Inhaltspezifische Aktionen

Datenschutzerklärung für den Einsatz von Zoom (Webkonferenzdienst) an der Justus-Liebig-Universität Gießen

Im Folgenden informieren wir über die Verarbeitung personenbezogener Daten bei Nutzung des zentralen Zoom-Webkonferenzdienstes der Justus-Liebig-Universität Gießen. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Dadurch möchten wir Sie über unsere Verarbeitungsvorgänge informieren und zugleich den gesetzlichen Pflichten, insbesondere aus der EU-Datenschutz-Grundverordnung (DS-GVO) nachkommen.

Der Webkonferenz-Dienst Zoom der Justus-Liebig-Universität Gießen wird über die Telekom Deutschland GmbH angeboten. Die Justus-Liebig-Universität Gießen setzt entsprechende Vorgaben des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum datenschutzkonformen Betrieb von Zoom gemäß des „Hessischen Modells“ um.
 

§ 1 Verantwortlicher für die Datenverarbeitung gem. Art. 4 Nr. 7 DS-GVO ist:

Justus-Liebig-Universität Gießen

Gesetzlich vertreten durch ihre Präsidentin

Prof. Dr. Katharina Lorenz
Ludwigstraße 23
35390 Gießen

Deutschland

Telefon: 0641 99-0
Telefax: 0641 99-12259

E-Mail: praesidentin
Internet: https://www.uni-giessen.de

Kontakt zum behördlichen Datenschutzbeauftragten der Justus-Liebig-Universität Gießen: 

Den behördlichen Datenschutzbeauftragten erreichen Sie unter  oder der Postadresse der Justus-Liebig-Universität Gießen mit dem Zusatz „Der behördliche Datenschutzbeauftragte“.  Bei Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten oder der Geltendmachung Ihrer unter § 5 Abs. (1) - (4) genannten Rechte wenden Sie sich bitte direkt an die o.g. E-Mail-Adresse des behördlichen Datenschutzbeauftragten.

 

§ 2 Verarbeitung der Daten

Diese Datenschutzerklärung gilt für den Videokonferenzdienst Zoom der Justus-Liebig-Universität Gießen unter https://www.uni-giessen.de/zoom sowie für die darin erhobenen personenbezogenen Daten.

Zweck des Betriebs des Videokonferenzdienstes Zoom der Justus-Liebig-Universität Gießen ist die Bereitstellung und Durchführung digitaler Lehre an der Justus-Liebig-Universität Gießen. 

Der Betrieb des o.g. Videokonferenzdienstes dient insbesondere der Sicherstellung von räumlich-übergreifender Lehre, im Sinne der gesetzlichen Aufgabe der Pflege und Entwicklung der Wissenschaften und Künste (§ 3 Abs. 1 HHG), der Vereinbarkeit von Familie mit Studium, Wissenschaft und Beruf (§ 3 Abs. 4 HHG) und der Förderung der internationalen und europäischen Zusammenarbeit im Hochschulbereich (§3 Abs. 7 HHG) entsprechend des geltenden Hessischen Hochschulgesetzes (HHG).

Der Betrieb des o.g. Videokonferenzdienstes erfolgt auf Grundlage der konkreten Vorgaben des sog. „Hessischen Modells“ des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Dieses Modell sieht einen datenschutzkonformen Einsatz im Besonderen dann gegeben, wenn folgende Kriterien erfüllt sind:

  • Ein zwischengeschalteter Auftragsverarbeiter mit Sitz und Standort der Datenverarbeitung im Wirkungsbereich der DS-GVO, der hier den On-Premise-Betrieb der Zoom-Audio-Video-Konnektoren anbietet und mit dem Anbieter Zoom die Standardvertragsklauseln der EU-Kommission in der gültigen Fassung abgeschlossen hat.
  • Pseudonymisierung der Accounts der Studierenden und Lehrenden
  • Die Ende-zu-Ende-Verschlüsselung muss aktiviert sein
  • Angebot für alle Studierenden und Lehrenden zur Nutzung eines VPN
  • Beschränkung auf die Durchführung von Lehrveranstaltungen
  • Technische und organisatorische Maßnahmen seitens der Hochschule, welche die Übermittlung personenbezogener Daten an den Anbieter Zoom unterbinden (u.a. Abschaltung von der Cloud-Aufzeichnungsfunktion)
  • Ausführliche Informationen der Lehrpersonen und der Studierenden über die möglichen eigenen Maßnahmen zum Schutz der informationellen Selbstbestimmung sowie zusätzliche vertrauensbildende Maßnahmen durch Zoom.

