Datenschutz und Sicherheit bei Zoom

Zoom & DSGVO

Diese Datenschutzhinweise gelten nur für die von der Universität Ulm verwalteten Zoom-Konten. Für Zoom-Meetings, die von externen Personen organisiert werden, gelten gegebenenfalls abweichende Bedingungen. Wenden Sie sich in diesen Fällen für Datenschutzhinweise bitte an die entsprechenden Veranstalter*innen des Zoom-Meetings.

Zur Umstellung:

Die Uni Ulm stellt zum 10. März 2024 den Videokonferenz-dienst Zoom zu ZoomX powered by Telekom um. Bis zum 10. März 2024 wird Zoom über den Anbieter Connect4Video bezogen. Die Hinweise auf dieser Website beziehen sich bereits auf ZoomX powered by Telekom.

 Das Produkt Zoom X wird von der Telekom Deutschland GmbH (Telekom) gehostet. Es weist aufgrund der bei eigen gehosteten Meetings im Wesentlichen nur noch pseudonymisiert stattfindenden Datenübermittlung in die USA eine deutliche Verbesserung des Datenschutzniveaus im Vergleich zum „Standard“-Zoom Produkt auf. Zoom Video Communications, Inc. (Zoom) kann daher die an sie übertragenen Daten grundsätzlich nicht mit einzelnen Personen in Verbindung bringen. Nach der DSGVO unterliegen aber auch pseudonymisierte personenbezogene Daten dem Schutz der DSGVO. Daher wurden mit dem Ziel, Zoom möglichst datenminimierend unter weitestgehend unter Ausschluss von US-Auftragsverarbeitern zu nutzen, datenschutzfreundliche Voreinstellungen durch die Uni Ulm getroffen.


ZoomX wurde durch die Telekom und Zoom für den deutschen Markt entwickelt. Dieses kombiniert die Videokommunikationsplattform von Zoom mit dem Netz der Telekom. Es handelt sich dabei um eine Variante der Zoom Plattform, die u. a. im Rechenzentrum der Telekom gehostet wird. Die Variante Zoom X wird ausschließlich über die Telekom angeboten und ist seit Mitte 2022 auf dem Markt.

Grundsätzlich werden die Daten auf EU-Servern verarbeitet. In bestimmten Fällen kann eine Übermittlung personenbezogener und nicht pseudonymisierter Daten möglich sein, v.a. im Bereich des Supports, wobei der First- und Second-Level-Support über die Telekom laufen. Nur der Third-Level-Support, also bei Auftreten besonders anspruchsvoller Probleme oder komplexer Fragestellungen läuft über Zoom. In Ausnahmefällen kann es notwendig sein, dass auch personenbezogene Daten weitergegeben werden. Die Telekom hat daher die Standarddatenschutzklauseln der EU-Kommission als geeignete Garantie für ein angemessenes Datenschutzniveau gemäß Artikel 46 Absatz 2 lit. c) DSGVO mit Zoom abgeschlossen. Zudem wurden die Datenschutzvorkehrungen von Zoom geprüft. Weitere Informationen zur Datenverarbeitung bei Zoom finden sie unter explore.zoom.us/de/privacy/. Bitte beachten Sie, dass es sich dabei um eine externe Website handelt, die von der Zoom Video Communications, Inc. in eigener Verantwortlichkeit betrieben wird und bei dessen Besuch personenbezogene Daten verarbeitet werden.

 

 

Die Uni Ulm bezieht ZoomX über die Telekom. Zwischen der Telekom und Zoom besteht ein Unterauftragsverhältnis. Es wurde daher zwischen der Universität Ulm und der Telekom ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen.

Die Telekom hat wiederum einen AVV mit Zoom vereinbart und in diesen die Standarddatenschutzklauseln der EU-Kommission aufgenommen.

 

Aufgrund der Prinzipien der Datenminimierung und der Speicherbegrenzung werden bestimmte Einstellungen in Zoom deaktiviert.

