Liebe Besucher unserer Webseite, Host oder Teilnehmer von Meetings über die Videokonferenzsoftware „Zoom“,

nehmen sie bitte als Teilnehmer von Videokonferenzen mit Zoom unsere Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“ mit Beispiel einer Einwilligungserklärung zur Kenntnis. Geben Sie als Host der auf unserer Webseite veröffentlichten Meetings über Zoom möglichst vorab in der Einladung, im Chat, etc. ihren Teilnehmern die Gelegenheit sich mit diesen Informationen vertraut zu machen.

Die Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“ zum Download.

Das Beispiel einer Einwilligungserklärung zum Download.

Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“

Zoom ist ein Softwareprogram für Videotelefonie. Im Verhältnis zu seinen Kunden tritt Zoom als Auftragsdatenverarbeiter auf. Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO besteht nicht. Den Auftragsdatenverarbeitungsvertrag erhält jeder Nutzer mit Abschluss des Registrierungsvorgangs bei Zoom.

Erste Erwägungen zum datenschutzkonformen Umgang mit Zoom:

  • Bitte wählen Sie zunächst die EU-Server in den Einstellungen aus, diese Funktionalität bietet jedenfalls die kostenpflichtigen Pro-Version.
  • Sie können mittels aktiviertem Passwortschutz und geschlossene Gruppe steuern wer den Gruppen-Meetings beitreten kann
  • Bitte aktivieren Sie die Ende-zu-Ende-Verschlüsselung (E2EE) (https://)
    • Zoom bietet E2EE für Nutzer mitverifizierten Zoom-Accounts und Telefonnummern an. Die Schlüssel und die Meeting-Inhalte werden ausschließlich auf den Endgeräten gespeichert – Zoom hat keinen Zugang hierzu. Die E2EE-Funktion hat keinen Einfluss auf den Ort und die Art der Datenspeicherung von Zoom-Dienstleistungen.
    • ACHTUNG: wird nicht von der Web-Version unterstützt.
  • Bitte deaktivieren Sie Einstellungen bei Zoom, die
    • Ein Tracking des Nutzerverhaltens bei der Konferenz
    • Eine Beobachtung des Nutzerverhaltens anlässlich der Konferenz oder
    • Eine Aufzeichnung ermöglichen.
  • Die Auswahl von EU-Server in den Einstellungen, verhindert leider nicht die Übertragung von sog. Betriebsdaten (Operation Data)
    • Zu den Betriebsdaten gehören Konfigurationsdaten, Meeting-Metadaten, Nutzungsdaten, Leistungsdaten und Dienst-Protokolle
  • Aufzeichnung sind wie bei Offline-Meeting üblich nicht gestattet, sollte dies widererwarten der Fall sein, so müssen alle Teilnehmer im Vorfeld darüber informiert und ihr Einwilligung eingeholt werden.
  • Sie können ferner Teilnehmer auf „unsichtbar“ stellen, sofern dies gewünscht ist.
  • Eine Vorlage für die Datenschutzinformation/-einwilligung finden Sie auf der Website der AA, diese kann auch im Wartebereich eines Meetings implementiert werden.

Konkrete Handlungsschritte:

A.    Vor Beginn Ihres Zoom-Meetings

  • „Einstellungen“ aufrufen

I.      „End-to-End-Verschlüsselung nutzen“

  • Sicherheitsrelevante Einstellung
  • Auffindbar unter: „Einstellungen“ -> „Sicherheit“

II.      EU-Server auswählen

  • Zunächst wählen Sie bitte die Region der Server für die Datenverarbeitung aus. Hier wählen Sie dann ausschließlich die EU-Server in den Einstellungen aus. Das geht allerdings nur mit der kostenpflichtigen Pro-Version. Bei geschäftlichem Einsatz daher unbedingt empfehlenswert (Pro-, Business-, Enterprise oder Bildungskonto)
  • Einstellungsmöglichkeit auffindbar unter: Kontoverwaltung -> Kontoeinstellungen -> „Im Meeting (Erweitert)“ -> Rechenzentrumsregionen für durch Ihr Konto gehostete Meetings/Webinare auswählen“

III.    „Alle Teilnehmer stumm schalten, wenn sie dem Meeting beitreten“

  • Dies dient dem Privatsphäre-Schutz des Einzelnen
  • Auffindbar unter: „Einstellungen“ -> „Besprechung planen“

IV.      „Teilnehmerprofilbilder in einem Meeting ausblenden“

  • Dient ebenfalls dem Schutz der Privatsphäre der Teilnehmer
  • Auffindbar unter: „Einstellungen“ -> „In Meeting (Grundlage)“