(1) Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung des Webkonferenz-Dienstes Zoom basiert auf folgenden Rechtsgrundlagen:

  • Einwilligung gem. Art. 6 Abs. 1 a) DS-GVO.
  • Für die Erfüllung des Lehrauftrages gem. Art. 6 Abs. 1 e) DS-GVO i.V.m. §§ 3, 23 HDSIG i.V.m. § 13 HHG.
  • Für die Erfüllung von Dienstaufgaben gem. Art. 6 Abs. 1 e) DS-GVO i.V.m. §§ 3, 23 HDSIG i.V.m. § 3 HHG.
  • Für die Erfüllung übertragener Weiterbildungsaufgaben gem. Art. 6 Abs. 1 e) DS-GVO i.V.m. §§ 3 HDSIG, 16 HHG.§.   
  • Für die Erfüllung der Aufgabe der Vermittlung einer wissenschaftlichen Ausbildung gem. Art. 6 Abs.1 lit. e) i.V.m. § 3 HDSIG und § 4 Abs. 1 HHG.
  • Für die Datenverarbeitung im Rahmen von Vertragsbeziehungen Art. 6 Abs. 1 b) DS-GVO.

Sollten ausnahmsweise besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO im Rahmen der Nutzung des o.g. Webkonferenz-Dienstes verarbeitet werden, erfolgt die Verarbeitung dieser Daten auf Basis Ihrer Einwilligung gem. Art. 9 Abs. 2 a) DS-GVO.
 

(2) Personenbezogene Daten

Nach Artikel 4 DS-GVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
 

(3) Datenverarbeitung im Zusammenhang mit der Nutzung von Zoom

Bei der Nutzung des Videokonferenzdienstes Zoom der Justus-Liebig-Universität Gießen werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Zoom-Meeting“ machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Angaben zum Benutzer: Vor- und Nachname (Pseudonym als Standardeinstellung, Klarnamen auf Grundlage einer Einwilligung möglich), Telefon (optional), E-Mail-Adresse (Pseudonym), Passwort, Benutzer-ID (Zoom-intern), Telefon (optional), Profilbild (optional), Abteilung (optional), Rechnungsadresse, Zahlungsmethode, Name des Unternehmens, bevorzugte Sprache, Meetings-Planung

Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen

Text-, Audio- und Videodaten: Teilnehmende haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-funktionen zu nutzen. Insoweit werden die von ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, wer-den entsprechend während der Dauer des Meetings die Daten vom Mikrofon ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Zoom-Applikationen abschalten bzw. stummstellen.

Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei aller Teilnehmer in der Besprechung, Chats, Audio-Protokolldatei und andere Informationen, die während der Nutzung des Dienstes geteilt werden

Bei Einwahl mit dem Telefon (optional): Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, IP-Adresse des Geräts, ggf. Notfallkontaktnummer, Start- und Endzeit, Hostna-me, Host-E-Mail, Mac-Adresse des verwendeten Geräts

Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen. Diese Angaben werden jedoch nicht überprüft und der Klarnamen darf von der veranstaltenden Person nicht erzwungen werden.
 

(4) Ort der Verarbeitung und Speicherung und Löschung

Die Justus-Liebig-Universität Gießen nutzt das Produkt „Zoom X“ der Telekom Deutschland GmbH zur Umsetzung des Videokonferenzdienstes Zoom. Hierzu wurde ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 Abs. 3 DS-GVO zwischen der Verantwortlichen und der Telekom Deutschland GmbH geschlossen, dessen Bestandteil die einschlägigen (gültigen) Standardvertragsklauseln sind.

Zwischen der Telekom Deutschland GmbH und der Zoom Video Communications Inc. wurde eine Datenschutzvereinbarung gemäß EU-Standardvertragsklauseln geschlossen.

Die während eines Meetings erzeugten Real-Time Daten (Echtzeit Text-, Audio- und Videodaten) – die sog. Data in Motion - Zoom Real-Time Media & Signaling – als auch die sog. Data at Rest (Services für Web & Data, z.B. Benutzerprofile, Meeting-Aufzeichnungen, Meeting Meta- & Telemetriedaten, Dashboards/ Berichte und persistente Chats) werden bei T-Systems in deutschen Rechenzentren verarbeitet.

Dort, wo ein theoretischer Zugriff auf die „Data at Rest“ durch den Anbieter Zoom Video Communications, Inc (USA) möglich ist, wird ein Pseudonymisierungsverfahren der Telekom Deutschland GmbH eingesetzt und es greifen entsprechender technischer und organisatorischer Maßnahmen gemäß des „Hessischen Modells“ des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) von Seiten der Justus-Liebig-Universität Gießen.

