Datenschutzhinweise für Online-Meetings und Online-Seminare via „Zoom“, BigBlueButton und Moodle der ProfeS GmbH
Für die Durchführung von Online-Meetings sowie Online-Seminaren nutzen wir die Videokonferenzanbieter Zoom Video Communications, Inc. oder Big Blue Button. Als Online-Lernplattform (LMS) dient Moodle.
1. Nutzung von Zoom
Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Zoom“ informieren.
Zweck der Verarbeitung
Wir nutzen das Tool „Zoom“, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Videoseminare durchzuführen (nachfolgend: „Online-Meetings“). „Zoom“ ist ein Service der Zoom Video Communications, Inc., die ihren Sitz in den USA hat.
Verantwortlicher
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von „Online-Meetings“ steht, ist die ProfeS GmbH.
Hinweis:
Soweit Sie die Internetseite von „Zoom“ aufrufen, ist der Anbieter von „Zoom“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Zoom“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Zoom“ herunterzuladen.
Sie können „Zoom“ auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der „Zoom“-App eingeben.
Wenn Sie die „Zoom“-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von „Zoom“ finden.
Welche Daten werden verarbeitet?
Bei der Nutzung von „Zoom“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional),
Abteilung (optional)
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
Die Aufzeichnungsfunktion ist zentral deaktiviert für Online-Seminare.
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Zoom“-Applikationen abschalten bzw. stummstellen.
Um an einem „Online-Meeting“ teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.
Umfang der Verarbeitung
Wir verwenden „Zoom“, um „Online-Meetings“ durchzuführen.
Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „Zoom“-App angezeigt.
Wenn wir zur abrechnungskonformen Dokumentation gegenüber Auftraggebern „Online-Meetings“ in Form von Screenshots oder Protokollen mit Namen und ggf. Kamerabild dokumentieren, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.
Im Falle von Webinaren können wir für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-Teilnehmenden verarbeiten.
Wenn Sie bei „Zoom“ als Benutzer registriert sind, dann können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei „Zoom“ gespeichert werden.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
Rechtsgrundlagen der Datenverarbeitung
Soweit personenbezogene Daten von Beschäftigten der ProfeS GmbH verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „Zoom“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Zoom“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Der Anbieter von „Zoom“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit „Zoom“ vorgesehen ist.
Datenverarbeitung außerhalb der Europäischen Union
„Zoom“ ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Wir haben mit dem Anbieter von „Zoom“ einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht.
Ein angemessenes Datenschutzniveau ist zum einen durch den Abschluss der sog. EU-Standardvertragsklauseln garantiert. Als ergänzende Schutzmaßnahmen haben wir ferner unsere Zoom-Konfiguration so vorgenommen, dass für die Durchführung von „Online-Meetings“ nur Rechenzentren in der EU, dem EWR genutzt werden.
2. Nutzung von BigBlueButton
Big Blue Button ist eine Open Source Software um Videokonferenzen durchzuführen. Im Rahmen unserer Online-Seminare nutzen wir BigBlueButton. Die Software selbst wird auf Servern in Deutschland bei unserem Dienstleister DM Solutions GmbH, Friedrichstr. 50A, 63450 Hanau gehostet. Um an einem BBB-Meeting teilzunehmen ist keine spezielle Software notwendig, der Zugang erfolgt über einen Internetbrowser. Mit Ihrer Anmeldung stimmen Sie der Nutzung der personenbezogenen Daten zu. Erhoben werden die Nutzerdaten sowie die Verlaufsdaten bei Aufzeichnung.
Zweck der Datenverarbeitung
Die ProfeS GmbH nutzt den Webkonferenzdienst BigBlueButton (BBB) für die Durchführung von Online-Seminaren im in der Weiterbildung und interne Kommunikations-Prozesse.
Kategorien von Daten und Datensicherheit
Die Datenverarbeitung erfolgt in zertifizierten Rechenzentren. Sämtliche für den Betrieb eingesetzte Server und Komponenten befinden sich in Deutschland (Geltungsbereich DSGVO).
Die Datenverarbeitung und Bereitstellung erfolgt über die nachfolgend aufgezeigten Anwendungen:
Greenlight
In Greenlight werden ausschließlich nachfolgend aufgelistete Daten verarbeitet und dauerhaft gespeichert:
• Nutzername
• Nachname
• Vorname
• Email-Adresse
• Meeting-Räume, sofern nicht manuell gelöscht
• Anzahl der Meetings innerhalb dieser Meeting-Räume
• Zeitpunkt des letzten Meetings innerhalb des Meeting-Raumes sowie
• die Präsentation, sofern vorab zu einem Meeting-Raum hinzugefügt
Die Speicherung der Daten erfolgt ausschließlich für Nutzer-Accounts, die Meeting-Räume erstellen und Meetings starten.
