Web- und Videokonferenzsystem Zoom

Zoom wird angesichts der Einschränkungen für Präsenzlehre, Präsenzarbeit und Reisetätigkeit durch die Corona-Pandemie bis auf Weiteres für Webinare und virtuelle Besprechungen eingesetzt. Bevor über die Verwendung von Zoom über die Coronakrise hinaus eine Entscheidung getroffen werden wird, wird das System einer eingehenden Datenschutz- und Datensicherheitsprüfung unterzogen.

Allgemeines

Namen und Kontaktdaten des Verantwortlichen

Präsident Prof. Dr. Dr. Godehard Ruppert

Kapuzinerstraße 16
96047 Bamberg
Telefon: +49 951 863 1001
FAX: +49 951 863 1012
E-Mail: praesident@uni-bamberg.de

Kanzlerin Dr. Dagmar Steuer-Flieser

Kapuzinerstraße 16
96047 Bamberg
Telefon: +49 951 863 0
FAX: +49 951 863 1005
E-Mail: kanzlerin@uni-bamberg.de

Kontaktdaten des bestellten behördlichen Datenschutzbeauftragten

Thomas Loskarn
Kapuzinerstraße 25
96047 Bamberg
Telefon: +49 951 863 1030
FAX: +49 951 863 4030
E-Mail: datenschutzbeauftragter(at)uni-bamberg.de

Kategorien personenbezogener Daten

  1. Kategorie 1: Daten, bei denen Personenbezug nur mit Aufwand herstellbar ist:
    - IP-Adressen, Pseudonyme
    - Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
  2. Kategorie 1:
    - Logfiles und vom System generierte Protokolldaten
  3. Kategorie 2:
    - Benutzerprofil: Name, Vorname, E-Mail, Profilbild (optional), Abteilung (optional)
  4. Kategorie 3:
    - Meeting-Aufzeichnungen
         o Video- und Audioaufnahmen und Präsentationen
         o Audioaufnahmen
         o Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei
    - IM-Chat-Protokolle
         ○ Telefonie-Nutzungsdaten: Rufnummer des Anrufers, Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts
    - Lehrmaterialien
    - Telefonie-Nutzungsdaten (optional)
         ○ Rufnummer des Anrufers und des Angerufenen
         ○ Name des Landes
         ○ IP-Adresse, 911-Adresse (registriert Dienstadresse)
         ○ Start- und Endzeit,
         ○ Hostname,
         ○ Host-E-Mail,
         ○ MAC-Adresse des verwendeten Geräts
  5. Kategorie 4:
    - Bei Einsatz für virtuelle Lehre: Aufgaben, Prüfungen und Lösungen
  6. Kategorie 2:
    - Rechnungs- und Beschaffungsdaten

Quellen der personenbezogenen Daten

  • Studierendenverwaltung
  • Personalverwaltung (auch von An-Instituten)
  • Identity- und Accessmanagement
  • Promovierendenverwaltung (TRAc)
  • von Nutzenden selbst generierte Daten in Form von Dateien, Texten, Audio und Video

Dauer der Speicherung

1,2,3: 30 Tage nach Löschen des Accounts bzw. Vertragsende oder Löschbitte bzw. Vertragsende

4,5: 7 Tage nach Löschung der Aufzeichnung oder des Chats

6: gemäß Haushalts- und Steuerrecht

Zweck und Rechtsgrundlage der Verarbeitung

Zwecke

Bezug und Nutzung der Webinar-Lösung als Hilfsmittel für die Lehre, Forschung und Verwaltung.

Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Es werden auch Statistiken erstellt:

Optionale Trackingmöglichkeiten, die nicht aktiviert werden sollten:

Rechtsgrundlagen

Obliegt dem Verantwortlichen zu benennen, etwa:

  • Für die Lehre

    • Art. 6 Abs. 1 lit. e DSGVO i.V.m Art. 4 BayDSG (Art. 55 Abs. 2 BayHSchG)

  • Für die Beschäftigte und Bedienstete:

    • Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)

    • Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)

    • Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV

  • Für die Statistik

    • Art. 6 Abs. 1 lit. e i.V.m. Art. 4 BayDSG (Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO)

Verpflichtung zur Bereitstellung

Die Otto-Friedrich-Universität ist verpflichtet den einzelnen Systembetreibern die Kategorien personenbezogener Daten zur Erbringung der Dienste für Forschung und Lehre bereit zu stellen. Ohne dies ist die Durchführung von Forschung und Lehre nicht möglich.

Übermittlung an Dritte

Nr.

Empfänger

Anlass der Offenlegung

Speicherort

1-6

Zoom Video Communications, Inc.

Auftragsverarbeitung

Vereinigte Staaten von Amerika und Unterauftragsverarbeiter

 

 

Unterauftragsverarbeiter

 

6

People.ai

Vertreib, CRM

Vereinigte Staaten von Amerika

1-6

Zendesk
EPS Ventures
WKJ Consultancy

Amazon Web Services

Bandwidth

Support

Support

Support

IT-Infrastruktur

Telefonie-Infrastruktur

Vereinigte Staaten von Amerika

Malaysia

Malaysia

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

1, 6

Wootric

Answerforce

Five9

Cybersource

Adyen

Kundenumfragen

Kundensupport

Callcenter

Bezahlung und Betrugsprävention

Bezahlung und Betrugsprävention

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

Europa

6

Totango

Salesforce

Zuora

Onboarding, Kundenerfahrung

Kundenmanagement

Abo-Management

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

Vereinigte Staaten von Amerika

3

Rocket Science Group, LLC

E-Mail-Benachrichtungen

Vereinigte Staaten von Amerika

Rechtsgrundlage für Übermittlung in ein Drittland

Nummer nach Datenkategorien

Drittland oder internationale Organisation

Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO

1-6

Vereinigte Staaten von Amerika

Standarddatenschutzklauseln

https://zoom.us/docs/doc/
Zoom_GLOBAL_DPA_December_19.pdf

EU-US-PrivacyShield

https://www.privacyshield.gov/
participant?id=a2zt0000000TNkCAAW&status=Active

1-6

Vereinigte Staaten von Amerika, Malaysia, Kanada, Australien

Unterauftragsverarbeiter; Garantie durch Standarddatenschutzklauseln

Rechte der Nutzerinnen und Nutzer (Betroffenenrechte)

Allgemein 

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu: 

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG). 

  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). 

  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO). 

  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). 

  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. 

Über Ihr Widerspruchsrecht informieren wir Sie gesondert. 

Widerspruchsrecht 

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.