Die Audiozuführungen für Zoom X erfolgen auch über europäische Plattformen (Deutschland, Österreich, Niederlande).

Sofern von der Möglichkeit der lokalen Speicherung von Aufzeichnungen einzelner Veranstaltungen Gebrauch gemacht wird, erfolgt diese Speicherung auf der IT-Infrastruktur des Verantwortlichen JLU (auf den Endgeräten der jeweiligen veranstaltenden Person) und nicht auf den Servern von Zoom Video Communications, Inc oder der Telekom Deutschland GmbH. Die jeweiligen Aufzeichnungen dürfen nur JLU-intern, d.h. veranstaltungsintern zur Verfügung gestellt werden (Teilnehmerkreis) und darüber hinaus nicht auf Social-Media-Plattformen o.ä. (z.B. generell im Internet) eingestellt / veröffentlicht und auch nicht an nicht berechtigte Dritte weitergegeben werden.

Die personenbezogenen Daten der betroffenen Personen werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften und Verpflichtungen, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

 

§ 3 Verweise zu Webseiten anderer Anbieter

Die Webseiten von Zoom (Profil-Seite, Einstellungen des Meetings, Meeting-Planung) enthaltengegebenenfalls Verweise („Links“) zu Webseiten anderer Anbieter. Die Justus-Liebig-Universität hat keinen Einfluss darauf, ob die hinter diesen Links befindlichen Zielwebseiten dieser Anbieter die gesetzlichen Datenschutzanforderungen erfüllen. Bitte beachten Sie in diesem Zusammenhang stets die jeweiligen Datenschutzerklärungen und einschlägigen Hinweise der anderen Anbieter.

 

§ 4 Empfänger Ihrer Daten bei gesetzlicher oder gerichtlicher Verpflichtung

Die Daten, die bei Ihrem Zugriff auf die Webseite gespeichert wurden, werden neben der Weitergabe an berechtigte Dienstleister nur an Dritte weitergegeben, soweit wir gesetzlich oder durch eine Gerichtsentscheidung dazu verpflichtet sind oder sofern dies zur Rechts- oder Strafverfolgung erforderlich ist.

 

§ 5 Ihre Rechte

Als Nutzer der Webseite haben Sie nach den Art. 15 bis 18, 21 DS-GVO und dem HDSIG verschiedene Rechte: Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch und Recht auf Beschwerde.

Soweit die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, haben Sie das Recht die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

(1) Auskunftsrecht

Nach Artikel 15 DS-GVO können Sie über Ihre personenbezogenen Daten Auskunft verlangen, die wir verarbeiten. In Ihrem Auskunftsantrag sollten Sie Ihr Anliegen präzisieren, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern. Bitte beachten Sie, dass Ihr Auskunftsrecht durch Vorschriften des HDSIG eingeschränkt wird.

(2) Recht auf Berichtigung

Gem. Artikel 16 DS-GVO haben Sie das Recht, von der Verantwortlichen unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. 

(3) Löschungsrecht

Entsprechend Artikel 17 DS-GVO und § 34 HDSIG können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Ihr Anspruch auf Löschung hängt von einigen Bedingungen ab, beispielsweise ob wir Ihre Daten noch zur Erfüllung unserer gesetzlichen Aufgaben benötigen.

(4) Widerspruchsrecht

Nach Artikel 21 DS-GVO haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Daten zu widersprechen, die Sie betreffen. Ihrem Widerspruch können wir allerdings nicht immer entsprechen, beispielsweise wenn uns nach § 35 HDSIG eine Rechtsvorschrift zur Verarbeitung verpflichtet. Bitte beachten Sie auch, dass wir zwingend die IP-Adresse Ihres Clients verarbeiten müssen, damit Sie die Webseite nutzen können.

(5) Beschwerderecht

Wenn Sie der Auffassung sind, dass die Justus-Liebig-Universität Gießen bei der Verarbeitung Ihrer Daten datenschutzrechtliche Vorschriften nicht beachtet hat, können Sie sich mit einer Beschwerde an den behördlichen Datenschutzbeauftragten der Justus-Liebig-Universität Gießen (siehe §1) oder an die zuständige Aufsichtsbehörde der für die Daten verarbeitenden öffentlichen Stellen des Landes Hessen wenden, um diese prüfen zu lassen.

Die zuständige Aufsichtsbehörde ist:

Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI)

Prof. Dr. Alexander Roßnagel
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Telefon: 0611 1408-0
Fax: 0611 1408-611

Internet: https://datenschutz.hessen.de
E-Mail: