Datenschutzerklärung für den Service TUM-Conf der TUM

Für die Technische Universität München ist Datenschutz ein wichtiges Anliegen.
Wir möchten, dass Sie wissen, wann wir welche Daten speichern und wie wir sie verwenden.
Personenbezogene Daten werden für den Service TUM-Conf (tum-conf.zoom.us) nur im technisch notwendigen Umfang erhoben.
Die Datenverarbeitung unterliegt den geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) dem Bayerischen Datenschutzgesetz (BayDSG) und dem Telemediengesetz (TMG).

Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten.
Diese Informationen können jederzeit von unserer Webseite abgerufen werden.


A. Allgemeine Informationen

Name und Kontaktdaten des Verantwortlichen

Technische Universität München
Postanschrift: Arcisstr. 21, 80333 München
Telefon: 089/289-01
Telefax: 089/289-22000
poststelle(at)tum.de

Kontaktdaten des Datenschutzbeauftragten

Der/Die Datenschutzbeauftragte der Technischen Universität München
Postanschrift: Arcisstr. 21, 80333 München
Telefon: 089/289-17052
E-Mail: beauftragter(at)datenschutz.tum.de

Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Zwecke

Bezug und Nutzung der Webinar-Lösung als Hilfsmittel für die Lehre, Forschung und Verwaltung einschließlich statistischer Auswertung.

Zweck der Datenverarbeitung ist die Nutzung von Zoom als Dienst zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der TUM zur Erfüllung der Hochschulaufgaben gemäß Art. 2 BayHSchG.

Dies umfasst die Nutzung der lizenzierten Produkte und Services, Bereitstellung von Updates, Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich erlaubten Zwecken  erfolgt nicht.

Bei der Nutzung des Service TUM-Conf auf Basis von Zoom sind die Nutzungsbedingungen einzuhalten.

Es findet keine Leistungs- oder Verhaltenskontrolle statt.

Rechtsgrundlagen

Für die freiwillige Nutzung

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Für die Erfüllung von Dienstaufgaben

  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG, Art. 2 BayHSchG.

Für die Lehre

  • Art. 6 Abs. 1 lit. e DSGVO i.V.m Art. 4 BayDSG (Art. 55 Abs. 2 BayHSchG)

Für Beschäfitigte und Bedienstete

  • Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)
  • Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)
  • Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 3a Abs. 1 ArbStättV.

Für die Statistik

  • Art. 6 Abs. 1 lit. e i.V.m. Art. 4 BayDSG (Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO)

Kategorien der personenbezogenen Daten

NummerBezeichnung der Daten
1Benutzerprofil: Vorname, Nachname, Telefon (optional), E-Mail, Passwort (wenn SSO nicht verwendet wird), Profilbild (optional), Abteilung (optional)
2Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
3Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei
4IM-Chat-Protokolle
5Telefonie-Nutzungsdaten (optional): Rufnummer des Anrufers, Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts
6Rechnungs- und Beschaffungsdaten (Einsehbar nur in der Rolle Administrator)

Kategorien der betroffenen Personen

Nummer
Kategorie
Bezeichnung der Daten
1-5Nutzende
3-4In der Kommunikation erwähnte weitere Personen
6Beschaffer, Anforderer

Kategorien der Empfänger

Nummer
Kategorie

EmpfängerAnlass der OffenlegungSpeicherort
1-6Zoom Video Communications, Inc.
San Jose, USA
info@zoom.us
AuftragsverarbeitungVereinigte Staaten von Amerika und Unterauftragsverarbeiter

UnterauftragsverarbeiterSales, Success and Support, Relationship Management, Billing, InfrastructureDer Speicherort richtet sich nach dem jeweiligen Unterauftragsverarbeiter. Weitere und aktuelle Informationen werden von Zoom Video Communications unter https://zoom.us/subprocessors veröffentlicht.

Der technische Betrieb des Service TUM-Conf erfolgt durch die Zoom Video Communications, Inc. mit Sitz in San Jose, USA (kurz Zoom) und ihre Unterauftragsverarbeiter.
Die Datenschutzrichtlinien von Zoom sind unter https://zoom.us/de-de/privacy.html einsehbar.

Gegebenenfalls werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.

Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet und dort auf Grundlage der Art. 12 ff. des Bayerischen E-Government-Gesetzes (BayEGovG) verarbeitet werden.

