LMU IT-Servicedesk
print

Links und Funktionen
Sprachumschaltung

Navigationspfad


Inhaltsbereich

Datenschutzinformationen für die Verwendung von Zoom

Der Einsatz von Zoom ist der vor allem pandemiebezogenen Notwendigkeit geschuldet, den laufenden Hochschulbetrieb aufrechtzuerhalten. Die Belange des Datenschutzes und insbesondere die Vorgaben der Datenschutzgrundverordnung wurden hierbei soweit möglich berücksichtigt.

Zweck der Verarbeitung

Zoom wird in Verwaltung, Lehre und Forschung verwendet, um virtuelle Besprechungen, interaktive Online-Kurse und Webinare (Online-Meetings) durchzuführen und den Lehr- und Forschungsbetrieb zu unterstützen.

Zweck der Datenverarbeitung ist die Nutzung von Zoom als Tool zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der LMU zur Erfüllung der Hochschulaufgaben gemäß Art. 2 BayHSchG.

Die Verarbeitungsvorgänge erfassen die Nutzung der lizenzierten Produkte und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie technischer und kundenbezogener Support.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken (z.B. zur internen Überprüfung der Sicherheitssysteme und zur Gewährleistung der internen Netz- und Informationssicherheit gemäß Art. 6 Abs. 1 BayDSG) erfolgt nicht.
Eine Nutzung von Zoom zu privaten Zwecken im Rahmen der zur Verfügung gestellten LMU-Lizenzen ist ausgeschlossen.

Es findet keine Leistungs- oder Verhaltenskontrolle auf Basis Ihrer Nutzung von Zoom statt. Die Nutzung von Zoom zur Erstellung von personenbezogenen Statistiken ist nicht zulässig.

Datenschutzanforderungen im Rahmen der Nutzung von Zoom

Im Rahmen des Einsatzes und der Nutzung von Zoom an der LMU ist zu gewährleisten, dass keine unbefugte Datenverarbeitung erfolgt. Darüber hinaus ist im Rahmen der Nutzung sicherzustellen, dass die Vertraulichkeit von dienstlichen Angelegenheiten gewahrt bleibt.

Vor einer Nutzung von Zoom sind die möglichen datenschutzrechtlichen Einstellungen so vorzunehmen, dass personenbezogene Daten durch Zoom nur zu den genannten Zwecken und im Rahmen des geltenden Rechts verarbeitet werden. Die datenschutzrechtlichen Grundsätze, insbesondere privacy by default, Datenminimierung, Speicherbegrenzung, Vertraulichkeit und Zweckbindung, sind zu beachten.
Zoom ist in der jeweils aktuellen Version zu nutzen, erforderliche Updates sind vorzunehmen.

Durch entsprechende Einstellungen in Zoom und in der verwendeten Hardware und Software ist das Setzen von Werbecookies und das Tracking, z.B. durch Google Analytics, Google Ads, auszuschließen.

Sofern eine Audioübertragung für den jeweiligen Zweck ausreichend ist, sollte die Bildübertragung ausgeschaltet werden. Etwaige Chatfunktionen sind nur zu nutzen, soweit dies erforderlich ist.

Um die Privatsphäre zu schützen, können Sie Ihren Hintergrund durch eine Einblendung ersetzen. Ihr Kopf ist dadurch weiterhin zu sehen, ihr Umfeld hingegen nicht. Im Serviceportal stellt die LMU dazu geeignete Hintergründe zur Verfügung.

Chat-, Fragen- oder Umfragefunktionen sind nur insoweit zu nutzen, wie sie für den jeweiligen Zweck im Rahmen der Aufgabenerfüllung zwingend benötigt werden.

Benutzungsprofil und Umfang der Verarbeitung personenbezogener Daten

Für Ihr Benutzungsprofil müssen Sie in der initialen Befüllung nur Ihren Namen, sowie Ihre dienstliche E-Mail-Adresse (@lmu.de) angeben. Auf freiwilliger Basis können Sie weitere Informationen hinterlegen, und diese selbst jederzeit editieren. Im Rahmen der Nutzung sollten aber nur die Daten angegeben und verwendet werden, die für die jeweilige Nutzung tatsächlich erforderlich sind.

Verarbeitung von personenbezogenen Daten

Wir verarbeiten nur die personenbezogenen Daten, die Sie uns zur Verfügung gestellt haben oder die wir im Rahmen der Tätigkeit an der LMU über Sie in zulässiger Weise erhalten haben (Art. 4 Abs. 2 BayDSG). Um Zoom nutzen zu können, werden folgende personenbezogene Daten von Ihnen benötigt

• Nachname
• Vorname
• Dienstliche E-Mailadresse (@lmu.de).

