Liebe Besucher unserer Webseite, Host oder Teilnehmer von Meetings über die Videokonferenzsoftware „Zoom“,

nehmen sie bitte als Teilnehmer von Videokonferenzen mit Zoom unsere Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“ mit Beispiel einer Einwilligungserklärung zur Kenntnis. Geben Sie als Host der auf unserer Webseite veröffentlichten Meetings über Zoom möglichst vorab in der Einladung, im Chat, etc. ihren Teilnehmern die Gelegenheit sich mit diesen Informationen vertraut zu machen.

Die Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“ zum Download.

Beispiel für einen „Rechtshinweis mit Zustimmungsfunktion“ für Hosts eines ZOOM-Meetings zum Download.

Übersicht zur datenschutzkonformen Nutzung des Videokonferenz-Programms „Zoom“

Zoom ist ein Softwareprogram für Videotelefonie. Im Verhältnis zu seinen Kunden tritt Zoom als Auftragsdatenverarbeiter auf. Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO besteht nicht. Den Auftragsdatenverarbeitungsvertrag erhält jeder Nutzer mit Abschluss des Registrierungsvorgangs bei Zoom.

Erste Erwägungen zum datenschutzkonformen Umgang mit Zoom:

  • Bitte wählen Sie zunächst die EU-Server in den Einstellungen aus, diese Funktionalität bietet jedenfalls die kostenpflichtigen Pro-Version.
  • Sie können mittels aktiviertem Passwortschutz und geschlossene Gruppe steuern wer den Gruppen-Meetings beitreten kann
  • Bitte aktivieren Sie die Ende-zu-Ende-Verschlüsselung (E2EE) (https://)
    • Zoom bietet E2EE für Nutzer mitverifizierten Zoom-Accounts und Telefonnummern an. Die Schlüssel und die Meeting-Inhalte werden ausschließlich auf den Endgeräten gespeichert – Zoom hat keinen Zugang hierzu. Die E2EE-Funktion hat keinen Einfluss auf den Ort und die Art der Datenspeicherung von Zoom-Dienstleistungen.
    • ACHTUNG: wird nicht von der Web-Version unterstützt.
  • Bitte deaktivieren Sie Einstellungen bei Zoom, die
    • Ein Tracking des Nutzerverhaltens bei der Konferenz
    • Eine Beobachtung des Nutzerverhaltens anlässlich der Konferenz oder
    • Eine Aufzeichnung ermöglichen.
  • Die Auswahl von EU-Server in den Einstellungen, verhindert leider nicht die Übertragung von sog. Betriebsdaten (Operation Data)
    • Zu den Betriebsdaten gehören Konfigurationsdaten, Meeting-Metadaten, Nutzungsdaten, Leistungsdaten und Dienst-Protokolle
  • Aufzeichnung sind wie bei Offline-Meeting üblich nicht gestattet, sollte dies widererwarten der Fall sein, so müssen alle Teilnehmer im Vorfeld darüber informiert und ihr Einwilligung eingeholt werden.
  • Sie können ferner Teilnehmer auf „unsichtbar“ stellen, sofern dies gewünscht ist.
  • Eine Vorlage für die Datenschutzinformation/-einwilligung finden Sie auf der Website der AA, diese kann auch als „Rechthinweis mit Zustimmungsfunktion“ als Voraussetzung zum Betreten eines Meetings implementiert werden.

Konkrete Handlungsschritte:

A.    Vor Beginn Ihres Zoom-Meetings

  • „Einstellungen“ aufrufen

I.      „End-to-End-Verschlüsselung nutzen“

  • Sicherheitsrelevante Einstellung
  • Auffindbar unter: „Einstellungen“ -> „Sicherheit“

II.      Rechenzentrumsregionen für die Verarbeitung der Daten während der Übertragung auswählen

Um Rechenzentrumsregionen für alle Benutzer in Ihrem Konto auszuwählen:

  • Melden Sie sich im Zoom Web Portal als Administrator mit der Berechtigung zur Bearbeitung von Kontoeinstellungen an.
  • Klicken Sie im Navigationsbereich auf Kontoverwaltung und anschließend auf Kontoprofil.
  • Vergewissern Sie sich im Abschnitt Transitdaten, dass die Option Rechenzentrumsregionen für im Transit befindliche Meeting-/Webinardaten anpassen aktiviert ist.
  • Ist die Einstellung deaktiviert, klicken Sie auf die Status-Umschaltfläche, um sie zu aktivieren. Wird ein Bestätigungsdialog angezeigt, wählen Sie Einschalten, um die Änderung zu bestätigen.
  • Markieren Sie die Regionen, durch die Sie Ihre Daten im Transit während Meetings und Webinaren weiterleiten möchten.
  • (Optional) Wenn diese Einstellung für alle Benutzer Ihres Kontos verbindlich sein soll, klicken Sie erst auf das Schlosssymbol und anschließend auf Sperren, um die Einstellung zu bestätigen.

