Skip to main content

Datenschutz

Handreichung für Datenschutzbeauftragte

MeetingSphere ist eine Lösung zur Durchführung kollaborativer Webkonferenzen und Online Workshops, die häufig auch in Präsenzmeetings eingesetzt wird. MeetingSphere enthält eine Reihe virtueller Arbeitsbereiche, in denen Teilnehmer brainstormen, diskutieren, präsentieren und abstimmen. Per Vorgabe sind Beiträge vollständig anonym. Es gibt keine Verknüpfung zwischen beitragender Person und Beitrag, auch nicht auf technischer Ebene.

MeetingSphere ist von Grund auf nach dem Grundsatz der Datensparsamkeit entwickelt. Benutzerkonten werden ausschließlich zum Zweck der Lizenzierung und Authentifizierung eingerichtet. Nicht mehr benötigte Meetings und inaktive Benutzer werden automatisch gelöscht. Aktivitäts- oder personenbezogene Auswertungen werden nicht unterstützt. Sämtliche Daten eines Meeting Centers verbleiben im Besitz und unterstehen der Kontrolle durch die Administratoren des Kunden. MeetingSphere nutzt Kundendaten nicht für eigene Zwecke und teilt diese mit niemandem.

Paragraph 11 der ‘MeetingSphere Terms and Conditions for the Software Service – International1) 2) lautet:

11. Datenschutz

11.1 Umfang. Sie (der Kunde) erkennen an, dass MeetingSphere seine Anwendungsdienstleistung in einem Modell mit Ihnen geteilter Verantwortung erbringt. Dieser Paragraph 11 definiert die Verantwortlichkeiten und Zusicherungen zwischen Ihnen und MeetingSphere in Sachen Datenschutz unter besonderer Berücksichtigung der EU-Datenschutzgrundverordnung (DSGVO) und erweitert die Geschäftsbedingungen zum Vertrag über die Auftragsdatenverarbeitung im Sinne der DSGVO.

11.2 Rollen. Im Zusammenhang dieser Vereinbarung handelt MeetingSphere als Auftragsverarbeiter. Sie agieren als Verantwortlicher und können dabei ebenfalls Auftragsverarbeiter im Sinne der DSVGO sein.

11.3 Arten gesammelter Information. Der Anwendungsdienst sammelt ein Minimum personenbezogener Daten über die Nutzer des Dienstes, die Beiträge dieser Nutzer sowie situationsbezogene Daten wie folgt:

11.3.1 Personenbezogene Daten. Der Anwendungsdienst sammelt personenbezogene Daten ausschließlich zum Zweck der Authentifizierung der Benutzer bei Anmeldung sowie der Identifizierung der Benutzer im Meeting. Die erhobenen Daten sind beschränkt auf (a) Vorname und Nachname, (b) Emailadresse und (c) Organisation bzw. Abteilung.

11.3.2 Beiträge von Benutzern. Benutzer und ihre Beiträge fallen in zwei Kategorien: (a) Teilnehmer, die Ideen, Kommentare und Bewertungen beitragen, welche Datei-Anhänge enthalten können und (b) Lizenzierte Benutzer, die Meetings mit Teilnehmern erstellen und zusätzlich Meeting-Strukturen beitragen wie Agenden und Fragen, mit denen Sie die Teilnehmer in ihrer Arbeit anleiten.

11.3.3 Situative Daten. Dieses sind Informationen, die zum Zweck von Sicherheitsüberprüfungen erhoben werden. Dazu gehören IP-Adressen, von denen sich Benutzer verbinden und welche Datensätze erzeugt, aufgerufen oder geändert wurden. MeetingSphere sichtet und analysiert diese Logs ausschließlich zur Sicherung des Betriebs und zum Schutz der im System gesammelten Informationen. MeetingSphere löscht Sicherheitslogs nach 90 Tagen.

