Datenschutzhinweise

Warum Zoom? 

Die aktuelle und anhaltende Krisensituation und der begleitende Umstieg auf die digitale Lehre hat zu einem erhöhten Bedarf an Videoconferencing Lösungen geführt. Die Universitäts- und Hochschulleitungen haben gemeinsam mit den CIOs der bayerischen Hochschulen als belastbare Lösung Zoom ausgewählt. Zoom ist im letzten Jahr durch den Lockdown immer stärker in den Fokus der Berichterstattung geraten und es wurden einige Datenschutz- und Sicherheitsprobleme erkannt, die von dem Unternehmen auch offensiv bearbeitet wurden und auch immer noch bearbeitet werden. 

Die Sicherheit und der Datenschutz stehen im Vordergrund und der Einsatz von Zoom wird sehr genau überwacht. Im Rahmen der Campus-Lizenz sind aber mehr Einstellungen möglich, die die Sicherheit und den Datenschutz deutlich erhöhen. Neben der Standard-Lizenz ist mit Zoom ein Vertrag zur Auftragsverarbeitung abgeschlossen worden, der nach Einschätzung der bayerischen Stabsstelle für IT-Recht viele der kritischen Punkte in Bezug auf den Datenschutz und die Sicherheit beseitigt. Weitere Verbesserungen der rechtlichen Bedingungen kommen aus dem zusätzlich abgeschlossenen Master Subscription Agreement mit Zoom und einem neuen Data Processing Addendum. 

Einen sehr guten Überblick zum aktuellen Stand von Zoom aus Datenschutz- und Sicherheitsaspekten und dem Einsatz an den bayerischen Universitäten und Hochschulen finden Sie auf den Seiten der Stabsstelle IT-Recht, woraus hier auch einige Textpassagen übernommen wurden: 

Um die zu erwartenden Belastungen an alle angebotenen Dienste etwas abzufedern, bietet die Technische Hochschule Nürnberg Georg Simon Ohm verschiedene Dienste an, die digitale Lehre ermöglichen. Neben Zoom werden auch noch die DFN Angebote pexip und Adobe Connect und zusätzlich Microsoft Teams angeboten. Je nachdem welche Lösung für Sie besser geeignet ist, stehen Ihnen diese verschiedenen Angebote zur Verfügung.

Einstellungen für Zoom der Technischen Hochschule Nürnberg

In der Zoom Instanz der Technischen Hochschule Nürnberg sind alle datenschutz- und sicherheitsrelevanten Optionen aktiviert, sofern sie dem eigentlichen Einsatzzweck nicht entgegenstehen. Weitere Informationen und Handlungsempfehlungen, die die Sicherheit erhöhen können finden Sie bei den Tipps zum Einsatz von Zoom.

Darüber hinaus hat die Technische Hochschule Nürnberg Georg Simon Ohm Regelungen zur Aufzeichnung an der Hochschule erlassen. 

Datenschutzinformation über die Verarbeitung personenbezogener Daten (Bayern)

Verantwortliche und deren Datenschutzbeauftrage (neben dem Lizenznehmer)

Zoom Video Communications, Inc., 55 Almaden Boulevard, San Jose, CA 95113, United States

Datenschutz:

Betroffenenrechte

Allgemein

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München.

Über Ihr Widerrufsrecht und Ihr Widerspruchsrecht informieren wir Sie gesondert.

Widerspruchsrecht

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Zweck

Bezug und Nutzung der Videokonferenz-Lösung als Hilfsmittel für die Lehre, Forschung und Verwaltung. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Rechtsgrundlagen für die Verarbeitung

Für die Statistik

  • Art. 6 Abs. 1 lit. e i.V.m. Art. 4 BayDSG (Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO)

Für die Lehre

  • Art. 6 Abs. 1 lit. e DSGVI i.V.m Art. 4 BayDSG (Art. 55 Abs. 2 BayHSchG)

Für die Beschäftigten

  • Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)
  • Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)

Für Aufzeichnungen von Veranstaltungen

  • Art. 6 Abs. 1 lit c DSGVO (bei gesetzlichen Dokumentationspflichten z.B. Prüfungen)
  • Art. 6 Abs. 1 lit. b DSGVO bei Verträgen mit Aufzeichnungsverpflichtungen
  • Art. 6 Abs. 1 lit. a DSGVO in den übrigen Fällen

Datenkategorien (nur bei einer Registrierung und Anmeldung bei Zoom) 

  1. Benutzerprofil: Vorname, Nachname, Telefon (optional), E-Mail, Passwort (wenn SSO nicht verwendet wird), Profilbild (optional), Abteilung (optional)
  2. Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen (werden immer erhoben) 
  3. Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei. An der TH Nürnberg sind derzeit keine Aufzeichnungen von Meetings möglich. Sie werden weder standardmäßig aufgezeichnet noch besteht derzeit die Möglichkeit als User aufzuzeichnen.
  4. IM-Chat-Protokolle
  5. Telefonie-Nutzungsdaten (optional): Rufnummer des Anrufers, Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts
  6. Rechnungs- und Beschaffungsdaten

Kategorien von betroffenen Personen

  • Für die Datenkategorien 1-5 Personen, die Zoom nutzen oder administrieren. 
  • Für die Datenkategorien 3-4, Personen, die in der Kommunikation und Dokumenten identifizierbar sind.
  • Für die Datenkategorie 6, Beschaffer und Anfordernde

Empfänger 

Nachzulesen unter:

1-6Zoom Video Communications, Inc.Auftragsverarbeitung Vereinigte Staaten von Amerika und Unterauftragsverarbeiter
Unterauftragsverarbeiter
1-6Zendesk Support Vereinigte Staaten von Amerika
1Rocket Science Group, LLCE-Mail-BenachrichtungenVereinigte Staaten von Amerika
1-6Amazon Web Services Infrastruktur (IT)Vereinigte Staaten von Amerika, EU, Kanada, Australien
1-6Oracle Cloud Service Provider/Infrastruktur ITVereinigte Staaten von Amerika

Speicherdauer

  • Datenkategorie 1: 90 Tage nach Löschen des Accounts bzw. Vertragsende
  • Datenkategorie 2: 90 Tage nach Löschbitte bzw. Vertragsende
  • Datenkategorie 3: 7 Tage nach Löschung der Aufzeichnung
  • Datenkategorie 4: 7 Tage nach Löschung des Chats
  • Datenkategorie 5: 90 Tage nach Löschbitte bzw. Vertragsende
  • Datenkategorie 6: Intern gemäß Haushalts- und Steuerrecht

Eine vorherige Löschung ist immer möglich bei Beauftragung zur Löschung durch Zoom.