Zoom – Datenschutzerklärung gemäß Art. 13 DSGVO
Im Folgenden informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Videokonferenzsystems „Zoom” für Online-Meetings, Telefonkonferenzen und Webinare.
Verantwortlicher
Bayerische Staatsbibliothek, vertreten durch den Generaldirektor Dr. Klaus Ceynowa
Ludwigstraße 16
80539 München
Telefon +49 89 28638-2206
direktion@bsb-muenchen.de
Kontaktdaten des Datenschutzbeauftragten
Datenschutzbeauftragter der Bayerischen Staatsbibliothek
Ludwigstraße 16
80539 München
Telefon +49 89 28638-2206 oder +49 89 28638-2101
datenschutzbeauftragter@bsb-muenchen.de
Zwecke und Rechtsgrundlagen der Verarbeitung
Zweck der Datenverarbeitung
Das Videokonferenzsystem Zoom wird als Hilfsmittel für den allgemeinen Dienstbetrieb der Bayerischen Staatsbibliothek genutzt, um Online-Meetings, Telefonkonferenzen und die Erstellung von Webinaren zu unterstützen. Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen Support.
Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich erlaubten Zwecken erfolgt nicht.
Es findet keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Zoom-Nutzung statt.
Rechtsgrundlagen
Für die freiwillige Nutzung von Zoom ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) die rechtliche Grundlage.
Rechtsgrundlage für die Erfüllung von Dienstaufgaben ist Art. 6 Abs. 1 lit. e i. V. m. Art. 4 BayDSG. Für Beschäftigte und Bedienstete gelten die Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 4 BayDSG (§ 106 Gewerbeordnung), Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 4 BayDSG (Art. 33 Abs. 5 GG), Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 3a Abs. 1 ArbStättV.
Sofern Veranstaltungen aufgezeichnet werden sollen, ist die Rechtsgrundlage eine Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.
Kategorie der personenbezogenen Daten
- Im Benutzerprofil werden Vorname, Nachname, Telefon (optional), E-Mail, Passwort (wenn SSO nicht verwendet wird), Profilbild (optional), Abteilung (optional) angegeben.
- Die Meeting-Metadaten umfassen: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen und Geräte-/Hardware-Informationen.
- Sofern Meeting-Aufzeichnungen erfolgen, werden Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdateien aller in der Besprechung, Chats und die Audio-Protokolldatei (optional) verarbeitet.
- IM-Chat-Protokolle
- Telefonie-Nutzungsdaten (optional): Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts.
Kategorie der betroffenen Personen
Betroffen von den Nummern 1 – 5 der personenbezogenen Daten sind die Nutzerinnen und Nutzer von Zoom. In der Kommunikation erwähnte weitere Personen können in ihren personenbezogenen Daten nach Nr. 3 und 4 betroffen sein.
Empfänger der personenbezogenen Daten
Der technische Betrieb des Service erfolgt durch die Zoom Video Communications (im Folgenden „Zoom“, Inc. mit Sitz in San Jose, USA (kurz Zoom) und ihre Unterauftragsverarbeiter.
Die Datenschutzrichtlinien von Zoom sind einsehbar unter:
https://zoom.us/de-de/privacy.html
Ihre personenbezogenen Daten, die im Zusammenhang mit der Nutzung von Zoom verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, soweit sie nicht zur Weitergabe bestimmt sind.
Mit Zoom besteht ein Auftragsverarbeitungsvertrag. Zoom sowie dessen Subunternehmer erhalten Kenntnis von den verarbeiteten Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrages bzw. etwaiger Vertragsverhältnisse mit Subauftragnehmern erforderlich oder vertraglich vorgesehen ist.
Gegebenenfalls werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.
Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet und dort auf Grundlage der Art. 12 ff. des Bayerischen E-Government-Gesetzes (BayEGovG) verarbeitet werden.
Übermittlungen von personenbezogenen Daten an ein Drittland
Zoom hat seinen Hauptsitz in San José, Kalifornien/USA. Die Datenverarbeitung findet insofern in einem Drittland statt.
Mit Zoom besteht ein Auftragsverarbeitungsvertrag (Global Data Processing Addendum) gemäß Art. 28 DSGVO.
https://zoom.us/docs/doc/Zoom_GLOBAL_DPA_December_19.pdf
Zusätzlich wurden EU-Standard-Datenschutzklauseln nach Art. 46 DSGVO abgeschlossen.
Die Meetings werden in folgenden Regionen gehostet: USA, Kanada, Japan, Europa.
Dauer der Speicherung
Das Benutzerprofil wird 30 Tage nach Löschen des Accounts bzw. nach Vertragsende gelöscht.
Die Meeting-Metadaten und Telefonie-Nutzungsdaten werden 30 Tage nach Löschbitte bzw. Vertragsende gelöscht.
Meeting-Aufzeichnungen werden 7 Tage nach dem Widerruf Ihrer Einwilligung bzw. spätestens nach Wegfall der Erforderlichkeit für Veröffentlichung und Speicherung der Aufzeichnung gelöscht.
Lokal gespeicherte Chat-Nachrichten werden gelöscht, wenn diese älter als 30 Tage sind. Die Speicherung in der Cloud wurde deaktiviert.
Technische Umsetzung
Hinweise zur datenschutzkonformen Konfiguration durch die Bayerische Staatsbibliothek finden Sie in der Anlage 1.
→ Anlage 1
Betroffenenrechte
Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als betroffener Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:
- Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
- Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
- Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
- Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
- Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die Bayerische Staatsbibliothek, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
- Wenn Sie in die Verarbeitung durch die Verantwortliche durch eine entsprechende Erklärung eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird dadurch nicht berührt.
- Weitere Informationen zu Ihren Rechten erteilt Ihnen auch unser behördlicher Datenschutzbeauftragter.
(datenschutzbeauftragter@bsb-muenchen.de) - Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:
Postanschrift: Wagmüllerstraße 18, 80538 München
Telefon: +49 89 212672-0
Telefax: +49 89 212672-50
E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de
Anlage 1
Hinweise zur datenschutzkonformen Konfiguration des Service
Im Sinne einer datenschutzkonformen Nutzung wurden folgende Konfigurationsvorgaben eingestellt:
- Kalender- und Kontakt-Integration [deaktiviert]
- Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
- Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
- Verhindern, dass Teilnehmerinnen und Teilnehmer den Chat speichern [aktiviert]
- Chats automatisch speichern [deaktiviert]
- Fernsteuerung [deaktiviert]
- Kamerafernsteuerung [deaktiviert]
- Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
- Automatische Aufzeichnung [deaktiviert]
- Nur der Host kann Cloud-Aufzeichnungen herunterladen [deaktiviert]
- Nur berechtigte Benutzerinnen und Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
- Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
- Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [deaktiviert]
- Aufnahmeeinverständnis [aktiviert]
- Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
- Fremde Meetings anzeigen [deaktiviert]
- Durchgehende Chatverschlüsselung aktivieren [aktiviert]
- Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
- Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
- Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
- Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
- Unternehmenskontakte [deaktiviert