Nutzungsbedingungen, Datenverwendungshinweise und Datenschutzinformationen für die Verwendung von Webex

Die Universität zu Köln (UzK) hat sich für einen  Einsatz von Webex in Lehre, Forschung und Verwaltung entschieden.  Der Einsatz von Webex wurde datenschutzrechtlich bewertet. Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO), des NRW-Datenschutzgesetzes und der sonstigen anwendbaren Datenschutzbestimmungen.

Da bei Telefonie über Webex bei Verwendung der Uni-Telefonnummer die gesamte Kommunikation auf dem Campus verbleibt, ist der Datenschutz in etwas höherem Maße gewährleistet als bei Verwendung von Zoom. Das bezieht sich aber nur auf Telefonate, wahlweise mit oder ohne Video, aber nicht auf Videokonferenzen.

Neben Webex stehen weitere Tools für die Durchführung digitaler Lehr-/Lernformate (https://portal.uni-koeln.de/digital-education) und für das Arbeiten im Homeoffice (https://rrzk.uni-koeln.de/support-information/informationen-zu-tools-fuer-kollaboratives-arbeiten) zur Verfügung.

Generell gilt, dass Beschäftigte der Universität zu Köln für Ihre dienstlichen Aufgaben nur solche Tools nutzen sollten, die seitens der Hochschule zentral beschafft und betrieben werden.

1. Nutzung von Webex in der Verwaltung, Lehre und Forschung

Webex wird in Verwaltung, Lehre und Forschung verwendet, um Videokonferenzen und -besprechungen, interaktive Online-Kurse und Webinare durchzuführen und den Lehr- und Forschungsbetrieb zu unterstützen. Die UzK stellt für die Nutzung von Webex Lizenzen zur Verfügung.

Webex kann für Gremiensitzungen verwendet werden. Für vertrauliche Abstimmungen soll andere Software genutzt werden (z.B. EvaSys).

Webex kann für Berufungsverfahren und Bewerbungsgespräche sowie Hochschulprüfungen genutzt werden. Es sollte jedoch darauf geachtet werden, dass personenbezogene und besonders schutzbedürftige Daten und Inhalte anonymisiert besprochen werden (z.B. Gutachten in Berufungsverfahren).

Besonders vertraulich zu behandelnde Informationen dürfen nur dann mittels Webex ausgetauscht werden (z.B. sensible Beratungsgespräche, Personalaktendaten, Gesundheitsdaten, Disziplinarberatungen), wenn Telefonie (wahlweise mit oder ohne Video) über die Telefonnummern der Uni zum Einsatz kommt. Bitte beachten Sie aber, dass bei Nutzung von Webex keine Ende-zu-Ende Verschlüsselung im eigentlichen Sinn stattfindet.

Zweck der Verarbeitung

Zweck der Datenverarbeitung ist die Nutzung von Webex als Tool zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der UzK zur Erfüllung der gesetzlichen Hochschulaufgaben.

Erfasst ist die Nutzung der lizenzierten Produkte und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken erfolgt nicht.

Eine Verhaltens- und Leistungskontrolle auf Basis der Nutzung von Webex findet nicht statt. Die UzK erhebt auch keine statistischen Daten aus Webex, die eine solche Kontrolle ermöglichen könnten. Die Nutzung von Webex zur Erstellung von personenbezogenen Statistiken ist nicht zulässig.

Voraussetzungen für eine zulässige Nutzung

Das Mindestalter für die Nutzung von Webex beträgt 16 Jahre.

Es sollten in der Regel keine Inhalte über Webex ausgetauscht werden, die einen hohen Schutzbedarf haben oder streng vertraulich sind (siehe oben). Ausnahme sind Telefonate (mit oder ohne Video), die über Uni-Telefonnummern erfolgen. Für den Austausch von schützenswerten Dateien zwischen Teilnehmenden sollten sichere Kanäle oder geschützte Fileserver genutzt werden.

2. Hinweise zum Datenschutz

Eine Webex-Lizenz erhalten Sie, indem Sie eine E-Mail an voipmgr@uni-koeln.de schicken. Wichtig: Wenn Sie Webex für Telefonie verwenden möchten, müssen Sie in aller Regel Ihre bisherige Telefonnummer abgeben und erhalten eine neue.

