Grundsätzlich werden die Daten auf EU-Servern verarbeitet. In bestimmten Fällen kann eine Übermittlung personenbezogener und nicht pseudonymisierter Daten möglich sein, v.a. im Bereich des Supports, wobei der First- und Second-Level-Support über die Telekom laufen. Nur der Third-Level-Support, also bei Auftreten besonders anspruchsvoller Probleme oder komplexer Fragestellungen läuft über Zoom. In Ausnahmefällen kann es notwendig sein, dass auch personenbezogene Daten weitergegeben werden. Die Telekom hat daher die Standarddatenschutzklauseln der EU-Kommission als geeignete Garantie für ein angemessenes Datenschutzniveau gemäß Artikel 46 Absatz 2 lit. c) DSGVO mit Zoom abgeschlossen. Zudem wurden die Datenschutzvorkehrungen von Zoom geprüft. Weitere Informationen zur Datenverarbeitung bei Zoom finden sie unter explore.zoom.us/de/privacy/. Bitte beachten Sie, dass es sich dabei um eine externe Website handelt, die von der Zoom Video Communications, Inc. in eigener Verantwortlichkeit betrieben wird und bei dessen Besuch personenbezogene Daten verarbeitet werden.

Die Uni Ulm bezieht ZoomX über die Telekom. Zwischen der Telekom und Zoom besteht ein Unterauftragsverhältnis. Es wurde daher zwischen der Universität Ulm und der Telekom ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen.

Die Telekom hat wiederum einen AVV mit Zoom vereinbart und in diesen die Standarddatenschutzklauseln der EU-Kommission aufgenommen.

Aufgrund der Prinzipien der Datenminimierung und der Speicherbegrenzung werden bestimmte Einstellungen in Zoom deaktiviert.

Bitte beachten Sie, dass die endgültigen Entscheidungen über die (De)Aktivierung bestimmter Einstellungen erst Ende März/Anfang April getroffen werden können. Die jetzigen Einstellungen sind daher ggf. nur vorläufiger Natur:

• Filetransfers, Speicherungen von Chats und Livestreams sind beispielsweise nicht möglich. Videoaufzeichnungen von Lehraufzeichnungen, die cloudbasiert vorgenommen wurden, werden innerhalb von 40 Tagen endgültig vom cloud-Server gelöscht.
• Gäste bzw. Studierende können an einer Veranstaltung teilnehmen, ohne sich einen Zoom-Account anlegen zu müssen. Jede(r) Nutzer*in hat die Möglichkeit sich bei Bedarf einen Zoom-Account anzulegen und sich am Identity- Provider der Universität Ulm mit ihrem/seinem kiz-Account (Single-Sign-On via Shibboleth) zu authentisieren. Dies bedeutet, dass keine Vorabregistrierung beim Zoom-Service erforderlich ist.
• •    Zugangsbeschränkungen verhindern den Zutritt von unautorisierten Benutzer*innen. Dies wird u. a. durch Vergabe von Meeting-IDs, komplexen Kennwörtern und Einrichtung von Warteräumen erreicht.
• Ein weiteres Sicherheitsmerkmal ist, dass nur Serverstandorte in der EU verwendet werden.
• Als eine der wichtigsten Sicherheitsvorkehrungen, wurden verschiedene Schutzbedarfskategorien entwickelt (siehe Punkt Risikoanalyse & Schutzbedarfskategorien), um die Vertraulichkeit der personenbezogenen Daten zu schützen.

Es werden die folgenden personenbezogenen Daten von der Universität Ulm als Verantwortliche Stelle verarbeitet:

Anwenderdaten (Vorname, Nachname, Statusgruppe (Studierender, Beschäftigter), Telefon (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional), Telefonnummer und Aufenthaltsland bei Telefoneinwahl, optionale Profilangaben, Spracheinstellungen, ungefähre geographische Lage)

Es werden die folgenden personenbezogenen Daten vom Auftragsverarbeiter (Telekom) verarbeitet:

Die Verarbeitung Ihrer oben genannten personenbezogenen Daten dient dazu, Ihnen Zoom bzw. Zoom X als Tool für die Durchführung von Video-Konferenzen, Online-Meetings und Webinaren für die Lehre, Forschung und Verwaltung zur Verfügung stellen zu können und die genannten Formate über Zoom X abwickeln zu können.

Datenverarbeitung von Beschäftigten an der Universität Ulm:

Für die Verarbeitung personenbezogener Daten von Beschäftigten an der Universität Ulm bei der Nutzung von Zoom zur Durchführung des Beschäftigungsverhältnisses sowie organisatorischer und personeller Maßnahmen ist Art. 6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e) DSGVO, Art. 88 DSGVO i.V.m §§ 12 LHG-BW, 15 LDSG-BW die Rechtsgrundlage, da die Datenverarbeitung für die Durchführung des Dienstverhältnisses erforderlich ist.

Datenverarbeitung von Bewerber*innen:

Für Bewerber*innen ist eine Einwilligung der betroffenen Person gemäß Art. 6 lit. a) DSGVO unter Angebot einer alternativen Kommunikationslösung die Rechtsgrundlage.

Datenverarbeitung i.R.d Lehrveranstaltung und online Prüfung:

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Lehrveranstaltungen ist die gesetzliche Rechtsgrundlage gem. Art.6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 12 der Satzung über die Verarbeitung von personenbezogenen Daten durch die Universität Ulm im Rahmen ihrer hochschulspezifischen Aufgabenerfüllung (§ 12 Absatz 3 Landeshochschulgesetz) einschlägig.

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Onlineprüfungen sind Art. 6 Abs. 1 lit. a) DSGVO, Art. 6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. e), Abs. 3 lit. b), 88 DSGVO i.V.m §§ 12 LHG, 32 a und § 32 b LHG BW i.V.m. § 16 der Allgemeinen Studien- und Prüfungsordnung für die Bachelor- und Masterstudiengänge an der Universität Ulm (Rahmenordnung - ASPO) vom 13.07.2022.

Datenverarbeitung von Teilnehmer*innen im Rahmen von Forschungsprojekten und Studien:

Für die Verarbeitung personenbezogener Daten bei Forschungsprojekten und Studien ist für die Nutzung von Zoom die Einwilligung der Teilnehmer*innen gemäß Art. 6 Abs. 1 lit. a) DSGVO erforderlich.

Datenverarbeitung von externen Teilnehmer*innen:

Für die Verarbeitung personenbezogener Daten bei der Durchführung einer Video- und/oder Audiokonferenz mit externen Teilnehmer(n)*innen im Verantwortungsbereich der Universität Ulm ist in aller Regel die Rechtsgrundlage die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO, ggf. auch das Bestehen eines Vertragsverhältnisses gem. Art. 6 Abs.1 lit. b) DSGVO. Davon abweichend kann sich die Rechtsgrundlage aus dem jeweiligen Anlass der Teilnahme ergeben.

Besondere Kategorien von personenbezogenen Daten:

Zur Durchführung von Videokonferenzen mit Zoom für die oben genannten Zwecke - interne Kommunikation, Lehre, Webinare und Meetings - ist die Verarbeitung von sensiblen Daten im Sinne von Art. 9 DSGVO sowie von Daten mit hohem und auch sehr hohem Schutzbedarf grundsätzlich nicht zulässig, es sei denn, der/die verantwortliche Meeting-Gastgeber*in ergreift gesonderte Schutzmaßnahmen, um den Schutzbedarf dieser Daten gesondert Rechnung zu tragen. Vor Beginn jeder Videokonferenz ist daher stets zu prüfen, welchen Schutzbedarf die verarbeiteten Daten haben und welche Verhaltensregeln hierbei zu beachten sind. Die unterschiedlichen Schutzbedarfskategorien und empfohlenen Schutzmaßnahmen sind auf dieser Website unten verfügbar.

Die personenbezogenen Daten werden nur so lange gespeichert, wie für die festgelegten und legitimen Zwecke erforderlich. Eine Weiterverarbeitung, die nicht mit diesen Zwecken vereinbar ist, findet nicht statt.

Die Löschung von Namen und Kontaktdaten des registrierten Teilnehmers erfolgt mit Kontolöschung (oder beauftragter Kontolöschung) durch die betroffene Person.

Wenn Sie mit einem Zoom-Account angemeldet sind, können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bei der Telekom bzw. bei Zoom gespeichert werden. Die Löschung der Daten aus der Erbringung der Telekommunikation erfolgt in Verantwortung der Telekom bzw. von Zoom.

Kommunikationsinhalte werden nicht über die Kommunikation hinaus gespeichert. Im Falle einer Aufzeichnung in der Zoom-Cloud (Videoaufzeichnung oder Speicherung von Untertiteln), ist vorgesehen, dass die Daten dort nach 10 Tagen in den Papierkorb geschoben und nach weiteren 30 Tagen endgültig gelöscht werden. Die Löschung lokaler Aufzeichnungen bzw. die Löschung von Aufzeichnungen, die in der cloud vorgenommen wurden und anschließend vom Host in dessen Ordner auf dem Uniserver verschoben wurden, werden manuell gelöscht, wenn die Speicherung der Aufzeichnung für die legitimen Zwecke, für die sie erfolgt ist, nicht mehr notwendig ist.

