Transparenzerklärung für Teilnehmer (m/w/d), an unseren Zoom-Calls

Guten Tag und danke für Ihr Interesse an unseren Zoom-Calls. Allein aus Gründen der besseren Lesbarkeit wird – im Rahmen der nachfolgenden Erläuterungen – auf die gleichzeitige Verwendung männlicher und weiblicher und diverser Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten für alle Geschlechter: m/w/d. Neben diesen und anderen Dingen nehmen wir auch Ihre Rechte auf Privatsphäre, Datenschutz und informationelle Selbstbestimmung sehr ernst.  Daher möchten wir Sie über folgendes informieren:

Wer sind wir?

BVMW – Bundesverband mittelständische Wirtschaft, Unternehmerverband Deutschlands e.V., Potsdamer Straße 7, 10785 Berlin, vertreten durch den Präsidenten Mario Ohoven, Telefon: +49 30 533206-0, Telefax: +49 30 533206-50, E-Mail: info@bvmw.de. Zudem haben wir einen Datenschutzbeauftragten bestellt. Um seine Unabhängigkeit zu gewährleisten, haben wir einen externen Berater beauftragt. Dabei handelt es sich um den Rechtsanwalt Dr. Stephan Gärtner. Gern können Sie ihn jederzeit kontaktieren. Sie erreichen ihn wie folgt: Rechtsanwalt Dr. Stephan Gärtner, dsb@stanhope.de.

 

Was geschieht bei der Nutzung unserer Internetseite?

Die hiesige Erklärung betrifft nur den Fall, dass Sie sich zu unserem Zoom-Call. Daher verweisen wir hinsichtlich der Nutzung unserer Internetseite auf unsere gesonderte Datenschutzerklärung (https://www.bvmw.de/datenschutz/). Dort finden Sie alle Informationen zur Verarbeitung Ihrer personenbezogenen Daten bei Besuch unserer Internetseite.

Was geschieht, wenn ich mich zum Zoom-Call anmelde und danach?

(1) Soweit Sie sich für einen unserer Zoom-Calls anmelden, verarbeiten wir sämtliche Daten, die Sie uns gegenüber mitteilen sowie alle Daten, die zwingend für die Vorbereitung, Durchführung und Nachbereitung des Zoom-Calls erforderlich sind.  Hierbei setzen wir, wie Sie dem Titel unserer Datenschutzerklärung entnehmen können, dass Tool „Zoom“ ein. Mehr dazu erfahren Sie unter „Wie setzen wir Zoom ein?“. Die Rechtsgrundlage für diese Verarbeitung ist Artikel 6 Absatz 1 lit. b DSGVO, denn die Kommunikation ist ein Angebot unsererseits im Rahmen unseres wechselseitigen Vertragsverhältnisses.

(2) Wir verarbeiten in diesem Fall Ihre Daten auch, um gesetzliche Pflichten, denen wir unterliegen, zu erfüllen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO, § 147 AO, § 257 HGB. Nach diesen Vorschriften sind einige der o.g. Daten auch über den Zeitpunkt der Zweckerreichung hinaus aufzubewahren. So sind wir ggf. verpflichtet,

  1. Daten zu Ihrer Person, die sich aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Einzelabschlüssen nach § 325 Abs. 2a HGB, Konzernabschlüssen, Lageberichten und Konzernlageberichten, Eröffnungsbilanzen, Buchungsbelegen, Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, Handelsbüchern sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen ergeben, für zehn Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB),
  2. Daten zu Ihrer Person, die sich aus empfangenen Handels- oder Geschäftsbriefen, aus der Wiedergabe der empfangenen Handels- oder Geschäftsbriefe sowie aus sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind, für sechs Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB).

(3) Soweit nicht ausdrücklich auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird, besteht keine rechtliche Verpflichtung die Daten zu verarbeiten.

Wie setzen wir Zoom ein?

(1) Wir setzen für die Durchführung des Termins das Videokonferenzdienst Zoom ein. Dabei werden Ihre personenbezogenen Daten (E-Mail-Adresse, Name, Videoübertragungsdaten, Anwesenheitsdaten) durch die Zoom Video Communications, Inc. 55 Almaden Blvd, Suite 600, San Jose, CA 95113 in den USA und in unserem Auftrag verarbeitet. Die Rechtsgrundlage folgt aus Artikel 6 Absatz 1 Satz 1 lit. b DSGVO (vgl. auch „Was geschieht, wenn ich mich zum Zoom-Call anmelde und danach?“). (2) Die Durchleitung der Daten durch einen Anbieter mit Sitz in den USA ist gemäß Artikel 45 Absätze 1 und 9 DSGVO i.V.m. dem Durchführungsbeschluss (EU) 2016/1250 gerechtfertigt. Wir weisen Sie darauf hin, dass es Ihnen strengstens untersagt ist, Screenshots, Video- oder Tonaufzeichnungen von dem Gespräch anzufertigen und/oder zu verbreiten.

(3) Derzeit wird über die DSGVO-Konformität von Zoom viel diskutiert. Wir haben die häufigsten Fragen sowie unsere Antworten darauf zusammengefasst und dieser Transparenzerklärung angehängt.

 Welche Rechte haben Sie?

Sie haben einige Rechte. Sie haben das Recht auf Auskunft über die zu Ihrer Person verarbeiteten personenbezogenen Daten sowie auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben Sie die Möglichkeit, sich über uns bei der für uns zuständigen Aufsichtsbehörde zu beschweren. Höflich weisen wir darauf hin, dass diese Rechte ggf. an Voraussetzungen geknüpft sind, auf deren Vorliegen wir bestehen werden.

 

FAQ – Zoom und DSGVO

Unser Datenschutzbeauftragter (Rechtsanwalt Dr. Stephan Gärtner) hat sich bereits vor Einsatz von Zoom durch den BVMW mit dem Thema Zoom intensiv auseinandergesetzt und die wichtigsten Fragen zusammengetragen und natürlich beantwortet.

 

Fragen im Überblick

Allgemeine Fragen zum Datenschutz

  1. Welche Rollen gibt es bei der Datenverarbeitung?
  2. Wann dürfen personenbezogene Daten verarbeitet werden?
  3. Wann dürfen personenbezogene Daten durch den BVMW verarbeitet werden?
  4. Sind Videokonferenztools überhaupt zulässig?

 

Allgemeine Fragen zu Zoom

  1. Wer oder was steht hinter Zoom?
  2. Meine Daten werden also an ein US-Unternehmen übermittelt. Verstößt das nicht gegen das Datenschutzrecht?
  3. Zoom ist also im PrivacyShield registriert. Davon ist doch nicht viel zu halten, oder?

Einzelfragen zu Zoom

  1. Im Internet ist zu lesen, die Zoom-Datenschutzerklärung sei rechtswidrig. Damit ist doch auch die Datenverarbeitung bei Zoom rechtswidrig, oder?
  2. Ich habe eine Stellungnahme von Alexander Roßnagel gelesen, wonach der Einsatz von Zoom an der Uni-Kassel bedenklich wäre. Müssten wir nicht die gleichen Schlussfolgerungen ziehen?
  3. Ich habe recherchiert und herausgefunden, dass Zoom meine Daten an Facebook übermittelt. Müssten wir nicht wenigstens deshalb auf Zoom verzichten?
  4. Letztlich übermittelt Zoom doch meine Daten an Dritte. Sollten wir nicht deshalb auf den Einsatz vom Zoom verzichten?

Allgemeine Fragen zum Datenschutz 

  1. Welche Rollen gibt es bei der Datenverarbeitung?

Jede Datenverarbeitung hat mindestens zwei Akteure: Den Betroffenen und den Verantwortlichen. Daneben können (müssen aber nicht!) der Auftragsverarbeiter und der gemeinsam Verantwortliche auftreten. Hierzu eine kurze Erklärung:

  • Der Betroffene ist die natürliche Person (= Mensch aus Fleisch und Blut), deren Daten verarbeitet werden.
  • Der Verantwortliche ist die Stelle, die die Verarbeitung maßgeblich steuert.
  • Wenn der Verantwortliche die Datenverarbeitung nicht allein vornehmen möchte, kann er die Verarbeitung entweder auslagern oder auf Augenhöhe mit einer anderen Stelle gemeinsam vornehmen.
    • Im Falle der Auslagerung heißt der beauftragte Subunternehmer Auftragsverarbeiter.
    • Im Falle der gemeinsamen Verarbeitung spricht von „joint-controllern“.

 

  1. Wann dürfen personenbezogene Daten verarbeitet werden?

Das europäische Recht beantwortet diese Frage klar und deutlich: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn der Betroffene willigt darin ein oder es gibt eine Rechtsvorschrift, die die Verarbeitung erlaubt oder sogar vorschreibt. Hierbei gibt es zahlreiche Rechtsvorschriften, die die Verarbeitung personenbezogener Daten auch ohne Einwilligung erlauben: Etwa, wenn sie erforderlich für die Erfüllung eines Vertrages ist (Artikel 6 Absatz 1 Satz 1 lit. b DSGVO) oder wenn sie einem berechtigten Interesse dient (Artikel 6 Absatz 1 Satz 1 lit. f DSGVO).

  1. Wann dürfen personenbezogene Daten durch den BVMW verarbeitet werden?

Soweit der BVMW die Daten seiner Mitglieder und Funktionsträger verarbeitet, ist dies i.d.R. ohne Einwilligung erlaubt, da der BVMW damit den jeweiligen Vertrag erfüllt (Artikel 6 Absatz 1 Satz 1 lit. b DSGVO). In einigen Fällen wird aber dennoch auf eine Einwilligung zurückgegriffen, etwa bei Veranstaltungsfotos und bestimmten Marketingmaßnahmen. Bei den Interessendaten, also Informationen über potentielle Neumitglieder, sind aber die Funktionsträger die Verantwortlichen. Hier agiert der BVMW lediglich als Auftragsverarbeiter.

  1. Sind Videokonferenztools überhaupt zulässig?

Der Einsatz von Videokonferenztools ist mit einer Verarbeitung von Daten verbunden. Mithin bedarf dies einer Rechtsgrundlage (vgl. „2. Wann dürfen personenbezogene Daten verarbeitet werden?“). Sofern diese aber besteht, etwa weil damit ein Vertrag erfüllt wird, ist der Einsatz auch zulässig. Hierbei sollte natürlich darauf geachtet werden, dass der Anbieter des jeweiligen Videokonferenztools als Auftragsverarbeiter (vgl. „1. Welche Rollen gibt es bei der Datenverarbeitung?“) entsprechend vertraglich gebunden wird. Gerade in der aktuellen gesundheitspolitischen Lage ist ein Ausweichen auf Videokonferenztools oftmals die einzige Möglichkeit, Geschäftsbetriebe aufrecht zu erhalten, sodass im Sinne der Vermeidung von Ansteckungsrisiken der Umstieg geboten erscheint.

 

Allgemeine Fragen zu Zoom 

  1. Wer oder was steht hinter Zoom?

Zoom ein Videokonferenzdienst, der von der Zoom Video Communications, Inc. 55 Almaden Blvd, Suite 600, San Jose, CA 95113 in den USA angeboten wird. Der BVMW ist im Rahmen des Einsatzes von Zoom der Verantwortliche. Zoom selbst ist in dieser Konstellation ein sog. Auftragsverarbeiter (vgl. Allgemeine Fragen zum Datenschutz und dort „1. Welche Rollen gibt es bei der Datenverarbeitung?“).

  1. Meine Daten werden also an ein US-Unternehmen übermittelt. Verstößt das nicht gegen das Datenschutzrecht?

Über diese Frage haben wir uns lange Gedanken gemacht. Nach der DSGVO müssen für die Übermittlung von Daten in die USA zwei Voraussetzungen erfüllt sein. Erstens muss die Datenverarbeitung an sich rechtmäßig sein, was hier der Fall ist (vgl. Allgemeine Fragen zum Datenschutz und dort „4. Sind Videokonferenztools überhaupt zulässig?“). Zweitens muss eine gesonderte Rechtsgrundlage für die Übermittlung der Daten in die USA gegeben sein. Die DSGVO kennt hier zahlreiche Rechtfertigungsinstrumente. Zoom erfüllt gleich zwei davon: Zum einen ist die Übertragung der Daten in die USA gemäß Artikel 45 Absätze 1 und 9 DSGVO i.V.m. dem Durchführungs-beschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 (C (2016) 4176) gerechtfertigt. Denn der Anbieter ist im Privacy-Shield-Framework gelistet, sodass die Übertragung der Daten in die USA zulässig ist. Zum anderen ist die Übertragung der Daten in die USA gemäß Artikel 46 Absätze 1 und 5 DSGVO i.V.m. Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (K(2010) 593) gerechtfertigt. Denn der Anbieter hat sich gemäß diesen Standardvertragsklauseln verpflichtet, europäisches Datenschutzrecht zu achten. 

  1. Zoom ist also im PrivacyShield registriert. Davon ist doch nicht viel zu halten, oder?

Natürlich nehmen wir diese Diskussion wahr. Dennoch müssen wir alle folgendes zur Kenntnis nehmen: Das PrivacyShield ist eine Absprache zwischen der USA und der EU, an dem bis heute beide Seiten festhalten. Solange das der Fall ist, kann und darf der BVMW auf die Rechtmäßigkeit der hierauf gestützten Datenverarbeitung vertrauen.

 

Einzelfragen zu Zoom

1, Im Internet ist zu lesen, die Zoom-Datenschutzerklärung sei rechtswidrig. Damit ist doch auch die Datenverarbeitung bei Zoom rechtswidrig, oder?

Die Frage, ob die Datenschutzerklärung von Zoom nun den Artikeln 13 und 14 DSGVO genügt oder nicht, ist noch offen. Gerichts- oder Behördenentscheidungen sind uns unbekannt. Außerdem werden in der Fachwelt hierzu unterschiedliche Auffassungen vertreten. Wir wollen uns momentan an dieser Diskussion nicht beteiligen, da sie vorerst auch gar nicht entscheidend ist. Denn das Argument, die Nutzung von Zoom sei wegen der Zoom-Datenschutzerklärungen rechtswidrig, trifft nicht zu. Hierfür gibt es im Wesentlichen zwei Gründe:

  1. Die Pflicht, eine Datenschutzerklärung bereitzuhalten, folgt aus den Artikeln 13 und 14 DSGVO. Beide Normen verpflichten den sog. Verantwortlichen einer Datenverarbeitung (vgl. Allgemeine Fragen zum Datenschutz und dort „ Welche Rollen gibt es bei der Datenverarbeitung?“) eine rechtskonforme Datenschutzerklärung (sinngleich mit Transparenzerklärung) abzugeben. Der Wortlaut der Vorschriften ist hier eindeutig. Es heißt dort:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

Da Zoom bei unseren Zoom-Calls aber nicht als Verantwortlicher, sondern als Auftragsverarbeiter auftritt (vgl. „Wer oder was steht hinter Zoom?“), muss Zoom hier gar keine Datenschutzerklärung abgeben; zumindest nicht Ihnen gegenüber.

  1. Doch spielen wir das Spiel einmal weiter und nehmen an, die Datenschutzerklärung sei hier tatsächlich rechtswidrig. Auch dann ändert sich nicht viel. Denn ein Verstoß gegen die Pflicht zur Abgabe einer ordnungsgemäßen Datenschutzerklärung (Artikel 13 und 14 DSGVO) führt gerade nicht zur Rechtswidrigkeit der Verarbeitung. Denn wenn eine Verarbeitung auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO beruht (wie hier), dann führt ein Verstoß gegen die Transparenzvorschriften nicht zur Rechtswidrigkeit der Verarbeitung. In der juristischen Literatur wird diese Meinung immer wieder bestätigt. Beispielsweise weisen wir auf folgende Fundstellen hin: Schmidt-Wudy, BeckOK Datenschutzrecht, Wolff/Brink, 31. Edition, Stand: 01.02.2020, Artikel 13 Rn. 19 sowie Paal/Pauly in Paal/Hennemann, 2. Aufl. 2018, DS-GVO Art. 13 Rn. 9a.

 

  1. Ich habe eine Stellungnahme von Alexander Roßnagel gelesen, wonach der Einsatz von Zoom an der Uni-Kassel bedenklich wäre. Müssten wir nicht die gleichen Schlussfolgerungen ziehen?

Herr Prof. Roßnagel ist ein äußerst respektabler Datenschutzrechtler. Deshalb haben wir seine Rechtsauffassung intensiv überprüft. Hierzu können wir folgendes sagen: Herr Prof. Roßnagel hat den Einsatz von Zoom innerhalb der Universität Kassel betrachtet, während wir den Einsatz dieses Videokonferenz-Tools in einem Netzwerk zwischen Ihnen und den BVMW zu bewerten hatten. Beide Fälle unterscheiden sich in einem entscheidenden Punkt. An der Universität Kassel ging es um arbeits- (Hochschulpersonal) und hochschulrechtliche (Studenten) Datenschutzfragen, während beim BVMW der Einsatz von Zoom in einem Unternehmernetzwerk betraf. Beide Fällen sind also unterschiedlich zu bewerten. Denn es liegt auf der Hand, dass Beschäftigte und Studenten anderen Zwängen ausgesetzt sind als Unternehmer, die sich freiwillig in einen Zoom-Call begeben. Schlussendlich möchten wir uns aber auch Herrn Prof. Roßnagel anschließen, der in seiner Stellungnahme zu folgendem Ergebnis kommt: 

Daher kann der Hessische Datenschutzbeauftragte die Nutzung von Zoom allein aus dem Grund, dass Daten in die USA übermittelt werden, nicht untersagen.

 

  1. Ich habe recherchiert und herausgefunden, dass Zoom meine Daten an Facebook übermittelt. Müssten wir nicht wenigstens deshalb auf Zoom verzichten?

Hiervon haben wir auch gehört. Das wichtigste zuerst: Zoom hat diese Praxis mittlerweile mit einem Update behoben. Aber auch unabhängig davon müssen wir diesen Umstand richtig einordnen. Der Vorgang betraf nur diejenigen Nutzer, die mittels iOS-App von Zoom an Gesprächen teilnahmen und daher gar nicht den gesamten Anwenderbereich. Im Übrigen wurden keine Gesprächsinhalte weitergegeben, sondern Details über das verwendete iPhone, die Zeitpunkte, wann die App geöffnet werde sowie die gerätespezifische Werbe-ID. Auch wenn das keine belanglosen Daten sind, erscheint dies nun in einem neuen Licht.

  1. Letztlich übermittelt Zoom doch meine Daten an Dritte. Sollten wir nicht deshalb auf den Einsatz vom Zoom verzichten?

Wir haben auch diesen Umstand gewissenhaft überprüft. Auch hier ist der tatsächliche Sachverhalt wichtiger als die Überschrift. Der hier erhobene Vorwurf ging dahin, dass Zoom personenbezogene Daten an das Unternehmen Wootric, Inc. übermittle. Dies trifft zu und ist seit langem bekannt. Dennoch führt dies nicht zur Rechtswidrigkeit der Datenverarbeitung. Denn Wootric ist ein Auftragsverarbeiter (vgl. Allgemeine Fragen zum Datenschutz und dort „1. Welche Rollen gibt es bei der Datenverarbeitung?“) und damit ist die Datenübermittlung zulässig. Dass hierauf nur in der Subunternehmerliste von Zoom, aber nicht in der Datenschutzerklärung von Zoom hingewiesen wird, ist aus zwei Gründen unerheblich. Erstens gibt es keine Pflicht, Subunternehmer in der Datenschutzerklärung zu nennen. Zweitens führt eine möglicherweise unzureichende Datenschutzerklärung nicht zwingend zur Rechtswidrigkeit der Verarbeitung (vgl. „Im Internet ist zu lesen, die Zoom-Datenschutzerklärung sei rechtswidrig. Damit ist doch auch die Datenverarbeitung bei Zoom rechtswidrig, oder?“).

Kontaktieren Sie uns.

Bei Fragen und Anmerkungen helfen wir Ihnen gerne weiter. Schreiben Sie uns!

Nicht lesbar? Neues Captcha anfragen. captcha txt

Start typing and press Enter to search