Im Rahmen der Nutzung können durch Zoom weitere personenbezogene Daten verarbeitet werden. Dies ist abhängig von den jeweils gewählten Einstellungen und den im Rahmen der Nutzung verwendeten Inhalte.

Angaben zum Benutzer

Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (falls Single-Sign-On nicht verwendet wird), Profilbild (optional), Abteilung (optional). Aus Sicherheitsgründen wird es dringend empfohlen, sich auf Zoom immer mit Single-Sign-On anzumelden.

Meeting-Metadaten

Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte/Hardware-Informationen, z.B. Browser/Betriebssystemdaten des verwendeten Endgerätes.

Bei Aufzeichnungen (optional)

MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats, Textdatei aller Chats in der Besprechung, Audio-Protokolldatei.

Bei Befragungen/Abstimmungen (optional)

Erfassung der Antworten mit Teilnehmernamen als Voreinstellungen. Diese Ergebnisse werden den Organisatoren („Moderatoren“) nach Durchführung der Befragung angezeigt.

Bei Einwahl mit dem Telefon

Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts, die 911-Adresse (registrierte Dienstadresse), der Hostname, die Host-E-Mail und die MAC-Adresse des verwendeten Geräts gespeichert werden.

Text-, Audio- und Videodaten

Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige vom Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Zoom-Applikationen abschalten bzw. stummschalten.

Protokollierung der Anwesenheit

Über die Einstellung "Nutzer müssen sich registrieren" wird eine Übersicht aller Anwesenden erstellt, die vom Veranstalter eingesehen werden kann. Die Anwesenheitsliste darf den Teilnehmenden grundsätzlich nicht zur Verfügung gestellt werden.
Eine Datenerhebung zum Zweck der Prüfung einer Anwesenheit bzw. Teilnahme ist dann datenschutzrechtlich zulässig, wenn eine Anwesenheitspflicht besteht und ein Nachweis über die Teilnahme geführt bzw. erstellt werden muss. Dies ergibt sich für studentische Veranstaltungen regelmäßig aus den Prüfungs- und Studienordnungen.
Sofern eine Datenerhebung nur erfolgt, um eine unbefugte Nutzung zu verhindern und eine ordnungsgemäße und störungsfreie Durchführung der Sitzung sicherzustellen, sind die Daten zu löschen, sobald die Veranstaltung beendet ist bzw. der Zweck erreicht ist.

Registrierung

Um an einem Online-Meeting teilzunehmen bzw. den Meeting-Raum zu betreten, müssen Sie auch ohne Registrierung zumindest Angaben zu Ihrem Namen machen. Dies kann aber auch ein Fantasiename sein. Alternativ haben Sie nach der Anmeldung bei Zoom die Möglichkeit, den Namen (ggf. inklusive Pronomen), der für alle anderen Teilnehmer innerhalb von Zoom-Meetings sichtbar ist, über Ihre eigenen Kontoeinstellungen anzupassen. Dieser selbst gewählte Name (kann auch ein "Fantasiename" sein) wird nicht in der Anwesenheitsliste gespeichert und kann von den Organisatoren nicht zu Ihrer Person zurückverfolgt werden.

Cookies

Zur Verarbeitung von Cookies finden Sie weitere Hinweise auf der Website Informationen über Cookie-Policy, Zoom (externer Link, auf Englisch).

Umfang der Verarbeitung, Aufzeichnungen, Befragungen und Abstimmungen

Die Voreinstellungen in Zoom sind so zu wählen, dass keine automatische Aufzeichnung erfolgt. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis aller betroffenen Teilnehmenden erfolgen (Sie können ein entsprechendes Einverständnisformular über den Link Zustimmung zur Aufzeichnung einer Online-Veranstaltung erhalten) und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung zwingend notwendig ist. Eine Aufzeichnung ohne Einwilligung der Betroffenen ist strafbewehrt.

Bei Aufzeichnungen sind insbesondere Urheberrechte und die Persönlichkeitsrechte der Betroffenen zu beachten und zu wahren. Für die Wahrung der Barrierefreiheit bedarf es einer entsprechenden Einräumung von Bearbeitungsrechten. Zoom ermöglicht die Nutzung von Wasserzeichen, so dass im Fall einer Aufnahme die Verbreitung kontrolliert werden kann.

Bei der Nutzung von Zoom ist darauf zu achten, dass smarte Geräte, wie z.B. Alexa, Siri, Google Home, sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern.

Die Speicherung von Aufzeichnungen ist ausschließlich auf LMU-internen Servern bzw. Datenträgern (lokal) zulässig. Aufgezeichnete Veranstaltungen dürfen nur so lange gespeichert werden, wie dies für die Erfüllung der jeweiligen Aufgabe erforderlich ist und so lange keine Löschungspflicht besteht.

Wenn Aufzeichnungen und/oder Befragungen erfolgen, ist dies im Vorfeld transparent mitzuteilen. Die Tatsache der Aufzeichnung wird den Teilnehmenden in der Zoom-App angezeigt und ist während der gesamten Aufnahmezeit transparent zu halten. Bei Befragungen kann eine Speicherung der Antworten ohne personenbezogene Daten ausschließlich von den Organisatoren und für die konkrete Befragung im Vorfeld durch explizites Umschalten auf "anonym durchführen" veranlasst werden. Diese Option ist von den Organisatoren zu bevorzugen. Befragungen, die nicht anonym durchgeführt werden, zeigen den Organisatoren die Ergebnisse mit Angaben der Teilnehmernamen an.

Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, können IM-Chat-Protokolle gespeichert werden, wenn dies gegenüber den Teilnehmenden transparent gemacht wird. In der Regel ist eine Protokollierung nicht erforderlich.

Im Fall von Webinaren können für Zwecke der zulässigen Aufzeichnung und Nachbereitung von Webinaren gestellte Fragen von Webinar-Teilnehmenden verarbeitet werden.

Ein Einsatz von Zoom im Rahmen einer automatischen Entscheidungsfindung i.S.d. Art. 22 DSGVO oder zum Profiling erfolgt nicht und ist auch nicht zulässig.

Rechtmäßigkeit der Datenverarbeitung, Rechtsgrundlagen

Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO), des Bayerischen Datenschutzgesetzes (BayDSG) und der sonstigen anwendbaren Datenschutzbestimmungen.

Die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung von Zoom basiert auf folgenden Rechtsgrundlagen:

  • für die (freiwillige) Nutzung von Zoom gemäß Art. 6 Abs. 1 lit. a DSGVO (Einwilligung);
  • für die Erfüllung von Dienstaufgaben gemäß Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Art. 2 BayHSchG;
  • für die Lehre gemäß Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG i.V.m. Art. 55 Abs. 2 BayHSchG;
  • für Bedienstete gemäß Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 Abs. 1 BayDSG i.V.m. § 3a Abs.1 ArbStättV;
  • für die Datenverarbeitung im Rahmen von Vertragsbeziehungen gemäß Art. 6 Abs. 1 lit. b DSGVO.
  • für Aufzeichnungen von Veranstaltungen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Die Bereitstellung personenbezogener Daten und die Benutzung von Zoom ist für Bedienstete der LMU im Rahmen des Beschäftigungsverhältnisses verpflichtend und gerechtfertigt. Für Studierende ist die Nutzung bei Lehrveranstaltungen ohne Anwesenheitspflicht freiwillig (Art. 6 Abs. 1 lit. a DSGVO). Studierende haben die Möglichkeit Prüfungen alternativ in Präsenz durchzuführen (vgl. § 8 BayFEV).

Zoom ist ein Remote-Konferenzdienst mit Hauptsitz in San Jose, Kalifornien/USA. Die Datenverarbeitung findet insofern in einem Drittland statt, soweit keine reine Browseranwendung genutzt wird. Mit Zoom besteht ein Auftragsverarbeitungsvertrag . Zoom erfüllt weitestgehend die datenschutzrechtlichen Garantien gemäß Art. 44ff. DSGVO. Das angemessene Datenschutzniveau ist u.a. durch den Abschluss von sog. EU-Standardvertragsklauseln garantiert. Zoom hat auch entsprechende Standardvertragsklauselnmit den Subauftragnehmern abgeschlossen (vgl. Art. 46 DSGVO). Darüber hinaus wurden weitere technische und organisatorische Maßnahmen implementiert. Die Videoübertragung ist ab der Version 5.0 Ende-zu-Ende-verschlüsselt, die auch im Rahmen des Lizenzvertrages genutzt werden soll.

