Data protection and security at Zoom (only available in German)

Informationen gem. Art. 13 DSGVO für die Nutzung von Zoom X

Die OVGU stellt für die Nutzung von Zoom X Lizenzen der Telekom Deutschland GmbH (Anbieter) zur Verfügung. Das Zoom X-Tool wird vom Anbieter auf Servern in Deutschland gehostet. Hierzu wurde ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen.

Für den Einsatz des Zoom X-Dienstes ist die OVGU, soweit zu der Zoom X-Kommunikation von einem Account der Universität (angemeldet über den SingleSignOn-Dienst) eingeladen wird, verantwortlich gemäß der Datenschutz-Grundverordnung (DSGVO) sowie sonstiger datenschutzrechtlicher Bestimmungen.

1. Name und Anschrift des Verantwortlichen

Otto-von-Guericke-Universität Magdeburg (OVGU)

Postanschrift: Universitätsplatz 2, D-39106 Magdeburg, Deutschland

2. Kontaktdaten Datenschutzbeauftragte/r

Postanschrift: vgl. wie vor

E-Mail: datenschutz@ovgu.de

3. Datenverarbeitung im Rahmen der Nutzung von Zoom X

a) Umfang der Datenverarbeitung

Wenn der bereitgestellte Dienst Zoom X genutzt wird, werden folgende (personenbezogene) Daten verarbeitet:

Angaben Nutzender/Teilnehmer
- Vorname, Nachname
- dienstliche E-Mail-Adresse
- Anmeldeinformationen aus dem Identitätsmanagementsystem der OVGU

Technische Informationen zur Nutzung, sog. Meeting-Metadaten:
- Thema, Beschreibung (optional)
- Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten des genutzten Endgeräts)

b) Zweck der Verarbeitung

Die Verarbeitung der Daten ist erforderlich, um Zoom X für die Durchführung von Videokonferenzen und -besprechungen, interaktiven Online-Kursen und Webinaren in Verwaltung, Lehre und Forschung zu verwenden.

Der Auftragsverarbeiter erhält Zugriff auf folgende personenbezogene Daten (dadurch, dass der Verantwortliche ihm die Daten bereitstellt oder ihm einen Zugriff auf die Daten ermöglicht) bzw. der Verantwortliche erlaubt dem Auftragsverarbeiter, folgende personenbezogene Daten zu erheben.