V.      Einladung zum Zoom-Meeting

  • Es empfiehlt sich, in der Einladung an Ihre Teilnehmer bereits einen Link zu Ihrer Datenschutzinformation/-einwilligung sowie zum Auftragsverarbeitungsvertrag mit Zoom zu hinterlegen.
  • Holen Sie sich außerdem die Einwilligung der Teilnehmer ein. Es muss in diesem Kontext darauf hingewiesen werden, dass zumindest Betriebsdaten in den USA verarbeitet werden können und dass dort kein gleichwertiges Datenschutzniveau
  • „Rechtshinweis“
    • Hier kann die Datenschuztinformation/-einwilligung eingefügt werden
    • Auffindbar unter: „Einstellungen“ -> „In Meeting (erweitert)“

VI.      Geben Sie den Mitgliedern bzw. Teilnehmern Ihrer Konferenz eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz

  • Da die Meetings stets freiwillig sind, darf jeder entscheiden ob und wie lange er an dem Meeting teilnehmen möchte.
  • Bei Meetings ohne Einladung ist darauf zu achten, dass Störer vom Host des Meetings gemutet bzw. aus dem Meeting entfernt werden.

VII.    Stellen Sie sicher, dass nur berechtige Personen auf die Videokonferenz zugreifen können

  • Beschränken Sie den Zugang nur auf authentifizierte Teilnehmer. Das sind all diejenigen Nutzer, die einen Zoom-Account haben.
  • Der Zugang zu Ihrem Zoom-Meeting sollte mit einem Passcode abgesichert sein.
  • Es ist auch möglich, den Zugang auf Teilnehmer mit einer bestimmten E-Mail-Domain zu beschränken. Dann müssten aber alle Ihre Mitglieder eine geschäftliche bzw. dem Verein zuzuordnenden E-Mail-Adresse besitzen.
  • Im „Warteraum“ kann der Meeting-Host die Zugänge steuern. Es ist möglich, alle Teilnehmer auf einmal zuzulassen oder einzeln nacheinander.
  • Es besteht auch die Möglichkeit, ein Meeting zu schließen. Sodass bei Vollständigkeit der Gruppe keine weiteren Teilnehmer mehr hinzukommen können.

B.    Während des Zoom-Meetings

  • Teilnehmer dürfen selbst entscheiden, ob sie die Kamera- und Mikrofonfunktion nutzen wollen oder nicht. Auch der Nutzername ist frei vom Teilnehmer wählbar.
  • Der Meeting-Host hat zudem die Möglichkeit, alle Teilnehmer auf „unsichtbar“ zu stellen. Dann ist für jeden Teilnehmer nur der Meeting-Host zu sehen.

Datenschutzinformationen für Hosts von Zoom-Meetings (Beispiel):

In diesen Datenschutzinformationen erhalten Sie Informationen zum Einsatz der Videokommunikationssoftware „Zoom“. Es ist darauf hinzuweisen, dass der Host eines Online-Meetings keinerlei Daten der Kommunikation aufzeichnet und „Zoom“ mit einer Ende-zu-Ende Verschlüsselung eingesetzt wird. Somit ist die Vertraulichkeit der Kommunikationsinhalte gewahrt. Die Aktivierung der Ende-zu-Ende-Verschlüsselung erkennen Sie im laufenden Meeting an einem grünen Schild mit verschlossenem Vorhängeschloss in der oberen linken Ecke.

1.    Verantwortliche

Für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Zoom ist der jeweilige Host des Online- Meetings verantwortlich:

Name:
Adresse:
Kontaktdaten:

2.    Beschreibung der Datenverarbeitung, Zwecke und Datenarten

Zur Durchführung von Online-Meetings, Videokonferenzen und Webinaren (nachfolgend: „Online-Meetings“) nutzt der Host das Tool „Zoom“. Je nach Art und Umfang der Nutzung von „Zoom“ werden verschiedene Arten von Daten erhoben bzw. verarbeitet. Hierzu gehören insbesondere:

  • Freiwillige Angaben zu Ihrer Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild)
  • Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse)
  • Geräte-/Hardwaredaten
  • Text-, Audio- und Videodaten
  • Verbindungsdaten (z.B. Rufnummern, Ländernamen, Start- und Endzeiten, IP-Adressen)

Nachfolgend erhalten Sie weitere Informationen über den Umfang der Datenverarbeitung.

3.    Erforderliche Daten und Funktionen

Nehmen Sie als Teilnehmer an einem Online-Meeting teil, erhalten Sie vom Host einen Zugangslink per E-Mail oder können diesen auf der Website der Anonymen Alkoholiker (https://www.anonyme-alkoholiker.de/meetings/onlinemeetings/termin-gebunden/) abrufen. Bei der Anmeldung zum Online-Meeting müssen Sie sodann Ihren Namen oder Pseudonym angeben.

Daneben erhebt das Tool Benutzerdaten, die für die Bereitstellung des Dienstes erforderlich sind. Hierzu gehören insbesondere technische Daten zu Ihren Geräten, Ihrem Netzwerk und Ihrer Internetverbindung, wie z.B. IP-Adresse, Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung.

