeauftragten äußerst selten. Diese Rechtsgrundlage zur Verarbeitung personenbezogener Daten ist für Microsoft 365 gemäß Art. 6 Abs. 1 lit. f DSGVO das überwiegende Interesse der Universität Wien (siehe Verarbeitungsverzeichnis DSGVO-Nummer DSG-2020-01261 bzw. Allgemeine Datenschutzerklärung der Universität Wien sowie Datenschutzerklärung der Universität Wien für Cloud-Services und andere IT-Anwendungen, § 4 Allgemeines zur Datenverarbeitung). Besondere Kategorien personenbezogener Daten (sensible Daten) werden in diesem Zusammenhang nicht verarbeitet.

Beachten Sie auch die Microsoft-Datenschutzbestimmungen auf den Microsoft-Webseiten.

Bei Microsoft 365 handelt es sich um ein Betriebsmittel. Als Rechtsgrundlage ist daher immer jene heranzuziehen, für die die ursprüngliche Datenverarbeitung angedacht ist (beispielsweise Studierendendaten nach Abschluss des Studiums gemäß § 53 Universitätsgesetz).

Da Microsoft 365 aus der Sicht des Datenschutzbeauftragten der Universität Wien datenschutzkonform den Mitarbeiter*innen und Studierenden zur Verfügung gestellt werden kann, macht es grundsätzlich keinen Unterschied, ob es sich um sensible oder nicht sensible personenbezogene Daten handelt. Entscheidend ist dann immer die jeweilige Rechtsgrundlage, mit der beispielsweise sensible Daten verarbeitet werden können. Hier ist ausnahmslos Art. 9 DSGVO heranzuziehen. Die jeweilige Rechtsgrundlage für die Verarbeitung von sensiblen Daten findet man in Art. 9 DSGVO in einer taxativen Aufzählung.

Microsoft 365 ist als reines Speichermedium für beispielsweise Textdokumente mit sensiblen Daten zu sehen. Die Rechtsgrundlage ist, so wie bereits oben angeführt, nicht für Microsoft 365 selbst zu suchen, sondern für die eigentliche Datenverarbeitung. Existiert eine Rechtsgrundlage für die Verarbeitung von sensiblen Daten im Sinne von Art. 9 DSGVO, können diese sensiblen Daten auch bei Microsoft 365 verarbeitet (gespeichert) werden.

Um Microsoft 365 nutzen zu können, benötigen Sie ein Microsoft-Konto, dem eine personengebundene Lizenz (Named-User-Lizenz) zugeordnet wird. Wenn man als Mitarbeiter*in ein Microsoft-365-Abonnement über das Selfservice-Portal bzw. als Studierende*r über die AcadCloud bestellt, werden automatisch ein Microsoft-Konto sowie eine personenbezogene Lizenz erstellt.

Für Mitarbeiter*innen ist die Lizenz gültig, so lange ein aktives Dienstverhältnis besteht oder die Lizenz über das Selfservice-Portal zurückgegeben wird. Für Studierende kann eine Verlängerung der Lizenz alle 12 Monate über AcadCloud vorgenommen werden, solange sie zum Studium an der Universität Wien zugelassen sind. 

Mindestens einmal alle 30 Tage muss eine Verbindung mit dem Internet hergestellt werden, um den Status des Abonnements zu prüfen. Wenn das Gerät mehr als 30 Tage offline ist, wechselt Microsoft 365 in den Modus mit eingeschränkter Funktionalität bis wieder eine Verbindung mit dem Internet hergestellt wird. Im Modus mit eingeschränkter Funktionalität bleibt Microsoft 365 weiterhin installiert, jedoch können Dokumente nur angezeigt und gedruckt werden. Alle Funktionen zur Bearbeitung oder Neuerstellung von Dokumenten sind deaktiviert.

Im Zuge der Datenschutz-Folgenabschätzung zu Microsoft 365 wurden technisch-organisatorische Restrisiken festgestellt, die jedoch im Wesentlichen durch 2 Maßnahmen deutlich reduziert werden können:

• Einführung von Multi-Faktor-Authentifizierung
• Einführung einer Protokollierung administrativer Aktivitäten (Audit-Log).