Für den Einsatz des lizensierten Webex-Dienstes ist die UzK datenschutzrechtlich verantwortlich, soweit zu der Webex-Kommunikation von einem Universitätsaccount (@uni-koeln.de) eingeladen wurde. Es ist unzulässig, ohne Webex-Lizenz der UzK von einer solchen E-Mail-Adresse zu einer Webex-Kommunikation einzuladen.

Bei der Nutzung von Webex werden personenbezogene Daten verarbeitet und gespeichert. Einige Daten sind für die Nutzbarkeit zwingend erforderlich, andere hängen von Ihrem Kommunikations- und Nutzungsverhalten ab. Diese Datenverarbeitung ist datenschutzrechtskonform und gewährleistet für die oben genannten Nutzungsanlässe ein angemessenes Sicherheitsniveau. Wir informieren Sie in diesem Dokument gemäß Artikel 13 DSGVO über diese Datenverarbeitung und geben im Folgenden einen Überblick zu Datenarten und Zwecken der Verarbeitung.

Verarbeitung personenbezogener Daten

Für Ihr Benutzungsprofil müssen Sie beim initialen Aufruf der Software nur Ihren Namen, sowie Ihren Uni-Account (@uni-koeln.de) angeben. Auf freiwilliger Basis können Sie weitere Informationen hinterlegen und diese selbst jederzeit editieren.
Ihre personenbezogenen Daten werden verarbeitet, damit Ihnen eine Teilnahme an der Kommunikation mittels Webex möglich ist, also die Verbindung aufgebaut und genutzt werden kann. Hierfür werden in der Regel Ihr Name und die dienstliche oder studentische E-Mail-Adresse an Webex übermittelt.

Ob weitere Datenarten betroffen sind, hängt von Ihrem Nutzungsverhalten ab. Webex benutzt diese Daten auch, um die Funktionsfähigkeit und Sicherheit des Dienstes aufrechtzuerhalten. Bei der hier beschriebenen Webex-Kommunikation, die von einem Universitätsaccount verwaltet wird, nutzt der technische Dienstleister Webex solche Daten nicht für seine eigenen Zwecke.

Bei Nutzung von Webex werden folgende Daten erfasst:

Angaben zur/m Benutzer*in:

• Vorname, Nachname
• Dienstliche E-Mail-Adresse
• Anmeldeinformationen aus dem Identitätsmanagementsystem uniKIM der Universität
• weitere Kontaktdaten (optional), Profilbild (optional)

Technische Informationen zur Nutzung, sog. Meeting-Metadaten: 

• Thema, Beschreibung (optional),
• Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten Ihres Endgeräts)

Text-, Audio- und Videodaten: 

• Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden für die Dauer der Meetings die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera und das Mikrofon können jederzeit selbst über die Webex-Applikation abgeschaltet bzw. stummgeschaltet werden. 
• Texteingaben im Chat werden verarbeitet, um diese im Online-Meeting anzuzeigen.
• optional: Teilnehmende, beispielsweise Menschen mit Beeinträchtigung des Hörvermögens, haben die Möglichkeit, eine automatische Untertitelung zur barrierearmen Teilnahme an einem Meeting oder Webinar anzufordern. Bei dieser Funktion werden die mündlichen Äußerungen mittels einer auf Künstlicher Intelligenz basierenden automatischen Spracherkennung (Speech-to-text) in Untertitel umgewandelt. Wenn Teilnehmende diese Funktion während eines Meetings oder Webinars anfordern, erhalten die Sprechenden eine Aufforderung zur Freigabe und können daraufhin zustimmen oder ablehnen.

Aufzeichnungen (optional):

• MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, 
• Textdatei des Online-Meeting-Chats

Registrierung und Teilnahme an Veranstaltungen:
Für die bloße Teilnahme an einer Veranstaltung ist in der Regel keine Registrierung notwendig, die Veranstaltung kann über einen vom/von der Moderator*in verschickten Link aufgerufen und vollumfänglich besucht werden. Bei rein passiver Teilnahme werden nur die genannten technischen Meeting-Metadaten verarbeitet. Moderator*innen können allerdings aus Sicherheitsgründen die Teilnahme an einer Veranstaltung auf registrierte Teilnehmer*innen beschränken.

Die Bereitstellung personenbezogener Daten und die Benutzung von Webex ist für Beschäftigte der Universität im Rahmen des Beschäftigungsverhältnisses verpflichtend. Für Studierende, insbesondere Prüflinge, ist die Nutzung bei Lehrveranstaltungen ohne Anwesenheitspflicht und mündlichen Prüfungen derzeit freiwillig. Falls Studierende diese Form nicht wünschen, wird die Prüfung auf einen Zeitpunkt verlegt, an dem Präsenzveranstaltungen wieder möglich sind bzw. versucht, die Teilnahme an einer späteren Veranstaltung zu ermöglichen.

Aufzeichnung und Protokollierung der Kommunikation mit Webex / Anwesenheitskontrolle

In der Regel wird die Kommunikation mittels Webex nicht aufgezeichnet. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis der betroffenen Teilnehmenden erfolgen und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Hierunter fallen z.B. die Protokollierung von Ergebnissen bei Prüfungen oder Gremiensitzungen. Teilnehmer*innen werden darüber im Vorfeld des Meetings informiert und um ihre Einwilligung gebeten und können die Aufzeichnung zudem während des Meetings erkennen. 

Sofern eine Aufzeichnung und Protokollierung erfolgt, werden Ihre Daten (Video-, Audiodaten, Fragen und Chatbeiträge) auf Servern von Webex gespeichert und nach spätestens 30 Tagen gelöscht. Eine anschließende Speicherung auf Servern der Universität wird nach den allgemeinen Regeln entsprechend der fachlichen Aufbewahrungsdauer bestimmt. 

Bei der Nutzung von Webex ist darauf zu achten, dass smarte Geräte, wie z.B. Alexa, Siri, Google Home, sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern.

Bei Lehrveranstaltungen mit Anwesenheitsplicht ist eine Identifizierbarkeit erforderlich, damit die Ansprache und Teilnahmekontrolle möglich ist. Hierzu kann die Angabe des Namens der Teilenehmer*innen oder alternativ ein Vorname und die Matrikelnummer gefordert werden.

Webex als Auftragsverarbeiter der UzK

Webex ist als Auftragsverarbeiter der Universität zu Köln tätig, d.h. Webex ist durch einen Auftragsverarbeitungsvertrag verpflichtet, personenbezogene Daten nur für die Zwecke der Universität und nicht für eigene Geschäftszwecke zu nutzen.

3. Nutzungsvorgaben für Hosts/Moderator*innen

Generell wird empfohlen, den Zugang zu Webex-Meetings zu kontrollieren. Hierfür ist der (systemweit aktivierte) Passwortschutz ausreichend. Darüber hinaus haben Sie die Möglichkeit einen Warteraum einzurichten (für Meetings mit wenigen Teilnehmer*innen), aus dem Sie die Teilnehmer*innen einzeln/manuell zum Meeting zulassen.

Das Veröffentlichen ("Posten") von Webex-Links oder -Zugangsdaten in sozialen Netzwerken oder auf sonstigen öffentlich lesbaren Internetseiten ist wegen der damit verbundenen Gefahren strikt untersagt. Meetings, deren Daten auf diese Weise öffentlich bekannt gemacht wurden, werden von den Administratoren notfalls gelöscht.

Wenn Sie als Host Aufzeichnungen von Meetings anfertigen möchten, holen Sie bitte das Einverständnis aller Teilnehmer*innen vor Beginn der Aufzeichnung mündlich ein (die Teilnehmer*innen müssen der Aufnahme zusätzlich in der Webex-Anwendung zustimmen). Löschen Sie Aufzeichnungen zum frühestmöglichen Zeitpunkt aus der Webex-Cloud, und stellen Sie Aufzeichnungen von Lehrveranstaltungen bevorzugt über ILIAS bereit.

Sofern Sie im Rahmen der Lehre urheberrechtlich geschützte Werke in dem zulässigen Maß verwenden, ist zusätzlich eine wirksame Beschränkung des Nutzerkreises auf die Veranstaltungsteilnehmer*innen gesetzlich vorgeschrieben. Für diesen Fall haben Sie die Möglichkeit, in den Meeting-Optionen eine Registrierung der Teilnehmer*innen vorzusehen. Generell sollen Studierende an den Veranstaltung allerdings ohne Registrierung/Webex-Account teilnehmen können; nehmen Sie diese Einstellung daher wirklich nur vor, wenn es aus Urheberrechtsgründen unbedingt erforderlich ist. Beachten Sie hierzu die Hinweise aus dem Justitiariat zum Thema Urheberrecht.