11.4 MeetingSphere’s Pflichten und Verantwortlichkeiten. MeetingSphere implementiert und unterhält organisatorische und technische Vorkehrungen, um Ihre Daten angemessen und in Übereinstimmung mit den Anforderungen der DSGVO und dem Prinzip der Datengeheimhaltung zu schützen.

11.4.1 Verarbeitung. Der Anwendungsdienst verarbeitet personenbezogene Daten und Beiträge von Benutzern nur insofern als er die technische Funktionalität bereitstellt, mit der Ihre Benutzer solche Informationen eingeben, ändern oder löschen. Zur Klarstellung: MeetingSphere verarbeitet personenbezogene Daten ausschließlich durch (a) Bereitstellung der technischen Funktionen, die Sie im Rahmen der Anwendungsdienstleistung nutzen um personenbezogene Daten zu verarbeiten, (b) Erstellung, Wiederherstellung und Löschung von Sicherungskopien Ihrer Meeting Center-Datenbank, die solche Informationen enthält, (c) Erstellung, Speicherung und Löschung von Audit-Logs und (d) Speicherung von Lizenzinformationen im MeetingSphere Store.

11.4.2 Speicherung. Durch den Anwendungsdienst gesammelte Informationen werden in verschlüsselter Form ausschließlich am vereinbarten Ort gespeichert, von wo sie in verschlüsselter Form direkt an Benutzer übertragen werden. Zur Klarstellung: MeetingSphere wird Ihre personenbezogenen oder sonstigen Daten nicht außerhalb des vereinbarten Ortes speichern. Sofern Sie nichts anderes bestimmen, hostet MeetingSphere die Meeting Center von Gebietsansässigen der Europäischen Union in seinem Europäischen Rechenzentrum (Dublin, Irland). Falls Sie MeetingSphere anweisen, Ihr Meeting Center in Virginia zu hosten, gelten die Zusicherungen dieses Paragraphen 11 fort, sie fallen jedoch unter den Schutz des EU-U.S. Privacy Shield Frameworks.

11.4.3 Weitergabe gesammelter Informationen. MeetingSphere wird durch den Anwendungsdienst gesammelte Informationen niemandem bekanntmachen oder weitergeben, es sei denn, eine Herausgabe ist gesetzlich vorgeschrieben.

11.4.4 Unterverarbeitung. MeetingSpheres Anwendungsdienstleistung basiert auf den Infrastrukturdienstleistungen von Amazon (AWS) in der Verantwortung von MeetingSphere. Die Vereinbarung zwischen MeetingSphere und AWS erfüllt die Anforderungen der DSVGO an einen Vertrag zur Auftragsverarbeitung. MeetingSpheres U.S.-Datenzentrum (AWS Virginia) wird von MeetingSphere Inc betrieben, die unter dem EU-U.S. Privacy Shield Framework zertifiziert ist. MeetingSphere wird Sie über jede Veränderung bezüglich der Unterverarbeitung unterrichten.

11.4.5 Personal. MeetingSphere gewährleistet, dass alle mit der Verarbeitung Ihrer Daten befassten Personen hinsichtlich ihrer polizeilichen Führung überprüft sowie in den Anforderungen der DSGVO und der Datengeheimhaltung geschult und auf deren Einhaltung verpflichtet wurden.

11.4.6 Verschlüsselung. MeetingSphere garantiert, dass Informationen nur verschlüsselt gespeichert und an Benutzer übertragen werden.

11.4.7 Nutzung durch MeetingSphere. MeetingSphere nutzt durch die Anwendungsdienstleistung gesammelte Informationen nicht. Zur Klarstellung: MeetingSphere nimmt kein ‚Profiling‘ von Nutzungsmustern, Benutzerbeiträgen, personenbezogenen Daten oder anderweitig verknüpfter Informationen weder für bestimmte noch unbestimmte Zwecke vor und wird Dritte an einer solchen Nutzung hindern.

