In diesen Datenschutzhinweisen erläutern wir Ihnen unseren Einsatz der Videokommunikationssoftware „Zoom“. Wir weisen insbesondere darauf hin, dass wir keinerlei Daten der Kommunikation aufzeichnen und „Zoom“ mit einer Ende-zu-Ende Verschlüsselung einsetzten. Somit ist die Vertraulichkeit der Kommunikationsinhalte gewahrt. Die Aktivierung der Ende-zu-Ende-Verschlüsselung erkennen Sie im laufenden Meeting an einem grünen Schild mit verschlossenem Vorhängeschloss in der oberen linken Ecke.

Verantwortliche

Für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Zoom ist die Trainingszentrum Kämmerling GmbH, Bergische Straße 25, 58239 Schwerte verantwortlich.

Beschreibung der Datenverarbeitung, Zwecke und Datenarten

Zur Durchführung von Online-Meetings, Videokonferenzen und Webinaren (nachfolgend: „Online-Meetings“) nutzen wir das Tool „Zoom“.

Je nach Art und Umfang der Nutzung von „Zoom“ werden verschiedene Arten von Daten erhoben bzw. verarbeitet. Hierzu gehören insbesondere:

• Angaben zu Ihrer Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild)
• Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse)
• Geräte-/Hardwaredaten
• Text-, Audio- und Videodaten
• Verbindungsdaten (z.B. Rufnummern, Ländernamen, Start- und Endzeiten, IP-Adressen)

Nachfolgend möchten wir Sie näher über den Umfang der Datenverarbeitung informieren.

Erforderliche Daten und Funktionen

Nehmen Sie als externer Teilnehmer an einem Online-Meeting teil, erhalten Sie vom Host einen Zugangslink per E-Mail. Bei der Anmeldung zum Online-Meeting müssen Sie sodann Ihren Namen und ggf. Ihre E-Maildresse angeben.

Daneben erhebt das Tool Benutzerdaten, die für die Bereitstellung des Dienstes erforderlich sind. Hierzu gehören insbesondere technische Daten zu Ihren Geräten, Ihrem Netzwerk und Ihrer Internetverbindung, wie z.B. IP-Adresse, Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung.

Freiwillige Angaben und Funktionen

Weitere Angaben zu Ihrer Person können Sie machen, müssen Sie aber nicht. Zudem steht es Ihnen frei, während des Online-Meetings die Chatfunktion zu nutzen. Auch Ihre Kamera und Ihr Mikrofon können Sie selbst ein-, ab- bzw. stummzuschalten. Standardmäßig sind Kamera und Mikrofon zu Beginn eines Meetings deaktiviert.

Wenn Sie die Chatfunktion nutzen, werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Eine Protokollierung des Chats erfolgt nicht. Wenn Sie Ihre Kamera oder Ihr Mikrofon einschalten, werden für die Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet.

Beachten Sie bitte, dass sämtliche Informationen, die Sie oder andere während eines Online-Meetings hochladen, bereitstellen oder erstellen, zumindest für die Dauer des Meetings verarbeitet werden. Hierzu gehören insbesondere Chat-/ Sofortnachrichten, Dateien, Whiteboards und andere Informationen, die während der Nutzung des Dienstes geteilt werden. Aufzeichnungen erfolgen nicht.

Sonstige Funktionen

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von „Zoom“, eine detaillierte Auflistung der durch „Zoom“ erhobenen und verarbeiteten Daten sowie die „Zoom“-Datenschutzhinweise finden Sie unter: https://zoom.us/de-de/privacy.html.

Rechtsgrundlagen für die Datenverarbeitung

Wenn Sie als externer Teilnehmer an einem Online-Meeting teilnehmen, erfolgt die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 S. lit. b. DSGVO, sofern Ihre Teilnahme am Online-Meeting zur Erfüllung eines mit Ihnen geschlossenen Vertrags erforderlich ist. Entsprechendes gilt, wenn die Durchführung des Online-Meetings zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen.

Sofern die Datenverarbeitung im Zusammenhang mit der Nutzung von „Zoom“ nicht zur Erfüllung eines mit Ihnen geschlossenen Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht hierbei in der Aufrechterhaltung von ortsunabhängiger Kommunikation, der Pflege geschäftlicher Kontakte und der Erbringung geschuldeter Leistungen.

Sofern Sie bei der Nutzung des Tools darüber hinaus freiwillig Angaben zu Ihrer Person machen oder freiwillig nicht zwingend erforderliche Funktionen nutzen, erfolgt die damit einhergehende Datenverarbeitung auf Grundlage Ihrer widerrufbaren Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass Verarbeitungen, die vor dem Widerruf erfolgt sind, davon nicht betroffen sind.

Weitergabe Ihrer Daten

Wir übermitteln Ihre Daten grundsätzlich nicht an Dritte. Eine Weitergabe erfolgt nur, sofern die Daten gerade zur Weitergabe bestimmt sind, Sie vorher ausdrücklich in die Übermittlung eingewilligt haben oder wir aufgrund gesetzlicher Vorschriften hierzu verpflichtet bzw. berechtigt sind.

Bei der Verarbeitung Ihrer Daten unterstützt uns Zoom Video Communications Inc. als externer Dienstleister und Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Als Auftragsverarbeiter verarbeitet Zoom Video Communications Inc. Ihre Daten streng weisungsgebunden und auf Grundlage eines gesondert geschlossenen Auftragsverarbeitungsvertrages. Die Datenverarbeitung kann dabei auch außerhalb der EU bzw. des EWR stattfinden. Im Hinblick auf Zoom Video Communications Inc. kann ein angemessenes Datenschutzniveau gem. Art. 46 Abs. 2 lit. c DSGVO durch die Verwendung von EU-Standardvertragsklauseln sowie weiterer geeigneter Maßnahmen (Einrichtung einer Ende-zu-Ende-Verschlüsselung und durch die Nutzung der Data Routing-Funktion; Hierunter versteht man die Möglichkeit selbst zu bestimmen, durch welche Rechenzentren die Daten während der Meetings und Webinare fließen sollen.) angenommen werden. Auf Anfrage stellen wir die geschlossenen EU-Standardvertragsklauseln gerne zur Verfügung.

