Aktuelles
75. DFN-Betriebstagung
DFN-Mitteilungen Ausgabe 99
DFN-Infobrief Recht Oktober
Karriere beim DFN

Hinweise zum Datenschutz bei DFN-Veranstaltungen über Zoom entsprechend Art. 12 und 13 Datenschutzgrundverordnung (DSGVO)

(Fassung vom 9.03.2021)

Mit den nachstehenden Hinweisen informiert der DFN-Verein entsprechend Artikel 12 Absatz 1 Satz 1 und Artikel 13 der DSGVO über den Umgang mit personenbezogenen Daten zum Zweck der Durchführung von Videokonferenzen, basierend auf der Videokonferenzsoftware der Zoom Video Communications, Inc. Um den Betrieb dieser Software in Bezug auf den Datenschutz sicher zu gestalten, betreibt der DFN-Verein zur Verarbeitung der Inhaltsdaten von Videokonferenzen Zoom-Server an seinen eigenen Rechenzentrumsstandorten in Berlin und Hannover. Der Vorteil der Verarbeitung der Inhaltsdaten auf Servern des DFN-Vereins kann jedoch nur vollumfänglich genutzt werden, wenn alle Teilnehmenden der Videokonferenz diese mit dem auf ihrem Endgerät installierten Zoom-Client betreten. Sobald auch nur ein Teilnehmender ohne Zoom-Client teilnimmt, werden auch Inhaltsdaten der jeweiligen Konferenz auf Servern von Zoom verarbeitet. Zoom verarbeitet die im Rahmen der Konferenz anfallenden Daten ausschließlich auf Servern, die sich in europäischen Rechenzentren befinden. Lediglich im Rahmen des Supports durch Zoom ist es möglich, dass Daten auch außerhalb der Europäischen Union (EU) durch Zoom verarbeitet werden. Im Zusammenhang mit diesen personenbezogenen Daten verweisen wir Sie auch auf die Datenschutzinformationen von Zoom, zu finden unter zoom.us/privacy.

Die Datenverarbeitung bei DFN-Veranstaltungen über Zoom stellt sich somit wie folgt dar:

 

1. Allgemeines

Online-Veranstaltungen und Meetings (im Folgenden zusammengefasst zu „Veranstaltungen“) des DFN-Vereins über Zoom werden derzeit ausschließlich von Beschäftigten des DFN-Vereins durchgeführt. Die DFN-Beschäftigten – als sogenannte Meeting-Veranstalter – sind angewiesen, über Zoom keine Veranstaltungen durchzuführen, in denen personenbezogene Daten, die ihrem Wesen nach besonders sensibel sind (siehe hierzu Artikel 9 der DSGVO), ausgetauscht werden. Für den Austausch solcher sensibler Daten wird, falls diese in einer Videokonferenz ausgetauscht werden, ausschließlich der Dienst DFNconf verwendet. Dasselbe gilt auch für Veranstaltungen, in denen nicht- anonyme Abstimmungen durchgeführt werden. Die zentrale Aufzeichnung von Veranstaltungen ist bereits technisch ausgeschlossen.

2. Standardeinstellungen des DFN-Vereins zur Datenminimierung und Datensicherheit

Zoom ermöglicht eine flexible Konfiguration von Einstellungen für Veranstaltungen. Um personenbezogene Daten bestmöglich zu schützen, wurden Standardeinstellungen vom DFN-Verein in allen Funktionsbereichen so vorgenommen, dass nur ein Minimum an Daten und damit auch an personenbezogenen Daten übertragen und gespeichert wird. Bestimmte Standardeinstellungen können vom Meetingveranstalter bei Bedarf geändert werden. Eine detaillierte Übersicht der aktuellen Standardeinstellungen findet sich in einem separaten Dokument und gliedert sich nach den Abschnitten im Konfigurationsbereich von Zoom. Meetingveranstalter sind dazu angewiesen, vom Standard abweichende Einstellungen in ihren Veranstaltungen den Teilnehmenden gegenüber transparent zu kommunizieren.

