Datenschutz bei Zoom

Mit dem Umstieg auf die von der Landesregierung verordneten digitalen Lehre sind massive Herausforderungen an den Dienst DFNconf entstanden, über den die Universität Hohenheim und andere deutsche Hochschulen bislang Konferenzdienste angeboten haben. Die Plattform, die gegenwärtig weiter ausgebaut wird, war dem sprunghaften Anstieg nicht gewachsen. Das gleiche gilt für unser eigenes Videokonferenzssystem webconf (Adobe Connect). Angesichts der Corona-Krise musste deshalb eine kurzfristige Alternative geschaffen werden, um die Kommunikation im Rahmen des digitalen Lehr-, Forschungs- und Arbeitsbetriebs aufrecht zu erhalten.

Nach Erfahrungen mit anderen System wie WebEx, Skype for Business, Microsoft Teams oder Jitsi, hat sich Zoom mit Abstand als eine sehr verlässliche und benutzerfreundliche Lösung mit hoher Konferenzqualität gezeigt. Abwägungen wie Funktionalität, Stabilität, Sicherheit und  Datenschutz wurden bei der Entscheidung für Zoom berücksichtigt.

Bedingt durch die Lockdowns im Rahmen der Corona-Krise erlebt Zoom als Plattform für Audio-/Videokonferenzen weltweit großen Zuspruch. Hierdurch steht Zoom nun auch innerhalb kurzer Zeit im Zentrum der genauen Beobachtung von SicherheitsexpertInnen weltweit. Auch Zoom wurde von den Entwicklungen im Umfeld von Corona überrascht und ist nun gefordert, in kurzer Zeit auf die vielfältigen Anforderungen sowohl technisch, als auch organisatorisch zu reagieren.

Im Zuge dieser Prüfungen kommen nahezu täglich neue Fragestellungen und Kritiken zu Zoom auf, die wir an dieser Stelle soweit uns bekannt in den Zoom-FAQs aufgreifen. Wir konnten bisher feststellen, dass Zoom sehr schnell auf Anfragen reagiert und auch entsprechende technische Lösungen bereitgestellt hat. Nach dem derzeitigen Stand sind wir zuversichtlich, dass alle bisher diskutierten Sicherheitsfragen zu zoom aufgelöst werden können.

Wir sind in der Lage die Konfigurationen weitgehend anpassen zu können und aus unserer Sicht problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen. Hierdurch sind die mit unseren Edu-Lizenzen durchgeführten Veranstaltungen besser gestellt, als bei der Nutzung der freien Version von Zoom.

Zweck der Verarbeitung

Zoom wird in Verwaltung, Lehre und Forschung verwendet, um virtuelle Besprechungen, interaktive Online-Kurse und Online-Seminare (Online-Meetings) durchzuführen. Zweck der Datenverarbeitung ist die Nutzung von Zoom als Tool zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der Universität Hohenheim zur Erfüllung der Hochschulaufgaben (Lehre, Forschung und Verwaltung).

Eine Nutzung von Zoom zu privaten Zwecken im Rahmen der zur Verfügung gestellten EDU-Lizenzen ist ausgeschlossen.

Es findet keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung von Zoom statt. Die Nutzung von Zoom zur Erstellung von personenbezogenen Statistiken ist nicht zulässig.

Voraussetzungen für eine zulässige Nutzung

  • Inhalte mit hohem Schutzbedarf (Hochschulprüfungen, Berufungsverfahren, Bewerbungsgespräche ...)
    Wenn Sie Zoom für sensible Gespräche einsetzen, aktivieren Sie bitte die abhörsichere Ende-zu-Ende-Verschlüsselung. Beachten Sie, dass dadurch folgende Funktionen nicht verfügbar sind: Breakout Rooms, Umfragen, Teilnahme im Browser, Telefon-Einwahl. Wenn eine Ende-zu-Ende-Verschlüsselung nicht in Frage kommt, weichen Sie vorzugsweise aus auf webconf oder DFNconf. Beide Dienste verfügen zwar nicht über eine Ende-zu-Ende-Verschlüsselung, werden aber zumindest in Deutschland gehostet.

