E-mail senden E-Mail Adresse kopieren

Datenschutz­hinweise gemäß Art. 13 EU-Datenschutzgrundverordnung
(DSGVO) für den Einsatz von Zoom X am CISPA

Das Tool „Zoom X“ wird von CISPA genutzt, um Telefonkonferenzen, Online-Meetings, Videokonferenzen, Online-Vorlesungen und Studien im Rahmen von Forschungsprojekten durchzuführen (nachfolgend: „Online-Meetings“).

Im Folgenden möchten wir unsere CISPA-Mitarbeiter gemäß Art. 13 DSGVO intern über die Verarbeitung ihrer personenbezogenen Daten bei der Nutzung des Tools „Zoom X", einer Kooperation von Zoom Video Communications Inc. (im Folgenden: „Zoom“) und der Telekom Deutschland GmbH (im Folgenden: „Telekom“) informieren. Dieser Datenschutzhinweis wird allen Zoom X-Teilnehmern per Weblink als Teil der Einladung zugesandt und zur Einsichtnahme zur Verfügung gestellt.


I.    Verantwortliche Stelle

Verantwortliche Stelle für die Datenverarbeitung im Sinne der DSGVO sowie anderer datenschutzrechtlicher Bestimmungen ist: 
 
CISPA – Helmholtz-Zentrum für Informationssicherheit gGmbH 
Stuhlsatzenhaus 5 
66123 Saarbrücken 
Deutschland 
Tel.:+ 49681 87083 1001
Fax: + 49 681 87083 8801
E-Mail: front-office@cispa.de 

Geschäftsführer: 
Das CISPA wird vertreten durch die Geschäftsführer Prof. Dr. Dr. h. c. Michael Backes und Dr. Kevin Streit. 

Datenschutzbeauftragter: 
Unseren Datenschutzbeauftragten erreichst Du unter: dsb@cispa.de  
Bei Fragen zum Datenschutz können Sie sich auch an unsere Stabsstelle Betrieblicher Datenschutz & Informationssicherheit wenden: datenschutz@cispa.de

II.    Verarbeitung personenbezogener Daten 

Bei der Nutzung von Zoom X werden verschiedene Arten von Daten verarbeitet. Der Umfang der Daten hängt auch von den Angaben ab, die Sie vor oder während der Teilnahme an einem "Online Meeting" machen.

Die folgenden personenbezogenen Daten sind Gegenstand der Verarbeitung:

Personenbezogene Daten der Nutzer

  • Vorname, Nachname
  • Telefon (optional)
  • E-Mail-Adresse
  • Passwort (wenn Single-Sign-On nicht verwendet wird)
  • Profilbild (optional)
  • Abteilung (optional)

Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen. Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

Video., Audio- und Textdaten

  • Videodaten, sofern Sie die Kamera Ihres Endgeräts freigegeben haben
  • Audiodaten, sofern Sie das Mikrofon Ihres Endgeräts freigegeben haben
  • Textdaten, sofern die Chat-, Fragen- oder Umfragefunktion genutzt wird

Bei Aufzeichnungen (optional)

  • MP4 Datei mit allen Video-, Audio- und Präsentationsaufnahmen
  • M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meetings-Chats

 

Wenn wir das „Online-Meeting“ aufzeichnen wollen, werden wir Sie im Voraus transparent informieren. Außerdem erhalten Sie ein technisches Signal, das anzeigt, dass die Sitzung von nun an aufgezeichnet wird. In diesem Fall erscheint oben links im Bild der Wortlaut „Aufzeichnung“ mit einem davorstehenden, rot leuchtenden Kreis. Falls wir das Meeting aufzeichnen, werden wir Sie mit einem Banner um Ihre vorherige Einwilligung zur Aufzeichnung bitten. Sind Sie mit der Aufzeichnung nicht einverstanden, müssen Sie das Meeting verlassen.

Meeting-Metadaten

  • Dauer des Meetings
  • Beginn und Ende (Zeit) der Teilnahme von Personen
  • Name und optional Beschreibung des Meetings (diese Daten können insbesondere die Systemadministratoren des CISPA sehen – sollte das Thema des Meetings vertraulich sein, sollten Name und Beschreibung des Meetings so gewählt werden, dass vertrauliche Inhalte daraus nicht hervor gehen)
  • Geplantes Datum / Uhrzeit des Meetings
  • Chat-Status
  • IP-Adressen der zur Teilnahme verwendeten Endgeräte sowie weitere Geräte-/Hardware-Informationen (MAC-Adresse, andere Geräte-IDs (UDID), Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung u.a.)

Video- und Audiodaten enthalten jedenfalls Ihr Abbild sowie Ihre Stimme als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, da sich die Daten auf Sie als identifizierte bzw. identifizierbare natürliche Person beziehen. Darüber hinaus kann der Inhalt Ihrer Beiträge Rückschlüsse auf Ihre Person zulassen. Auch IP-Adresse und Geräte-/Hardware-Informationen lassen grundsätzlich einen Rückschluss auf Ihre Person zu und sind daher als personenbezogene Daten zu behandeln. Die bei Zoom verfügbare „Aufmerksamkeitsüberwachung“ ist deaktiviert. Der Text innerhalb der Chatfunktion wird in einer separaten Datei gespeichert und ist im Falle einer Aufzeichnung nicht Teil des Videos.