Im Konfigurationsbereich „Sicherheit“ wird vom DFN-Verein besonders Wert darauf gelegt, dass Veranstaltungen nicht ungeschützt durchgeführt werden. Veranstaltungen müssen immer mit einem sicheren Kenncode nach vorgegebenen Mindestanforderungen geschützt werden. Gleichzeitig wird auf eine verpflichtende Registrierung von Meetingteilnehmenden bei Zoom verzichtet, so dass immer eine pseudonyme Teilnahme möglich ist. Standardmäßig ist für jede Veranstaltung die Warteraumfunktion aktiviert, wobei diese im Einzelfall durch den Meetingveranstalter deaktiviert werden kann. Die Funktion für Ende-zu-Ende-Verschlüsselung ("End-to-end encryption“, E2EE) ist verfügbar. Jedoch ist diese nicht standardmäßig aktiviert, weil beim Einsatz dieser Technologie die Teilnahme via Telefon, Videokonferenzanlage und Web-Client nicht möglich ist und diverse weitere Grundfunktionen in Meetings mit E2EE unter Umständen nicht genutzt werden können. Je nach erwartetem Schutzbedarf und benötigtem Funktionsumfang kann E2EE genutzt werden.

Im Konfigurationsbereich „Meeting planen“ werden weitere sicherheitsrelevante Voreinstellungen gesetzt. Kamera und Mikrofon sind für alle Meetingteilnehmenden bei Eintritt ausgeschaltet, sodass diese die Bild- und/oder Tonübertragung bewusst anschalten müssen. In der Regel können Veranstaltungen nur in Anwesenheit des Meetingveranstalters betreten werden, dies kann im Einzelfall jedoch von diesen geändert werden.

Im Konfigurationsbereich „In Meeting“ sind häufig genutzte Funktionen wie Text-Chat, Bildschirmfreigabe und nonverbale Reaktionen standardmäßig aktiviert, können jedoch durch den Meetingveranstalter je nach Bedarf deaktiviert werden. Funktionen mit Datenübermittlung an oder über Zoom sind weitgehend deaktiviert und für Meetingveranstalter gesperrt, hierzu gehört insbesondere das Senden von Feedback an Zoom. Nicht deaktiviert ist unter anderem die Option des Webzugangs zu Meetings, um die Teilnahme auch dann zu ermöglichen, wenn die Installation des Zoom-Clients auf dem eigenen Endgerät nicht möglich oder gewünscht ist.

Die Integration externer „Kalender und Kontakte“ (z. B. via Microsoft 365, Google Calendar etc.) ist deaktiviert.

„E-Mail-Benachrichtigungen“ durch Zoom sind – soweit möglich – deaktiviert. Nicht deaktiviert sind Benachrichtigungen an die Administrierenden des DFN-Vereins, wenn Host-Lizenzen das Limit erreichen.

Bei den „Administratoroptionen“ ist die Funktion des Weichzeichnens im iOS-App-Schnellzugriff aktiviert. Zudem wird auf die Nutzung von erweiterten Cloud-Optionen verzichtet (zum Beispiel Content Delivery Networks, OnZoom, Kontakt zum Zoom-Support via Chat).

Für die Teilnahme an Veranstaltungen ist technisch vorgegeben, dass die genutzten Zoom-Clients aktualisiert sein müssen. Damit soll sichergestellt werden, dass Meetingteilnehmende und Meetingveranstalter die gewünschten Funktionen der Plattform vollständig nutzen können und Sicherheitsrisiken aufgrund veralteter Client-Versionen reduziert werden.

Cloud-basierte „Aufzeichnungen“ sind deaktiviert und für Meetingveranstalter gesperrt. Lokale Aufzeichnungen (im Zoom-Client) sind standardmäßig deaktiviert, können aber nach Bedarf durch den Meetingveranstalter aktiviert werden.

Die Einwahl per „Telefon“ wird grundsätzlich ermöglicht, erfolgt jedoch in diesem Fall über eine kostenpflichtige Einwahlnummer. Die Kosten für die Einwahl richten sich nach den individuellen Tarif- und Vertragsbedingungen des Telefonproviders auf der Seite der Anrufenden.

3. Verarbeitung von Protokolldaten

Teilnahme per Webzugang mit und ohne Zoom-Client sowie Teilnahme mit Software-Client

Mit der Teilnahme an der Videokonferenz werden mit der Default-Einstellung folgende Protokolldaten erhoben:

  • Name (entsprechend der Registrierung),
  • IP-Adresse vom Client
  • Spracheinstellung,
  • Profilbild (optional),
  • Telefonnummer (optional),
  • Standort anhand der Client IP-Adresse,
  • Betriebssystem Client,
  • Meeting ID und Titel des Meetings,
  • Beschreibung des Meetings (optional),
  • Browsertyp,
  • Netzwerktyp (LAN oder WiFi),
  • Peripheriedaten (Gerätetyp: Mikrofon, Lautsprecher, Kamera),
  • Beitrittszeit zur VC,
  • Austrittszeit von der VC,
  • Netzwerkqualitätsparameter sowie
  • die Clientversion der Zoom-Anwendung.