Seitens des Datenschutzbeauftragten ist ein Konzept zur regelmäßigen Schulung der Mitarbeiter*innen zu Datenschutz und Datensicherheit in Erarbeitung.

Die datenschutzrechtlichen Vorgaben wurden seitens der Universität Wien für Microsoft 365 wie folgt konfiguriert:

• Zwei-Faktor-Authentifizierung für alle Nutzer*innen (gemäß Vorgabe TOMs)
• Audit-Log aktiviert
• Aktivierung der End-to-End-Verschlüsselung in Teams für alle Nutzer*innen (derzeit nur für 1:1-Anrufe und in der Desktop-App und mobilen Apps verfügbar)
• Optionale Verbundene Erfahrung sind deaktiviert
• Drittanbieter-Apps sind in den Stores gesperrt (Office-Anwendungen, Teams)
• Übertragung von Diagnosedaten ist per Policy auf die minimal notwendigen Daten ("weder noch") konfiguriert
• Reports im Teams Admin Center und im Microsoft 365 Admin Center werden pseudonymisiert dargestellt
• Microsoft 365 Adoption Score und Microsoft Viva Insights, ehemals MyAnalytics), sind deaktiviert (Funktionen, die Leistungs- und Anwesenheitskontrolle ermöglichen)
• Sofern Aufzeichnungen oder Transkriptionen von Videokonferenzen in der Teams-App erfolgen sollen, ist eine Einwilligung der Teilnehmer*innen einzuholen.
• Die direkte Kommunikation von Microsoft‎ mit Nutzer*innen (Microsoft kann per Default E-Mails an Nutzer*innen direkt senden) ist für Desktop-Apps und mobile Appsnicht erlaubt, in den Web-Apps ist dies möglich.

Beim Login zu den Microsoft-365-Services (inkl. Microsoft Teams) erfolgt wie beim Weblogin-Service ein Redirect auf ein vom ZID auf eigener Infrastruktur betriebenes Service zur Überprüfung von u:account-UserID und zugehörigem Passwort. Die Passwörter bleiben somit auf Servern der Universität Wien.

The identity and access management system Entra ID (formerly Azure Active Directory) from Microsoft 365 at the University of Vienna is used for the login to Microsoft 365 and the third-party applications Adobe Creative Cloud, Grammarly and DeepL Pro. Third-party applications can also connect to Entra ID via the standard SCIM (System for Cross-Domain Identity Management) to automatically manage user accounts. For more information, please visit the Microsoft website SCIM synchronisation with Microsoft Entra ID.

Automatic account creation when ordering software

When ordering the relevant software via the self-service portal (via Uni data network/VPN) or AcadCloud, the following happens:

1. The u:account is marked in the Active Directory operated locally by the ZID.
2. The Entra Connect synchronisation service sets up a University of Vienna Microsoft account for this u:account in Entra ID.
3. In Entra ID, a group assignment is made to the ordered software.
   • For Microsoft 365, only the assignment in Entra ID is necessary.
   • For third-party applications, SCIM handles the synchronisation of user information.

Returning software and removal from Entra ID

• If corresponding software is returned via the self-service portal (via Uni data network/VPN) or AcadCloud, the associated group assignment in Entra ID is removed. For third-party applications, SCIM informs the respective systems.
• If all software products that use Entra ID are returned, the synchronisation flag for the u:account is removed from the local Active Directory and thus deactivated in Entra ID.
• If the software is not returned, all group assignments, permissions and user information in EntraID will be cleared at the latest when the u:account is deactivated.
• After deactivation in Entra ID, the created Microsoft account remains active for 30 days and is then permanently deleted.

Authentication

Password-based authentication is performed via the Microsoft Active Directory Federation Services (ADFS) operated locally by the ZID. This means that third-party providers cannot gain access to the u:account password.

Applications that use the Microsoft account are secured with a second factor when logging in. Users can manage the methods for logging in via their Microsoft account in the security information.

Das Multi-Faktor Authentifizierungs-Service wird von Microsoft in einem Europäischen Rechenzentrum erbracht. Personenbezogene Informationen auf Nutzer*innen-Ebene wie beispielsweise blockierte oder umgangene Nutzer*innen oder Änderungsanforderungen für Microsoft Authenticator-Gerätetoken werden für 90 Tage gespeichert. Es werden zwar keine personenbezogenen Daten, wie Nutzer*innen-Namen, Telefonnummern oder IP-Adressen protokolliert, allerdings werden anhand von UserObjectId Authentifizierungsversuche von Nutzer*innen erkannt. Protokolldaten werden für 30 Tage gespeichert.

Weiterführende Informationen zum Multi-Faktor Authentifizierung von Microsoft finden Sie auf den Microsoft-Webseiten.

Informationen, wie lange Nutzer*innendaten nach dem Löschen in Microsoft 365 aufbewahrt werden, finden sich auf der Microsoft-Webseite Datenaufbewahrung, -löschung und -vernichtung in Microsoft 365.

Connected experiences are features of Microsoft 365 applications. During operation, connected experiences can communicate with Microsoft 365 online services and exchange user data. If you also use the optional connected experiences, user data may be processed in other Microsoft services and/or third-party services. Unlike telemetry (collection of diagnostic data), the purpose of connected and optional connected experiences is not for diagnostics, but to offer users specific additional features, such as dictation and translation functions or the integration of online videos, for example from YouTube.

The University of Vienna has configured the connected experiences for desktop and mobile apps in Microsoft 365 as follows:

Employees

• The connected experiences that do notinvolve any processing of user data are always enabled.
• Connected experiences that involve the processing of user data in Microsoft 365 services, other Microsoft services and/or third-party services can be activated if required.

Activation/deactivation of connected and optional connected experiences

• To activate these features in the Office desktop apps, you must purchase the SRV02483 – Microsoft 365 (additional package) – Connected and optional connected experiences must be purchased free of charge via the self-service portal (via the Uni data network/VPN).
• The deactivation of the optional connected experiences can be done in the privacy settings of the Office desktop apps (Word, Excel or PowerPoint).
• The connected experiences that analyse content are activated when you order the SRV02483 – Microsoft 365 (additional package) – Connected and optional connected experiences service via the self-service portal (via the Uni data network/VPN) and can only be deactivatedby returning this package.

Please note the information provided by the Data Protection Officer of the University of Vienna and the data protection and terms of use of the respective third-party providers when using their services. You are responsible for complying with the guidelines of the university and the legal provisions such as the DSG, UrhG, TKG, StGB and other Austrian laws.

Students

• The connected experiences that do not involve any processing of user data are always activated.
• The connected experiences that involve processing of user data in Microsoft 365 services, other Microsoft services and/or third-party services are activated and can be partially deactivated if necessary.

Deactivation of connected and optional connected experiences:

• Connected experiences that can analyse contentcannot be deactivated.
• The optional connected experiences canbe deactivated in the Office desktop apps (Word, Excel, PowerPoint).

Please note the information provided by the Data Protection Officer of the University of Viennaand the data protection and terms of use of the respective third-party providers when using their services. You are responsible for complying with the guidelines of the university and the legal provisions such as the DSG, UrhG, TKG, StGB and other Austrian laws.

In connection with the use of Microsoft 365 at the University of Vienna, we would like to inform you about the use of optional connected experiences and the associated possible use of third-party products. These third-party products may process data from employees and students under certain circumstances.

1. Data protection and legal basis
   It must be ensured that no personal data of employees or students is transferred to third-party providers unless there is a sufficient legal basis for doing so. In particular, the requirements of the General Data Protection Regulation (GDPR) and the individual relevant substantive laws (e.g. DSG, UrhG, TKG, StGB) must be complied with.
2. Raising awareness among students and staff
   Please inform students and colleagues that data may be transferred to third-party providers in the context of optional connected experiences in Office. Explain the possible risks and data protection measures.
3. Responsibility when using third-party products
   When selecting and using third-party services that have not been approved by the University of Vienna, you are responsible for checking and complying with data protection regulations. The University of Vienna has neither knowledge of nor control over possible processing by third-party providers. If you have any uncertainties or questions, please contact the responsible data protection office at the University of Vienna.

