(Online-Meetings, -Konferenzen, etc. via „Zoom“ durch Wolfgang Thanner, Stand 15.12.2020)
Verantwortlicher im Sinne des Datenschutzes:
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von „Online-Meetings“ steht, ist
Wolfgang Thanner, securiserve
Seeshaupter Str. 17, D-82541 Münsing
Tel.: +49-8801-9139161
Hinweis: Soweit Sie die Internetseite von „Zoom“ aufrufen, ist der Anbieter von „Zoom“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Zoom“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Zoom“ herunter zu laden.
Sie können „Zoom“ auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der „Zoom“-App eingeben.
Wenn Sie die „Zoom“-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von „Zoom“ finden.
Zweck der Verarbeitung (Details siehe „Verarbeitungen)
Wir nutzen das Tool „Zoom“, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Online-Meetings“). „Zoom“ ist ein Service der Zoom Video Communications, Inc., die ihren Sitz in den USA hat.
Welche Daten verarbeitet werden:
Bei der Nutzung von „Zoom“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen. Details finden Sie weiter unten unter „Verarbeitungen“.
Wir verwenden „Zoom“, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „Zoom“-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Im Falle von Webinaren können wir für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-Teilnehmenden verarbeiten.
Wenn Sie bei „Zoom“ als Benutzer registriert sind, dann können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei „Zoom“ gespeichert werden.
Die in „Online-Meeting“-Tools wie „Zoom” bestehende Möglichkeit einer softwareseitigen „Aufmerksamkeitsüberwachung“ („Aufmerksamkeitstracking“) ist deaktiviert. Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
Quelle der Daten:
Bei der Teilnahme an Zoom Events erhalten nur uns bekannte Teilnehmer die Zugangsdaten, die uns ihre Daten zu diesem Zweck zur Verfügung gestellt haben.
Weitergabe an Dritte:
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme über „Zoom“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Der Anbieter von „Zoom“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit „Zoom“ vorgesehen ist.
Ebenso gibt es gesetzliche Vorgaben zu erfüllen (z.B. gegenüber Steuer-/Finanz- oder anderen Behörden).
Datenverarbeitung außerhalb der Europäischen Union
„Zoom“ ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt.
Wir haben mit dem Anbieter von „Zoom“ Standard-Vertragsklauseln (SCC) und einen Auftragsverarbeitungsvertrag (DPA) geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht.
Wir müssen darauf hinweisen, dass die USA gem. EuGH-Urteil vom Juli 2020 als Drittland angesehen werden, in denen kein angemessenes Datenschutz-Niveau besteht. Eine Weitergabe von personenbezogenen Daten dorthin muss also durch zusätzliche Maßnahmen abgesichert werden.
Dies wird durch zusätzliche Sicherheitsmaßnahmen (z.B. Einschränkung Data-Routing, ggf. Ende-zu-Ende Verschlüsselung, datenschutzfreundliche Einstellungen) abgebildet, die wir bezogen auf Art, Zweck, Umfang und Umstände der Verarbeitung (Online Business Networking, Online Business Informationsvermittlung, Online-Unternehmens-Interviews) als angemessen erachten, da es sich hierbei um größtenteils öffentlich zugängliche oder zur Veröffentlichung bestimmte, also nicht sensible Daten und Inhalte handelt.
Datenminimierung/Speicherung/Aufbewahrung:
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Profiling/Automatisierte Entscheidungsfindung:
Wir nutzen bei unseren Verarbeitungen keine Technologien für Profiling oder für automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO.
Ihre Rechte als betroffene Person:
Sie haben das Recht, jederzeit Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
Ebenso haben Sie das Recht auf Berichtigung, Einschränkung der Verarbeitung oder, abgesehen von der gesetzlich vorgeschriebenen Datenspeicherung (z.B. Aufbewahrungsfristen), Löschung Ihrer personenbezogenen Daten. Sie haben das Recht auf Herausgabe Ihrer Daten auf Antrag.
Bitte wenden Sie sich zu allen Punkten an uns per Mail oder postalisch
Wir weisen darauf hin, dass wir Anfragen und Auskünfte zu den Betroffenenrechten im Rahmen der Nachweispflicht der DSGVO dokumentieren müssen. Bei Erhalt einer Anfrage werden uns also ggf. vorher nicht bekannte personenbezogene Daten übermittelt, die wir jedoch für 3 Jahre ab Auskunftserteilung speichern müssen (Zweck: Abwehr von Rechtsansprüchen nach Art. 83 DSGVO i.V.m. § 31 Ordnungswidrigkeitengesetz (OWiG)).
Ihr Recht auf Widerruf/Widerspruch:
Sie können eine ggf. erteilte Einwilligung zur Datenverarbeitung durch entsprechende Mitteilung an uns z.B. per Mail an wolfgang.thanner[at]bvmw.de
mit Wirkung für die Zukunft widerrufen.
Ebenso können Sie aus Gründen die sich aus Ihrer besonderen Situation ergeben Widerspruch gegen eine Datenverarbeitung einlegen, die auf Basis einer Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO) erfolgt.
Einer Datenverarbeitung zu Zwecken des Direktmarketings können Sie jederzeit widersprechen und Ihre Daten werden dann nur noch auf einer Sperrliste vorgehalten.
