Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Datenschutz bei Zoom-Meetings

Das BMBWF bietet für die Bediensteten neben Skype4Business (on Prem) auch Zoom als Videokonferenzdienst für die Zentralstelle an.

Zoom ist ein Cloud Service, das allerdings im BMBWF als Hybrid Cloud Variante betrieben wird. Bestimmte Daten werden dabei über die Infrastruktur des BMBWF verarbeitet.

Allgemeine Voraussetzung für eine zulässige Nutzung

  • Keine Inhalte mit hohem Schutzbedarf
    Es sollten keine Inhalte über diesen Dienst ausgetauscht werden, die einen hohen Schutzbedarf haben. Explizit ausgeschlossen ist die Nutzung, wenn besondere Kategorien personenbezogener Daten verarbeitet werden („sensible Daten“, bspw. Gesundheitsdaten).
  • Aufzeichnung nur mit ausdrücklicher Einwilligung aller Teilnehmer/innen
    Die Voreinstellungen in Zoom sind so definiert, dass keine automatische Aufzeichnung erfolgt. Eine Aufzeichnung darf nur mit der ausdrücklichen Einwilligung aller betroffenen Teilnehmer/Innen erfolgen und nur soweit dies für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Die Einwilligung hat die bzw. der Aufnehmende vorab von allen Teilnehmer/innen einzuholen. Bei Aufzeichnungen sind insbesondere Urheberrechte und die Persönlichkeitsrechte der Betroffenen zu wahren. Die Tatsache der Aufzeichnung wird den Teilnehmenden in der Zoom-App durch ein rotes Record-Symbol angezeigt.
  • Speicherung von Aufzeichnungen
    Die Speicherung von Aufzeichnungen ist ausschließlich auf BMBWF-internen Laufwerken bzw. Datenträgern zulässig. Aufgezeichnete Veranstaltungen dürfen nur so lange gespeichert werden, wie dies für die Erfüllung der jeweiligen Aufgabe erforderlich ist und solange keine Löschungspflicht besteht.
  • Veröffentlichung von Meetings auf sozialen Medien (Youtube, Facebook)
    Die Voreinstellungen in Zoom sind so definiert, dass keine automatische Veröffentlichung erfolgt. Eine Veröffentlichung darf nur mit der ausdrücklichen Einwilligung aller betroffenen Teilnehmer/innen erfolgen.
  • Datenschutzeinstellungen und Umgebung vor Meeting kontrollieren
    Darüber hinaus beachten Sie auch, dass keine Unberechtigten der Videokonferenz folgen können sowie, dass smarte Geräte, wie bspw. Sprachassistenten wie Alexa, Siri und Co. sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern.
  • Hintergrund ausblenden
    Um Ihre Privatsphäre zu schützen, können Sie Ihren Hintergrund durch eine Einblendung ersetzen.

Zweck der Verarbeitung

Zoom wird in der Zentralleitung des BMBWF u.a. für die Durchführung von Onlinemeetings, Webinaren, Schulungsveranstaltungen eingesetzt. Zweck der Datenverarbeitung ist die Nutzung von Zoom als Werkzeug zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit.

Damit Ihre persönlichen Daten bestmöglich geschützt sind, haben wir Zoom in allen Funktionsbereichen so konfiguriert, dass nur ein Minimum an Daten verarbeitet werden. (Grundsatz der Datenminimierung)

Grundeinstellung bei Meetings

  • Alle Meetings beginnen mit abgeschaltetem Mikrofon. Das Mikrofon muss von dem Teilnehmer/innen aktiv eingeschaltet werden.
  • Einblendung von E-Mail-Adressen in geteilten Inhalten als Wasserzeichen ist unterbunden.
  • Für alle Meetings wird als Zugriffschutz ein 6-stelliger numerischer Pincode gesetzt (dieser ist im Meetinglink bereits enthalten)
  • Feedbacks an Zoom am Ende eines Meetings sind deaktiviert.
  • Remoteunterstützung ist deaktiviert.
  • Kamera-Fernsteuerung ist deaktiviert.

Allgemeine technische Einstellungen

  • Videodaten, Audiodaten, präsentierte Inhalte, Textnachrichten in Meetings werden über die lokale Infrastruktur des BMBWF verarbeitet. (Meeting-Connector / Virtual-Room-Connector)
  • Beschränkung der eingesetzten Rechenzentrumsregionen von Zoom auf EU-Standorte
  • Erzwungene End- zu End Verschlüsselung der Instant Messaging-Chatnachrichten (Chats außerhalb von Meetings!)
  • Wenn sich nur zwei Personen in einem Meeting befinden, wird eine Peer-to-Peer-Verbindung aufgebaut.

Datenaustausch mit anderen Diensten

  • Datenaustausch mit Office 365 ist deaktiviert.
  • CDN-Nutzung ist deaktiviert.

Speicherung von Meeting-Inhalten

  • Die automatische Speicherung der Chat-Kommunikation für den Host ist unterbunden.
  • Die automatische Speicherung von Whiteboard-Inhalten ist unterbunden.
  • Aufzeichnung von Meetings in der Zoom-Cloud ist deaktiviert.
  • Lokale Aufzeichnung von Meetings ist für den Host erlaubt, bedarf allerdings der Zustimmung aller Teilnehmer/innen.
  • Automatische Aufzeichnung bei Meeting-Beginn ist generell deaktiviert.
  • Benachrichtigungen für den Host bei Start der Meetings-Aufzeichnung.

Verarbeitete Datenarten nach Zweck / Betroffenen
Verarbeitete Daten der eingeladenen Teilnehmer/innen

Zur Teilnahme an einem Meeting / Webinar sind Angaben zu Ihrem Namen erforderlich (kann frei gewählt werden).