Only use the optional connected experiences if it is absolutely necessary for you; otherwise, this service can be deactivated or remain deactivated.

For further information or support, please contact the Data Protection Officer at the University of Vienna.

Seitens der Universität Wien wurden bei Microsoft 365 die verbundenen Erfahrungen für Mitarbeiter*innen für Desktop-Apps und Mobile-Apps wie folgt konfiguriert:

• Die Kategorie Verbundene Erfahrung, die Onlineinhalte herunterladen ist standardmäßig aktiviert, da es sich dabei um reinen Download ohne Verarbeitung von Daten in der Cloud handelt.
• Die Kategorie Verbundene Erfahrung, die Ihre Inhalte analysieren kann durch eine Aktivierung mittels separatem Zubuchen über das Selfservice-Portal genutzt werden – z. B. für Funktionen wie die Diktierfunktion Diktat. Der Weg über diese separate Aktivierung wurde in Abstimmung mit dem AID gewählt, da eine Verarbeitung von Nutzer*innendaten in der Microsoft-Cloud erfolgt.
• Die Kategorie Weitere verbundene Erfahrung ist deaktiviert, da Module von Drittanbietern eingebunden werden können.

Für die Web-Anwendungen können seitens der Universität Wien nur die zusätzlichen verbundene Erfahrungen deaktiviert werden bzw. sind Verbundene Erfahrung, die Ihre Inhalte analysieren aktiviert.

In Microsoft Teams werden den Nutzer*innen die Funktionen Aufzeichnen, Live-Transkription und Live-Untertitel zur Verfügung gestellt.

Um dem Web-Zugänglichkeits-Gesetz (WZG) zu entsprechen, ist die Universität Wien verpflichtet, entsprechende technische Vorkehrungen zu treffen, damit alle Studierenden und/oder Mitarbeiter*innen dieselben Voraussetzungen (sofern möglich) haben, Dienste, die von der Universität Wien angeboten werden, verwenden zu können. Somit wurden auch Live-Transkription und Live-Untertitel von Videokonferenzen über die Microsoft-Teams-App aktiviert. In diesem Zusammenhang werden personenbezogene Daten verarbeitet. Die Live-Untertitel werden nur während der Videokonferenzen eingeblendet und nicht weiter gespeichert.

Für die Aufzeichnung der Videokonferenz werden Sie gesondert gefragt, ob Sie zur jeweiligen Aufzeichnung einwilligen. Wird die Funktion Live-Transkription aktiviert, wird der*die Initiator*in automatisiert in Teams aufgefordert, mündlich die Teilnehmer*innen über die Aktivierung der Funktion zu informieren.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit.a DSGVO. Die Speicherung erfolgt bis auf Widerruf bzw. wenn der Zweck der Verarbeitung erfüllt ist.

Microsoft ermöglicht den Teilnehmer*innen, die eigene Identität bei den Funktionen Live-Untertitel und Live-Transkription zu verbergen. Informationen dazu finden Sie auf den Microsoft-Webseiten unter Ausblenden Ihrer Identität in Besprechungsuntertiteln und Transkripten in Microsoft Teams.

Nachrichten in den persönlichen Chats werden nach 365 Tagen automatisch gelöscht.

Ein Team und seine untergeordneten Kanäle werden automatisch gelöscht, wenn es darin innerhalb von 365 Tagen keine Aktivität gibt. Jede neue Aktivität verlängert das Team um weitere 365 Tage. Alle Team-Besitzer*innen werden rechtzeitig automatisch von Microsoft per E-Mail benachrichtigt, bevor das Team abläuft. 

