Informationen zur Datenverarbeitung im Rahmen von Online-Veranstaltungen über die Plattform „Zoom“
Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Zoom“ §§ 15, 16 des Gesetzes über den Kirchlichen Datenschutz (KDG) informieren. Wir nutzen das Tool „Zoom“, um Videokonferenzen und Webinare durchzuführen (nachfolgend: „Online-Meetings“).
Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher für Datenverarbeitung ist der
St. Josefs-Hospital Wiesbaden GmbH
Beethovenstraße 20
65189 Wiesbaden
Tel.: +49 (0)611 1 77 - 0
Fax: +49 (0)611 1 77 - 11 85
Internet: www.joho.de
E-Mail: info(at)joho.de
Bei Fragen zur Datenverarbeitung wenden Sie sich an unseren betrieblichen
Datenschutzbeauftragten, den Sie unter folgenden Kontaktdaten erreichen können:
David Große Dütting, SANOVIS GmbH
Riedenburger Straße 7, 81677 München, Tel: 0251/92208-238
E-Mail: david.grosse-duetting(at)curacon.de
Website: https://www.curacon.de/
Zwecke der Verarbeitung
Wir verwenden „Zoom“, um Online-Meetings, Online-Veranstaltungen und Bewerbergespräche durchzuführen. Sollten wir Online-Meetings aufzeichnen wollen, werden wir Ihnen das im Vorweg transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „Zoom“-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte und des Fragen- und Antworten-Bereichs protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Wenn Sie bei „Zoom“ als Benutzer registriert sind, dann können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei „Zoom“
gespeichert werden.
Die in „Online-Meeting“-Tools wie “Zoom” bestehende Möglichkeit einer softwareseitigen „Aufmerksamkeitsüberwachung“ („Aufmerksamkeitstracking“) ist deaktiviert.
Welche Daten werden verarbeitet?
Bei der Nutzung von „Zoom“ werden verschiedene Datenarten verarbeitet. Der
Umfang der Daten hängt dabei auch davon ab, welche Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind regelhaft Gegenstand der Verarbeitung:
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional),
Unternehmen (optional), Abteilung (optional), Funktion (optional), EFN-Nr. (optional)
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen,
Geräte-/Hardware-Informationen
Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts
verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Zoom“-Applikationen abschalten bzw. stummstellen.
Um an einem „Online-Meeting“ teilzunehmen, müssen Sie zumindest Angaben zu
Ihrem Namen machen, um den „Meeting-Raum“ zu betreten. Je nach Veranstaltungsart können auch weitere Informationen wie E-Mail-Adresse, Wohnort und PLZ
erforderlich sein.
Rechtsgrundlagen der Datenverarbeitung
Für Teilnehmende an unseren „Online-Meetings“ ist – soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden – § 6 Abs. 1 lit. c) KDG die Rechtsgrundlage der Datenverarbeitung. Bei Bewerbungsgesprächen ist die Rechtsgrundlage eine vorvertragliche Maßnahmen nach § 6 Abs. 1 lit. c) KDG i.V.m. § 53 KDG.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Ihre
Einwilligung nach § 6 Abs. 1 lit. b) KDG bzw. im Zuge der Verarbeitung besonderer Datenkategorien § 11 Abs. 2 lit. a) KDG. Um eine mögliche Übermittlung von Daten in die USA zu legitimieren, stützen wir uns auf die informierte Einwilligung der
Betroffenen nach § 41 Abs. 1. KDG.
Sollten im Zusammenhang mit der Nutzung von „Zoom“ Daten nicht für die
Datenverarbeitung erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Zoom“ sein, so ist § 6 Abs. 1 lit. g) KDG die Rechtsgrundlage für die
Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven
Durchführung von „Online-Meetings“.
Empfänger/Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Klienten, Interessenten oder Dritten zu kommunizieren und damit zur Wei-tergabe bestimmt sind.
Datenverarbeitung außerhalb der Europäischen Union
„Zoom“ ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Eine
Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Wir haben mit dem Dienstleister über welchen wird die Meeting-Plattform „Zoom“
beziehen, einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von § 29 KDG entspricht.
Wir weisen Sie daraufhin, dass aktuell kein Angemessenheitsbeschluss der
EU-Kommission i.S.d. § 40 Abs. 1 KDG besteht. Das bedeutet, dass die
EU-Kommission bislang nicht positiv festgestellt hat, dass das landesspezifische
Datenschutzniveau der USA dem der Europäischen Union aufgrund der
Datenschutzgrundverordnung entspricht.
Das KDG setzt für eine Datenübermittlung in ein Drittland oder an internationale
Organisationen, sog. geeignete Garantien voraus, § 40 Abs. 2 KDG. So sind beispielsweise unternehmensinterne, von einer Aufsichtsbehörde genehmigte
Datenschutzvorschriften, Standardverträge der EU aktuell von dem Subunternehmen nicht umgesetzt. Mögliche Risiken, die sich im Zusammenhang mit den vorgenannten aktuell nicht ausschließen lassen, sind insbesondere:
- Ihre personenbezogenen Daten könnten möglicherweise über den eigentlichen Zweck der Auftragserfüllung hinaus durch die Anbieter an andere Dritte
weitergegeben werden, die z. B. Ihre Daten zu Werbezwecken verwenden. - Sie können Ihre Auskunftsrechte gegenüber den Anbietern möglicherweise nicht nachhaltig geltend machen bzw. durchsetzen.
- Es besteht möglicherweise eine höhere Wahrscheinlichkeit, dass es zu einer nicht korrekten Datenverarbeitung kommen kann, da die technischen und
organisatorischen Maßnahmen der Anbieter zum Schutze personenbezogener Daten quantitativ und qualitativ nicht vollumfänglich den Anforderungen des KDG entsprechen.
Sie erklären sich daher nach § 41 Abs. 1 KDG einverstanden, dass wir die Daten an den Anbieter der Meeting-Plattform Zoom übermitteln dürfen.
Dauer der Speicherung der personenbezogenen Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn keine Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen,
Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von ge-setzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Ihre Rechte als Betroffene/r
Sie haben das Recht auf Auskunft (§ 17 KDG) über die Sie betreffenden
personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns
wenden.
Ferner haben Sie ein Recht auf Berichtigung (§ 18 KDG), Löschung (§ 19 KDG) oder auf Einschränkung (§ 20 KDG) der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Ein Recht auf Datenübertragbarkeit (§ 22 KDG) besteht ebenfalls im Rahmen der
datenschutzrechtlichen Vorgaben.
Schließlich haben Sie ein Widerspruchsrecht (§ 23 KDG) gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Die Wahrnehmung des Widerspruchsrecht kann jedoch unmittelbare Auswirkungen auf die Art und Weise, in der Sie Ihre Tätigkeit durchführen, und kann auch die Beendigung des Dienstverhältnisses bedeuten.
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde (§ 48 KDG) für den Datenschutz zu beschweren. Die
Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen:
Katholisches Datenschutzzentrum Frankfurt/M. KdöR
Roßmarkt 23
D-60311 Frankfurt/M.
Tel: 069 – 589 9755 10
Fax: 069 – 589 9755 11
E-Mail: info@kdsz-ffm.de