Zoom Datenschutzerklärung & Nutzungsbedingungen
Diese Datenschutzerklärung soll Ihnen ermöglichen, sich über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung des Tools „Zoom“ der Zoom Video Communications, Inc. zu informieren. Die Deutsche Gesellschaft für Auswärtige Politik e.V. (DGAP) nutzt für die Durchführung von Online-Veranstaltungen und Online-Seminaren den Online-Meeting-Dienst Zoom.
Informationen nach Art. 13/14 EU-Datenschutz-Grundverordnung (DSGVO) zum Einsatz des "Video-Konferenzsystems Zoom“ an der DGAP
Angesichts der aktuellen SARS-CoV-2-Krisensituation hat sich die DGAP entschlossen ihre Veranstaltungsformate hybrid bzw. digital durchzuführen. Dadurch ist der Bedarf zur Nutzung von Videokonferenzsystemen zur Durchführung unserer satzungsgemäßen Aufgabe der (dezentralen) Vermittlung von Außenpolitik massiv angestiegen.
Die DGAP hat sich nach einer genauen Marktanalyse und reiflicher Überlegung dazu entschieden die Videokonferenzlösung der Firma Zoom Video Communications Inc. für unser Veranstaltungsgeschäft einzusetzen . Die Entscheidung für Zoom ist gefallen, da im Gegensatz zu anderen auf dem Markt angebotenen Systemen Zoom eine sehr hohe Qualität liefert, in der Bedienung besonders anwenderfreundlich und transparent ist und eine große Anzahl an datenschutzfreundlichen Einstellungsmöglichkeiten bietet. Der Dienst wird an der DGAP in Situationen eingesetzt, in denen Präsenzveranstaltungen nicht möglich sind bzw. dort wo wir unsere Veranstaltungen einem größeren Publikum zugänglich machen wollen – die allerdings nicht physisch Vorort sein können (Streaming).
Die DGAP hat umfangreiche Maßnahmen getroffen, um den Einsatz auf ein datenschutzrechtlich angemessenes Niveau zu heben. So wurden zahlreiche Voreinstellungen datenschutzfreundlich konfiguriert. Diese einzelnen Maßnahmen werden untenstehend näher erläutert.
Datenschutzkonforme Konfiguration der Zoom-Plattform
Im Sinne einer datenschutzkonformen Nutzung können folgende Einstellungen nicht von einzelnen Konferenz-Organisatoren geändert werden:
- Kalender- und Kontakt-Integration [deaktiviert]
- Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
- Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
- Verhindern, dass Teilnehmer den Chat speichern [aktiviert]
- Chats automatisch speichern [deaktiviert]
- Fernsteuerung [deaktiviert]
- Kamerafernsteuerung [deaktiviert]
- Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
- Automatische Aufzeichnung [deaktiviert]
- Nur der Host kann Cloud-Aufzeichnungen herunterladen [aktiviert]
- Nur berechtigte Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
- Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
- Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [aktiviert]
- Aufnahmeeinverständnis [aktiviert]
- Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
- Fremde Meetings anzeigen [deaktiviert]
- Durchgehende Chatverschlüsselung aktivieren [aktiviert]
- Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
- Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
- Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
- Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
- Unternehmenskontakte [deaktiviert]
Datenschutzerklärung
Diese Datenschutzerklärung ermöglicht es Ihnen, sich darüber hinaus über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung von „Zoom“ zu informieren.
I. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO sowie anderer datenschutzrechtlicher Bestimmungen ist:
Deutsche Gesellschaft für Auswärtige Politik e.V. (DGAP)
Rauchstraße 17/18, 10787 Berlin
030 25 42 31-0; info@dgap.org
Die DGAP ist ein eingetragener Verein. Sie wird durch den Präsidenten Dr. Thomas Enders gesetzlich vertreten.
Unsere Datenschutzbeauftragte erreichen Sie unter:
Deutsche Gesellschaft für Auswärtige Politik e.V. (DGAP)
Die Datenschutzbeauftragte
Rauchstraße 17/18, 10787 Berlin
datenschutz@dgap.org
II. Auftragsverarbeiter
Die Zoom Video Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, ist als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO für die DGAP tätig.