Microsoft-365-Diagnosedaten werden wie auch schon bei den Betriebssystemen Windows 10 und Windows 11 wie folgt verwendet:

• Anwendungen sicher und aktuell zu halten
• Probleme zu erkennen, zu diagnostizieren und zu beheben
• Produktverbesserungen vorzunehmen

In diesen Daten sind weder Namen oder E-Mail-Adresse eines*einer Nutzer*in noch Inhalte von Dateien von Nutzer*innen oder Informationen über Anwendungen enthalten, die nichts mit Office zu tun haben. Enthalten sind allerdings Identifier. Von Anwender*innen wird ein pseudonymer PrimaryIdentityHash erfasst, der allerdings vor der Übertragung an Microsoft entfernt wird. Generell werden Diagnosedaten anonymisiert und pseudonymisiert an Microsoft übermittelt. 

Diagnosedaten werden am lokalen Gerät gesammelt und alle 5 bis 30 Minuten an Microsoft übermittelt. Über das kostenlose Microsoft-Tool Diagnostic Data Viewer können diese Daten von Anwender*innen eingesehen werden. Informationen zum Diagnostic Data Viewer finden sich auf den Microsoft-Webseiten zum Verwenden des Diagnosedaten-Viewers mit Office. 

Zur Übermittlung von Diagnosedaten wurde seitens der Universität Wien in Microsoft 365 für Desktop- und Mobile-Apps global die Richtlinie weder noch konfiguriert. Diese Option weder noch bedeutet: Es werden keine Diagnosedaten über die auf dem Gerät des*der Nutzers*Nutzerin ausgeführten Office-Anwendungen gesammelt und an Microsoft gesendet. Seitens der Anwender*innen kann diese Einstellung nicht geändert werden.

Weitere Informationen dazu finden sich auf den Microsoft-Webseiten Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise – Kapitel Richtlinieneinstellungen für Diagnosedaten.

Eine vollständige Auflistung sämtlicher in Microsoft 365 genutzter Diagnosedaten ist unter folgendem Link einsehbar: https://learn.microsoft.com/de-de/deployoffice/privacy/required-diagnostic-data

Neben den Diagnosedaten werden auch sogenannte erforderliche Dienstdaten gesammelt und an Microsoft gesendet. Es gibt eine Reihe von Diensten, die für die Funktionsweise von Office-Anwendungen wesentlich sind und daher nicht deaktiviert werden können. Beispielsweise der Lizenzierungsdienst, der bestätigt, dass Sie über eine ordnungsgemäße Lizenz zur Verwendung von Office verfügen. Erforderliche Dienstdaten über diese Dienste werden gesammelt und an Microsoft gesendet, unabhängig von anderen datenschutzbezogenen Richtlinieneinstellungen, die konfiguriert wurden. Ebenso werden im Kontext der Verbundenen Erfahrungen, die Ihre Inhalte analysieren, die mittels separatem Zubuchen über das SAM-Selfservice-Portal aktiviert werden können, erforderliche Dienstdaten an Microsoft gesendet.

Weiterführende Informationen zu wesentlichen Diensten sowie die dort verwendeten Ereignisse und Datenfelder finden sich auf der Webseite: Wesentliche Dienste für Office – Deploy Office | Microsoft Learn

Weiterführende Informationen zu wesentlichen Diensten im Kontext der verbundenen Erfahrungen finden sich auf der Webseite: Für Office erforderliche Dienstdaten – Deploy Office | Microsoft Learn

Die Übermittlung von Diagnosedaten wurde seitens der Universität Wien für Desktop und Mobile Anwendungen deaktiviert, jedoch werden erforderliche Dienstdaten vom Gerät des Benutzers an Microsoft gesendet. 

Auf zentral verwalteten PCs (Managed Devices) werden die Privacy Einstellungen für die Betriebssysteme Windows 10 bzw. 11 sowie Microsoft Office per Group Policy durch den ZID so konfiguriert und verwaltet, dass die Privatsphäre unserer User*innen möglichst gewahrt bleibt.

Für selbst verwaltete PCs (Unmanaged Devices) obliegt es den Nutzer*innen die Windows bzw. Office Privacy Settings zu konfigurieren.

