Skip to main content

Datenschutz

Datenschutz

MeetingSphere ist eine Lösung zur Durchführung dynamischer Webkonferenzen und Online Workshops, die häufig auch in Präsenzmeetings eingesetzt wird. MeetingSphere enthält eine Reihe virtueller Arbeitsbereiche, in denen Teilnehmer brainstormen, diskutieren und abstimmen. Per Vorgabe sind Beiträge vollständig anonym. Es gibt keine Verknüpfung zwischen beitragender Person und Beitrag, auch nicht auf technischer Ebene.

MeetingSphere ist von Grund auf nach dem Grundsatz der Datensparsamkeit entwickelt. Benutzerkonten werden ausschließlich zum Zweck der Lizenzierung und Authentifizierung eingerichtet. Nicht mehr benötigte Meetings und inaktive Benutzer werden automatisch gelöscht. Aktivitäts- oder personenbezogene Auswertungen werden nicht unterstützt. Sämtliche Daten eines Meeting Centers verbleiben im Besitz und unterstehen der Kontrolle durch die Administratoren des Kunden. MeetingSphere nutzt Kundendaten nicht für eigene Zwecke und teilt diese mit niemandem.

Paragraph 11 der ‘MeetingSphere Terms and Conditions for the Software Service – International’1) 2) lautet*:

11. Datenschutz

11.1 Umfang. Sie (der Kunde) erkennen an, dass MeetingSphere seine Anwendungsdienstleistung in einem Modell mit Ihnen geteilter Verantwortung erbringt. Dieser Paragraph 11 definiert die Verantwortlichkeiten und Zusicherungen zwischen Ihnen und MeetingSphere in Sachen Datenschutz unter besonderer Berücksichtigung der EU-Datenschutzgrundverordnung (DSGVO) und erweitert die Geschäftsbedingungen zum Vertrag über die Auftragsdatenverarbeitung im Sinne der DSGVO.

11.2 Rollen. Im Zusammenhang dieser Vereinbarung handelt MeetingSphere als Auftragsverarbeiter. Sie agieren als Verantwortlicher und können dabei ebenfalls Auftragsverarbeiter im Sinne der DSVGO sein.

11.3 Arten gesammelter Information. Der Anwendungsdienst sammelt ein Minimum personenbezogener Daten über die Nutzer des Dienstes, die Beiträge dieser Nutzer sowie situationsbezogene Daten wie folgt:

11.3.1 Personenbezogene Daten. Der Anwendungsdienst sammelt personenbezogene Daten ausschließlich zum Zweck der Authentifizierung der Benutzer bei Anmeldung sowie der Identifizierung der Benutzer im Meeting. Die erhobenen Daten sind beschränkt auf (a) Vorname und Nachname, (b) Emailadresse und (c) Organisation bzw. Abteilung.    

11.3.2 Beiträge von Benutzern. Benutzer und ihre Beiträge fallen in zwei Kategorien: (a) Teilnehmer, die Ideen, Kommentare und Bewertungen beitragen, welche Datei-Anhänge enthalten können und (b) Lizenzierte Benutzer, die Meetings mit Teilnehmern erstellen und zusätzlich Meeting-Strukturen beitragen wie Agenden und Fragen, mit denen Sie die Teilnehmer in ihrer Arbeit anleiten.

11.3.3 Situative Daten. Dieses sind Informationen, die zum Zweck von Sicherheitsüberprüfungen erhoben werden. Dazu gehören IP-Adressen, von denen sich Benutzer verbinden und welche Datensätze erzeugt, aufgerufen oder geändert wurden. MeetingSphere sichtet und analysiert diese Logs ausschließlich zur Sicherung des Betriebs und zum Schutz der im System gesammelten Informationen. MeetingSphere löscht Sicherheitslogs nach 90 Tagen.

11.4 MeetingSphere’s Pflichten und Verantwortlichkeiten. MeetingSphere implementiert und unterhält organisatorische und technische Vorkehrungen, um Ihre Daten angemessen und in Übereinstimmung mit den Anforderungen der DSGVO und dem Prinzip der Datengeheimhaltung zu schützen.

11.4.1 Verarbeitung. Der Anwendungsdienst verarbeitet personenbezogene Daten und Beiträge von Benutzern nur insofern als er die technische Funktionalität bereitstellt, mit der Ihre Benutzer solche Informationen eingeben, ändern oder löschen. Zur Klarstellung: MeetingSphere verarbeitet personenbezogene Daten ausschließlich durch (a) Bereitstellung der technischen Funktionen, die Sie im Rahmen der Anwendungsdienstleistung nutzen um personenbezogene Daten zu verarbeiten, (b) Erstellung, Wiederherstellung und Löschung von Sicherungskopien Ihrer Meeting Center-Datenbank, die solche Informationen enthält, (c) Erstellung, Speicherung und Löschung von Audit-Logs und (d) Speicherung von Lizenzinformationen im MeetingSphere Store.