Datenkategorien	Unterkategorie	Datenfelder	Verarbeitungsort
Inhaltsdaten	Inhalt von Sitzungen und Webinaren	· Video, Audio, Whiteboard, Untertitel und Präsentationen · Fragen und Antworten während der Sitzung, Umfragen und Informationen zu Umfragen · Live-Übersetzungen / Untertitelung	DE
	Chat-Nachrichten	· 1:1-Nachrichten in Besprechungen und Gruppenchats, die nicht in einen permanenten Chat-Kanal übertragen werden ("in-Conference Chats“)	DE
	Vom Kunden initiierte Cloud- Aufzeichnungen	· Aufzeichnung von Video, Audio, Whiteboard, Untertiteln und Präsentationen · Textdatei-Dokument aller Gruppenchats während der Sitzung · Textdatei der Audiotranskription · Fragen und Antworten während der Sitzung, Umfragen und Informationen zu Umfragen · Abschriften für Untertitel	DE
	Informationen für Meeting- und Webinar-Teilnehmer	· Name und Kontaktdaten des registrierten Teilnehmers und ggf. Daten des Kunden in Verbindung mit der Registrierung erhebt, z. B. eine E-Mail-Adresse · Status des Teilnehmers (als Gastgeber, als Teilnehmer an einem Chat oder als Teilnehmer) · Raumnamen (falls verwendet) · Benutzerkategorien (falls verwendet) · Datenfelder, wie Abteilung oder Gruppe (falls verwendet) · Geplante Zeit für ein Treffen · Themenbezogene Namen	DE
	Gespeicherte Chat- Informationen (permanenter Chat)	· Chat-Nachrichten · Über den Chat ausgetauschte Dateien · Über Chat ausgetauschte Bilder · Über den Chat ausgetauschte Videos · Titel des Chat-Kanals · Whiteboard-Anmerkungen	DE
	Adressbuch Informationen	Dazu gehören auch optionale Kontaktinformationen, die durch kundengesteuerte Integrationen (z. B. Outlook) zur Verfügung gestellt werden.	DE
	Kalender-Informationen	Dazu gehören auch optionale Kalenderinformationen, die durch vom Kunden kontrollierte Integrationen (z. B. Outlook, Google) zur Verfügung gestellt werden.	DE
Diagnostische Daten	Meeting-Metadaten	· Ereignisprotokolle (einschließlich durchgeführter Aktion, Ereignistyp und -untertyp, Ort des In-App-Ereignisses, Zeitstempel, Client-UUID), userID und Besprechungs-ID · Informationen über Besprechungssitzungen, einschließlich · Häufigkeit, durchschnittliche und tatsächliche Dauer, Quantität, Qualität, Netzwerkaktivität und Netzwerkkonnektivität · Anzahl der Sitzungen · Anzahl der Sitzungen mit und ohne Bildschirmfreigabe · Anzahl der Teilnehmer · Informationen zum Gastgeber der Veranstaltung · Hostname · URL des Veranstaltungsorts · Beginn/Ende der Sitzung · Join-Methode · Informationen zu Leistung, Fehlersuche und Diagnose	DE
	Telemetrie-Daten	· Zeit der Veranstaltung · Client - Typ (Applikation) · Ort der Veranstaltung · Veranstaltung · Unterereignis · UUID · Client-Version · Benutzer-ID · Client-Betriebssystem · Besprechungs-ID	DE
	Andere vom Dienst generierte Daten	Enthält eine dauerhafte eindeutige Kennung von Zoom, die das Trust&Safety-Team1 von Zoom durch die Kombination anderer Datenelemente erstellt, darunter: · IP-Adresse · Rechenzentrum · PC-Name · Mikrofon / Lautsprecher · Kamera · Domäne · Festplatten-ID · Netzwerktyp · Typ und Version des Betriebssystems und Client-Version 1) Die Einbindung des Trust&Safety-Teams ist optional.	DE,1) ggf. USA
Kontodaten (Endnutzer)		· Zoom-Benutzer-ID · Anmeldung bei sozialen Medien (optional) · Profilbild (optional) · Anzeigename · Kundenauthentifizierungsdaten (sofern nicht Single Sign On ("SSO") verwendet wird)	DE, ggf. USA
Daten des Zoom Konto-Inhabers (Unternehmen)		· Name (Firmenname) · Adresse · Daten im Zusammenhang mit dem Kundenkonto, wie z. B. Abonnementplan	DE, USA
Supportdaten		· Tier 1 + 2: Support erfolgt durch den Auftragsverarbeiter · Im Falle von Tier 3 erfolgt der Support durch den Unterauftragsverarbeiter. Das Support-Ticket kann personenbezogene Daten enthalten.	DE DE / Weltweit
Feedback-Daten	Bewertungen nach der Sitzung	Optional (standardmäßig deaktiviert)	USA
	In-Meeting – Umfragen	Optional (standardmäßig "deaktiviert" für EU-Endnutzer) Verwendetes Tool: NPS (Net Provider Score)	USA

c) Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Ist die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung von Zoom X für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der OVGU übertragen wurde, ist Art. 6 Abs. 1 Satz 1 lit. e), Abs. 3 DSGVO i.V.m. § 119 Abs. 1 HSG LSA bzw. 4 S.1 Nr. 2 DSAG LSA Rechtsgrundlage für die Verarbeitung. Diese Rechtsgrundlage stellt in den meisten Anwendungsfällen der Verwendung von Zoom X den Regelfall dar (bspw. bei der Durchführung von Lehrveranstaltungen und Prüfungen).

Soweit die OVGU für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Dienstes eine Einwilligung einholt, dient Art. 6 Abs. 1 Satz 1 lit. a) DSGVO bzw. Art. 9 Abs. 2 lit. a) DSGVO als Rechtsgrundlage.

Soweit die Verarbeitung von Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, ist Art. 6 Abs. 1 Satz 1 lit. b) DSGVO Rechtsgrundlage.

Bezieht sich die Verarbeitung personenbezogener Daten mittels Zoom X auf Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder der Durchführung organisatorischer, personeller oder sozialer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, dient Art. 6 Abs. 1 Satz 1 lit. b) bzw. a) DSGVO als Rechtsgrundlage.

d) Empfänger der personenbezogenen Daten

Die personenbezogenen Daten werden an den Anbieter und dessen genehmigten Unterauftragsverarbeiter (Zoom Video Communications Inc., vgl. Anhang IV des AVV) weitergegeben.

Genehmigte Unterauftragsverarbeiter

Unternehmen	Ort der Leistung	Leistungsumfang	betroffene Datenkategorien
Zoom Video Communications Inc. 55 Almaden Boulevard, 6th Stock, San Jose, Kalifornien USA	USA	· Deal-Registration · Pre-Billing (Rohdaten)	· Daten des Zoom Kontoinhabers (Unternehmen) · Feedbackdaten · In-Meeting Umfragen
USA, Malaysia, Neuseeland, Frankreich, Australien, Indonesien, Japan, Singapur, UK	· Support & Beratung2) (Tier 3)	· Supportdaten
Deutschland	· Hosting & Betrieb der Plattform	· Inhaltsdaten · Diagnostische Daten · Kontodaten (Endnutzer)

Genehmigte Sub-Unterauftragsverarbeiter (eingesetzt von Zoom)

Die genehmigten Sub-Unterauftragsverarbeiter verarbeiten personenbezogene Daten auf Grundlage der Standardvertragsklauseln.

Name / Firmensitz	Zweck	Daten die verarbeitet werden	Verarbeitungsort
Amazon Webservices, Inc. 410 Terry Avenue North, Seattle, WA 98109-5210, USA	Cloud-Dienst Anbieter	· Besprechungs- und Gesprächsaufzeich- nungen (falls vom Kunden in der Cloud gespeichert) · Abschriften von Besprechungs- oder Gesprächsaufzeichnungen (wenn die Besprechung aufgezeichnet und vom Kunden in der Cloud gespeichert wurde) · Hochgeladene Dateien	Deutschland
Apple Inc, One Apple Park Way, Cupertino, CA 95014, USA	Push-Benachrich- tigungen an iOS-Endgeräte (optionaler Ser- vice)	· Chat-Benachrichtigung · SMS-Benachrichtigung · Anrufbenachrichtigung	USA
Google Firebase angeboten von Google LLC 1600 Amphitheatre Parkway Mountain View, Kalifornien 94043, USA	Push-Benachrich- tigungen an And- roid-Endgeräte (optionaler Ser- vice)	· Chat-Benachrichtigung · SMS-Benachrichtigung · Anrufbenachrichtigung	USA
CloudFlare Inc., 101 Town- send Street, San Francisco, Kalifornien 94107, USA	Sicherheit	· IP-Adresse	USA
MaestroQA, 33 West 17. Straße Etage 8, New York, NY 10011, USA	Unterstützung der Qualitätssiche- rung	Supportbezogene Kommunikationsinhalte wie Cloud-Aufnahmen oder Chat-Protokolle können mit MaestroQA geteilt werden (nur wenn der Endkunde sich dafür entscheidet, sie direkt einem Zoom-Support-Agenten durch eine Support-Interaktion zur Verfügung zu stellen, d.h. als Anhang zu einem Support-Ticket)	USA
OneTrust, LLC 1200 Abernathy Rd NE, Sandy Springs, GA 30328, USA	Gegenstand der Daten Cookie-Präferenz- Center	· Name · E-Mail Adresse · Konto-Typ · Land · IP-Adresse · DSAR-Berichte · Benutzer-Cookie-Einstellungen	USA
Salesforce Inc. 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA	Nur zum Zweck der Geschäftsan- meldung, keine Endkundendaten	· Name des Unternehmens · Adresse des Unternehmens	USA
Service-now.com GmbH Börsenstraße 2-4, 5. Etage, 60313 Frankfurt am Main, Deutschland	Ticket-Support- System (keine Interaktion mit Endkunden - nur Zoom-Agent zu Telekom- Agent)	· Name · E-Mail · Besprechungs-ID · Host-Schlüssel · Rufnummer · Produkt · Beschreibung · Thema · Plattform	Deutschland, Europäische Union
Vartopia LLC, 970 W Broadway, Jackson, Wyoming, 83001, USA	Zum Zweck der Geschäftsregist- rierung, keine Endkundendaten	· Name des Unternehmens · Adresse des Unternehmens	USA

e) Datenverarbeitung außerhalb der Europäischen Union

Der Unterauftragsverarbeiter erbringt seine Leistungen an unterschiedlichen Standorten. Zwischen Anbieter und dem Unterauftragsverarbeiter wurde eine Datenschutzvereinbarung nach den EU-Standardvertragsklauseln getroffen, um abzusichern, dass der Unterauftragsverarbeiter außerhalb der Europäischen Union/des europäischen Wirtschaftsraums den europäischen Datenschutzanforderungen nachkommt.

An die Zoom Video Communications Inc. werden vom Anbieter nur pseudonymisierte Daten-sätze, d.h. keine persönlichen Klartextinformationen, übertragen.

f) Dauer der Speicherung der personenbezogenen Daten

Personenbezogenen Daten werden grundsätzlich nur so lange gespeichert, wie es für die Erbringung der Dienste von Zoom X und zur Erfüllung vertraglicher oder gesetzlicher Pflichten erforderlich ist.

Die Speicherdauer richtet sich nach verschiedenen Kriterien, u.a. Notwendigkeit für die Vertragserfüllung, gesetzliche Aufbewahrungspflichten, getroffene Einstellungen. Nach Wegfall des Speicherzwecks und Ablauf etwaiger Aufbewahrungsfristen werden die Daten gelöscht oder anonymisiert.

4. Rechte Betroffener

Informationen zu den Rechten als Betroffene/r finden sich in der Datenschutzerklärung der Universität unter Abschnitt XII. (vgl. https://www.ovgu.de/datenschutzerklaerung.html).

Falls die Weiterleitung nicht funktioniert, klicken Sie bitte hier.