Vereinigte Staaten kann nicht abgewählt werden, da dies der Bereich ist über den das Konto bereitgestellt wird. D.h. ich kann nicht ausschließlich einen EU-Server wählen, sondern nur die Rechenzentrumsregion über die Daten während der Übertragung verarbeitet werden.

III.    „Alle Teilnehmer stumm schalten, wenn sie dem Meeting beitreten“

  • Dies dient dem Privatsphäre-Schutz des Einzelnen
  • Auffindbar unter: „Einstellungen“ -> „Besprechung planen“

IV.      „Teilnehmerprofilbilder in einem Meeting ausblenden“

  • Dient ebenfalls dem Schutz der Privatsphäre der Teilnehmer
  • Auffindbar unter: „Einstellungen“ -> „In Meeting (Grundlage)“

V.      Einladung zum Zoom-Meeting

  • Es empfiehlt sich, in der Einladung an Ihre Teilnehmer bereits einen Link zu Ihrer Datenschutzinformation/-einwilligung sowie zum Auftragsverarbeitungsvertrag mit Zoom zu hinterlegen.
  • Holen Sie sich außerdem die Einwilligung der Teilnehmer ein. Es muss in diesem Kontext darauf hingewiesen werden, dass zumindest Betriebsdaten in den USA verarbeitet werden können und dass dort kein gleichwertiges Datenschutzniveau
  • „Rechtshinweis“
    • Hier kann eine Datenschutzinformation für die Teilnahme an einem Online-Meeting eingefügt werden.
    • einstellbar in den „Kontoeinstellungen“ unter „In Meeting (erweitert)“

VI.      Geben Sie den Mitgliedern bzw. Teilnehmern Ihrer Konferenz eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz

  • Da die Meetings stets freiwillig sind, darf jeder entscheiden ob und wie lange er an dem Meeting teilnehmen möchte.
  • Bei Meetings ohne Einladung ist darauf zu achten, dass Störer vom Host des Meetings gemutet bzw. aus dem Meeting entfernt werden.

VII.    Stellen Sie sicher, dass nur berechtige Personen auf die Videokonferenz zugreifen können

  • Beschränken Sie den Zugang nur auf authentifizierte Teilnehmer. Das sind all diejenigen Nutzer, die einen Zoom-Account haben.
  • Der Zugang zu Ihrem Zoom-Meeting sollte mit einem Passcode abgesichert sein.
  • Es ist auch möglich, den Zugang auf Teilnehmer mit einer bestimmten E-Mail-Domain zu beschränken. Dann müssten aber alle Ihre Mitglieder eine geschäftliche bzw. dem Verein zuzuordnenden E-Mail-Adresse besitzen.
  • Im „Warteraum“ kann der Meeting-Host die Zugänge steuern. Es ist möglich, alle Teilnehmer auf einmal zuzulassen oder einzeln nacheinander.
  • Es besteht auch die Möglichkeit, ein Meeting zu schließen. Sodass bei Vollständigkeit der Gruppe keine weiteren Teilnehmer mehr hinzukommen können.

B.    Während des Zoom-Meetings

  • Teilnehmer dürfen selbst entscheiden, ob sie die Kamera- und Mikrofonfunktion nutzen wollen oder nicht. Auch der Nutzername ist frei vom Teilnehmer wählbar.
  • Der Meeting-Host hat zudem die Möglichkeit, alle Teilnehmer auf „unsichtbar“ zu stellen. Dann ist für jeden Teilnehmer nur der Meeting-Host zu sehen.

C. Beispiel für einen „Rechtshinweis mit Zustimmungsfunktion für Hosts eines ZOOM-Meetings“:

In diesen Datenschutzinformationen erhalten Sie Informationen zum Einsatz der Videokommunikationssoftware „Zoom“. Es ist darauf hinzuweisen, dass der Host eines Online-Meetings keinerlei Daten der Kommunikation aufzeichnet und „Zoom“ mit einer Ende-zu-Ende Verschlüsselung eingesetzt wird. Somit ist die Vertraulichkeit der Kommunikationsinhalte gewahrt. Die Aktivierung der Ende-zu-Ende-Verschlüsselung erkennen Sie im laufenden Meeting an einem grünen Schild mit verschlossenem Vorhängeschloss in der oberen linken Ecke.

1.    Verantwortliche

Für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Zoom ist der jeweilige Host des Online- Meetings verantwortlich:

Name:
Adresse:
Kontaktdaten:

Durch die Bereitstellung des Meeting-Link auf www.anonyme-alkoholiker.de  ist die Anonyme Alkoholiker Interessensgemeinschaft e.V. „AA“ gemeinsamer Verantwortlicher i. S. d Art. 26 DSGVO. Eine Datenverarbeitung durch AA erfolgt zu keiner Zeit.