III. Verarbeitung personenbezogener Daten
Die Form der Datenverarbeitung hängt davon ab, wie der Dienst genutzt wird. Zoom ermöglicht eine flexible Gestaltung der Online-Meetings. Als Host oder Moderator werden die in Ihrem Zoom-Account hinterlegten personenbezogenen Daten zur Verwaltung der Zoom-Räume verarbeitet. Als Teilnehmer*in können Sie darüber entscheiden, ob Sie am Chat teilnehmen oder ob Sie Ihr Mikrofon bzw. Ihre Kamera freigeben. Grundsätzlich kommt es zu folgender Verarbeitung durch Zoom:
1. Benutzer*innen-Daten
Bei dienstlichen Zoom-Accounts werden nach dem Login und der Bestätigung durch die Nutzer*innen (Anmeldevorgang) folgende Daten an Zoom übertragen:
- Pseudonym, sonst optional der vollständige Name (Anzeigename) sowie Vorname(n) und Nachnamen als getrennte Felder;
- Spracheinstellung;
- optional Abteilung; die dienstliche E-Mail-Adresse der Person;
- der Name der Einrichtung „DGAP“;
- optional Stellenbezeichnung;
- optional Telefonnummer
- optional Ort
- optional Unternehmen bzw. Einrichtung
- Kennwort zur Anmeldung
- Wenn Sie sich mit einem sonstigen Zoom-Account anmelden, werden die dort hinterlegten personenbezogenen Daten verarbeitet
- Wenn Sie sich mit einem Zoom-Raum (im Browser oder per Client) als Gast ohne Anmeldung mittels Zoom-Account verbinden, werden Sie darum gebeten, sich selbst ein Alias zu wählen, um Ihren Namen gegenüber Zoom nicht offenlegen zu müssen.
- Wenn Sie sich per Telefoneinwahl zuschalten, wird Ihre Telefonnummer verarbeitet
2. Video-, Audio- und Textdaten
- Videodaten, sofern Sie die Kamera Ihres Endgeräts freigegeben haben
- Audiodaten, sofern Sie das Mikrofon Ihres Endgeräts freigegeben haben
- Textdaten, sofern die Chat-, Fragen- oder Umfragefunktion genutzt wird
3. Meeting-Metadaten
- Dauer des Meetings
- Beginn und Ende (Zeit) der Teilnahme von Personen
- Name und Beschreibung des Meetings
- Geplantes Datum / Uhrzeit des Meetings
- Chat-Status
- IP-Adressen der zur Teilnahme verwendeten Endgeräte sowie weitere Geräte-/Hardware- In-formationen (MAC-Adresse, andere Geräte-IDs (UDID), Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung u.a.), ungefähre Position zur Herstellung einer Verbindung zum nächstgelegenen Zoom-Rechenzentrum
4. Meeting-Aufzeichnungen (optional)
- mp4 aller Video- und Audioaufnahmen und Präsentationen
- m4a aller Audioaufnahmen
- Textdatei aller Annotationen, Chats, Audio-Protokolldatei
- Audio-Protokolldatei und andere Informationen, die während der Nutzung des Dienstes geteilt werden.
5. Beschäftigte in der DGAP:
Vollständiger Name, dienstliche E-Mail-Adresse, Rechnungs- und Beschaffungsdaten
Video- und Audiodaten enthalten jedenfalls Ihr Abbild sowie Ihre Stimme als personenbezogene Daten im Sinne des Artikel 4 Nummer 1 DSGVO, da sich die Daten auf Sie als identifizierte bzw. identifizierbare natürliche Person beziehen. Darüber hinaus kann der Inhalt Ihrer Beiträge Rückschlüsse auf Ihre Person zulassen. Auch IP-Adresse und Geräte-/Hardware-Informationen können einen Rückschluss auf Ihre Person zulassen und sind daher als personenbezogene Daten zu behandeln.
Der Text innerhalb der Chatfunktion wird in einer separaten Datei gespeichert und ist im Falle einer Aufzeichnung nicht Teil des Videos.
Weitere Informationen zur Datenverarbeitung bei Zoom-Nutzung können Sie unter https://zoom.us/de-de/privacy.html sowie https://zoom.us/docs/de-de/privacy-and-security.html abrufen. Bitte beachten Sie, dass es sich dabei um eine externe Website handelt, die von der Zoom Video Communications, Inc. in eigener Verantwortlichkeit betrieben wird und bei deren Besuch personenbezogene Daten verarbeitet werden.
IV. Rechtsgrundlage
Wir setzen den Dienst Zoom sowohl in der Wissenschaft als auch im Rahmen der Verwaltung ein. Die einschlägige Rechtsgrundlage für die Datenverarbeitung richtet sich nach dem jeweiligen Einsatzgebiet.
Wir verarbeiten Daten von Beschäftigten (Mitglieder und Angehörige), soweit dies für die Erfüllung der ihnen übertragen Aufgaben und somit für die Durchführung des Dienstverhältnisses erforderlich ist. Die Rechtsgrundlage ergibt sich aus Art. 6 Absatz 1 Unterabsatz 1 lit. a), b) bzw. c), Absatz 3, Art. 88 DSGVO.
Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, die Sie optional, von sich preisgeben können, ist Ihre Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 lit. a), 7 DSGVO.
V. Speicherung
Die oben angegebenen Daten werden solange verarbeitet, wie es für die Durchführung der Online-Meetings und damit zusammenhängender Services erforderlich ist. Das gilt nicht, sofern abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben oder für die Rechtsdurchsetzung innerhalb der gesetzlichen Verjährungsfristen erforderlich ist. Sofern Daten lediglich noch zu den vorgenannten Zwecken aufbewahrt werden, ist der Datenzugriff auf das dafür nötige Maß beschränkt.
Wird das Online-Meeting aufgezeichnet, erfahren Sie dies über eine Vorankündigung der DGAP und/oder über eine technische Signalisierung. Sie können Ihre Kamera und ihr Mikrofon selbstständig deaktivieren und das Meeting jederzeit verlassen. Mit der Aufzeichnung werden die Daten des Audio- und Videostreams sowie optional die Nachrichten in der Chat-, Fragen- oder Umfragefunktion gespeichert und bleiben über die Dauer des Meetings hinaus gespeichert. Die auf den Cloudservern des Anbieters von „Zoom“ gespeicherten Aufzeichnungen werden nach spätestens 30 Tagen automatisch gelöscht. Soweit Online-Meetings nicht aufgezeichnet werden, speichert der Anbieter die Meetinginhalte nach eigenen Angaben nach Abschluss des Meetings nicht.
Wenn Sie mit einem Zoom-Account angemeldet sind, können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei „Zoom“ gespeichert werden.
VI. Empfänger
Interne Empfänger sind diejenigen Beschäftigten der DGAP, die die Daten für ihre Tätigkeit im Rahmen der Aufgabenerfüllung benötigen. Weitere Empfänger existieren für den Fall, dass wir gesetzlich zu einer Weitergabe verpflichtet sind.
Als externer Empfänger verarbeitet die Zoom Video Communications, Inc. im Rahmen des Auftragsverarbeitungsverhältnisses Ihre Daten im oben geschilderten Umfang.
Externe Empfänger der Daten, die Sie im Rahmen des Online-Meetings preisgeben, sind auch die anderen Teilnehmer*innen des Online-Meetings.
VII. Datenverarbeitung außerhalb der EU / des EWR
Im Rahmen der Nutzung von Zoom werden personenbezogene Daten außerhalb der EU / des EWR verarbeitet. Die Übermittlung der Daten erfolgt auf der Grundlage von Standarddatenschutzklauseln der EU-Kommission als geeignete Garantie für ein angemessenes Datenschutzniveau gemäß Artikel 46 Absatz 2 lit. c DSGVO.