Bigbluebutton
Innerhalb des Videokonferenz-Systems werden zur Laufzeit eines Meetings nachfolgend gelistete personenbezogene Daten verarbeitet:
• Nachname
• Vorname
• bei externen Usern: der selbst vergebene Nutzername
• Videostream bei eingeschalteter Kamera
• Audiostream bei eingeschaltetem Mikrofon
• Chat-Eingaben
• der Chat-Satus (Handheben, Like etc.) sowie
• Annotationen
Die Aufzeichnungs-Funktion ist grundsätzlich deaktiviert.
Die benannten Daten verbleiben nur so lange auf einem BBB-Server, wie sie zur Durchführung bzw. Dokumentation eines Meetings benötigt werden.
Rechtsgrundlagen der Datenverarbeitung
Soweit personenbezogene Daten von Beschäftigten der ProfeS GmbH verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „BBB“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „BBB“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.
Empfängerkategorien
Die für die Durchführung der Online-Veranstaltung erforderlichen Daten werden in den lokalen Systemen der ProfeS GmbH und wie oben dargelegt verarbeitet. Zugang zu diesen Daten erhalten die Teilnehmenden sowie gegebenenfalls mit der technischen Betreuung der Systeme betraute Mitarbeitende im jeweils erforderlichen Umfang. Weitere Empfänger existieren für den Fall, dass wir gesetzlich zu einer Weitergabe verpflichtet sind.
Die Datenverarbeitung in BBB erfolgt in zertifizierten Rechenzentren. Sämtliche für den Betrieb eingesetzte Server und Komponenten befinden sich in Deutschland (Geltungsbereich DSGVO).
3. Nutzung von Moodle
Die Software Moodle dient zur Bereitstellung von Lerninhalten und der Verarbeitung von Lernaktivitäten sowie Lernständen. Die Software selbst wird auf Servern in Deutschland bei unserem Dienstleister DM Solutions GmbH, Friedrichstr. 50A, 63450 Hanau gehostet.
Zweck der Datenverarbeitung und Rechtsgrundlagen
Die Lernplattform dient zur Durchführung von Schulungen im Unternehmen, zur Weiterbildung von Mitarbeitern und Teilnehmern an Aus- und Weiterbildungsmaßnahmen.
Die erhobenen Daten können auch zum Zweck der Verbesserung von Schulungen statistisch ausgewertetet werden. Es ist derzeit nicht beabsichtigt, die Daten zu anderen als den o.g. Zwecken zu verwenden. Falls die Daten in der Zukunft doch zu anderen Zwecken verwendet werden sollen, werden wir Sie vorab informieren.
Empfänger der personenbezogenen Daten
Die Daten werden nicht an Dritte außerhalb des Unternehmens weitergeleitet.
Dauer der Speicherung oder Kriterien für die Dauer der Speicherung
Die Daten in Ihrem Nutzerprofil werden bis zur Löschung des Nutzerprofils gespeichert. Die Daten aus der Teilnahme des Kurses werden bis zur Löschung des Kurses gespeichert. Ergebnisse aus Tests, Lernpaketen und Aufgaben und Daten zum Abschluss des Kurses und der Gesamtbewertung werden bis zum Ablauf gesetzlicher Aufbewahrungspflichten aufbewahrt.
Automatische Auswertungen und Profiling
Es erfolgt kein Profiling im Sinne der Datenschutzgrundverordnung. Im Rahmen von Kursen können Tests Grundlage für den Nachweis der erforderlichen Qualifikation zum Abschluss eines Kurses sein. Tests werden automatisch ausgewertet. Die Testfragen sind für jeden einzelnen Kurs durch Menschen fachlich zusammengestellt.
Cookies
Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.
In den Cookies werden folgende Daten gespeichert und übermittelt:
• Login-Sitzungsnummer (MoodleSession)
• durch Nutzerauswahl Speicherung des Usernamens (MOODLEID)
Durch die Nutzung der Lernplattform werden persönliche Daten über Sie gespeichert. Dazu gehören Ihr Name und ggf. Ihre E-Mail-Adresse, welche Kurse Sie nutzen und was sie wann in diesen Kursen getan haben. Leistungsergebnisse aus den Kursen werden ebenfalls gespeichert. Diese Daten sind mit Ihrer Person verbunden. Es ist daher unsere Pflicht, Sie darüber zu informieren, dass diese Daten erfasst und verarbeitet werden und welche Rechte Sie diesbezüglich haben.
Wir stellen sicher, dass intern nur die Personen Zugriff auf diese Informationen erhalten, die diesen Zugang unbedingt benötigen. Personenbezogene Daten werden von uns vertraulich behandelt und nicht der breiten Öffentlichkeit zur Verfügung gestellt.