Microsoft speichert die Daten, die von den Nutzer*innen in Microsoft 365 eingebracht werden, redundant in 4 Rechenzentren innerhalb der Europäischen Union (Standorte sind Irland, Niederlande, Finnland und Österreich). Dies betrifft unter anderem die in OneDrive bzw. SharePoint online vorhandenen Inhalte aus den Office-Anwendungen.

Microsoft verschlüsselt sowohl den Transport der Daten als auch die ruhenden Daten. Mittels der umfassenden Implementierung von Verschlüsselungsmechanismen – sowie auch durch das Konzept der Datenspeicherung von Microsoft – wird verhindert, dass Dritte Zugang zu den verarbeiteten personenbezogenen Daten, sowohl während der Speicherung als auch während der Übertragung, erhalten können.

OneDrive entspricht einem persönlichen Home-Verzeichnis, welches auf einem Share, in diesem Fall SharePoint online, angelegt wurde.

OneDrive wird an der Universität Wien mit einer Quota von 50GB für Mitarbeiter*innen und 5GB für Studierende zur Verfügung gestellt und kann über den Dateimanager eingebunden werden bzw. über einen Webbrowser darauf zugegriffen werden.

Seitens Microsoft erfolgt keinerlei proaktives Scannen – präventiv und/oder aufgrund von Verdachtsmomenten – von in OneDrive abgelegten Daten. 

Microsoft-365-Apps können ebenfalls direkt auf Onedrive bzw. SharePoint online zugreifen. So werden beispielsweise private Chats und die Dateien in Teams im persönlichen OneDrive vorgehalten. Für die Funktion von Bild- und Videoaufzeichnung (Besprechungen) wird durch Microsoft Stream SharePoint verwendet. Die Chats und Dateien von in Teams angelegten Teams werden in SharePoint online abgelegt, um einen gemeinsamen Zugriff zu ermöglichen.

Im Rahmen der Bestellung von Microsoft 365 muss folgenden Dokumenten zugestimmt werden: 

• Nutzungsbedingungen Microsoft 365
• Microsoft-Datenschutzbestimmungen
• Nutzungsbedingungen iVm Künstlicher Intelligenz an der Universität Wien
• Allgemeine Datenschutzerklärung der Universität Wien
• Nutzungsbedingungen ZID-Softwareportfolio

Ergänzung Nutzungsbedingungen Andere Microsoft-Dienste und Drittanbieter-Dienste im Rahmen der optionalen verbundenen Erfahrungen

Microsoft-Servicevertrag

Je nachdem, welches Service Sie nutzen, können zusätzliche Bedingungen gelten:

Übersicht der optionalen verbundenen Erfahrungen in Office

Erfahrungen, die auf Bing basieren

Diese auf Bing basierenden Erfahrungen werden Ihnen unter den Bedingungen des Microsoft-Servicevertrags und der Microsoft-Datenschutzbestimmungen zur Verfügung gestellt. Alle Suchabfragen, die Sie an die Microsoft 365 Apps for Enterprise richten, während Sie diese Dienste nutzen, werden an Microsoft Bing gesendet. Sie sind nicht von der Bing-Organisation mit Ihnen verknüpft.

Erfahrungen, die auf anderen Microsoft-Onlinediensten und/oder Diensten von Drittanbietern basieren.

https://learn.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences#experiences-that-rely-on-other-microsoft-owned-online-services-andor-services-owned-by-third-parties

Einfügen von Onlinevideos

Es können zusätzliche Nutzungsbedingungen gelten, wenn Sie auf Inhalte von Drittanbietern zugreifen. Wenn Sie beispielsweise eine Verbindung mit YouTube herstellen, gelten die Nutzungsbedingungen von YouTube und die Google-Datenschutzerklärung.

Erforderliche Dienstdaten

Wenn Sie optionale Cloud-unterstützte Dienste verwenden, kann Microsoft erforderliche Dienstdaten wie beispielsweise Nutzungsdaten, Fehler- und Leistungsdaten sammeln.

Für Office erforderliche Dienstdaten