Eine vorherige und gesonderte Löschung der Daten erfolgt nur nach Aufforderung der betroffenen Person, sein Nutzerkonto an der Universität Ulm zu löschen. In diesem Fall, werden sämtliche bei der Universität Ulm gespeicherten Daten gelöscht.

Im Falle einer Aufzeichnung werden die Daten auf dem jeweiligen Endgerät des Gastgebers, sowie auf den für die Bereitstellung der Aufzeichnung eingesetzten Servern der Universität Ulm nach spätestens Ende des jeweiligen Semesters gelöscht. Sofern keine Daten Dritter betroffen sind, kann die/der Lehrende eine Verlängerung der Speicherdauer beantragen.

Empfänger*innen innerhalb der Uni Ulm:

Im Rahmen der Anmeldung bei Zoom werden Ihre Daten durch das Kommunikations- und Informationszentrum (kiz) der Universität Ulm verwendet. Innerhalb der Universität haben nur diejenigen Personen Zugriff auf Ihre Daten, die diese für einen ordnungsgemäßen Ablauf der Videokonferenz inkl. deren Bereitstellung benötigen.

Empfänger*innen außerhalb der Uni Ulm:

•    Telekom Deutschland GmbH
•    Zoom Video Communications, Inc.
•    Subprozessoren von Zoom: explore.zoom.us/de/subprocessors/ Bitte beachten Sie, dass es sich dabei um eine externe Website handelt, die von der Zoom Video Communications, Inc. in eigener Verantwortlichkeit betrieben wird und bei dessen Besuch personenbezogene Daten verarbeitet werden.

Unkritische (personenbezogenen) Daten

Mögliche Beispiele: Videokonferenzen, die der Lehre und Wissenschaft dienen (z. B. Vorlesungen und Übungen, wissenschaftliche Vorträge und Konferenzen), Meetings ohne kritische Inhalte

Einstellungen: In Bezug auf Sicherheit sind die Voreinstellungen i.d.R. ausreichend. Anpassungen sind sinnvoll je nach Größe und Art des Meetings.

Sensible (personenbezogenen) Daten

Mögliche Beispiele: Team-Meetings mit sensiblen Inhalten, betriebsinterne Themen, ggf. Senat (themenabhängig)

Einstellungen: Moderator eröffnet Meeting, Kenncodepflicht (mind. 8 Zeichen), Warteraum für alle User, Audio: Nur Computeraudio, Teilnehmervideo zu Beginn AN, ggf. Chat AN (speichern durch Teilnehmer AUS), ggf. Umfragen AN, Gastteilnehmer identifizieren.

Sehr sensible (personenbezogenen) Daten

Mögliche Beispiele: Personalratssitzungen, Personalgespräche, Senat (themenabh.), Präsidiumssitzungen (themenabhg.), kritische Studien, kritische (geheimhaltungspflichtige) Forschungsgespräche, Meetings mit personenbezogenen Daten nach Art. 9 DSGVO (wie u. a. Gesundheitsdaten, politische Meinungen, rassische und ethnische Herkunft, biometrische/genetische Daten)

Einstellungen: Durchgehende Ende-zu-Ende-Verschlüsselung AN, Kenncodepflicht (mind. 8 Zeichen), ggf. virtueller Hintergrund an.

Vorlesungen = NORMAL

Übungen = NORMAL

Wissentschaftlicher Vortrag = NORMAL

Meeting ohne kritischen Inhalt = NORMAL

Team-Meeting mit sensiblen Inhalt = HOCH

Senat-Meetings  = HOCH/SEHR HOCH

Personalratsitzungen = SEHR HOCH

Präsidiumssitzungen = SEHR HOCH

Kritische Studien = SEHR HOCH

Geheimhaltungspfliche Forschungsprojekte = SEHR HOCH

Meeting nach Art. 9 DSGVO = SEHR HOCH

Ein einzelnes Meeting hat verschiedene Eigenschaften, die teils vom System vorgegeben, teils aber auch vom verantwortlichen Gastgeber beim Ansetzen eines Meetings konfigurierbar sind.

Es obliegt dem verantwortlichen Gastgeber, gemäß dem Schutzbedarf der Meetinginhalte die erforderliche Schutzbedarfskategorie zu wählen und dann entsprechend beim Ansetzen seines Meetings auch umzusetzen. Dabei kann er sich entsprechende Meeting-Vorlagen anlegen und diese später immer wieder verwenden. Das folgende Schaubild hilft bei der konkreten Umsetzung des gewünschten Schutzbedarfs.

Bei manchen Features wird deren Einstellung durch den angestrebten Schutzbedarf festgelegt. Das gilt z.B. für Ende-zu-Ende Verschlüsselung (E2EE = end to end encryption). Bei anderen hängt die geeignete Einstellung von der Art der Veranstaltung und von deren Größe ab.

Die sicherheitsrelevanten Einstellungen machen sie auf ihrer Persönlichen Zoom Homepage, die sie über das Zoom Portal der Uni Ulm erreichen.

Nützlich ist es dazu, wenn alle Teilnehmer einen bezeichnenden Namen und auch ihre Kamera eingeschaltet haben.

Die Ende-zu-Ende-Verschlüsselung SOLLTE bei allen Schutzbedarfskategorien aktiviert werden, da dadurch sämtliche Inhalte von einem Client zum Anderen und zurück komplett verschlüsselt werden. Es können keine Dritte auf die Inhalte zugreifen. Nachteile sind, das einige Features nicht mehr funktionieren und nur der Zoom-Client verwendet werden kann. Bei der Schutzbedarfskategorie SEHR HOCH, MUSS die Ende-zu-Ende-Verschlüsselung aktiviert werden.

Weitere Informationen zur Sicherheit:

support.zoom.us/hc/de/articles/360041848151

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Daher hat die Universität Ulm Maßnahmen ergriffen, um die Datenverarbeitung während der Aufzeichnung von Lehrveranstaltungen den gesetzlichen Vorgaben entsprechend, sicher zu gestalten.

Die Aufzeichnung von Lehrveranstaltungen ist den Lehrenden nur unter Einhaltung strenger Voraussetzungen gestattet. Aufgezeichnet werden darf nur, wenn die vollständige Anonymisierung der Teilnehmer*innen gewährleistet ist. Vor Beginn der Aufzeichnung muss die oder der Lehrende jegliche Einstellungen, die einen Rückschluss auf die Teilnehmer/-innen führen, deaktivieren. Darunter fallen neben der Videoaufnahme auch der Name und die Chatbeiträge.

Zu beachten ist, dass auch eine Speicherung von zur Barrierefreiheit oder zu Übersetzungszwecken generierten Untertitel durch die entsprechenden Zoom-Funktionen als Textdatei (CC.VTT) nur unter den Voraussetzungen zulässig ist, unter denen eine Videoaufzeichnung zulässig wäre. Auch hier müssen alle personenbezogenen Daten von Teilnehmer*innen anonymisiert werden. Die Speicherung einer Untertitelung des gesprochenen Worts von Teilnehmer*innen ist grundsätzlich zu unterlassen oder im Nachhinein unkenntlich zu machen.

Nähere Angaben zur Funktion finden Sie in dem entsprechenden Handout zur Aufzeichnung von Lehrveranstaltungen. Bitte beachten Sie, dass dieses Handout noch nicht aktualisiert wurde und daher nur die ausschließlich lokale Videoaufzeichnung behandelt. Die in diesem Handout enthaltenen Grundsätze sind jedoch auf die Chatspeicherung und die cloud-Aufzeichnung entsprechend anzuwenden.

- Der Ordner für die Speicherung der lokalen Aufzeichnung muss vorab über den Zoom-Client festgelegt werden. Dieser darf nur lokal auf dem jeweiligen Endgerät liegen (aus technischen Gründen).

- Es darf als Speicherort kein Dritt-Cloudanbieter, wie Dropbox oder Google Drive verwendet werden. Zusätzlich ist eine Verbreitung über soziale Netzwerke/Medien untersagt.

- Temporäre Aufzeichnungsdateien sind zu löschen

-Im Falle von Cloud-Aufzeichnungen, sind diese unverzüglich auf den lokalen Speicherort zu verschieben und von der Cloud zu löschen. Die Aufzeichnungen werden voraussichtlich automatisch binnen 10 Tagen in den Papierkorb der Cloud verschoben und nach weiteren 30 Tagen endgültig gelöscht. 

- Das Endgerät, auf dem die Aufzeichnung gespeichert wird muss sicher sein, dies bedeutet:

• Das Endgerät muss durch ein sicheres Passwort (mind. 12 Zeichen mit Komplexität) gesichert sein
• Aktuelle Patches für u. a. das Betriebssystem und für die Software Zoom müssen eingespielt werden
• Ein aktuelle Virenscanner muss installiert sein und sollten in regelmäßigen Abständen das System überprüfen
• Die Aufzeichnungsdaten sind ggf. zu verschlüsseln, z. B. mit den Tools 7-zip bzw. Cryptomator lokal oder wenn diese via CloudStore geteilt werden sollen
• Bei der Löschung der Aufzeichnung muss diese nicht wiederherstellbar gelöscht werden

Diese Anwendungshinweise gelten sinngemäß für das Speichern von Untertiteln. Diese Anwendungshinweise gelten sinngemäß für das Speichern von Untertiteln.