Löschung Ihrer Daten

Wir verarbeiten Ihre Daten grundsätzlich nur solange, wie sie für die Zwecke, für die sie erhoben worden sind, erforderlich sind. Wir zeichnen nichts auf. Ihre Daten werden daher nicht gespeichert.

Ihre Rechte als betroffenen Person

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

Kontaktdaten des Datenschutzbeauftragten

Bei der Erfüllung unserer datenschutzrechtlichen Pflichten werden wir von unserem Datenschutzbeauftragten unterstützt. Die Kontaktdaten unserer Datenschutzbeauftragten lauten:

KWS GmbH

Jan Messerschmidt

Bergische Straße 25

58239 Schwerte

Telefon: 02304/2410018
E-Mail: datenschutz@kws-schwerte.de

Verzeichnis von Verarbeitungstätigkeiten

Wie weiter oben bereits erwähnt, müssen Sie Zoom auch in Ihr Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 Abs. 1 DSGVO aufnehmen. Auch hierbei möchten wir Ihnen gerne helfen und stellen Ihnen im Folgenden beispielhaft zusammen, was auf jeden Fall in das Verzeichnis gehört.

Artikel 30 Abs. 1 DSGVO gibt klar vor, welche Angaben Sie auf jeden Fall machen müssen. So müssen Sie den

•  Namen und die Kontaktdaten des Verantwortlichen angeben.
• Als Zweck können Sie z. B. interne und externe Kommunikation eintragen.
• Kategorien betroffener Personen dürften fast immer Beschäftigte und allgemein alle Nutzer des Tools sein.
• Kategorien personenbezogener Daten sind zum einen alle Informationen, die während der Nutzung des Service bereitgestellt oder erstellt werden, Angaben zur Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild) Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse), Geräte-/Hardwaredaten, Verbindungsdaten (z.B. Ländernamen, Start- und Endzeiten, IP-Adressen)

Die Daten werden immer nach Beendigung des Online-Meetings gelöscht.

Als Kategorien von Empfänger kommt die Zoom Video Communication Inc., als der unterstützende Auftragsverarbeiter zum Einsatz.

Zoom Video Communication Inc. ist auch die Stelle, an welche personenbezogene Daten außerhalb der EU / des EWR übermittelt werden.

Spannender wird die Begründung warum Sie die den Einsatz von Zoom als rechtmäßig einstufen. Auch dafür haben wir Ihnen mögliche Textpassagen zusammengestellt.

Hinsichtlich der Verarbeitung von Beschäftigtendaten ist Rechtsgrundlage § 26 BDSG.

Sofern eine Verarbeitung zur Erfüllung eines Vertrages erforderlich ist, ist die Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. b DSGVO zu finden. Entsprechendes gilt, wenn das Online-Meeting zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage des Betroffenen erfolgen.

Sofern die Durchführung des Meetings weder auf Grundlage von § 26 BDSG noch auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO erfolgt, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Die Muster GmbH hat ein berechtigtes Interesse daran, dass eine Kommunikation standortunabhängig und mit einem geeigneten Tool durchgeführt wird.

Im Übrigen erfolgen die Datenverarbeitungen auf Grundlage der jeweils freiwillig erteilten Einwilligung des Betroffenen, sofern dieser freiwillige Angaben zu seiner Person macht oder freiwillige Funktionen nutzt (bspw. Kamera /Ton)

Sicherheit der Verarbeitung (technisch-organisatorischen Maßnahmen)

Welche technischen und organisatorischen Maßnahmen Sie anwenden, um ein angemessenes Schutzniveau zu gewährleisten, ist natürlich sehr individuell. Allerdings sollten Sie auf jeden Fall aufzeigen, dass ein angemessen Datenschutzniveau bzgl. der Übermittlung der personenbezogenen Daten in die USA durch folgende Maßnahmen gesichert ist:

Abschluss der relevanten datenschutzrechtlichen Verträge (Vertrag zur Auftragsverarbeitung und der Standardvertragsklauseln).

Verpflichtung zum Data Routing (vorzugsweise Verarbeitung der Daten auf europäischen Servern in Deutschland, Irland und den Niederlanden).

Verpflichtung zur E2E-Verschlüsselung, wobei der Host des Online-Meetings den Schlüssel verwaltet. Eine Verifikation kann durch Abgleich des 40-stelligen Codes erfolgen, der jedem Teilnehmer angezeigt wird.

Zoom stellt zudem zahlreiche Funktionen zur Verfügung, die es ermöglichen, die Sicherheit einer Videokonferenz zu garantieren. Hierzu gehört auch die Verwendung eines Passworts, die Freigabe des Zutritts durch den Einladenden.

Sofern die Einladung zu einer Konferenz über ein Einmalpasswort erfolgt (optional), der Einladende zudem den Zutritt zum Konferenzraum explizit freigeben muss (ebenfalls optional), ist regelmäßig eine ausreichende Authentisierung der Konferenzteilnehmer sichergestellt.

Ggf. können weitere Anforderungen relevant werden, wie z.B. die Absicherung der eigenen zoom Accounts mittels einer Zwei-Faktor-Authentisierung. Nähere Informationen stellen auch die Aufsichtsbehörden in ihrer Orientierungshilfe Videokonferenzsysteme dar.