III.    Zweck der Datenverarbeitung

Die Verarbeitung Ihrer unter II. aufgezählten personenbezogenen Daten dient dazu, Ihnen Zoom X als Tool für die Durchführung von Telefonkonferenzen, Online-Meetings, Videokonferenzen, Online-Vorlesungen und Studien im Rahmen von Forschungsprojekten zur Verfügung stellen zu können und die genannten Formate über Zoom X abwickeln zu können.


IV.    Rechtsgrundlage

Soweit personenbezogene Daten von Beschäftigten des CISPA im Beschäftigungsverhältnis verarbeitet werden, ist Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 BDSG die Rechtsgrundlage der Datenverarbeitung, wenn die Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Nehmen sonstige Teilnehmer/innen an „Online-Vorlesungen“ über Zoom X teil, werden deren Daten aufgrund von Art. 6 Abs. 1 lit. e DSGVO verarbeitet, um den Lehrbetrieb zu ermöglichen.

Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Hier besteht das berechtigte Interesse an der effektiven Durchführung von „Online-Meetings“.

Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, die Sie optional von sich preisgeben können, ihr Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

 

V.    Datenweitergabe

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Die Telekom ist als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für das CISPA tätig. Ein Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO wurde geschlossen. Die Telekom erhält notwendigerweise Kenntnis von den o. g. Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrags vorgesehen ist.


VI.    Datenverarbeitung 

Die Telekom und Zoom erbringen ihre Dienste innerhalb von Deutschland, der EU und im EWR gemäß dem Datenschutzstandard der Datenschutzgrundverordnung (DSGVO). Die Meeting-Daten von Teilnehmern aus Deutschland werden auf Servern in Deutschland verarbeitet. Nur die pseudonymisierte E-Mail-Adresse zum Anmelden des Meetings wird in die USA gesendet, damit die Zoom-Besprechung gestartet werden kann. Für die USA besteht seit dem 10. Juli 2023 ein Angemessenheitsbeschluss der Europäischen Kommission, der den USA ein angemessenes Datenschutzniveau bescheinigt. Neben dem Netz verantwortet die Telekom den Vertrag, die Auftragsverarbeitung, den flächendeckenden Service und die Abrechnung. Die erweiterte Chat-Verschlüsselung ermöglicht eine sichere Kommunikation, bei der nur der vorgesehene Empfänger die gesicherte Nachricht lesen kann. Wenn die Ende-zu-Ende-Verschlüsselung aktiviert ist, wird die Kommunikation zwischen allen Teilnehmern eines Meetings mit kryptografischen Schlüsseln verschlüsselt, die nur den Geräten dieser Teilnehmer bekannt sind. Dadurch wird sichergestellt, dass keine dritte Partei – auch nicht Zoom oder Telekom – Zugang zu den privaten Schlüsseln des Meetings hat.

 

Aufbewahrungsfrist der personenbezogenen Daten

Die oben angegebenen Daten werden so lange gespeichert, wie sie für die Durchführung der „Online-Meetings“ und damit zusammenhängender Services erforderlich sind. Ihre Daten werden somit gelöscht, sobald diese für die Verarbeitung der oben genannten Zwecke nicht mehr erforderlich sind.

Wenn Sie mit einem Zoom-Account als Benutzer angemeldet sind, können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Online-Vorlesungen, Umfragefunktion in Online-Vorlesungen) bis zu einem Monat bei Zoom gespeichert werden.

Aufgezeichnete Online-Meetings werden nur so lange gespeichert, wie die Speicherung erforderlich ist. In der Regel beträgt die zweckgebundene Speicherdauer für die im Rahmen von Aufzeichnungen erhobenen personenbezogenen Daten ein Jahr.

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling i.S.d. Art. 22 DSGVO statt.

VII.    Betroffenenrechte

Sie haben folgende Rechte im Hinblick auf die Verarbeitung Ihrer Daten durch CISPA:

  • Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden und das Recht auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.
  • Sie haben entsprechend Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen.
  • Sie haben das Recht zu verlangen, dass die Sie betreffenden Daten, die Sie uns bereitgestellt haben, nach Maßgabe des Art. 20 DSGVO erhalten werden und deren Übermittlung an andere Verantwortliche zu fordern.
  • Sie haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen.
  • Widerspruchsrecht: Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen (siehe unten).

Gemäß Art. 77 DSGVO können Sie sich bei der für Datenschutz zuständigen Aufsichtsbe-hörde beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres Wohnortes oder an das Unabhängige Datenschutzzentrum Saarland wenden:

Unabhängiges Datenschutzzentrum Saarland
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Fritz-Dobisch-Str. 12
66111 Saarbrücken
Telefon: (0681) 94781-0
E-Mail: poststelle@datenschutz.saarland.de

 

Widerspruchsrecht
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.

Stand: Dezember 2023