Datenschutzkonforme Konfiguration der Zoom-Plattform

Im Sinne einer datenschutzkonformen Nutzung können folgende Einstellungen nicht von einzelnen Hosts geändert werden:

  • Kalender- und Kontakt-Integration [deaktiviert]
  • Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
  • Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
  • Verhindern, dass Teilnehmer den Chat speichern [aktiviert]
  • Chats automatisch speichern [deaktiviert]
  • Fernsteuerung [deaktiviert]
  • Kamerafernsteuerung [deaktiviert]
  • Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
  • Automatische Aufzeichnung [deaktiviert]
  • Nur der Host kann Cloud-Aufzeichnungen herunterladen [aktiviert]
  • Nur berechtigte Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
  • Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
  • Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [aktiviert]
  • Aufnahmeeinverständnis [aktiviert]
  • Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
  • Fremde Meetings anzeigen [deaktiviert]
  • Durchgehende Chatverschlüsselung aktivieren [aktiviert]
  • Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
  • Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
  • Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
  • Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
  • Unternehmenskontakte [deaktiviert]

Weitergabe und Empfänger von personenbezogenen Daten

Personenbezogene Daten, die im Zusammenhang mit der Nutzung von Zoom verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Der Anbieter Zoom sowie etwaige Subauftragnehmer erhalten notwendigerweise Kenntnis von den verarbeiteten Daten, soweit dies im Rahmen des Auftragsverarbeitungsvertrages bzw. etwaiger Vertragsverhältnisse mit Subauftragnehmern erforderlich bzw. vorgesehen ist.

Löschung von Daten und des Benutzerkontos

Eine Löschung von Daten erfolgt:

  • 7 Tage nach Widerruf von Einwilligungen, die zur Veröffentlichung und Speicherung der Aufzeichnung erforderlich sind.
  • Alternativ: Nach Wegfall der Erforderlichkeit für Veröffentlichung und Speicherung der Aufzeichnung
  • Lokal gespeicherte Aufzeichnungen werden nach eigenen Fristen gelöscht
  • Lokal gespeicherte Chat-Nachrichten werden gelöscht, wenn diese älter als 30 Tage sind.

Sie können Ihr Benutzerkonto in Zoom selbst jederzeit löschen, die notwendigen Informationen dazu finden Sie auf der Zoom-Website „Wie kündige ich mein Konto?“ (externer Link). Das dienstliche Konto ist zu löschen, sobald der Dienst für die dienstliche Aufgabenerfüllung nicht mehr benötigt wird, spätestens bei Ausscheiden aus der LMU.

Wenn Sie bei Zoom als Benutzer registriert sind, können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktionen in Webinaren) bis zu einem Monat bei Zoom gespeichert werden.

Verantwortlicher, zuständige Dienststelle und Support

Verantwortlicher für die Datenverarbeitung

Ludwig-Maximilians-Universität München
Geschwister-Scholl-Platz 1
80539 München

Hinweis: Soweit Sie die Internetseite von Zoom aufrufen, ist der Anbieter von Zoom für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von Zoom jedoch nur erforderlich, um sich die Software für die Nutzung von Zoom herunterzuladen.
Sie können Zoom auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der Zoom-App eingeben. Wenn Sie die Zoom-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Webseite von Zoom finden.

Zuständige Dienststelle für die Datenverarbeitung

Ludwig-Maximilians-Universität München
Dezernat VI - Informations- und Kommunikationstechnik
Geschwister-Scholl-Platz 1
80539 München
VI@verwaltung.uni-muenchen.de

Allgemeine Fragen und Support

Ludwig-Maximilians-Universität München
Dezernat VI - Informations- und Kommunikationstechnik
IT-Servicedesk
Geschwister-Scholl-Platz 1
80539 München
it-servicedesk@lmu.de

Kontaktdaten des behördlichen Datenschutzbeauftragten der LMU

Ludwig-Maximilians-Universität München
-- Behördlicher Datenschutzbeauftragter --
Geschwister-Scholl-Platz 1
80539 München
Tel.: 089-2180-2414
https://www.lmu.de/datenschutz

Information zu bestehenden Rechten

Sie haben bei Vorliegen der gesetzlichen Voraussetzungen das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Zudem haben Sie bei Vorlegen der gesetzlichen Voraussetzungen das Recht auf Löschung (Art. 17 DSGVO), Beschränkung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO).

Darüber hinaus können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO) und eine etwaig erteilte Einwilligung für die Zukunft widerrufen. Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt (Art. 7 DSGVO).

Daneben steht Ihnen gemäß Art. 77 DSGVO das Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Die für die LMU zuständige Datenschutz-Aufsichtsbehörde ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München (Website des Bayerischen Landesbeauftragte für den Datenschutz, externer Link).

Sollten Sie von Ihren Rechten Gebrauch machen wollen oder haben Sie Fragen, wenden Sie sich bitte an die zuständige Dienststelle für die Datenverarbeitung (s.o.). Diese prüft, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind und trifft dann die erforderlichen Maßnahmen.

Bitte beachten Sie auch die Datenschutzerklärung von Zoom (externer Link).