  • Aufzeichnung nur ohne Studierende und mit ausdrücklichem Einverständnis aller TeilnehmerInnen
    Die Voreinstellungen in Zoom sind so zu wählen, dass keine automatische Aufzeichnung erfolgt. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis der betroffenen Teilnehmenden erfolgen und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Bei Aufzeichnungen sind insbesondere Urheberrechte und die Persönlichkeitsrechte der Betroffenen zu wahren. Die Tatsache der Aufzeichnung wird den Teilnehmenden in der Zoom-App angezeigt. Die Aufzeichnung von Veranstaltungen mit Studierenden sowie die Verwendung der Chataufzeichnung ist nicht zulässig.

    Wenn Sie Online-Lehrveranstaltungen aufzeichnen möchten, beachten Sie bitte die Vorgaben der Universität bzgl. Technik und Datenschutz:
    handreichung_aufzeichnung_online-lehre.pdf

  • Kein Austausch von Dateien mit hohem Schutzbedarf
    Für den Austausch von besonders schützenswerten Dateien zwischen TeilnehmerInnen sollten in der Regel bestehende sichere Kanäle genutzt werden (gemeinsame Laufwerke, FEX, evtl. BwSync&Share).

  • Speicherung von Aufzeichnungen
    Die Speicherung von Aufzeichnungen ist ausschließlich auf Hohenheim-internen Servern bzw. lokalen Datenträgern zulässig. Aufgezeichnete Veranstaltungen dürfen nur so lange gespeichert werden, wie dies für die Erfüllung der jeweiligen Aufgabe erforderlich ist und solange keine Löschungspflicht besteht.

  • keine private Nutzung der EDU-Lizenzen
    Eine Nutzung von Zoom zu privaten Zwecken im Rahmen der zur Verfügung gestellten EDU-Lizenzen ist ausgeschlossen.

Weitere Hinweise zum Datenschutz

  • Unbefugte Datenverarbeitung vermeiden
    Im Rahmen des Einsatzes von Zoom ist zu gewährleisten, dass keine unbefugte Datenverarbeitung erfolgt. Darüber hinaus ist sicherzustellen, dass die Vertraulichkeit von dienstlichen Angelegenheiten gewahrt bleibt.

    Achten Sie darauf, dass smarte Geräte, wie z.B. Alexa, Siri, Google Home, sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern.

  • Datenschutzeinstellungen vor Meeting anpassen
    Vor einer Nutzung von Zoom sind die möglichen Datenschutzeinstellungen so vorzunehmen, dass personenbezogene Daten durch Zoom nur zu den genannten Zwecken und im Rahmen des geltenden Rechts verarbeitet werden. Die datenschutzrechtlichen Prinzipien privacy by default, Datenminimierung, Datensparsamkeit und Zweckbindung sind zu beachten.

  • Tracking
    Durch entsprechende Einstellungen in Zoom und in der verwendeten Software (bspw. Browser) können Sie Werbecookies und Tracking ausschließen (Google Analytics, Google Ads,...).

  • Hintergrund ausblenden
    Um die Privatsphäre zu schützen, können Sie Ihren Hintergrund durch eine Einblendung ersetzen. Ihr Kopf ist dadurch weiterhin zu sehen, ihr Umfeld hingegen nicht.

Datenschutzkonfigurationen in Zoom

Damit Ihre persönlichen Daten bestmöglich geschützt sind, haben wir Zoom in allen Funktionsbereichen so konfiguriert, dass nur ein Minimum an Daten übertragen und gespeichert wird.