Bei Einwahl über Telefon wird Ihre Rufnummer für die übrigen Teilnehmer unkenntlich gemacht (sofern nicht durch Sie unterdrückt).

Diese Daten (Name, Rufnummer) werden in der Zoom Infrastruktur (Rechenzentrumsregionen EU und USA) verarbeitet.

Diese Daten werden nach 7 Tagen gelöscht.

Verarbeitete Daten bei Aufzeichnungen (optional)

Lokale Speicherung aller Video-, Audio- und Präsentationsaufnahmen als MP4-Datei, aller Audioaufnahmen als M4A-Datei, des In-Meeting-Chats als Textdatei.

Diese Daten werden ausschließlich auf dem lokalen Computer des aufzeichnenden Hosts / mit der Aufzeichnung vom Host festgelegten Teilnehmer verarbeitet / gespeichert.

Verarbeitete Meeting-Metadaten

  • Titel des Meetings
  • Beschreibung (optional)
  • Start- und Endzeit

Von jedem Teilnehmer

  • Teilnehmer-IP-Adressen
  • Geräte/Hardware-Informationen (z.B. Browser, Audiogeräte, Verbindungsqualität etc.) Start- und Endzeit
  • Beitritts-/Austritts-Zeitpunkt

Diese Daten werden in der Zoom Infrastruktur (Rechenzentrumsregionen EU und USA) verarbeitet.

Diese Daten werden nach 7 Tagen anonymisiert.

Verarbeitete Text-, Audio- und Videodaten

Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts über die Infrastruktur des BMBWF verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Zoom-Applikation abschalten bzw. stummschalten.
Textuelle Mitteilungen (Chat) im Meeting werden ebenfalls über die Infrastruktur des BMBWF verarbeitet.

Darüber hinaus haben Sie die Möglichkeit, in einem Online-Meeting die Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren.

Instant Messaging – Nachrichten die außerhalb von Meetings über den Zoom Client versendet werden End zu End verschlüsselt zwischen den Teilnehmern ausgetauscht.

Diese Daten werden in der Zoom Infrastruktur (Rechenzentrumsregionen beschränkt auf EU-Standorte) verarbeitet.

Bei Teilnahme eine(r) oder mehrerer Teilnehmer/innen über Telefon bzw. einen Webbrowser (zoom us Web Client) erfolgt der Verbindungsaufbau und Datenverkehr von und zur Infrastruktur des BMBWF via Zoom Infrastruktur (Rechenzentrumsregionen beschränkt auf EU-Standorte).

Weitere Hinweise zum Datenschutz

Profiling

Ein Einsatz von Zoom im Rahmen einer automatischen Entscheidungsfindung i.S.d. Artikel 22 DSGVO oder zum Profiling erfolgt nicht und ist auch nicht zulässig.

Rechtmäßigkeit der Datenverarbeitung, Rechtsgrundlagen

Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO) und der sonstigen anwendbaren Datenschutzbestimmungen, je nach konkretem Nutzerkreis und Inhalt bzw. Zweck der Videokonferenz:

  • für die freiwillige Nutzung von Zoom gemäß Artikel 6 Absatz 1 lit. a DSGVO (Einwilligung)
  • für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt gemäß Artikel 6 Absatz 1 lit. e, Absatz 2, 3 DSGVO (öffentliches Interesse)
  • für die Datenverarbeitung im Rahmen von Vertragsbeziehungen gemäß Artikel 6 Absatz 1 lit. b DSGVO (Vertrag)

Empfänger von personenbezogenen Daten und Drittlandübermittlung

Personenbezogene Daten, die im Zusammenhang mit der Nutzung von Zoom verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Der Anbieter Zoom sowie dessen etwaige Subauftragnehmer erhalten notwendigerweise Kenntnis von den verarbeiteten Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrages bzw. etwaiger Vertragsverhältnisse mit Subauftragnehmern erforderlich bzw. vorgesehen ist. Eine Übermittlung von personenbezogenen Daten in ein Drittland erfolgt ausschließlich für folgende Datenkategorien:

  • Verarbeitete Meeting-Metadaten

Zoom ist ein Remote-Konferenzdienst mit Hauptsitz in San Jose, Kalifornien/USA. Die Datenverarbeitung findet in diesen Fällen in einem Drittland statt. Zoom erfüllt auch die datenschutzrechtlichen Garantien gemäß Artikel 44ff. DSGVO, indem es angemessenes Datenschutzniveau durch den Abschluss von sog. EU-Standarddatenschutzklauseln garantiert, die Zoom mit den Subauftragnehmern abgeschlossen hat (vgl. Artikel 46 DSGVO).

Kontakte Verantwortlicher

Kontaktinformationen des BMBWF als datenschutzrechtlichen Verantwortlichen und der Datenschutzbeauftragten.

Ihre datenschutzrechtlichen Betroffenenrechte

Informationen zu Ihren datenschutzrechtlich vorgesehenen Rechten wie Auskunfts- und Beschwerderecht gemäß §§ 12 ff DSGVO.

Zustimmungserklärung

Zoom wird betrieben von Zoom Video Communications, Inc.
Die lokale Meeting Infrastruktur (Meeting-Connectoren, Virtual-Room-Connector) werden vom BMBWF (Präs/13) betrieben.

Es gelten die:

Subauftragnehmer

Subauftragnehmer der Fa. Zoom sind in aktueller Form unter Zoom-Subprocessors abrufbar.

Definierte Daten nach obiger Aufstellung werden durch die Nutzung als Hybrid Cloud Service ausschließlich über Serverinfrastruktur im BMBWF verarbeitet.