Teilnahme mittels H323/SIP (Voice over IP und Konferenz-Systeme)

Bei einer Teilnahme mittels H323/SIP werden folgende Protokolldaten erfasst:

  • IP-Adresse des Clients,
  • Gerätebezeichnung,
  • Zutrittszeit zum Meeting,
  • Austrittszeit vom Meeting,
  • Netzwerkqualitätsstatus

Die Inhaltsdaten (Audio- und Videostream) werden ausschließlich über die vom DFN-Verein betriebenen Systeme geführt.

Teilnahme über Telefon

Bei einer Teilnahme über Telefon werden folgende Protokolldaten erfasst:

  • Telefonnummer,
  • Zutritts- und Austrittszeit.

Speicherung und Speicherdauer

Die Erfassung der Protokolldaten dient der Durchführung und der Sicherheit von Veranstaltungen und der Unterstützung von Meetingteilnehmenden bei technischen Problemen. Die Protokolldaten werden auf Servern in europäischen Rechenzentren von Zoom gespeichert. Zugriff auf die Protokolldaten haben auch Beschäftigte im DFN-Verein, die mit der Erbringung des Dienstes betraut sind.

Auf den Servern von Zoom werden Nutzungsdaten solange gespeichert, wie dies zur Erbringung der technischen Leistung und ihrer Abrechnung erforderlich ist. Das gilt nicht, sofern abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben oder für die Rechtsdurchsetzung innerhalb der gesetzlichen Verjährungsfristen erforderlich ist.

4. Verarbeitung von Inhaltsdaten

Die Inhaltdaten, insbesondere Video und Audio, werden ausschließlich über die vom DFN-Verein betriebenen Systeme geführt und nicht gespeichert. Dies gilt nicht für die Teilnahme mittels Webzugang ohne Zoom-Client und über die Telefoneinwahl. In diesen beiden Fällen werden auch die Inhaltsdaten über die europäischen Rechenzentren von Zoom geführt. Dies betrifft dann auch die Kommunikation von Meetingteilnehmenden mit Zoom-Clients. Dies kann somit nur ausgeschlossen werden, wenn alle Meeting-Teilnehmenden über den Zoom-Client an dem Meeting teilnehmen.

Aufzeichnungen mittels Zoom-Client

Eine Aufzeichnung kann nur lokal durch den Zoom-Client (Webzugang mit Zoom-Client und Software-Client) aktiviert werden und wenn der Meetingveranstalter es zulässt. Startet ein Zoom-Client eine Aufzeichnung, erfolgt eine Benachrichtigung bei Start- oder Neustart der Meetingaufzeichnung an alle Teilnehmenden. Kamera oder Mikrofon können durch den Meetingteilnehmenden jederzeit selbst über den Zoom-Client abgeschaltet beziehungsweise stummgestellt werden. Mit der Aufzeichnung werden die Daten des Audio- und Videostreams ausschließlich lokal auf dem aufnehmenden Client gespeichert. Die Beschäftigten des DFN-Vereins sind angewiesen, Aufzeichnungen unverzüglich zu löschen, wenn diese nicht mehr benötigt werden.

Ist die Aufzeichnung einer Veranstaltung geplant, sind Meetingveranstalter angewiesen, entsprechende Informationen vor Beginn der Veranstaltung an alle Meetingteilnehmenden zu kommunizieren und die Dokumentation der Einwilligung zu organisieren. Sollten Sie Bedenken in diesem Zusammenhang haben, so wenden Sie sich an Ihren Meetingveranstalter.

Verschlüsselung

Bei der Teilnahme über den Zoom-Client, über Web mit Zoom-Client und über Web ohne Zoom-Client findet eine Transportverschlüsselung statt. In diesem Rahmen übermittelte Daten können von Dritten somit nur schwer bis unmöglich eingesehen werden. Bei einer Telefonteilnahme findet aufgrund technischer Beschränkungen keine Transportverschlüsselung zwischen den Zoom-Servern und dem Telefonteilnehmenden statt. Der Zugang zur Zoom-Konferenz über H323/SIP ist nur mit Verschlüsselung möglich. Durch den Meetingveranstalter kann eine Ende-zu-Ende-Verschlüsselung aktiviert werden. Eine Teilnahme über Web ohne Zoom-Client, Telefon oder H323/SIP ist dann nicht möglich.