2.    Beschreibung der Datenverarbeitung, Zwecke und Datenarten

Zur Durchführung von Online-Meetings, Videokonferenzen und Webinaren (nachfolgend: „Online-Meetings“) nutzt der Host das Tool „Zoom“. Je nach Art und Umfang der Nutzung von „Zoom“ werden verschiedene Arten von Daten erhoben bzw. verarbeitet. Hierzu gehören insbesondere:

  • Freiwillige Angaben zu Ihrer Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild)
  • Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse)
  • Geräte-/Hardwaredaten
  • Text-, Audio- und Videodaten
  • Verbindungsdaten (z.B. Rufnummern, Ländernamen, Start- und Endzeiten, IP-Adressen)

3.    Erforderliche Daten und Funktionen

Nehmen Sie als Teilnehmer an einem Online-Meeting teil, erhalten Sie vom Host einen Zugangslink per E-Mail oder können diesen auf der Website der Anonymen Alkoholiker (https://www.anonyme-alkoholiker.de/meetings/onlinemeetings/termin-gebunden/) abrufen. Bei der Anmeldung zum Online-Meeting müssen Sie sodann Ihren Namen oder Pseudonym angeben.

Daneben erhebt das Tool Benutzerdaten, die für die Bereitstellung des Dienstes erforderlich sind. Hierzu gehören insbesondere technische Daten zu Ihren Geräten, Ihrem Netzwerk und Ihrer Internetverbindung, wie z.B. IP-Adresse, Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung.

4.    Freiwillige Angaben und Funktionen

Sie können zudem freiwillige Angaben zu Ihrer Person machen, während des Online-Meetings die Chatfunktion zu nutzen oder auch Ihre Kamera und Ihr Mikrofon selbst ein-, ab- bzw. stummzuschalten.

Wenn Sie die Chatfunktion nutzen, werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Eine Protokollierung des Chats erfolgt nicht. Wenn Sie Ihre Kamera oder Ihr Mikrofon einschalten, werden für die Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet.

Beachten Sie bitte, dass sämtliche Informationen, die Sie oder andere während eines Online-Meetings hochladen, bereitstellen oder erstellen, zumindest für die Dauer des Meetings verarbeitet werden.

5.    Sonstige Funktionen

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von „Zoom“, eine detaillierte Auflistung der durch „Zoom“ erhobenen und verarbeiteten Daten sowie die „Zoom“-Datenschutzhinweise finden Sie unter: https://zoom.us/de-de/privacy.html.

6.    Rechtsgrundlagen für die Datenverarbeitung

Bei Teilnahme an einem Online-Meeting, erfolgt die Verarbeitung Ihrer Daten auf Grundlage ihrer freiwilligen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Sofern Sie bei der Nutzung des Tools darüber hinaus freiwillig Angaben zu Ihrer Person machen oder freiwillig nicht zwingend erforderliche Funktionen nutzen, erfolgt die Datenverarbeitung auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

7.    Weitergabe Ihrer Daten

Bei der Verarbeitung Ihrer Daten unterstützt die Zoom Video Communications Inc. „Zoom Inc.“ als externer Dienstleister und Auftragsverarbeiter im Sinne des Art. 28 DSGVO den Host des jeweiligen Online-Meetings. Als Auftragsverarbeiter verarbeitet Zoom Inc. Ihre Daten streng weisungsgebunden und auf Grundlage eines gesondert geschlossenen Auftragsverarbeitungsvertrages. Die Datenverarbeitung kann dabei auch außerhalb der EU bzw. des EWR stattfinden. Im Hinblick auf Zoom Inc. kann ein angemessenes Datenschutzniveau gem. Art. 46 Abs. 2 lit. c DSGVO durch die Verwendung von EU-Standardvertragsklauseln sowie weiterer geeigneter Maßnahmen (Einrichtung einer Ende-zu-Ende-Verschlüsselung und durch die Nutzung der Data Routing-Funktion) angenommen werden. Da jedenfalls Betriebsdaten, bei denen es umstritten ist, ob diese als personenbezogene Daten gelten oder nicht, verarbeitet werden, ist die Teilnahme und somit auch die Weitergabe Ihrer Daten von ihrer freiwillig erteilten Einwilligung umfasst.

8.    Löschung Ihrer Daten

Ihre Daten werden grundsätzlich nur solange verarbeitet, wie sie für die Zwecke, für die sie erhoben worden sind, erforderlich sind. Der Host eines Online-Meetings zeichnet nichts auf. Ihre Daten werden daher nicht gespeichert.

9.    Ihre Rechte als betroffenen Person

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO; auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. 

Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt.