Nutzungsbedingungen, Datenverwendungshinweise und Datenschutzinformationen für die Verwendung von Zoom

Die Universität zu Köln (UzK) hat sich in der aktuellen Corona-Situation für einen – zunächst befristeten – Einsatz von Zoom in Lehre, Forschung und Verwaltung entschieden. Die Entscheidung, Zoom zu nutzen, ist vom Rektorat gemeinsam mit den Fakultäten getroffen worden, da Zoom sich als sehr leistungsfähiges Videokonferenzsystem erwiesen hat. Der Einsatz von Zoom wurde vor der Anschaffung datenschutzrechtlich bewertet. Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO), des NRW-Datenschutzgesetzes und der sonstigen anwendbaren Datenschutzbestimmungen.

In der Medienberichterstattung zu Zoom wurde in den vergangenen Wochen verschiedentlich auf Sicherheitslücken verwiesen, die jedoch nicht unmittelbar Gegenstand des Vertrages der UzK mit Zoom sind. Ein Teil der Sicherheitslücken lässt sich mit Hilfe entsprechender Einstellungen vermeiden. Zoom hat darüber hinaus auf Kritik reagiert, technische Fehler behoben, einzelne Aussagen korrigiert und die Datenschutzrichtlinien angepasst. Vor diesem Hintergrund ist ein Einsatz aus Sicht der UzK weiterhin vertretbar. Auch diesen Aspekt wird die UzK regelmäßig überprüfen. Die Universität hat sich mit der Entscheidung für den befristeten Einsatz von Zoom nicht dauerhaft festgelegt. 

Für besonders vertrauliche Nutzungsanlässe steht auch weiterhin der DFNconf-Dienst zur Verfügung, über den Angehörige der Universität ebenfalls kostenfrei und ohne zusätzliche Registrierung Videokonferenzen durchführen können. Durch den plötzlichen starken Anstieg der Nutzung in Folge der Corona-Pandemie ist das System derzeit allerdings nicht uneingeschränkt verfügbar.

Neben Zoom stehen zudem weitere Tools für die Durchführung digitaler Lehr-/Lernformate (https://portal.uni-koeln.de/digital-education) und für das Arbeiten im Homeoffice (https://rrzk.uni-koeln.de/support-information/informationen-zu-tools-fuer-kollaboratives-arbeiten) zur Verfügung.

Generell gilt, dass Beschäftigte der Universität zu Köln für Ihre dienstlichen Aufgaben nur solche Tools nutzen sollten, die seitens der Hochschule zentral beschafft und betrieben werden.

1. Nutzung von Zoom in der Verwaltung, Lehre und Forschung

Zoom wird in Verwaltung, Lehre und Forschung verwendet, um Videokonferenzen und -besprechungen, interaktive Online-Kurse und Webinare durchzuführen und den Lehr- und Forschungsbetrieb zu unterstützen. Die UzK stellt für die Nutzung von Zoom Lizenzen (Funktionsumfang entspricht der Business-Lizenz) zur Verfügung.

Zoom kann für Gremiensitzungen verwendet werden. Für vertrauliche Abstimmungen soll andere Software genutzt werden (z.B. EvaSys).

Zoom kann für Berufungsverfahren und Bewerbungsgespräche sowie Hochschulprüfungen genutzt werden. Es sollte jedoch darauf geachtet werden, dass personenbezogene und besonders schutzbedürftige Daten und Inhalte anonymisiert besprochen werden (z.B. Gutachten in Berufungsverfahren).

Besonders vertraulich zu behandelnde Informationen dürfen nicht mittels Zoom ausgetauscht werden (z.B. sensible Beratungsgespräche, Personalaktendaten, Gesundheitsdaten, Disziplinarberatungen). Bitte beachten Sie, dass bei Nutzung von Zoom keine Ende-zu-Ende Verschlüsselung im eigentlichen Sinn stattfindet.

Zweck der Verarbeitung

Zweck der Datenverarbeitung ist die Nutzung von Zoom als Tool zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der UzK zur Erfüllung der gesetzlichen Hochschulaufgaben.

Erfasst ist die Nutzung der lizenzierten Produkte und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken erfolgt nicht.

Eine Nutzung von Zoom zu privaten Zwecken im Rahmen der zur Verfügung gestellten UzK-Lizenzen ist nicht zulässig.

Eine Verhaltens- und Leistungskontrolle auf Basis der Nutzung von Zoom findet nicht statt. Die UzK erhebt auch keine statistischen Daten aus Zoom, die eine solche Kontrolle ermöglichen könnten. Die Nutzung von Zoom zur Erstellung von personenbezogenen Statistiken ist nicht zulässig.

Voraussetzungen für eine zulässige Nutzung

Das Mindestalter für die Nutzung von Zoom beträgt 16 Jahre.

Es sollten in der Regel keine Inhalte über Zoom ausgetauscht werden, die einen hohen Schutzbedarf haben oder streng vertraulich sind (siehe oben). Für den Austausch von schützenswerten Dateien zwischen Teilnehmenden sollten sichere Kanäle oder geschützte Fileserver genutzt werden.

2. Hinweise zum Datenschutz

Eine Zoom-Lizenz erhalten Sie durch die Anmeldung im Zoom-Portal der Universität zu Köln mit Ihrem Uni-Account. Dieser wird auch für KLIPS, ILIAS, die E-Mail-Adresse "@uni-koeln.de" und andere Zugänge verwendet.

Für den Einsatz des lizensierten Zoom-Dienstes ist die UzK datenschutzrechtlich verantwortlich, soweit zu der Zoom-Kommunikation von einem Universitätsaccount (@uni-koeln.de) eingeladen wurde. Es ist unzulässig, ohne Zoom-Lizenz der UzK von einer solchen E-Mail-Adresse zu einer Zoom-Kommunikation einzuladen.

Bei der Nutzung von Zoom werden personenbezogene Daten verarbeitet und gespeichert. Einige Daten sind für die Nutzbarkeit zwingend erforderlich, andere hängen von Ihrem Kommunikations- und Nutzungsverhalten ab. Diese Datenverarbeitung ist datenschutzrechtskonform und gewährleistet für die oben genannten Nutzungsanlässe ein angemessenes Sicherheitsniveau. Wir informieren Sie in diesem Dokument gemäß Artikel 13 DSGVO über diese Datenverarbeitung und geben im Folgenden einen Überblick zu Datenarten und Zwecken der Verarbeitung.

Verarbeitung personenbezogener Daten

Für Ihr Benutzungsprofil müssen Sie beim initialen Aufruf der Software nur Ihren Namen, sowie Ihren Uni-Account (@uni-koeln.de) angeben. Auf freiwilliger Basis können Sie weitere Informationen hinterlegen und diese selbst jederzeit editieren.
Ihre personenbezogenen Daten werden verarbeitet, damit Ihnen eine Teilnahme an der Kommunikation mittels Zoom möglich ist, also die Verbindung aufgebaut und genutzt werden kann. Hierfür werden in der Regel Ihr Name und die dienstliche oder studentische E-Mail-Adresse an Zoom übermittelt.

Ob weitere Datenarten betroffen sind, hängt von Ihrem Nutzungsverhalten ab. Zoom benutzt diese Daten auch, um die Funktionsfähigkeit und Sicherheit des Dienstes aufrechtzuerhalten. Bei der hier beschriebenen Zoom-Kommunikation, die von einem Universitätsaccount verwaltet wird, nutzt der technische Dienstleister Zoom solche Daten nicht für seine eigenen Zwecke.