Ihr Recht auf Beschwerde:
Sollten Sie eine Datenschutzverletzung als Betroffener feststellen oder aus anderweitigen berechtigten Gründen eine Beschwerde einlegen wollen, so können Sie sich an jede
Aufsichtsbehörde für Datenschutz wenden.
Änderung unserer Datenschutzbestimmungen:
Wir behalten uns vor, diese Datenschutzhinweise gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entsprechen oder um technische Änderungen oder
Änderungen unserer Leistungen in den Datenschutzhinweisen umzusetzen. Es gilt dann die jeweils aktuellste Fassung der Datenschutzhinweise.
Fragen zum Datenschutz:
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail an
wolfgang.thanner[at]bvmw.de
Aber nun zu den einzelnen, möglicherweise unsere aktuelle Kommunikation betreffenden Verarbeitungen im Detail.
Zoom Web-/Video-Konferenzen
Zweck:
Durchführung von Online-Konferenzen und -Schulungen, Interviews und digitalen Formaten mit Kunden und weiteren Kontakten
Daten die verarbeitet werden (Kategorien):
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional),
Abteilung (optional)
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Zoom“-Applikationen abschalten bzw. stummstellen.
Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen und ein Ihnen zugeteiltes Passwort eingeben.
Rechtsgrundlage(n):
Die Rechtsgrundlage ist (bei Kunden) Durchführung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO), bei weiteren Kontakten berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
In begründeten Ausnahmefällen ist die Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland Art. 49 Abs. 1 lit. a (Einwilligung) bzw. Abs. 1 lit. b (vorvertragliche/vertragliche Gründe) DSGVO.
Begründung bei berechtigtem Interesse:
Insbesondere über weite Entfernungen müssen Informationen schnell ausgetauscht werden und ggf. mehrere unterschiedliche Teilnehmer in einer Online-Konferenz zusammengeführt werden. Hierzu ist eine professionelle Webkonferenz-Plattform geeignet und notwendig, da auch ein direkter Austausch von Informationen (z.B. über Chat-Funktionen, Upload oder Bildschirmteilung) möglich ist. Durch die (freiwillige/optionale) Möglichkeit, per Videokamera Bilder der Teilnehmenden und der Referenten anzuzeigen, wird der persönliche Kontakt (insbesondere z.B. während der Corona Kontakteinschränkungen) erheblich verbessert. Es wird davon ausgegangen, dass bei freiwilliger Teilnahme an Web-Konferenzen oder an Online-Schulungen das Interesse der Betroffenen an dieser schnellen und direkten Art der Kommunikation ebenso hoch ist, wie das des Verantwortlichen.
Weitergabe/Offenlegung:
☒ Ja ☐ Nein - falls ja: Empfänger- Kategorien:
Die Daten werden zum Zweck der technischen Durchführung an den Plattform-Betreiber Zoom Video Communications Inc., 55 Almaden Blvd, Suite 600, San Jose, CA 95113/USA weitergegeben.
Weitergabe außerhalb EU
☒ Ja ☐ Nein - falls ja: Garantien:
Mit dem Plattform-Betreiber besteht ein Auftragsverarbeitungsvertrag (Global DPA) und EU-Standard-Vertragsklauseln. Der Betreiber sagt für den Fall von Übertragungen personenbezogener Daten außerhalb der EU entsprechende Vorkehrungen zu, um ein angemessenes Datenschutzniveau gewährleisten zu können. Siehe auch: https://zoom.us/privacy#_Toc44414845
Risikoabwägung Drittland:
Basierend auf dem aktuellen Stand der Informationen (01.12.2020) wurde die Entscheidung für den Einsatz von Zoom in der Version PRO für Business-Networking, Präsentationen, Schulungen und andere nicht vertrauliche/sensible Inhalte getroffen. Eine Kenntnisnahme der Teilnahme an allgemeinen Informationsveranstaltungen zu Datenschutz oder Business-Events lässt keine persönlichen oder wirtschaftlichen Nachteile befürchten und die Wahrscheinlichkeit der Kenntnisnahme durch Drittlands-Stellen ist gering. Da es sich zudem um öffentliche oder zur Veröffentlichung gedachte Daten und Inhalte handelt und der Anbieter in den vergangenen Monaten stetige Verbesserungen zu Datenschutz implementiert hat, wird der Risikograd als gering eingeschätzt. Auch sagt der Anbieter im Falle von Drittlands-Übermittlung zusätzliche Sicherheits-Vorkehrungen zu, die ein angemessenes Datenschutzniveau gewährleisten sollen. Eine Abwägung verfügbarer Anbieter-Optionen wurde im Dokument „Checkliste Auswahl Videokonferenz“ vom November 2020 getroffen, das Aufsichtsbehörden auf Verlangen vorgelegt werden kann.
Speicherdauer für die Daten:
Die beim Verantwortlichen für die Durchführung der Online-Konferenz/des Webinars erforderlichen Daten werden bei kostenlosen Konferenzen innerhalb von 5 Tagen nach Beendigung des Termins gelöscht, bei kostenpflichtigen Konferenzen entsprechend der gesetzlichen Aufbewahrungspflichten nach GoB/HGB).
Bereitstellung gesetzlich oder vertraglich/für Vertragsschluss erforderlich?
☐ Ja ☒ Nein
Betroffene Person verpflichtet, die Daten bereitzustellen?
☐ Ja ☒ Nein
Teilnahme ist freiwillig
Quelle der Daten (sofern nicht direkt bei Betroffenen erhoben):
Nicht zutreffend