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Nummer
Kategorie

Drittland oder internationale OrganisationGeeignete Garantien im Falle einer Übermittlung nach
Art. 49 Abs. 1 Unterabsatz 2 DSGVO
1-6Vereinigte Staaten von Amerika und Niederlassungen von Zoom

Standarddatenschutzklauseln

EU-US-PrivacyShield

Im April 2020 wurde ein gemeinsames Master Subscription Agreement (MSA) mit der Zoom Video Communications, Inc. durch die bayerische Stabsstelle IT-Recht für die Hochschulen und Universitäten unterzeichnet.
Hierdurch ergeben sich folgende rechtliche Verbesserungen gegenüber den Standard-AGBs:

  • Auftragsverarbeitung ist zweifelsfrei einbezogen, auch kirchliches Datenschutzrecht kann zur Anwendung kommen.
  • Erfüllung der Hochschulaufgaben zählt eindeutig als rechtmäßige Nutzung der Lizenz (z.B. bei Kooperationen)
  • SLA gilt nun nicht nur pro Monat sondern auch pro Jahr.
  • Kleine Verbesserungen im Gewährleistungsrecht
  • Rechtswahl: Deutsches Recht
  • Deutsche Mediation statt amerikanische Streitschlichtung im Konfliktfall
  • Vorrang der Standardvertragsklauseln und der Auftragsverarbeitung vor den anderen Vertragsbestandteilen
  • Entschärfung der Marketing-Klausel


1-6Vereinigte Staaten von Amerika, Malaysia, Kanada, Australien

Vereinigte Staaten von Amerika, Malaysia, Kanada, Australien
Die Unterauftragsverarbeiter sind vom Auftragsverarbeiter auf das selbe Datenschutz-Niveau zu verpflichten.


Seit Mai 2020 können die 'data center regions' in der Konfiguration eingeschränkt werden.
Für TUM-Conf wurde eine Einschränkung auf 'United States' (nicht ausschließbar) und 'Europe' vorgenommen.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist.

Nummer
Kategorie

Löschfrist
130 Tage nach Löschen des Accounts bzw. Vertragsende
230 Tage nach Löschbitte bzw. Vertragsende
37 Tage nach Löschung der Aufzeichnung
47 Tage nach Löschung des Chats
530 Tage nach Löschbitte bzw. Vertragsende
6Intern gemäß Haushalts- und Steuerrecht


Ihre Rechte

Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu:

Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17 und 18 DSGVO).
Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
Falls Sie in die Verarbeitung eingewilligt haben und die Verarbeitung auf dieser Einwilligung beruht, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt (Art. 21 Abs. 1 Satz 1 DSGVO).

Beschwerderecht bei der Aufsichtsbehörde

Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:
Postanschrift: Postfach 22 12 19, 80502 München
Adresse: Wagmüllerstraße 18, 80538 München
Telefon: 089 212672-0
Telefax: 089 212672-50
E-Mail: poststelle(at)datenschutz-bayern.de 
https://www.datenschutz-bayern.de/


Weitere Informationen

Für nähere Informationen zur Verarbeitung Ihrer Daten und zu Ihren Rechten können Sie uns unter den oben (zu Beginn von A.) genannten Kontaktdaten erreichen.


B. Informationen zum System

Technische Umsetzung

Cloud Service, Webdienst, lokale Client-App

SAML - Singel Sign On (SSO) - TUM-IdP - Shibboleth

Provisionierung und Mapping

Zoom-FieldMapped Value
UpdateAttribute-ValueValue-Based-MappingErfordernis
Default user type'basic'



Lizenzrechtliche Vorgabe
Email address

(urn:oid:1.3.6.1.4.1.7650.2.2.4.2601.1)

cn . '@mytum.de'





Identifikator

Zustellung servicebezogener Informationen

First nameurn:oid:2.5.4.42givenNameeach SSO login

Gegenseitige Identifikation der Kommunikationspartner
Last nameurn:oid:2.5.4.4sneach SSO login

Gegenseitige Identifikation der Kommunikationspartner
Display nameurn:oid:2.16.840.1.113730.3.1.241givenName + sneach SSO login

Gegenseitige Identifikation der Kommunikationspartner

urn:oid:1.3.6.1.4.1.5923.1.1.1.1 imAffiliation
memberUser Type: Licensed Lizenzrechtliche Vorgabe





IM-Group: TUM Member Abgrenzung des Zoom-Adressbuches



each SSO login employee Group: employee-grp Differenzierte Einschränkung der Funktionalität zum Zweck der Konformität



each SSO login student Group: student-grp Differenzierte Einschränkung der Funktionalität zum Zweck der Konformität


Weitere Angaben zur Person können individuell selbständig und freiwillig eingepflegt werden.
Hierzu gehärt auch der Upload eines Profilbildes.