Zoom ist so konfiguriert, dass die im Rahmen der Online-Meetings unmittelbar erhobenen Daten (wie Bild, Ton, Gesprächsinhalte) grundsätzlich am nächstgelegenen Serverstandort, und damit regelmäßig innerhalb der EU, und ansonsten ausschließlich auf US-amerikanischen Servern verarbeitet wer-den. Die übrigen sogenannten Metadaten werden auf US-amerikanischen Servern verarbeitet.
VIII. Verschlüsselung
Da bei Zoom-Meetings der Ton und das Bild der jeweiligen Sprecherin / des jeweiligen Sprechers in hoher Qualität an eine Vielzahl von Personen übertragen werden müssen, ist die Verbindung nicht Ende-zu-Ende-verschlüsselt, aber transportverschlüsselt.
Am 14. Oktober 2020 gab Zoom den „Technical Preview“ einer Ende-zu-Ende-Verschlüsselung (E2EE) bekannt. Die DGAP wird diese Möglichkeit in den kommenden Wochen intern testen. Momentan sind folgende Funktionen nicht in Verbindung mit einer E2EE-Verschlüsselung nutzbar: z. B. Eintreten vor dem Gastgeber, Cloud-Aufzeichnung, Streaming, Live-Transkription, Breakout Rooms, Abstimmungen, 1:1-Privatchat und Meeting-Reaktionen.
IX. Datenverarbeitung in der Cloud
Bitte beachten Sie, dass wir bei der Nutzung von Cloud-Diensten keinen direkten Einfluss auf die Sicherheit der Daten nehmen können. Zwar wurde der Dienst durch die DGAP datensparsam voreingestellt. Dennoch bitten wir Sie, nicht unnötig viele Daten von sich preiszugeben.
X. Ihre Rechte
Hinsichtlich der Sie betreffenden personenbezogenen Daten haben Sie folgende Rechte:
- Recht auf Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft (Artikel 7 Absatz 3 DSGVO)
- Recht auf Bestätigung, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (Artikel 15 DSGVO)
- Recht auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Artikel 16 DSGVO)
- Recht auf unverzügliche Löschung der Sie betreffenden Daten (Artikel 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
- Recht auf Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a oder Artikel 9 Absatz 2 lit. a) oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Unterabsatz 1 lit. b) beruht und keine Ausnahme vorliegt (Artikel 20 DSGVO)
- Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde über die Verarbeitung der Sie betreffenden personenbezogenen Daten durch die DGAP zu beschweren (Artikel 77 DSGVO). Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 DSGVO über die DGAP ist gemäß § 8 BlnDSG: Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, mailbox@datenschutz-berlin.de.
XI. Widerspruchsrecht nach Art. 21 DSGVO
Sie haben ein Recht auf Widerspruch gegen die künftige Verarbeitung der Sie betreffenden Daten, sofern die Daten nach Maßgabe von Artikel 6 Absatz 1 Unterabsatz 1 lit. a) oder c) DSGVO verarbeitet werden.
Nutzungsbedingungen
Urheberrecht und Persönlichkeitsrechte
Der Inhalt der Veranstaltungen sowie alle Materialien (Unterlagen, zur Verfügung gestellte Aufzeichnungen usw.) sind – sofern nicht anders gekennzeichnet – geistiges Eigentum der jeweiligen Vortragend*in und urheberrechtlich geschützt. Sie dürfen ausschließlich durch Sie als an der Veranstaltung angemeldete Person genutzt werden. Nicht erlaubt sind insbesondere die auch nur teilweise Veröffentlichung, Vervielfältigung, Weitergabe und Bearbeitung sowie die Aufzeichnung einer Veranstaltung in Audio oder Video bzw. durch Screenshots. Durch die unerlaubte Veröffentlichung einer Aufnahme wird das Recht der Teilnehmenden am gesprochenen Wort (§ 201 StGB) oder das Recht am eigenen Bild (§§ 22, 23 KUG & § 33 KUG) verletzt. Jeder Missbrauch kann rechtlich verfolgt werden.
Als Teilnehmer*in verpflichten Sie sich, die Urheberrechte zu wahren und die (Live-)Videokonferenzen nur im Rahmen der Einladung der DGAP zum eigenen Gebrauch individuell zu nutzen.