11.4.8 Andere Systeme. Die durch Ihre Nutzung des Anwendungsdiensts gesammelten Informationen werden gespeichert in (a) einer gesonderten Meeting Center-Instanz mit gesonderter Datenbank, (b) Sicherungskopien dieser Datenbank und (c) dem MeetingSphere Store. Der MeetingSphere Store ist in Dublin (Irland) verortet und speichert ausschließlich die Namen und Emailadressen Lizenzierter Benutzer, Subskriptionsadministratoren und Lizenzierer. MeetingSphere bewahrt diese lizenzrelevanten Informationen im Rahmen der gesetzlichen Bestimmungen und nach den Regeln ordnungsgemäßer Geschäftsführung als Teil seiner Geschäftsunterlagen auf.

11.4.9 Löschung. MeetingSphere löscht ihr Meeting Center samt Datenbank und aller Inhalte automatisch am Ende der dreimonatigen Nachfrist oder auf Ihre schriftliche Anweisung. Auf Ihren schriftlichen Auftrag löscht MeetingSphere auch Sicherungskopien Ihres Meeting Centers sollte dieses erforderlich sein, damit Sie einer Löschanweisung vollumfänglich nachkommen können. Zur Klarstellung: Nach einer solchen Löschung sind keine weiteren Kopien Ihrer Daten vorhanden und Sie erkennen an, dass solche Daten auch nicht wiederhergestellt werden können.

11.4.10 Nutzungsstatistiken. Zur Verbesserung des Produkts führt MeetingSphere anonymisierte Nutzungsstatistiken für Systemkomponenten. Die Statistik kann nicht auf einzelne Benutzer oder Benutzergruppen heruntergebrochen werden.

11.4.11 Benachrichtigung bei Datenschutzverletzungen. MeetingSphere wird Sie bei schwerwiegenden Verstößen durch MeetingSphere, sein Personal oder durch Dritte gegen Vorschriften zum Schutz Ihrer personenbezogenen Daten oder gegen die in diesem Vertrag getroffenen Festlegungen unverzüglich unterrichten. MeetingSphere trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit Ihnen ab. MeetingSphere wird Sie bei der Erfüllung Ihrer Informationspflichten gegenüber den Datensubjekten unterstützen.

11.4.12 Anfragen Betroffener. Auf Ihre schriftliche Anforderung wird MeetingSphere Sie dabei unterstützen, Betroffenen Auskünfte zur Erhebung, Verarbeitung oder Nutzung ihrer Daten Rahmen Ihrer Nutzung der Anwendungsdienstleistung zu erteilen. Sie und MeetingSphere erkennen das Recht von Personen, die unter den Schutz der DSGVO fallen, an, Auskunft zu ihren Daten nach den Bestimmungen der DSGVO oder, je nach Anwendbarkeit, des EU-U.S. Privacy Shields zu erhalten, und werden diesen Personen in Übereinstimmung mit den genannten Bestimmungen angemessenen Zugang zu ihren Daten zu ermöglichen. Sie und MeetingSphere werden zudem angemessene Maßnahmen treffen, um betroffenen Personen die Korrektur, Ergänzung oder Löschung solcher personenbezogenen Daten zu ermöglichen, die nachweislich falsch oder unvollständig sind. Individuen können den Zugang zu ihren Daten bzw. die Löschung, Korrektur oder Ergänzung dieser Daten gemäß den Bestimmungen der DSGVO bzw. des EU-U.S. Privacy Shields beantragen unter privacy@meetingsphere.com.

11.4.13 Privacy Shield. Für in den USA (AWS Virginia) gespeicherte Inhalte gelten MeetingSpheres Zusicherungen als Auftragsverarbeiter unter der DSGVO im Rahmen des EU-U.S. Privacy Shields fort. MeetingSpheres Anwendungsdienstleistung aus AWS Virginia wird betrieben durch MeetingSphere Inc. Wenn Sie sich dafür entscheiden, aus Virginia bedient zu werden, wird MeetingSphere Inc Ihr Auftragsverarbeiter. MeetingSphere Inc hält sich bezüglich der Sammlung, Verwendung und Aufbewahrung personenbezogener Daten, die von der Europäischen Union in die Vereinigten Staaten übertragen werden, an die Bestimmungen des EU-U.S. Privacy Shield Framework in der seitens des U.S. Department of Commerce veröffentlichten Fassung. MeetingSphere Inc hat dem Department of Commerce zugesichert, sich an die Prinzipien des Privacy Shields zu halten. Im Fall von Widersprüchen zwischen den Bestimmungen dieser Datenschutzerklärung und den Prinzipien des Privacy Shields haben die Prinzipien des Privacy Shields Vorrang. Um mehr über das Privacy Shield Programm zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.privacyshield.gov/.

Unter dem EU-U.S. Privacy Shield, ist MeetingSphere Inc den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) unterworfen. In Erfüllung der Privacy Shield Principles verpflichtet sich MeetingSphere Inc, Beschwerden über die Sammlung oder Verwendung personenbezogener Daten nachzukommen. Sie und EU-Bürger mit Fragen oder Beschwerden bezüglich MeetingSphere Incs Handhabung der Privacy Shield Bestimmungen sollten sich zunächst an MeetingSphere Inc wenden unter privacy@meetingsphere.com. MeetingSphere Inc verpflichtet sich, offen gebliebene Privacy Shield-Beschwerden an das International Centre for Dispute Resolution / American Arbitration Association (ICDR®/AAA®) weiterzugeben, einen in den USA ansässi-gen alternativen Mediator. Wenn Sie oder eine berechtigte Person keine zeitgerechte Eingangsbestätigung Ihrer jeweiligen Beschwerden von MeetingSphere Inc erhalten oder falls MeetingSphere Inc Ihrer jeweiligen Beschwerde nicht nachgekommen ist, kontaktieren oder besuchen Sie bitte die ICDR®/AAA® für weitere Informationen oder reichen Beschwerde ein unter http://go.adr.org/privacyshieldfiling.html. Unter bestimmten Bedingungen können betroffene Personen einen verbindlichen Schiedsspruch erwirken. Die Dienste der ICDR®/AAA® sind für Sie und betroffene Personen kostenlos.

11.5 Ihre Pflichten. Während MeetingSphere für die technische Sicherheit, Verfügbarkeit, Vertraulichkeit und Funktionalität der Anwendungsdienstleistung verantwortlich ist, obliegt es Ihnen, die Nutzung der Anwendungsdienstleistung in Übereinstimmung mit der DSGVO, den Prinzipien der Datensicherheit und anderen Sie betreffenden Bestimmungen zu gewährleisten. Diese Verpflichtung beinhaltet die nachfolgenden Unterabschnitte dieses Paragraphen 11.5, ist jedoch nicht auf diese beschränkt:

11.5.1 Sammlung Personenbezogener Daten. Sie werden personenbezogene Daten nur mit Zustimmung des jeweiligen Benutzers erheben.

11.5.2 Authentifizierung. Sie werden zum Schutz personenbezogener Daten Ihrer Benutzer angemessene Authentifizierungsanforderungen sowie eine Trennung von Rollen festlegen und durchsetzen.

11.5.3 Datensparsamkeit. Sie erkennen an, dass der Anwendungsdienst kein Aufbewahrungsmedium für die Ergebnisse und Protokolle von Meetings ist. Sie werden Ihre Administratoren und Lizenzierte Benutzer anweisen, personenbezogene Daten zu löschen, wenn diese ihren Zweck erfüllt haben, und die automatisierten Routinen des Anwendungsdienstes im Sinne der Datengeheimhaltung und -Sparsamkeit einzusetzen zur Löschung inaktiver Benutzerkonten sowie alter, ungenutzter Meetings, die Teilnehmerlisten enthalten können.

11.5.4 Unregelmäßigkeiten. Sie werden Ihre Administratoren belehren, dass jeder Versuch, die Schutzmechanismen der Anwendungsdienstleistung gegen den Export, das ‚Profiling‘ oder die Übertragung personenbezogener Daten zu umgehen oder auszuhebeln, ein schwerwiegender Verstoß gegen diesen Vertrag und möglicherweise strafbar sind. Sie werden MeetingSphere unverzüglich und detailliert informieren über Fehler, Schwachstellen oder Unregelmäßigkeiten, die Sie in der Anwendungsdienstleistung hinsichtlich der gesetzlichen Datenschutzbestimmungen entdecken.

Begriffsdefinitionen (Auszug)

DSGVO” bezeichnet die auch als ‘GDPR’ bekannte Datenschutzgrundverordnung der Europäischen Union.

Nachfrist” ist der in Wochen oder Monaten bemessene Zeitraum, für den ein Meeting Center nach Ablauf der Meeting Center Subskription erhalten bleibt zwecks nachträglicher Verlängerung.

Lizenzierter Benutzer” meint eine benannte Person, die von einem Subskriptionsadministrator oder Lizenzierer durch eine Benutzersubskription lizenziert wurde, Meetings als Gastgeber, Leiter oder Moderator durchzuführen. Die Neuzuweisung von Lizenzen von einer Person zur anderen ist zulässig zur Abbildung natürlicher Personalfluktuation oder Änderungen in der Stellenbeschreibung. Die Neuzuweisung von Lizenzen zum Zwecke der Nutzbarmachung einer begrenzten Anzahl von Lizenzen für eine größere Anzahl von Personen ist ein schwerer Verstoß gegen diese Vereinbarung.

Meeting Center” meint die technische Meeting Umgebung, in der Meetings geplant, durchgeführt und aufbewahrt werden und für die eine Meeting Center-Subskription erworben werden muss.

MeetingSphere Inc” bezeichnet MeetingSpheres US Tochterunternehmen MeetingSphere Inc, 440 Monticello Ave, Ste 1875, Norfolk, VA 23510. Für Kunden, die auf eigenen Wunsch aus MeetingSpheres US-Rechenzentrum (AWS Virginia) bedient werden, ist MeetingSphere Inc ein nach dem EU-U.S. Privacy Shield zertifizierter Unterverarbeiter von MeetingSphere.

MeetingSphere Store” bezeichnet MeetingSpheres System für die Subskriptionsverwaltung und die Bereitstellung der Anwendungsdienstleistung.

Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. Der MeetingSphere Anwendungsdienst erhebt lediglich die Namen, Emailadressen und Organisationsbezeichnung von Benutzern zum Zwecke der Authentifizierung der Benutzer bei Anmeldung und zur Identifizierung von Benutzern im Meeting. MeetingSphere erhebt keine Kennnummern, Standortdaten, Online-Kennungen oder besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

MeetingSphere speichert Daten nicht über ihren Zweck hinaus und unternimmt kein ‚Profiling‘. MeetingSphere teilt personenbezogene Daten keinem Dritten mit, es sei denn dieses ist rechtlich vorgeschrieben unter Einhaltung der vorgeschriebenen Verfahren.

Privacy Shield” bezeichnet das zwischen dem U.S. Department of Commerce und der Europäischen Kommission vereinbarte Regelwerk, das den Datenschutz für aus der Europäischen Union in die Vereinigten Staaten übertragenen Daten regelt.

1) Inoffizielle Übersetzung. Es gilt der Text des englischsprachigen Originals.

2) Die "Terms and Conditions for the Software Service - International" gelten für Kunden der Produkte 'Meeting Center (Cloud)' und 'Managed Server (Cloud)' von MeetingSphere GmbH, Hamburg HRB 153862. Die Vertragsbedingungen MeetingSphere One und Pro (siehe Subskriptionsvereinbarungen) unterscheiden sich hinsichtlich der Details der technischen Implementierung.