5. Cookies

Bei Aufruf der für die Einwahl zur Videokonferenz bereitgestellten Webseite werden Cookies auf Ihrem Endgerät gespeichert. Es handelt sich dabei um kleine Dateien mit kurzen Texten zur technischen Verarbeitung. Infos zur Verarbeitung von Cookies werden in der Cookie-Policy von Zoom unter:

zoom.us/cookie-policy

bereitgestellt. Die Cookies werden gelöscht, wenn Sie den Browser schließen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen vollumfänglich nutzen können.

6. Rechtsgrundlagen

Rechtsgrundlage für die Verarbeitungen ist Art. 6 Absatz 1 Buchstabe lit. f) DSGVO. Die Durchführung von DFN-Veranstaltungen im Rahmen einer Videokonferenz liegt im berechtigten Interesse des DFN-Vereins. Das Interesse des DFN-Vereins überwiegende Grundrechte oder Grundfreiheiten betroffener Personen, die den Schutz der Daten erfordern, sind nicht erkennbar. Die Durchführung von DFN-Veranstaltungen mit elektronischen Mitteln liegt vielmehr auch im Interesse der Nutzenden. Die Verarbeitung von Daten durch Zoom erfolgt im Rahmen einer mit dem DFN-Verein geschlossenen Auftragsverarbeitung entsprechend Artikel 28 der DSGVO.

Der DFN-Verein hat mit Zoom eine Auftragsverarbeitungsvereinbarung zum Umgang mit personenbezogenen Daten geschlossen. Es ist möglich, dass personenbezogene Daten in ein Drittland übermittelt werden, dies insbesondere im Supportfall an Zoom- Standorte in den Vereinigten Staaten. Mit Zoom Video Communications, Inc. wurde deshalb ein Auftragsdatenverarbeitungsvertrag geschlossen, der sich auf die EU-Standardvertragsklauseln stützt, die auf eine datenschutzgerechte Verarbeitung der Daten in den USA zielen.

7. Rechte betroffener Personen

Art. 15 DSGVO regelt das Auskunftsrecht Betroffener Personen. Artikel 15 gibt Ihnen die Möglichkeit, vom DFN-Verein eine Bestätigung zu verlangen, ob Ihre personenbezogenen Daten von uns verarbeitet werden. Sofern Ihre personenbezogenen Daten bei uns vorliegen, können Sie weiterhin Informationen zum Verarbeitungszweck, zu deren Herkunft und zu den Empfängern, der Speicherdauer und weiteren Details (siehe dazu Artikel 15 Absatz 1 DSGVO) verlangen.

Art. 16 DSGVO eröffnet Ihnen das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung Sie betreffender unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.

Art. 17 Abs. 1 DSGVO gibt ihnen das Recht – unter bestimmten Voraussetzungen – die Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO regelt ein „Recht auf Vergessenwerden“, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Eine Löschung kann insbesondere verlangt werden, wenn die personenbezogenen Daten nicht mehr für den ursprünglichen Zweck notwendig sind oder Sie Ihre Einwilligung widerrufen haben und keine anderweitige Rechtsgrundlage zur Verarbeitung vorliegt.

In bestimmten Fällen kann nach Art. 18 DSGVO auch die Einschränkung der Verarbeitung verlangt werden – zum Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gibt unter bestimmten Voraussetzungen (insbesondere wenn die Datenverarbeitung auf einer Einwilligung oder einem Vertrag basiert) einen Anspruch, eine Kopie von personenbezogenen Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu erhalten, bzw. dass diese Daten direkt einem anderem Verantwortlichen – sofern technisch möglich – übermittelt werden.

Nach Art. 21 Abs. 1 DSGVO hat der Betroffene je nach Sachlage und Umständen ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten, welche auf Grundlage des Art. 6 Abs. 1 lit. e) (Wahrnehmung von Aufgaben im öffentlichen Interesse) oder lit. f) (Wahrung berechtigter Interessen des Verantwortlichen) DSGVO erfolgt.

Artikel 77 DSGVO eröffnet jeder betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde.

8. Kontaktdaten

Verantwortlicher

Verein zur Förderung eines Deutschen Forschungsnetzes e.V.

Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de, Telefon: +49 30 884299 9103

Auftragsverarbeiter

Zoom Video Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113

Datenschutzbeauftragte

Verein zur Förderung eines Deutschen Forschungsnetzes e.V.
Datenschutzbeauftragte
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de, Telefon: +49 30 884299 9103

     aktualisiert am: 24.06.2021 |