11.4.2 Speicherung. Durch den Anwendungsdienst gesammelte Informationen werden in verschlüsselter Form ausschließlich am vereinbarten Ort gespeichert, von wo sie in verschlüsselter Form direkt an Benutzer übertragen werden. Zur Klarstellung: MeetingSphere wird Ihre personenbezogenen oder sonstigen Daten nicht außerhalb des vereinbarten Ortes speichern. Sofern Sie nichts anderes bestimmen, hostet MeetingSphere die Meeting Center von Gebietsansässigen der Europäischen Union in seinem Europäischen Rechenzentrum (Dublin, Irland). Falls Sie MeetingSphere anweisen, Ihr Meeting Center aus einem außerhalb der Europäischen Union befindlichen Rechenzentrum bereitzustellen (z.B. Virginia), gelten die Zusicherungen dieses Paragraphen 11 unverändert mit Ausnahme der Gültigkeit europäischen Rechts am Speicherort.

11.4.3 Weitergabe gesammelter Informationen. MeetingSphere wird durch den Anwendungsdienst gesammelte Informationen niemandem bekanntmachen oder weitergeben, es sei denn, eine Herausgabe ist gesetzlich vorgeschrieben.

11.4.4 Unterverabeitung. MeetingSpheres Anwendungsdienstleistung basiert auf den Infrastrukturdienstleistungen von Amazon (AWS) in der Verantwortung von MeetingSphere. Die Vereinbarung zwischen MeetingSphere und AWS erfüllt die Anforderungen der DSVGO an einen Vertrag zur Auftragsverarbeitung. MeetingSphere wird Sie über jede Veränderung bezüglich der Unterverarbeitung unterrichten.

11.4.5 Personal. MeetingSphere gewährleistet, dass alle mit der Verarbeitung Ihrer Daten befassten Personen hinsichtlich ihrer polizeilichen Führung überprüft sowie in den Anforderungen der DSGVO und der Datengeheimhaltung geschult und auf deren Einhaltung verpflichtet wurden.

11.4.6 Verschlüsselung. MeetingSphere garantiert, dass Informationen nur verschlüsselt gespeichert und an Benutzer übertragen werden.

11.4.7 Nutzung durch MeetingSphere. MeetingSphere nutzt durch die Anwendungsdienstleistung gesammelte Informationen nicht. Zur Klarstellung: MeetingSphere nimmt kein ‚Profiling‘ von Nutzungsmustern, Benutzerbeiträgen, personenbezogenen Daten oder anderweitig verknüpfter Informationen weder für bestimmte noch unbestimmte Zwecke vor und wird Dritte an einer solchen Nutzung hindern.

11.4.8 Andere Systeme. Die durch Ihre Nutzung des Anwendungsdiensts gesammelten Informationen werden gespeichert in (a) einer gesonderten Meeting Center-Instanz mit gesonderter Datenback, (b) Sicherungskopien dieser Datenbank und (c) dem MeetingSphere Store. Der MeetingSphere Store ist in Virginia (USA) verortet und speichert ausschließlich die Namen und Emailadressen Lizenzierter Benutzer, Subskriptionsadministratoren und Lizenzierer. MeetingSphere bewahrt diese lizenzrelevanten Informationen im Rahmen der gesetzlichen Bestimmungen und nach den Regeln ordnungsgemäßer Geschäftsführung als Teil seiner Geschäftsunterlagen auf.

11.4.9 Löschung. MeetingSphere löscht ihr Meeting Center samt Datenbank und aller Inhalte automatisch am Ende der dreimonatigen Nachfrist oder auf Ihre schriftliche Anweisung. Auf Ihre schriftlichen Auftrag löscht MeetingSphere auch Sicherungskopien Ihres Meeting Centers sollte dieses erforderlich sein, damit Sie einer Löschanweisung vollumfänglich nachkommen können. Zur Klarstellung: Nach einer solchen Löschung sind keine weiteren Kopien Ihrer Daten vorhanden und Sie erkennen an, dass solche Daten auch nicht wiederhergestellt werden können.

11.4.10 Nutzungsstatistiken. MeetingSphere zählt Benutzeranmeldungen sowie die Zahl neuer Meetings eines Meeting Centers pro Tag. Die Statistik kann nicht auf einzelne Benutzer oder Benutzergruppen heruntergebrochen werden und wird nach 180 Tagen unwiderruflich gelöscht.

11.4.11 Benachrichtigung bei Datenschutzverletzungen. MeetingSphere wird Sie bei schwerwiegenden Verstößen durch MeetingSphere, sein Personal oder durch Dritte gegen Vorschriften zum Schutz Ihrer personenbezogenen Daten oder gegen die in diesem Vertrag getroffenen Festlegungen unverzüglich unterrichten. Meeting¬Sphere trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit Ihnen ab. MeetingSphere wird Sie bei der Erfüllung Ihrer Informationspflichten gegenüber den Datensubjekten unterstützen.

11.4.12 Anfragen Betroffener. Auf Ihre schriftliche Anforderung wird MeetingSphere Sie dabei unterstützen, Betroffenen Auskünfte zur Erhebung, Verarbeitung oder Nutzung ihrer Daten im Rahmen der Nutzung der Anwendungsdienstleistung zu erteilen. Dies setzt voraus, dass Sie MeetingSphere die durch diese Unterstützung verursachten Kosten erstatten. MeetingSphere wird Anfragen von Datensubjekten nicht selbst beantworten und Betroffene stets an Sie verweisen.

11.5 Ihre Pflichten. Während MeetingSphere für die technische Sicherheit, Verfügbarkeit, Vertraulichkeit und Funktionalität der Anwendungsdienstleistung verantwortlich ist, obliegt es Ihnen, die Nutzung der Anwendungsdienstleistung in Übereinstimmung mit der DSGVO, den Prinzipien der Datensicherheit und anderen Sie betreffenden Bestimmungen zu gewährleisten. Diese Verpflichtung beinhaltet die nachfolgenden Unterabschnitte dieses Paragraphen 11.5, ist jedoch nicht auf diese beschränkt:

11.5.1 Sammlung Personenbezogener Daten. Sie werden personenbezogene Daten nur mit Zustimmung des jeweiligen Benutzers erheben.

11.5.2 Authentifizierung. Sie werden zum Schutz personenbezogener Daten Ihrer Benutzer angemessene Authentifizierungsanforderungen sowie eine Trennung von Rollen festlegen und durchsetzen.

11.5.3 Datensparsamkeit. Sie erkennen an, dass der Anwendungsdienst kein Aufbewahrungsmedium für die Ergebnisse und Protokolle von Meetings ist. Sie werden Ihre Administratoren und Lizenzierte Benutzer anweisen, personenbezogene Daten zu löschen, wenn diese ihren Zweck erfüllt haben, und die automatisierten Routinen des Anwendungsdienstes im Sinne der Datengeheimhaltung und -Sparsamkeit einzusetzen zur Löschung inaktiver Benutzerkonten sowie alter, ungenutzter Meetings, die Teilnehmerlisten enthalten können.

11.5.4 Unregelmäßigkeiten. Sie werden Ihre Administratoren belehren, dass jeder Versuch, die Schutzmechanismen der Anwendungsdienstleistung gegen den Export, das ‚Profiling‘ oder die Übertragung personenbezogener Daten zu umgehen oder auszuhebeln, ein schwerwiegender Verstoß gegen diesen Vertrag und möglicherweise strafbar sind. Sie werden MeetingSphere unverzüglich und detailliert informieren über Fehler, Schwachstellen oder Unregelmäßigkeiten, die Sie in der Anwendungsdienstleistung hinsichtlich der gesetzlichen Datenschutzbestimmungen entdecken.

Definitionen der Geschäftsbedingungen (Auszug)

Nachfrist” ist der in Wochen oder Monaten bemessene Zeitraum, für den ein Meeting Center nach Ablauf der Meeting Center Subskription erhalten bleibt zwecks nachträglicher Verlängerung.

Lizenzierter Benutzer” meint eine benannte Person, die von einem Subskriptionsadministrator oder Lizenzierer durch eine Benutzersubskription lizenziert wurde, Meetings als Gastgeber, Leiter oder Moderator durchzuführen. Die Neuzuweisung von Lizenzen von einer Person zur anderen ist zulässig zur Abbildung natürlicher Personalfluktuation oder Änderungen in der Stellenbeschreibung. Die Neuzuweisung von Lizenzen zum Zwecke der Nutzbarmachung einer begrenzten Anzahl von Lizenzen für eine größere Anzahl von Personen ist ein schwerer Verstoß gegen diese Vereinbarung.

“Meeting Center” meint die technische Meeting Umgebung, in der Meetings geplant, durchgeführt und aufbewahrt werden und für die eine Meeting Center-Subskription erworben werden muss.

MeetingSphere Store” benennt MeetingSphere’s System für Transaktionen bezüglich Meeting Center- und Benutzersubskriptionen sowie für die Bereitstellung der Anwendungsdienstleistung.

Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. Der MeetingSphere Anwendungsdienst erhebt lediglich die Namen, Emailadressen und Organisationsbezeichnung von Benutzern zum Zwecke der Authentifizierung der Benutzer bei Anmeldung und zur Identifizierung von Benutzern im Meeting. MeetingSphere erhebt keine Kennnummern, Standortdaten, Online-Kennungen oder besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
MeetingSphere speichert Daten nicht über ihren Zweck hinaus und unternimmt kein ‚Profiling‘. MeetingSphere teilt personenbezogene Daten keinem Dritten mit, es sei denn dieses ist rechtlich vorgeschrieben unter Einhaltung der vorgeschriebenen Verfahren.

1) Inoffizielle Übersetzung. Es gilt der Text des englischsprachigen Originals.

2) Die "Terms and Conditions for the Software Service - International" gelten für nicht-amerikanische Kunden der Produkte 'Meeting Center (Cloud)' und 'Managed Server (Cloud)' von MeetingSphere GmbH, Hamburg HRB 153862. Die Vertragsbedingungen MeetingSphere One und Pro (siehe Subskriptionsvereinbarungen) unterscheiden sich hinsichtlich der Details der technischen Implementierung.