Teilnahme an Meetings

  • Alle Meetings beginnen mit abgeschaltetem Teilnehmervideo. Das Videobild muss von den TeilnehmerInnen aktiv eingeschaltet werden.
  • Teilnehmer werden bei Betreten des Meetings stumm geschaltet.
  • Anzeige von E-Mail-Adressen per Wasserzeichen ist unterbunden.
  • Für alle Meetings wird standardmäßig ein Passwort gesetzt, auch für die Teilnahme per Telefon.
  • Feedbacks an Zoom am Ende eines Meetings sind deaktiviert.
  • Die Fernsteuerung über die Bildschirmfreigabe ist deaktiviert.
  • Remoteunterstützung ist deaktiviert.
  • Kamera-Fernsteuerung ist deaktiviert.
  • Benachrichtigung des Hosts bei Zutritt von Teilnehmer*innen vor dem Host sind deaktiviert.
  • Automatische Benachrichtigung von Teilnehmer*innen bei Absage eines Meetings ist deaktiviert.

Technische Einstellungen

  • Beschränkung der eingesetzten Data-Center auf USA und Europa
  • Verschlüsselung aller Daten zwischen der Zoom-Cloud und dem Zoom-Client.
  • Wenn sich nur zwei Personen in einem Meeting befinden, wird eine Peer-to-Peer-Verbindung aufgebaut.
  • Versand von E-Mails über die Zoom-Webseite ist deaktiviert.
  • Schnappschuss in der iOS-Aufgabenumschaltfunktion wird weichgezeichnet, um eventuelle vertrauliche Informationen von der Momentaufnahme des Zoom Hauptfensters auszublenden. Diese Momentaufnahme wird als Vorschaubildschirm in der iOS Aufgabenumschaltfunktion angezeigt, wenn mehrere Apps offen sind.
  • Bei der Bildschirmfreigabe muss standardmäßig immer eine bestimmte Applikation freigegeben werden, die Freigabe des gesamten Desktops ist deaktiviert. In den persönlichen Einstellungen kann diese Voreinstellung übersteuert werden.

Datenaustausch mit anderen Diensten

  • Datenaustausch mit Office 365 ist deaktiviert.
  • CDN-Nutzung ist deaktiviert.

Speicherung von Meeting-Inhalten

  • Eine Speicherung der Chat-Kommunikation ist für Teilnehmer unterbunden.
  • Die automatische Speicherung der Chat-Kommunikation für den Host ist unterbunden.
  • Die automatische Speicherung von Whiteboard-Inhalten ist unterbunden.
  • Aufzeichnung von Meetings in der Zoom-Cloud ist deaktiviert.
  • Lokale Aufzeichnung von Meetings ist deaktiviert, kann aber vom Host übersteuert werden.
  • Automatische Aufzeichnung bei Meetings-Beginn ist generell deaktiviert.
  • Teilnehmer müssen Ihr Einverständnis zur Aufzeichnung eines Meetings geben.
  • Audio-Benachrichtigungen bei Start- oder Neustart der Meetings-Aufzeichnung.

Benutzungsprofil und Umfang der Verarbeitung personenbezogener Daten

Für Ihr Benutzungsprofil müssen Sie in der initialen Befüllung nur Ihren Namen, sowie Ihre Hohenheimer E-Mail-Adresse (@uni-hohenheim.de) angeben. Auf freiwilliger Basis können Sie weitere Informationen hinterlegen, und diese selbst jederzeit editieren. Im Rahmen der Nutzung sollten nur die Daten verwendet werden, die für die jeweilige Nutzung erforderlich sind. Im Übrigen sollte den datenschutzrechtlichen Grundsätzen der Datenminimierung, Zweckbindung, Speicherbegrenzung und Vertraulichkeit Rechnung getragen werden.

Verarbeitung von personenbezogenen Daten

Wir verarbeiten nur die personenbezogenen Daten, die Sie uns zur Verfügung gestellt haben. Um Zoom nutzen zu können, werden folgende personenbezogene Daten von Ihnen benötigt

  • Nachname
  • Vorname
  • Hohenheimer E-Mailadresse (@uni-hohenheim.de).

Im Rahmen der Nutzung können durch Zoom weitere personenbezogene Daten verarbeitet werden. Dies ist abhängig von den jeweils gewählten Einstellungen und den im Rahmen der Nutzung verwendeten Inhalte.