Bitte beachten Sie, dass die endgültigen Entscheidungen über die (De)Aktivierung bestimmter Einstellungen erst Ende März/Anfang April getroffen werden können. Die jetzigen Einstellungen sind daher ggf. nur vorläufiger Natur:

  • Filetransfers, Speicherungen von Chats und Livestreams sind beispielsweise nicht möglich. Videoaufzeichnungen von Lehraufzeichnungen, die cloudbasiert vorgenommen wurden, werden innerhalb von 40 Tagen endgültig vom cloud-Server gelöscht.
  • Gäste bzw. Studierende können an einer Veranstaltung teilnehmen, ohne sich einen Zoom-Account anlegen zu müssen. Jede(r) Nutzer*in hat die Möglichkeit sich bei Bedarf einen Zoom-Account anzulegen und sich am Identity- Provider der Universität Ulm mit ihrem/seinem kiz-Account (Single-Sign-On via Shibboleth) zu authentisieren. Dies bedeutet, dass keine Vorabregistrierung beim Zoom-Service erforderlich ist.
  • •    Zugangsbeschränkungen verhindern den Zutritt von unautorisierten Benutzer*innen. Dies wird u. a. durch Vergabe von Meeting-IDs, komplexen Kennwörtern und Einrichtung von Warteräumen erreicht.
  • Ein weiteres Sicherheitsmerkmal ist, dass nur Serverstandorte in der EU verwendet werden.
  • Als eine der wichtigsten Sicherheitsvorkehrungen, wurden verschiedene Schutzbedarfskategorien entwickelt (siehe Punkt Risikoanalyse & Schutzbedarfskategorien), um die Vertraulichkeit der personenbezogenen Daten zu schützen.

 

Es werden die folgenden personenbezogenen Daten von der Universität Ulm als Verantwortliche Stelle verarbeitet:

Anwenderdaten (Vorname, Nachname, Statusgruppe (Studierender, Beschäftigter), Telefon (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional), Telefonnummer und Aufenthaltsland bei Telefoneinwahl, optionale Profilangaben, Spracheinstellungen, ungefähre geographische Lage)

Es werden die folgenden personenbezogenen Daten vom Auftragsverarbeiter (Telekom) verarbeitet:

Datenkategorien

Unterkategorie

Datenfelder

Verarbeitungsort

Inhaltsdaten

Inhalt von Sitzungen und Webinaren

    • Video, Audio, Whiteboard, Untertitel und Präsentationen
    • Fragen und Antworten während der Sitzung, Umfragen und Informationen zu Umfragen
    • Live-Übersetzungen / Untertitelung

DE

 

Chat-Nachrichten

    • 1:1-Nachrichten in Besprechungen und Gruppenchats, die nicht in einen permanenten Chat-Kanal übertragen werden ("in-Conference Chats“)

DE

 

Cloud-
Aufzeichnungen (Achtung: nur unter engen Voraussetzungen zulässig, siehe Punkt „Aufzeichnung“)

    • Aufzeichnung von Video, Audio, Whiteboard, Untertiteln und Präsentationen
    • Textdatei der Audiotranskription
    • Fragen und Antworten während der Sitzung, Umfragen und Informationen zu Umfragen
    • Abschriften für Untertitel

DE

 

Informationen für Meeting- und
Webinar-Teilnehmer

    • Name und Kontaktdaten des registrierten Teilnehmers und ggf. Daten des Kunden

in Verbindung mit der Registrierung erhebt, z. B. eine E-Mail-Adresse

    • Status des Teilnehmers (als Gastgeber, als Teilnehmer an
      einem Chat oder als Teilnehmer)
    • Raumnamen (falls verwendet)
    • Benutzerkategorien (falls verwendet)
    • Datenfelder, wie Abteilung oder Gruppe (falls verwendet)
    • Geplante Zeit für ein Treffen
    • Themenbezogene Namen

DE

 

Gespeicherte Chat-Informationen (permanenter Chat)

    • Chat-Nachrichten
    • Titel des Chat-Kanals
    • Whiteboard-Anmerkungen

DE

Diagnostische
Daten

Meeting-Metadaten

    • Ereignisprotokolle (einschließlich durchgeführter Aktion,
      Ereignistyp und -untertyp, Ort des In-App-Ereignisses,
      Zeitstempel, Client-UUID),
    • userID und Besprechungs-ID
    • Informationen über Besprechungssitzungen, einschließlich Häufigkeit, durchschnittliche und tatsächliche Dauer, Quantität, Qualität, Netzwerkaktivität und Netzwerkkonnektivität
    • Anzahl der Sitzungen
    • Anzahl der Sitzungen mit und ohne Bildschirmfreigabe
    • Anzahl der Teilnehmer
    • Informationen zum Gastgeber der Veranstaltung
    • Hostname
    • URL des Veranstaltungsorts
    • Beginn/Ende der Sitzung
    • Join-Methode
    • Informationen zu Leistung, Fehlersuche und Diagnose

DE

 

    • Telemetrie-Daten
    • Zeit der Veranstaltung
    • Client - Typ (Applikation)
    • Ort der Veranstaltung
    • Veranstaltung
    • Unterereignis
    • UUID
    • Client-Version
    • Benutzer-ID
    • Client-Betriebssystem
    • Besprechungs-ID

 

DE

Kontodaten
(Endnutzer)

 

    • Zoom-Benutzer-ID
    • Anmeldung bei sozialen Medien (optional)
    • Profilbild (optional)
    • Anzeigename
    • Kundenauthentifizierungsdaten

(sofern nicht Single Sign On ("SSO") verwendet wird)

DE, ggf. USA

Supportdaten

 

    • Tier 1 + 2: Support erfolgt durch den Auftragsverarbeiter
    • Im Falle von Tier 3 erfolgt der Support durch den Unterauftragsverarbeiter. Das Support-Ticket kann personenbezogene Daten enthalten.

DE

 

 

DE / Weltweit

 

 

Die Verarbeitung Ihrer oben genannten personenbezogenen Daten dient dazu, Ihnen Zoom bzw. Zoom X als Tool für die Durchführung von Video-Konferenzen, Online-Meetings und Webinaren für die Lehre, Forschung und Verwaltung zur Verfügung stellen zu können und die genannten Formate über Zoom X abwickeln zu können.


Datenverarbeitung von Beschäftigten an der Universität Ulm:

Für die Verarbeitung personenbezogener Daten von Beschäftigten an der Universität Ulm bei der Nutzung von Zoom zur Durchführung des Beschäftigungsverhältnisses sowie organisatorischer und personeller Maßnahmen ist Art. 6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e) DSGVO, Art. 88 DSGVO i.V.m §§ 12 LHG-BW, 15 LDSG-BW die Rechtsgrundlage, da die Datenverarbeitung für die Durchführung des Dienstverhältnisses erforderlich ist.

Datenverarbeitung von Bewerber*innen:

Für Bewerber*innen ist eine Einwilligung der betroffenen Person gemäß Art. 6 lit. a) DSGVO unter Angebot einer alternativen Kommunikationslösung die Rechtsgrundlage.

Datenverarbeitung i.R.d Lehrveranstaltung und online Prüfung:

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Lehrveranstaltungen ist die gesetzliche Rechtsgrundlage gem. Art.6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 12 der Satzung über die Verarbeitung von personenbezogenen Daten durch die Universität Ulm im Rahmen ihrer hochschulspezifischen Aufgabenerfüllung (§ 12 Absatz 3 Landeshochschulgesetz) einschlägig.

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Onlineprüfungen sind Art. 6 Abs. 1 lit. a) DSGVO, Art. 6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e), Abs. 3 lit. b), 88 DSGVO i.V.m §§ 12 LHG, 32 a und § 32 b LHG BW i.V.m. § 16 der Allgemeinen Studien- und Prüfungsordnung für die Bachelor- und Masterstudiengänge an der Universität Ulm (Rahmenordnung - ASPO) vom 13.07.2022.

Datenverarbeitung von Teilnehmer*innen im Rahmen von Forschungsprojekten und Studien:

Für die Verarbeitung personenbezogener Daten bei Forschungsprojekten und Studien ist für die Nutzung von Zoom die Einwilligung der Teilnehmer*innen gemäß Art. 6 Abs. 1 lit. a) DSGVO erforderlich.

Datenverarbeitung von externen Teilnehmer*innen:

Für die Verarbeitung personenbezogener Daten bei der Durchführung einer Video- und/oder Audiokonferenz mit externen Teilnehmer(n)*innen im Verantwortungsbereich der Universität Ulm ist in aller Regel die Rechtsgrundlage die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO, ggf. auch das Bestehen eines Vertragsverhältnisses gem. Art. 6 Abs.1 lit. b) DSGVO. Davon abweichend kann sich die Rechtsgrundlage aus dem jeweiligen Anlass der Teilnahme ergeben.

Besondere Kategorien von personenbezogenen Daten:

Zur Durchführung von Videokonferenzen mit Zoom für die oben genannten Zwecke - interne Kommunikation, Lehre, Webinare und Meetings - ist die Verarbeitung von sensiblen Daten im Sinne von Art. 9 DSGVO sowie von Daten mit hohem und auch sehr hohem Schutzbedarf grundsätzlich nicht zulässig, es sei denn, der/die verantwortliche Meeting-Gastgeber*in ergreift gesonderte Schutzmaßnahmen, um den Schutzbedarf dieser Daten gesondert Rechnung zu tragen. Vor Beginn jeder Videokonferenz ist daher stets zu prüfen, welchen Schutzbedarf die verarbeiteten Daten haben und welche Verhaltensregeln hierbei zu beachten sind. Die unterschiedlichen Schutzbedarfskategorien und empfohlenen Schutzmaßnahmen sind auf dieser Website unten verfügbar.

 

Die personenbezogenen Daten werden nur so lange gespeichert, wie für die festgelegten und legitimen Zwecke erforderlich. Eine Weiterverarbeitung, die nicht mit diesen Zwecken vereinbar ist, findet nicht statt.

Die Löschung von Namen und Kontaktdaten des registrierten Teilnehmers erfolgt mit Kontolöschung (oder beauftragter Kontolöschung) durch die betroffene Person.

Wenn Sie mit einem Zoom-Account angemeldet sind, können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bei der Telekom bzw. bei Zoom gespeichert werden. Die Löschung der Daten aus der Erbringung der Telekommunikation erfolgt in Verantwortung der Telekom bzw. von Zoom.

Kommunikationsinhalte werden nicht über die Kommunikation hinaus gespeichert. Im Falle einer Aufzeichnung in der Zoom-Cloud (Videoaufzeichnung oder Speicherung von Untertiteln), ist vorgesehen, dass die Daten dort nach 10 Tagen in den Papierkorb geschoben und nach weiteren 30 Tagen endgültig gelöscht werden. Die Löschung lokaler Aufzeichnungen bzw. die Löschung von Aufzeichnungen, die in der cloud vorgenommen wurden und anschließend vom Host in dessen Ordner auf dem Uniserver verschoben wurden, werden manuell gelöscht, wenn die Speicherung der Aufzeichnung für die legitimen Zwecke, für die sie erfolgt ist, nicht mehr notwendig ist.

 

Eine vorherige und gesonderte Löschung der Daten erfolgt nur nach Aufforderung der betroffenen Person, sein Nutzerkonto an der Universität Ulm zu löschen. In diesem Fall, werden sämtliche bei der Universität Ulm gespeicherten Daten gelöscht.

Im Falle einer Aufzeichnung werden die Daten auf dem jeweiligen Endgerät des Gastgebers, sowie auf den für die Bereitstellung der Aufzeichnung eingesetzten Servern der Universität Ulm nach spätestens Ende des jeweiligen Semesters gelöscht. Sofern keine Daten Dritter betroffen sind, kann die/der Lehrende eine Verlängerung der Speicherdauer beantragen.

Empfänger*innen innerhalb der Uni Ulm:

Im Rahmen der Anmeldung bei Zoom werden Ihre Daten durch das Kommunikations- und Informationszentrum (kiz) der Universität Ulm verwendet. Innerhalb der Universität haben nur diejenigen Personen Zugriff auf Ihre Daten, die diese für einen ordnungsgemäßen Ablauf der Videokonferenz inkl. deren Bereitstellung benötigen.

Empfänger*innen außerhalb der Uni Ulm:

•    Telekom Deutschland GmbH
•    Zoom Video Communications, Inc.
•    Subprozessoren von Zoom: explore.zoom.us/de/subprocessors/ Bitte beachten Sie, dass es sich dabei um eine externe Website handelt, die von der Zoom Video Communications, Inc. in eigener Verantwortlichkeit betrieben wird und bei dessen Besuch personenbezogene Daten verarbeitet werden.

 

 

Ansprechpartner

Team-Datenschutz

datenschutz@uni-ulm.de

Aktuelle Infos

05.03.2024

Die Uni Ulm stellt zum 10. März 2024 den Videokonferenzdienst Zoom (Anbieter Connect4Video) zu ZoomX powered by Telekom um. Die Hinweise auf dieser Website wurden bereits aktualisiert. 

01.06.2021

Handout Lokale Aufzeichnung V.1.0.pdf

Nachtrag 05.03.2024: Das Handout wurde noch nicht auf die Möglichkeit der cloud-Aufzeichnung aktualisiert.

30.04.2021

Risikoanalyse inkl. Checkliste V.1.1.pdf

Risikoanalyse & Schutzbedarfskategorien

Um die Vertraulichkeit Ihrer (personenbezogenen) Daten hinreichend zu gewährleisten, wurden verschiedene Schutzbedarfskategorien (normal, hoch, sehr hoch) entwickelt, die von jedem Gastgeber eines Meetings zwingend umgesetzt werden müssen.

Die Schutzbedarfskategorien sind für die gesamte Universität Ulm verbindlich.

Der verantwortliche Gastgeber eines Meetings muss eine kurze Risikoanalyse für sein geplantes Meeting durchführen. Dabei bewertet er den Schutzbedarf der Meeting-Inhalte nach folgenden beiden Kriterien:

  • Art der (personenbezogenen) Daten,
     
  • Auswirkung bzw. Schaden eines unautorisierten Zugriffs durch Dritte

und kategorisiert anschließend sein Meeting gemäß den festgelegten drei Schutzbedarfskategorien (siehe Grafik).


Die Einhaltung und Umsetzung der drei dargestellten Schutzbedarfskategorien durch den verantwortlichen Gastgeber sind zwingend erforderlich zum Schutze der (personenbezogenen) Daten des Meetings und der teilnehmenden User! Alle Schutzbedarfskategorien haben ihre Daseinsberechtigung und sind für unterschiedliche Inhalte entwickelt wurden. Es gilt dennoch, je höher die Schutzbedarfskategorie durch den Gastgeber gewählt wird, desto höher ist die Vertraulichkeit und damit der Schutz der (personenbezogenen) Daten.

Warum Schutzbedarfskategorien?

Unkritische (personenbezogenen) Daten

Mögliche Beispiele: Videokonferenzen, die der Lehre und Wissenschaft dienen (z. B. Vorlesungen und Übungen, wissenschaftliche Vorträge und Konferenzen), Meetings ohne kritische Inhalte

Einstellungen: In Bezug auf Sicherheit sind die Voreinstellungen i.d.R. ausreichend. Anpassungen sind sinnvoll je nach Größe und Art des Meetings.

Sensible (personenbezogenen) Daten

Mögliche Beispiele: Team-Meetings mit sensiblen Inhalten, betriebsinterne Themen, ggf. Senat (themenabhängig)

Einstellungen: Moderator eröffnet Meeting, Kenncodepflicht (mind. 8 Zeichen), Warteraum für alle User, Audio: Nur Computeraudio, Teilnehmervideo zu Beginn AN, ggf. Chat AN (speichern durch Teilnehmer AUS), ggf. Umfragen AN, Gastteilnehmer identifizieren.

Sehr sensible (personenbezogenen) Daten

Mögliche Beispiele: Personalratssitzungen, Personalgespräche, Senat (themenabh.), Präsidiumssitzungen (themenabhg.), kritische Studien, kritische (geheimhaltungspflichtige) Forschungsgespräche, Meetings mit personenbezogenen Daten nach Art. 9 DSGVO (wie u. a. Gesundheitsdaten, politische Meinungen, rassische und ethnische Herkunft, biometrische/genetische Daten)

Einstellungen: Durchgehende Ende-zu-Ende-Verschlüsselung AN, Kenncodepflicht (mind. 8 Zeichen), ggf. virtueller Hintergrund an.

Vorlesungen = NORMAL


Übungen = NORMAL


Wissentschaftlicher Vortrag = NORMAL


Meeting ohne kritischen Inhalt = NORMAL


Team-Meeting mit sensiblen Inhalt = HOCH


Senat-Meetings  = HOCH/SEHR HOCH


Personalratsitzungen = SEHR HOCH


Präsidiumssitzungen = SEHR HOCH


Kritische Studien = SEHR HOCH


Geheimhaltungspfliche Forschungsprojekte = SEHR HOCH


Meeting nach Art. 9 DSGVO = SEHR HOCH

Ein einzelnes Meeting hat verschiedene Eigenschaften, die teils vom System vorgegeben, teils aber auch vom verantwortlichen Gastgeber beim Ansetzen eines Meetings konfigurierbar sind.

Es obliegt dem verantwortlichen Gastgeber, gemäß dem Schutzbedarf der Meetinginhalte die erforderliche Schutzbedarfskategorie zu wählen und dann entsprechend beim Ansetzen seines Meetings auch umzusetzen. Dabei kann er sich entsprechende Meeting-Vorlagen anlegen und diese später immer wieder verwenden. Das folgende Schaubild hilft bei der konkreten Umsetzung des gewünschten Schutzbedarfs.

Bei manchen Features wird deren Einstellung durch den angestrebten Schutzbedarf festgelegt. Das gilt z.B. für Ende-zu-Ende Verschlüsselung (E2EE = end to end encryption). Bei anderen hängt die geeignete Einstellung von der Art der Veranstaltung und von deren Größe ab.

Die sicherheitsrelevanten Einstellungen machen sie auf ihrer Persönlichen Zoom Homepage, die sie über das Zoom Portal der Uni Ulm erreichen.

Weitere Sicherheitsfeatures

Die folgenden Sicherheitseinstellungen sind während eines Meetings in der Desktop-App über den Button "Sicherheit" der Meeting-Steuerung verfügbar:

  • Meeting sperren: Sperrt das Meeting, wodurch neue Teilnehmer am Beitreten gehindert werden. Sie machen im Besprechungsraum "die Tür hinter sich zu".
  • Warteraum aktivieren: Aktiviert einen Warteraum für neu hinzukommende Teilnehmer oder verlegt aktuelle Teilnehmer in den Warteraum. Dies erlaubt dem Gastgeber, den Beitritt zu seinem kleineren Meeting gezielt zu kontrollieren. Bei großen Vorlesungen nicht praktikabel. Weiterführende Links:
  • Zulassen, dass Teilnehmer:
    • Bildschirm freigeben: Erlaubt, dass Teilnehmer die Bildschirmfreigabe starten.
    • Chatten: Erlaubt, dass Teilnehmer die Chat-Funktion nutzen.
    • Sich umbenennen: Erlaubt, dass Teilnehmer sich im Teilnehmerbereich umbenennen.
    • Anmerkungen zu freigegebenen Inhalten machen: Hiermit können Teilnehmer während des Meetings Anmerkungen auf Bildschirmfreigaben machen. Hosts können die Funktion Anmerkungen aktivieren oder deaktivieren, wenn sie selbst Inhalte freigeben. 
  • Teilnehmer entfernen: Erlaubt, dass ein Teilnehmer aus einem Meeting entfernt wird. Der Teilnehmer kann nicht erneut beitreten, es sei denn die Option Entfernten Teilnehmern die erneute Teilnahme erlauben ist in den Meeting-Einstellungen aktiviert.
  • Als "Notbremse": Alle Aktivitäten der Teilnehmer sperren

Nützlich ist es dazu, wenn alle Teilnehmer einen bezeichnenden Namen und auch ihre Kamera eingeschaltet haben.

Die Ende-zu-Ende-Verschlüsselung SOLLTE bei allen Schutzbedarfskategorien aktiviert werden, da dadurch sämtliche Inhalte von einem Client zum Anderen und zurück komplett verschlüsselt werden. Es können keine Dritte auf die Inhalte zugreifen. Nachteile sind, das einige Features nicht mehr funktionieren und nur der Zoom-Client verwendet werden kann. Bei der Schutzbedarfskategorie SEHR HOCH, MUSS die Ende-zu-Ende-Verschlüsselung aktiviert werden.

Weitere Informationen zur Sicherheit:

support.zoom.us/hc/de/articles/360041848151

Aufzeichnung und Speicherung von Untertiteln

Die Aufzeichnung von Lehrveranstaltungen mit Zoom soll Studierenden, die technische Probleme bei der Teilnahme an Live-Veranstaltungen haben, die Möglichkeit geben, das Lehrangebot auf diesem Wege wahrzunehmen.

Zudem wird den Studierenden auch die Gelegenheit gegeben, den Vorlesungsinhalt besser nacharbeiten zu können.

Die aufgezeichnete Lehrveranstaltung wird anschließend mittels Moodle dem entsprechenden Personenkreis temporär zugänglich gemacht.

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Daher hat die Universität Ulm Maßnahmen ergriffen, um die Datenverarbeitung während der Aufzeichnung von Lehrveranstaltungen den gesetzlichen Vorgaben entsprechend, sicher zu gestalten.

Die Aufzeichnung von Lehrveranstaltungen ist den Lehrenden nur unter Einhaltung strenger Voraussetzungen gestattet. Aufgezeichnet werden darf nur, wenn die vollständige Anonymisierung der Teilnehmer*innen gewährleistet ist. Vor Beginn der Aufzeichnung muss die oder der Lehrende jegliche Einstellungen, die einen Rückschluss auf die Teilnehmer/-innen führen, deaktivieren. Darunter fallen neben der Videoaufnahme auch der Name und die Chatbeiträge.

Zu beachten ist, dass auch eine Speicherung von zur Barrierefreiheit oder zu Übersetzungszwecken generierten Untertitel durch die entsprechenden Zoom-Funktionen als Textdatei (CC.VTT) nur unter den Voraussetzungen zulässig ist, unter denen eine Videoaufzeichnung zulässig wäre. Auch hier müssen alle personenbezogenen Daten von Teilnehmer*innen anonymisiert werden. Die Speicherung einer Untertitelung des gesprochenen Worts von Teilnehmer*innen ist grundsätzlich zu unterlassen oder im Nachhinein unkenntlich zu machen.

Nähere Angaben zur Funktion finden Sie in dem entsprechenden Handout zur Aufzeichnung von Lehrveranstaltungen. Bitte beachten Sie, dass dieses Handout noch nicht aktualisiert wurde und daher nur die ausschließlich lokale Videoaufzeichnung behandelt. Die in diesem Handout enthaltenen Grundsätze sind jedoch auf die Chatspeicherung und die cloud-Aufzeichnung entsprechend anzuwenden.

 

- Der Ordner für die Speicherung der lokalen Aufzeichnung muss vorab über den Zoom-Client festgelegt werden. Dieser darf nur lokal auf dem jeweiligen Endgerät liegen (aus technischen Gründen).

- Es darf als Speicherort kein Dritt-Cloudanbieter, wie Dropbox oder Google Drive verwendet werden. Zusätzlich ist eine Verbreitung über soziale Netzwerke/Medien untersagt.

- Temporäre Aufzeichnungsdateien sind zu löschen

-Im Falle von Cloud-Aufzeichnungen, sind diese unverzüglich auf den lokalen Speicherort zu verschieben und von der Cloud zu löschen. Die Aufzeichnungen werden voraussichtlich automatisch binnen 10 Tagen in den Papierkorb der Cloud verschoben und nach weiteren 30 Tagen endgültig gelöscht. 

- Das Endgerät, auf dem die Aufzeichnung gespeichert wird muss sicher sein, dies bedeutet:

  • Das Endgerät muss durch ein sicheres Passwort (mind. 12 Zeichen mit Komplexität) gesichert sein
  • Aktuelle Patches für u. a. das Betriebssystem und für die Software Zoom müssen eingespielt werden
  • Ein aktuelle Virenscanner muss installiert sein und sollten in regelmäßigen Abständen das System überprüfen
  • Die Aufzeichnungsdaten sind ggf. zu verschlüsseln, z. B. mit den Tools 7-zip bzw. Cryptomator lokal oder wenn diese via CloudStore geteilt werden sollen
  • Bei der Löschung der Aufzeichnung muss diese nicht wiederherstellbar gelöscht werden

 

Diese Anwendungshinweise gelten sinngemäß für das Speichern von Untertiteln. Diese Anwendungshinweise gelten sinngemäß für das Speichern von Untertiteln.

Was sind meine Rechte?

Zum Schutz Ihrer personenbezogenen Daten stehen Ihnen folgende Rechte zu:

Das Recht, jederzeit Ihre Einwilligung zu widerrufen: wenn die Verarbeitung auf Artikel 6 Abs. 1 lit. a) DSGVO beruht (siehe „Welche sind die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten?“) besteht das Recht, die Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird von dem Widerruf nicht berührt.

Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten (Art. 15 DSGVO),

unrichtige Daten berichtigen zu lassen (Art. 16 DSGVO),

unter bestimmten Voraussetzungen die Löschung oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 17, 18 DSGVO),

Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen (Art. 21 DSGVO),

Ihre Daten an andere von Ihnen bestimmte Stellen übertragen zu lassen (Art. 20 DSGVO). Dazu ist eine gesonderte Einwilligung erforderlich.

Sie haben zudem das Recht, sich an die zuständige Aufsichtsbehörde für den Datenschutz zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg.