Datenschutzhinweise
Datenschutzhinweise für Online-Veranstaltungen, Meetings, Telefonkonferenzen und Webinare via "Zoom" an der Humboldt-Universität
Nachfolgend finden Sie Informationen über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von "Zoom".
Informationen zum Ablauf einer Aufzeichnung
Alle Informationen dazu sowie den Hinweisen für die Lehrenden finden sich auf der Webseite https://hu.berlin/hu-zoom-aufzeichnung
Zweck der Verarbeitung
Wir nutzen das Tool "ZoomX powered by Telekom", um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: "Online-Meetings"). "ZoomX" ist ein Service der Deutschen Telekom mit Sitz in Düsseldorf, Deutschland.
Verantwortlicher
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von "Online-Meetings" steht, ist die die Humboldt-Universität zu Berlin, vertreten durch die Präsidentin, Frau Prof. Dr. Julia von Blumenthal, Unter den Linden 6, 10099 Berlin.
Der Vertragspartner und Auftragsverarbeiter ist die Telekom Deutschland GmbH, Am Seestern 3, 40547 Düsseldorf.
Welche Daten werden verarbeitet?
Bei der Nutzung von "Zoom" werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Daten Sie vor bzw. bei der Teilnahme an einem "Online-Meeting" machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional)
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem "Online-Meeting" die Chat- oder Fragen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im "Online-Meeting" anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die "Zoom"-Applikationen abschalten bzw. stummstellen.
Um an einem "Online-Meeting" teilzunehmen bzw. den "Meeting-Raum" zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.
Umfang der Verarbeitung
Wir verwenden "ZoomX", um "Online-Meetings" durchzuführen. Wenn wir "Online-Meetings" aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der "Zoom"-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, können die Chatinhalte und Inhalte des Frage und Antwortmoduls protokolliert werden.
Wenn Sie bei "Zoom" als Benutzer registriert sind, dann können Berichte über "Online-Meetings" (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten, Umfragefunktion) bis zu zwölf Monate bei "ZoomX" gespeichert werden.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
Rechtsgrundlagen der Datenverarbeitung
Soweit personenbezogene Daten von Beschäftigten der Humboldt-Universität zu Berlin verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung.
Soweit personenbezogene Daten von Studierenden der Humboldt-Universität zu Berlin verarbeitet werden, sind § 6 Abs. 1 Abs. 1 Satz BerlHG iVm § 1 Studierendendatenverordnung, sowie §§ 2, 10, 31 BerlHG iVm §§ 82a, 96-96d, 107a ZSP-HU die Rechtsgrundlage der Datenverarbeitung.
Soweit personenbezogene Daten aufgrund einer Einwilligung verarbeitet werden, dient Art. 6 I lit. a DSGVO als Rechtsgrundlage für Verarbeitungsvorgänge.
Sollten im Zusammenhang mit der Nutzung von "Zoom" personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von "Zoom" sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von "Online-Meetings".
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von "Online-Meetings" Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. e) DSGVO iVm § 4 BerlHG zur Aufgabenerfüllung der Universität. Auch hier besteht unser Interesse an der effektiven Durchführung von "Online-Meetings".
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an "Online-Meetings" verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus "Online-Meetings" wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Der Anbieter von "ZoomX" erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit "ZoomX" vorgesehen ist.
"Zoom" wird an der HU Berlin in der Version „ZoomX powered by Telekom“ betrieben.
Mit der Telekom wurde eine Auftragsvereinbarung gem. Art. 28 DSGVO iVm mit den Datenschutzklauseln gem. Verordnung (EU) 2018/1725 abgeschlossen.
Welche Daten in Deutschland durch die Telekom und welche durch Zoom selbst und teilweise in den USA verarbeitet werden, wird unter dem Punkt "Datenkategorien und Verarbeitung" aufgeschlüsselt.
Datenverarbeitung außerhalb der Europäischen Union
Werden Daten außerhalb des Europäischen Wirtschaftsraums ("EWR") übertragen, erfolgt dies auf der Grundlage der entsprechenden EU-Standardvertragsklauseln ("SCC") und gegebenenfalls mit zusätzlichen Sicherheitsvorkehrungen, so dass die personenbezogenen Daten gemäß dem erforderlichen Standard geschützt sind.
Datenschutzbeauftragte/r
Unsere Datenschutzbeauftragten erreichen sie wie folgt: Tel: +49 (30) 2093-20020, E-Mail: datenschutz@uv.hu-berlin.de, www.hu-berlin.de/de/datenschutz
Ihre Rechte als Betroffene/r
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Der Widerruf berührt dabei nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.
Pflicht zur Bereitstellung
Für die Teilnahme an einem eingerichteten Meeting ist es möglich aber standardmäßig nicht erforderlich sich mit einem Account per SSO anzumelden. Sie sind nicht verpflichtet Angaben zu machen, können jedoch ohne Angaben ggf. nicht an einem "Online-Meeting" teilnehmen bzw. können Ihnen keine Teilnehmer:innen-Beiträge zugeordnet werden.
Löschung von Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Löschfristen für Datenkategorien:
1 Benutzerprofil - 7 Tage nach Aufforderung
2 Meeting-Metadaten - 7 Tage
3 Meeting-Aufzeichnungen - 120 Tage automatisch (verlängerbar) / 7 Tage manuell
4 IM-Chat-Protokolle - deaktiviert
5 Telefonie-Nutzungsdaten - 7 Tage
6 Rechnungs- und Beschaffungsdaten - Intern gemäß Haushalts- und Steuerrecht
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Internetseite.
Welche Daten werden für SSO von der HU übermittelt?
Die Telekom Deutschland GmbH verlangt, dass folgende Daten nach dem Login und der Bestätigung durch den Nutzer übertragen werden:
- Eine dienstbezogene persönliche ID,
- der vollständige Name (Anzeigename), Vorname(n) und Nachnamen noch einmal als getrennte Felder;
- die OKZ als „Abteilung“;
- die dienstliche E-Mail-Adresse der Person;
- ein Teil der HU-IAM-Rollen, die zur Bestimmung der Nutzergruppe und -rolle in Zoom dienen;
- der Name der Einrichtung „Humboldt-Universität zu Berlin“;
- als föderative Zugehörigkeit wird „member@hu-berlin.de“ übertragen, wobei die Übertragung freiwillig und durch den Nutzer abwählbar ist.
Datenkategorien und Verarbeitung
Kategorien der personenbezogenen Daten
|
Nummer |
Datenkategorie |
|
1 |
Kundeninhaltsdaten: |
|
2 |
Diagnosedaten: |
|
3 |
Kontodaten Endnutzer |
|
4 |
Kontoinhaberdaten |
|
5 |
Supportdaten |
|
6 |
Website-Daten |
Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
|
Nr. |
Empfänger |
Anlass der Offenlegung |
Speicherort |
|
1-3 |
Deutsche Telekom |
Auftragsverarbeitung |
DE |
|
4 |
Deutsche Telekom, Zoom |
Auftragsverarbeitung |
DE, USA |
|
5 |
Deutsche Telekom (1st & 2nd lvl Support) Unterauftragsverarbeiter (3rd lvl Support) |
Auftragsverarbeitung |
DE DE / Weltweit |
|
6 |
Deutsche Telekom, Zoom |
Auftragsverarbeitung |
DE / Weltweit |
genehmigte Unterauftragsverarbeiter
| Subprozessor | Ort der Leistung | Leistungsumfang | Betroffene Datenkategorie |
| Zoom | USA | - Deal-Registration - Pre-Billing (Rohdaten) |
- Daten des Zoom Kontoinhabers (Unternehmen) - Feedbackdaten - In-Meeting Umfragen |
| Zoom | USA, Malaysia, Neuseeland, Frankreich, Australien, Indonesien, Japan, Singapur, UK | - Support & Beratung (Tier 3) | - Supportdaten |
| Zoom | Deutschland | - Hosting & Betrieb der Plattform | - Inhaltsdaten - Diagnostische Daten - Kontodaten (Endnutzer) |
genehmigte Sub-Unterauftragsverarbeiter (eingesetzt von Zoom)
| Subprozessor | Zweck | verarbeitete Daten | Verarbeitungsort |
| Amazon Webservices | Cloud-Dienst Anbieter |
▪ Besprechungs- und Gesprächsaufzeich-nungen (falls vom Kunden in der Cloud gespeichert) ▪ Abschriften von Besprechungs- oder Gesprächsaufzeichnungen (wenn die Besprechung aufgezeichnet und vom Kunden in der Cloud gespeichert wurde) ▪ Hochgeladene Dateien |
DE |
| Apple | Push-Benachrichtigungen an iOS-Endgeräte (optionaler Service) | ▪ Chat-Benachrichtigung ▪ SMS-Benachrichtigung ▪ Anrufbenachrichtigung |
USA |
| Google Firebase | Push-Benachrichtigungen an Android- Endgeräte (optionaler Service) | ▪ Chat-Benachrichtigung ▪ SMS-Benachrichtigung ▪ Anrufbenachrichtigung |
USA |
| CloudFlare | Sicherheit | ▪ IP-Adresse | USA |
| MaestroQA | Unterstützung der Qualitätssicherung | Supportbezogene Kommunikationsinhalte wie Cloud-Aufnahmen oder Chat-Protokolle können mit MaestroQA geteilt werden (nur wenn der Endkunde sich dafür entscheidet, sie direkt einem Zoom-Support-Agenten durch eine Support-Interaktion zur Verfügung zu stellen, d.h. als Anhang zu einem Support- Ticket) | USA |
| OneTrust | Gegenstand der Daten Cookie-Präferenz- Center | ▪ Name ▪ E-Mail Adresse ▪ Konto-Typ ▪ Land ▪ IP-Adresse ▪ DSAR-Berichte Benutzer-Cookie-Einstellungen |
USA |
| Salesforce | Nur zum Zweck der Geschäftsanmeldung, keine Endkundendaten | ▪ Name des Unternehmens ▪ Adresse des Unternehmens | USA |
| Service-now.com GmbH | Ticket-Support- System (keine Interaktion mit Endkunden - nur Zoom-Agent zu Telekom- Agent) | ▪ Name ▪ Besprechungs-ID ▪ Host-Schlüssel ▪ Rufnummer ▪ Produkt ▪ Beschreibung ▪ Thema ▪ Plattform |
DE, EU |
| Vartopia | Zum Zweck der Geschäftsregistrierung, keine Endkundendaten | ▪ Name des Unternehmens ▪ Adresse des Unternehmens | USA |
Stand: 03.04.2023