Die meisten Daten werden von Ihnen selber eingegeben. Daher kennen Sie diese Daten bereits. Andere Daten entstehen durch Bewertungen bei Tests und Aufgaben automatisch oder durch Kursbetreuer/Trainer. Zusätzlich werden Protokolle über Ihre Nutzung automatisch auf dem Server erstellt. Diese werden genutzt, um technische Probleme zu lösen.
Die Daten in Ihrem Nutzerprofil werden bis zur Löschung des Nutzerprofils gespeichert. Die Daten aus der Teilnahme der Qualifizierung werden bis zur Löschung des Kurses gespeichert. Ergebnisse aus Tests, Lernpaketen und Aufgaben und Daten zum Abschluss der Qualifizierung werden bis zur Löschung des Kurses gespeichert. Die Löschung der Nutzerprofile und Löschung der Kurse erfolgt regelmäßig drei Monate nach Abschluss der jeweiligen Qualifizierung.
4. Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Zu Ihren Ansprüchen gehören:
Auskunft durch den Verantwortlichen über die Daten, die über Sie gespeichert werden. Wenn Sie sich in der Plattform einloggen, können Sie diese Daten jederzeit selber einsehen.
Recht auf Berichtigung. Sofern inkorrekte Daten gespeichert werden, können Sie diese z.T. selber anpassen (selbst erfasste Profildaten) oder den Verantwortlichen auffordern dies zu
tun. Der Verantwortliche wird der Aufforderung nachkommen, sofern die Berichtigung berechtigt und angemessen ist.
Recht auf Löschung. Sie haben einen Anspruch darauf, dass Daten gelöscht werden, die tatsächlich falsch sind oder für die der Verantwortliche keinen weiteren Zweck hat. Ein Recht auf Löschung von Daten besteht nicht wenn der Verantwortliche verpflichtet ist, die Daten aus gesetzlichen Gründen (z.B. förderrechtliche Bestimmungen) noch vorzuhalten (Nachweis von Unterweisungen, Nachweis Qualitätssicherung, urheberrechtliche Nutzungsrechte). Es besteht ebenfalls kein Anspruch auf Löschung, wenn Informationen von Ihnen selber erfasst wurden und diese im Kontext mit Informationen anderer Nutzer stehen (z.B. Forenbeiträge).
Recht auf Einschränkung der Verarbeitung. Der Verantwortliche wird sicherstellen, dass Daten im Falle der Einschränkung nur solchen Personen zugänglich sind, die die Daten unbedingt einsehen müssen. Dazu kann er sich der Mittel der Pseudonymisierung und der Anonymisierung bedienen.
Widerspruchsrecht. Sie können der weiteren Nutzung der Daten widersprechen. Dies kann nur in die Zukunft hinein wirksam werden. Das Widerspruchsrecht ist keine automatische Verpflichtung zur Löschung der Daten für den Verantwortlichen. Sofern der Verantwortliche Speicherpflichten aus anderen Gründen hat, wird er dies abwägen und Sie informieren.
Datenübertragbarkeit. Sie haben einen Anspruch, Daten, die von Ihnen selber erfasst wurden, in einem elektronischen Format zu erhalten, das für die Nutzung an anderer Stelle eingesetzt werden kann.
Sie haben das Recht, die Einwilligung zur Verarbeitung Ihrer Daten zu widerrufen. Der Widerruf kann dazu führen, dass Sie danach keinen Zugang zur Lernplattform mehr erhalten und eine Teilnahme an einem Kurs nicht mehr möglich ist.
5. Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.
6. Besondere Nachweispflichten
Aufgrund der öffentlichen Förderung gelten für uns z.T. besondere Nachweispflichten. Bei Veranstaltungen im Rahmen öffentlich geförderter Projekte, wird von uns eine Teilnehmendenliste (mit Ihrem bei der Anmeldung hinterlegten Namen & Vornamen) erstellt, zum Zweck des Nachweises Ihrer Teilnahme an der Veranstaltung und des Nachweises zur Verwendung öffentlicher Mittel. Diese Liste wird von uns im Zuge der Projektmittelabrechnung an die fördermittelgebende Stelle weitergeleitet und unterliegt förderrechtlichen Bedingungen.
7. Datenschutzbeauftragter
Die ProfeS GmbH hat nach Maßgabe der §§ 4f und d BDSG einen betrieblichen Datenschutzbeauftrag-ten (ebDSB) zum 01.01.2015 bestellt. Es handelt sich um: Heiko Ries, An den Thoräckern 11, 76829 Landau. Dieser nimmt die ihm kraft Gesetzes und aus dieser Richtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seiner Fachkunde wahr.
8. Sonstiges
Die Unwirksamkeit einzelner Bedingungen lassen die Wirksamkeit der übrigen Bedingungen unberührt. Es gilt dann eine Bedingung, die der unwirksamen Bedingung am nächsten kommt. Im Zweifel gelten die Regelungen des Bürgerlichen Gesetzbuches.
Stand 01.05.2024