Bei Nutzung von Zoom werden folgende Daten erfasst:

Angaben zur/m Benutzer*in:

• Vorname, Nachname
• Dienstliche E-Mail-Adresse
• Anmeldeinformationen aus dem Identitätsmanagementsystem uniKIM der Universität
• Passwort
• weitere Kontaktdaten (optional), Profilbild (optional)

Technische Informationen zur Nutzung, sog. Meeting-Metadaten: 

• Thema, Beschreibung (optional),
• Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen (z.B. IP-Adresse, Betriebssystemdaten Ihres Endgeräts)

Text-, Audio- und Videodaten: 

• Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden für die Dauer der Meetings die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera und das Mikrofon können jederzeit selbst über die Zoom-Applikation abgeschaltet bzw. stummgeschaltet werden. 
• Texteingaben im Chat werden verarbeitet, um diese im Online-Meeting anzuzeigen.
• optional: Teilnehmende, beispielsweise Menschen mit Beeinträchtigung des Hörvermögens, haben die Möglichkeit, eine automatische Untertitelung zur barrierearmen Teilnahme an einem Meeting oder Webinar anzufordern. Bei dieser Funktion werden die mündlichen Äußerungen mittels einer auf Künstlicher Intelligenz basierenden automatischen Spracherkennung (Speech-to-text) in Untertitel umgewandelt. Wenn Teilnehmende diese Funktion während eines Meetings oder Webinars anfordern, erhalten die Sprechenden eine Aufforderung zur Freigabe und können daraufhin zustimmen oder ablehnen.

Aufzeichnungen (optional):

• MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, 
• Textdatei des Online-Meeting-Chats

Registrierung und Teilnahme an Veranstaltungen:
Für die bloße Teilnahme an einer Veranstaltung ist in der Regel keine Registrierung notwendig, die Veranstaltung kann über einen vom/von der Moderator*in verschickten Link aufgerufen und vollumfänglich besucht werden. Bei rein passiver Teilnahme werden nur die genannten technischen Meeting-Metadaten verarbeitet. Moderator*innen können allerdings aus Sicherheitsgründen die Teilnahme an einer Veranstaltung auf registrierte Teilnehmer*innen beschränken.

Zur Verarbeitung von Cookies finden Sie weitere Hinweise unter https://zoom.us/cookie-policy.

Die Bereitstellung personenbezogener Daten und die Benutzung von Zoom ist für Beschäftigte der Universität im Rahmen des Beschäftigungsverhältnisses verpflichtend. Für Studierende, insbesondere Prüflinge, ist die Nutzung bei Lehrveranstaltungen ohne Anwesenheitspflicht und mündlichen Prüfungen derzeit freiwillig. Falls Studierende diese Form nicht wünschen, wird die Prüfung auf einen Zeitpunkt verlegt, an dem Präsenzveranstaltungen wieder möglich sind bzw. versucht, die Teilnahme an einer späteren Veranstaltung zu ermöglichen.

Aufzeichnung und Protokollierung der Kommunikation mit Zoom / Anwesenheitskontrolle

In der Regel wird die Kommunikation mittels Zoom nicht aufgezeichnet. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis der betroffenen Teilnehmenden erfolgen und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Hierunter fallen z.B. die Protokollierung von Ergebnissen bei Prüfungen oder Gremiensitzungen. Teilnehmer*innen werden darüber im Vorfeld des Meetings informiert und um ihre Einwilligung gebeten und können die Aufzeichnung zudem während des Meetings erkennen. 

Sofern eine Aufzeichnung und Protokollierung erfolgt, werden Ihre Daten (Video-, Audiodaten, Fragen und Chatbeiträge) auf Servern von Zoom gespeichert und nach spätestens 30 Tagen gelöscht. Eine anschließende Speicherung auf Servern der Universität wird nach den allgemeinen Regeln entsprechend der fachlichen Aufbewahrungsdauer bestimmt. 

Bei der Nutzung von Zoom ist darauf zu achten, dass smarte Geräte, wie z.B. Alexa, Siri, Google Home, sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern.

Bei Lehrveranstaltungen mit Anwesenheitsplicht ist eine Identifizierbarkeit erforderlich, damit die Ansprache und Teilnahmekontrolle möglich ist. Hierzu kann die Angabe des Namens der Teilenehmer*innen oder alternativ ein Vorname und die Matrikelnummer gefordert werden.

Zoom als Auftragsverarbeiter der UzK

Zoom ist als Auftragsverarbeiter der Universität zu Köln tätig, d.h. Zoom ist durch einen Auftragsverarbeitungsvertrag verpflichtet, personenbezogene Daten nur für die Zwecke der Universität und nicht für eigene Geschäftszwecke zu nutzen. Diese Auftragsverarbeitung geht der teilweise weiter gefassten Privacy Policy von Zoom vor. Im Rahmen der Auftragsverarbeitung werden personenbezogene Daten auch an Server mit Standorten außerhalb der EU übermittelt. Diese Übermittlung ist zulässig, weil Zoom sich teilweise auf einen Angemessenheitsbeschluss der EU-Kommission stützen kann („Privacy Shield“) und im Übrigen mit der Universität sogenannte Standardvertragsklauseln abgeschlossen hat, die nach der DSGVO diese Drittlandübermittlung legitimieren.

3. Nutzungsvorgaben für Hosts/Moderator*innen

Generell wird empfohlen, den Zugang zu Zoom-Meetings zu kontrollieren. Hierfür ist der (systemweit aktivierte) Passwortschutz ausreichend. Darüber hinaus haben Sie die Möglichkeit einen Warteraum einzurichten (für Meetings mit wenigen Teilnehmer*innen), aus dem Sie die Teilnehmer*innen einzeln/manuell zum Meeting zulassen.

Das Veröffentlichen ("Posten") von Zoom-Links oder -Zugangsdaten in sozialen Netzwerken oder auf sonstigen öffentlich lesbaren Internetseiten ist wegen der damit verbundenen Gefahren (u.a. "Zoom-Bombing") strikt untersagt. Meetings, deren Daten auf diese Weise öffentlich bekannt gemacht wurden, werden von den Administratoren notfalls gelöscht.

Wenn Sie als Host Aufzeichnungen von Meetings anfertigen möchten, holen Sie bitte das Einverständnis aller Teilnehmer*innen vor Beginn der Aufzeichnung mündlich ein (die Teilnehmer*innen müssen der Aufnahme zusätzlich in der Zoom-Anwendung zustimmen). Löschen Sie Aufzeichnungen zum frühestmöglichen Zeitpunkt aus der Zoom-Cloud, und stellen Sie Aufzeichnungen von Lehrveranstaltungen bevorzugt über ILIAS bereit.

Sofern Sie im Rahmen der Lehre urheberrechtlich geschützte Werke in dem zulässigen Maß verwenden, ist zusätzlich eine wirksame Beschränkung des Nutzerkreises auf die Veranstaltungsteilnehmer*innen gesetzlich vorgeschrieben. Für diesen Fall haben Sie die Möglichkeit, in den Meeting-Optionen eine Registrierung der Teilnehmer*innen vorzusehen. Generell sollen Studierende an den Veranstaltung allerdings ohne Registrierung/Zoom-Account teilnehmen können; nehmen Sie diese Einstellung daher wirklich nur vor, wenn es aus Urheberrechtsgründen unbedingt erforderlich ist. Beachten Sie hierzu die Hinweise aus dem Justitiariat zum Thema Urheberrecht.

Datenschutzkonforme Konfiguration der Zoom-Plattform

Im Sinne einer datenschutzkonformen Nutzung können folgende Einstellungen nicht von einzelnen Hosts geändert werden:

• Kalender- und Kontakt-Integration [deaktiviert]
• Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
• Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
• Verhindern, dass Teilnehmer den Chat speichern [aktiviert]
• Chats automatisch speichern [deaktiviert]
• Fernsteuerung [deaktiviert]
• Kamerafernsteuerung [deaktiviert]
• Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
• Automatische Aufzeichnung [deaktiviert]
• Nur der Host kann Cloud-Aufzeichnungen herunterladen [aktiviert]
• Nur berechtigte Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
• Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
• Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [aktiviert]
• Aufnahmeeinverständnis [aktiviert]
• Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
• Fremde Meetings anzeigen [deaktiviert]
• Durchgehende Chatverschlüsselung aktivieren [aktiviert]
• Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
• Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
• Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
• Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
• Unternehmenskontakte [deaktiviert]

Die zeitweilig verfügbare Möglichkeit einer softwareseitigen Aufmerksamkeitsüberwachung („Aufmerksamkeitstracking“) wurde zwischenzeitlich durch den Software-Anbieter entfernt.