Angaben der BenutzerIn

Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn Single-Sign-On nicht verwendet wird), Profilbild (optional), Abteilung (optional)

Angaben der unregistrierten BenutzerIn

Um an einem Online-Meeting teilzunehmen bzw. den Meeting-Raum zu betreten, müssen Sie auch als ohne Registrierung zumindest Angaben zu Ihrem Namen machen. Dies kann aber auch ein Fantasiename sein.

Meeting-Metadaten

Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte/Hardware-Informationen, z.B. Browser

Bei Aufzeichnungen (optional)

MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats

Bei Einwahl mit dem Telefon:
Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Echtzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

Text-, Audio- und Videodaten

Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren.

Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Zoom-Applikationen abschalten bzw. stummschalten.

Cookies

Infos zur Verarbeitung von Cookies finden Sie in der Cookie-Policy von Zoom.

Umfang der Verarbeitung, Aufzeichnungen

  • Aufzeichnung nur mit ausdrücklichem Einverständnis aller TeilnehmerInnen
    Die Voreinstellungen in Zoom sind so zu wählen, dass keine automatische Aufzeichnung erfolgt. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis der betroffenen Teilnehmenden erfolgen und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Bei Aufzeichnungen sind insbesondere Urheberrechte und die Persönlichkeitsrechte der Betroffenen zu wahren. Die Tatsache der Aufzeichnung wird den Teilnehmenden in der Zoom-App angezeigt.
  • Speicherung von Aufzeichnungen
    Die Speicherung von Aufzeichnungen ist ausschließlich auf Hohenheim-internen Servern bzw. lokalen Datenträgern zulässig. Aufgezeichnete Veranstaltungen dürfen nur so lange gespeichert werden, wie dies für die Erfüllung der jeweiligen Aufgabe erforderlich ist und solange keine Löschungspflicht besteht.

  • Online-Seminare
    Im Fall von Online-Seminaren können für Zwecke der Aufzeichnung und Nachbereitung von Online-Seminaren auch gestellte Fragen von Online-Seminar-Teilnehmenden verarbeitet werden.

  • Berichte
    Wenn Sie bei Zoom als Benutzer registriert sind, dann können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Online-Seminaren, Umfragefunktionen in Online-Seminaren) bis zu einem Monat bei Zoom gespeichert werden.

  • Profiling
    Ein Einsatz von Zoom im Rahmen einer automatischen Entscheidungsfindung i.S.d. Art. 22 DSGVO oder zum Profiling erfolgt nicht und ist auch nicht zulässig.

Rechtmäßigkeit der Datenverarbeitung, Rechtsgrundlagen

Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO) und der sonstigen anwendbaren Datenschutzbestimmungen:

  • für die (freiwillige) Nutzung von Zoom gemäß Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • für die Erfüllung von Dienstaufgaben gemäß Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO
  • für die Lehre gemäß Art. 6 Abs. 1 lit. e DSGVO
  • für Beschäftigte und Bedienstete gemäß Art. 6 Abs. 1 lit. b DSGVO
  • für die Datenverarbeitung im Rahmen von Vertragsbeziehungen gemäß Art. 6 Abs. 1 lit. b DSGVO

Zoom ist ein Remote-Konferenzdienste mit Hauptsitz in San Jose, Kalifornien/USA. Die Datenverarbeitung findet insofern in einem Drittland statt. Zoom erfüllt auch die datenschutzrechtlichen Garantien gemäß Art. 44ff. DSGVO, da es dem EU-US-Privacy-Shield beigetreten ist. Zum anderen ist das angemessene Datenschutzniveau durch den Abschluss von sog. EU-Standarddatenschutzklauseln garantiert, die Zoom mit den Subauftragnehmern abgeschlossen hat (vgl. Art. 46 DSGVO).

Weitergabe und Empfänger von personenbezogenen Daten

Personenbezogene Daten, die im Zusammenhang mit der Nutzung von Zoom verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Der Anbieter Zoom sowie etwaige Subauftragnehmer erhalten notwendigerweise Kenntnis von den verarbeiteten Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrages bzw. etwaiger Vertragsverhältnisse mit Subauftragnehmern erforderlich bzw. vorgesehen ist.