Datenschutzkonforme Konfiguration des Service

Im Sinne einer datenschutzkonformen Nutzung wurden folgende Konfigurationsvorgaben eingestellt:

  • Kalender- und Kontakt-Integration [deaktiviert]
  • Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
  • Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
  • Verhindern, dass Teilnehmer den Chat speichern [aktiviert]
  • Chats automatisch speichern [deaktiviert]
  • Fernsteuerung [deaktiviert]
  • Kamerafernsteuerung [deaktiviert]
  • Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
  • Automatische Aufzeichnung [deaktiviert]
  • Nur der Host kann Cloud-Aufzeichnungen herunterladen [deaktiviert]
  • Nur berechtigte Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
  • Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
  • Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [deaktiviert]
  • Aufnahmeeinverständnis [aktiviert]
  • Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
  • Fremde Meetings anzeigen [deaktiviert]
  • Durchgehende Chatverschlüsselung aktivieren [aktiviert]
  • Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
  • Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
  • Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
  • Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
  • Unternehmenskontakte [deaktiviert]
  • EU-Move Einschränkung des Hostings auf europäische Data Center [aktiviert]
  • E2EE Ende-zu-Ende Verschlüsselung [optional]
    Die Aktivierung kann vom Host vorgenommen werden - bitte die Einschränkungen zur 'technischen Vorschau' der Option beachten!
    deutsch: https://support.zoom.us/hc/de/articles/360048660871-End-to-End-Verschl%C3%BCsselung-E2E-f%C3%BCr-Meetings
    english: https://support.zoom.us/hc/en-us/articles/360048660871-End-to-end-E2EE-encryption-for-meetings

Protokollierung

Wenn Sie diese oder andere Internetseiten aufrufen, übermitteln Sie über Ihren Internetbrowser Daten an unseren Webserver. Die folgenden Daten werden während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Internetbrowser und unserem Webserver temporär in einer Logdatei aufgezeichnet:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name, URL und übertragene Datenmenge der abgerufenen Datei
  • Zugriffsstatus (angeforderte Datei übertragen, nicht gefunden etc.)
  • Erkennungsdaten des verwendeten Browser- und Betriebssystems (sofern vom anfragenden Webbrowser übermittelt)
  • Webseite, von der aus der Zugriff erfolgte (sofern vom anfragenden Webbrowser übermittelt)

Die Verarbeitung der Daten in dieser Logdatei geschieht wie folgt:

Die Logeinträge werden kontinuierlich automatisch ausgewertet, um Angriffe auf die Webserver erkennen und entsprechend reagieren zu können.
In Einzelfällen, d.h. bei gemeldeten Störungen, Fehlern und Sicherheitsvorfällen, erfolgt eine manuelle Analyse.

Aktive Komponenten

Auf dieser Website werden aktive Komponenten wie JavaScript, Java-Applets oder Active-X-Controls verwendet.
Diese Funktion kann durch die Einstellung Ihres Internetbrowsers von Ihnen abgeschaltet werden.

Cookies

Um den Funktionsumfang unseres Internetangebotes zu erweitern und die Nutzung für Sie komfortabler zu gestalten, verwenden wir zum Teil so genannte „Cookies".
Mit Hilfe dieser Cookies können bei dem Aufruf unserer Webseite Daten auf Ihrem Rechner gespeichert werden.
Sie können das Speichern von Cookies jedoch deaktivieren oder Ihren Browser so einstellen, dass Cookies nur für die Dauer der jeweiligen Verbindung zum Internet gespeichert werden.
Hierdurch könnte allerdings der Funktionsumfang unseres Angebotes eingeschränkt werden.

Zur Verarbeitung von Cookies finden Sie weitere Hinweise unter https://zoom.us/cookie-policy (externer Link).


Zustimmungserklärung

TUM-Conf (Zoom) wird im Auftrag der TUM betrieben von Zoom Video Communications, Inc., https://zoom.us

Für die Nutzung ist es erforderlich, den Nutzungsrichtlinien von Zoom (https://zoom.us/terms, externer Link), der Datenschutzrichtlinie von Zoom (https://zoom.us/privacy, externer Link) und den Nutzungsbedingungen, Datenverwendungshinweise und Datenschutzinformationen der TUM (Nutzungsbedingungen) zuzustimmen.
Maßgebend sind die zum Zeitpunkt der Nutzung geltenden Nutzungsbedingungen.

Die Entscheidung über die Aktivierung des Benutzerkontos für Zoom ist freiwillig.
Ohne Ihre Zustimmung und ggf. Registrierung ist eine Verwendung von TUM-Conf (Zoom) nicht möglich.


Die Zoom Video Communications, Inc. ist sehr bemüht, ihre Plattform an den europäischen Datenschutz-Rahmen anzupassen.
Fortschritte in diesem Bereich übernehmen wir umgehend in unsere Konfiguration.
Die Angaben zum Datenschutz werden entsprechend laufend fortgeschrieben.

Stand: 15.05.2020


  • No labels