4.    Freiwillige Angaben und Funktionen

Weitere Angaben zu Ihrer Person können Sie machen, müssen Sie aber nicht. Zudem steht es Ihnen frei, während des Online-Meetings die Chatfunktion zu nutzen. Auch Ihre Kamera und Ihr Mikrofon können Sie selbst ein-, ab- bzw. stummzuschalten. Standardmäßig sind Kamera und Mikrofon zu Beginn eines Meetings deaktiviert.

Wenn Sie die Chatfunktion nutzen, werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Eine Protokollierung des Chats erfolgt nicht. Wenn Sie Ihre Kamera oder Ihr Mikrofon einschalten, werden für die Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet.

Beachten Sie bitte, dass sämtliche Informationen, die Sie oder andere während eines Online-Meetings hochladen, bereitstellen oder erstellen, zumindest für die Dauer des Meetings verarbeitet werden. Hierzu gehören insbesondere Chat-/ Sofortnachrichten, Dateien, Whiteboards und andere Informationen, die während der Nutzung des Dienstes geteilt werden. Aufzeichnungen erfolgen nicht.

5.    Sonstige Funktionen

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von „Zoom“, eine detaillierte Auflistung der durch „Zoom“ erhobenen und verarbeiteten Daten sowie die „Zoom“-Datenschutzhinweise finden Sie unter: https://zoom.us/de-de/privacy.html.

6.    Rechtsgrundlagen für die Datenverarbeitung

Wenn Sie als Teilnehmer an einem Online-Meeting teilnehmen, erfolgt die Verarbeitung Ihrer Daten auf Grundlage ihrer freiwilligen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Sofern Sie bei der Nutzung des Tools darüber hinaus freiwillig Angaben zu Ihrer Person machen oder freiwillig nicht zwingend erforderliche Funktionen nutzen, erfolgt die damit einhergehende Datenverarbeitung auf Grundlage Ihrer widerrufbaren Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, z.B. durch Verlassen des Online-Meetings. Bitte beachten Sie, dass Verarbeitungen, die vor dem Widerruf erfolgt sind, davon nicht betroffen sind.

7.    Weitergabe Ihrer Daten

Bei der Verarbeitung Ihrer Daten unterstützt die Zoom Video Communications Inc. als externer Dienstleister und Auftragsverarbeiter im Sinne des Art. 28 DSGVO den Host des jeweiligen Online-Meetings. Als Auftragsverarbeiter verarbeitet Zoom Video Communications Inc. Ihre Daten streng weisungsgebunden und auf Grundlage eines gesondert geschlossenen Auftragsverarbeitungsvertrages. Die Datenverarbeitung kann dabei auch außerhalb der EU bzw. des EWR stattfinden. Im Hinblick auf Zoom Video Communications Inc. kann ein angemessenes Datenschutzniveau gem. Art. 46 Abs. 2 lit. c DSGVO durch die Verwendung von EU-Standardvertragsklauseln sowie weiterer geeigneter Maßnahmen (Einrichtung einer Ende-zu-Ende-Verschlüsselung und durch die Nutzung der Data Routing-Funktion; Hierunter versteht man die Möglichkeit selbst zu bestimmen, durch welche Rechenzentren die Daten während der Meetings und Webinare fließen sollen.) angenommen werden. Da jedenfalls Betriebsdaten, bei denen es umstritten ist, ob diese als personenbezogene Daten gelten oder nicht, verarbeitet werden, ist die Teilnahme und somit auch die Weitergabe Ihrer Daten von ihre freiwillig erteilte Einwilligung umfasst.

8.    Löschung Ihrer Daten

Ihre Daten werden grundsätzlich nur solange verarbeitet, wie sie für die Zwecke, für die sie erhoben worden sind, erforderlich sind. Der Host eines Online-Meetings zeichnet nichts auf. Ihre Daten werden daher nicht gespeichert.

9.    Ihre Rechte als betroffenen Person

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

 

Einwilligungstext (Beispiel):

Ich willige ein, dass meine Daten:

  • Freiwillige Angaben zu meiner Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild)
  • Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse)
  • Geräte-/Hardwaredaten
  • Text-, Audio- und Videodaten
  • Verbindungsdaten (z.B. Rufnummern, Ländernamen, Start- und Endzeiten, IP-Adressen)

durch den Host des Online-Meetings, sowie durch die Zoom Video Communications Inc. gemäß Art. 6 Abs. 1 S. 1. lit. a) DSGVO verarbeitet werden. Es kann dabei nicht ausgeschlossen werden, dass zumindest Betriebsdaten auch in den USA verarbeitet werden (die USA gelten aus Sicht des Datenschutzes nicht als sicheres Drittland). Mit Wirkung für die Zukunft kann ich meine freiwillig erteilte Einwilligung jederzeit widerrufen, z.B. durch Verlassen des Online-Meetings.