Löschung von Daten und des Benutzerkontos

Eine Löschung von Daten erfolgt, sobald der Zweck der Datenverarbeitung erreicht ist und keine Aufbewahrungspflichten bestehen.

Sie können Ihr Benutzerkonto in Zoom selbst wieder löschen, die notwendigen Informationen dazu finden Sie auf Zoom:

Das Konto ist zu löschen, sobald der Dienst für die Aufgabenerfüllung nicht mehr benötigt wird, spätestens bei Ausscheiden aus der Universität Hohenheim.

Zustimmungserklärung

Zoom wird betrieben von Zoom Video Communications, Inc.

Für die Nutzung ist es erforderlich, den Nutzungsrichtlinien von Zoom, der Datenschutzrichtlinie von Zoom und den Nutzungsbedingungen, Datenverwendungshinweise und Datenschutzinformationen auf dieser Seite sowie den Benutzungsregelungen des KIM zuzustimmen. Maßgebend sind die zum Zeitpunkt der Nutzung geltenden Nutzungsbedingungen.

Die Entscheidung über die Aktivierung des Benutzerkontos für Zoom ist freiwillig. Ohne Ihre Zustimmung und ggf. Registrierung ist eine Verwendung von Zoom nicht möglich.


Datenkategorien und Verarbeitung

Kategorien der personenbezogenen Daten

Nr.Bezeichnung der Daten
1Benutzerprofil
2Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
3Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei
4Chat-Protokolle (an der Universität Hohenheim deaktiviert)
5Telefonie-Nutzungsdaten (optional): Ggf. Rufnummer des Anrufers, Name des Landes, IP-Adresse, Start- und Endzeit, Hostname, Host-E-Mail
6Rechnungs- und Beschaffungsdaten (nur für AdministratorInnen einsehbar)

Kategorien der betroffenen Personen

Nr. nach DatenkategorienBezeichnung der Daten
1 - 5Nutzende
3 - 4In der Kommunikation erwähnte weitere Personen
6Beschaffer, Anforderer

Empfänger personenbezogener Daten

Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.

(https://zoom.us/de-de/subprocessors.html)

Nr.EmpfängerAnlass der OffenlegungSpeicherort
1 - 5Zoom Video Communications, Inc.AuftragsverarbeitungVereinigte Staaten von Amerika und Unterauftragsverarbeiter
Unterauftragsverarbeiter
6People.aiVertrieb, CRMVereinigte Staaten von Amerika
1 - 6ZendeskSupportVereinigte Staaten von Amerika
1 ,6WootricKundenumfragenVereinigte Staaten von Amerika
6TotangoOnboarding, KundenerfahrungVereinigte Staaten von Amerika
1, 6AnswerforceKundensupportVereinigte Staaten von Amerika
1Rocket Science Group, LLCE-Mail-BenachrichtungenVereinigte Staaten von Amerika
1, 6Five9CallcenterVereinigte Staaten von Amerika
1 - 6EPS VenturesSupportMalaysia
1 - 6WKJ ConsultancySupportMalaysia
6SalesforceKundenmanagementVereinigte Staaten von Amerika
1, 6CyberSourceBezahlung und BetrugspräventionVereinigte Staaten von Amerika
1, 6AdyenBezahlung und BetrugspräventionEuropa
6ZuoraAbomanagementVereinigte Staaten von Amerika
1 - 6Amazon Web ServicesInfrastruktur (IT)Vereinigte Staaten von Amerika, EU, Kanada, Australien
1 - 6BandwidthInfrastruktur (Telefonie)Vereinigte Staaten von Amerika

Internationale Organisation

Nr. nach DatenkategorienDrittland oder internationale OrganisationGeeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO
1 - 6Vereinigte Staaten von Amerika
1 - 6Vereinigte Staaten von Amerika, Malaysia, Kanada, AustralienUnterauftragsverarbeiter Garantie durch Standarddatenschutzklauseln

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular