DFN-Verein: Domains

Datenschutzhinweise zum Dienst DFNconf

Art. 12 Absatz 1, Satz 1 der EU-Datenschutz-Grundverordnung (DSGVO), regelt: "Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; (...)." Dieser Verpflichtung kommt der

Verein zur Förderung eines Deutschen Forschungsnetzes e.V.
Alexanderplatz 1
10178 Berlin
E-Mail: info@dfn.de
Telefon: +49 30 884299 0

als Verantwortlicher mit der nachfolgenden Information nach.

Kontaktdaten der Datenschutzbeauftragten im DFN-Verein:
Verein zur Förderung eines Deutschen Forschungsnetzes e.V.
z. Hd. Der Datenschutzbeauftragten
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de
Telefon: +49 30 884299 9103

 

Veranstalter an den teilnehmenden Institutionen sind verpflichtet, den jeweiligen Teilnehmern ihrer Veranstaltung die hier beschriebenen Informationen zugänglich zu machen und die Einwilligung zur Datenverarbeitung bei den Teilnehmern vorher einzuholen.

Portale und Registrierung

Allgemeine datenschutzrechtliche Informationen zum Portal ohne Registrierung

Das Portal dient Veranstaltern von Video-, Web- und Telefonkonferenzen dazu, diese zu verwalten und Teilnehmern den Zugang zu den Diensten zu ermöglichen. Über die Nutzung des Portals werden Log-Dateien angelegt und im Falle eines Sicherheitsvorfalls durch dazu befugtes Personal ausgewertet. Die Log-Dateien beinhalten Informationen darüber, zu welchem Zeitpunkt auf Inhalte zugegriffen wurde, welche Datenmenge hierbei übertragen wurde und ob der Zugriff erfolgreich war, welcher Browsertyp (sofern vom Client übermittelt) genutzt wurde und den Referrer. Die IP-Adressen in den Log-Dateien werden gekürzt gespeichert (bei IPv4 werden die letzten beiden Bytes durch .0 und bei IPv6 die letzten 10 Bytes durch :: ersetzt). Eine Weitergabe dieser Daten erfolgt nur bei Vorliegen einer entsprechenden gesetzlichen Vorgabe oder zur Verfolgung einer Straftat. Eine Weitergabe der Daten an Dritte erfolgt ansonsten nicht.

Zusätzliche datenschutzrechtliche Informationen für die Nutzung des Portals mit Registrierung

Bei der Nutzung des Portals durch registrierte Nutzer werden folgende Log-Daten erhoben:

  • IP-Adresse, von der aus der Zugriff erfolgt,
  • Zeitstempel,
  • Browsertyp (sofern vom Client übermittelt),
  • übertragene Datenmenge,
  • Referrer,
  • Art und Ziel der Abfrage

Die Protokollierung dieser Daten dient zur Erkennung und Beseitigung von Störungen und dem Schutz vor Missbrauch. Die maximale Aufbewahrungsfrist beträgt 7 Tage.

Rechtsgrundlage ist Art. 6 Absatz 1 Buchstabe f) DSGVO beziehungsweise § 100 Absatz 1 Telekommunikationsgesetz. Die Protokollierung der Daten dient zur Erkennung und Beseitigung von Störungen und Missbräuchen. Sie ist für die Gewährleistung der Netz- und Informationssicherheit notwendig und damit ein berechtigtes Interesse des DFN-Vereins. Zugriffsmöglichkeiten auf vorhandene Daten haben Mitarbeiter im DFN-Verein, die mit der Erbringung des Dienstes betraut sind.

Um den Videokonferenzdienst als registrierter Meetingveranstalter aktiv nutzen zu können, ist die Registrierung im DFNconf Portal erforderlich. Im Rahmen der Registrierung werden zusätzlich folgende personenbezogenen Daten

  • E-Mail-Adresse
  • Vor- und Nachname
  • Passwort

verschlüsselt gespeichert. Das Passwort kann über die Benutzeroberfläche jederzeit geändert werden. Für Meetingveranstalter wird ein Konto (Account) mit den erhobenen Daten eingerichtet.

Abweichend davon kann eine Registrierung auch über die Authentifizierungs- und Autorisierungsinfrastruktur DFN-AAI, erfolgen. Meetingveranstalter, deren Registrierung über die DFN-AAI erfolgt, werden beim ersten Login vom Betreiber des Identity Providers (IdP) über einen Schritt, der eine Zustimmung erfordert, in Kenntnis gesetzt, welche personenbezogenen Daten (Vorname, Nachname, E-Mail-Adresse) zur Erbringung des Dienstes erforderlich sind und gespeichert werden. Für diesen Vorgang ist der jeweilige IdP-Betreiber der Einrichtung verantwortlich.

Bei der Registrierung über die DFN-AAI werden folgende Daten erhoben:

  • Vorname
  • Nachname
  • E-Mail-Adresse
  • Affiliation (staff, employee oder faculty)
  • Heimateinrichtung

Die vorgenannten personenbezogenen Registrierungsdaten sind für die Nutzung des Dienstes notwendig. Ohne die Bereitstellung dieser Daten können vertragliche Verpflichtungen nicht erfüllt und der Dienst somit nicht genutzt werden.

Registrierte Meetingveranstalter können im Web-Portal sogenannte Meetingräume einrichten und hierfür vordefinierte Konferenzmerkmale in Form von Profilen verwenden. Diese Meetingräume mit ihren Merkmalen bleiben gespeichert, bis sie vom Meetingveranstalter geändert oder gelöscht werden oder der Account gelöscht wird.

Eingeladene Meetingteilnehmer müssen sich nicht für den Dienst registrieren, sie wählen sich mit den ihnen bekannt gemachten Zugangsdaten in die Konferenz ein.

Bei Nutzung des Webkonferenzdienstes über Adobe Connect erfolgt die Speicherung der Daten registrierter Veranstalter im Adobe Connect System. Meetingveranstalter müssen sich bewusst sein, dass aufgrund technischer Limitierungen im System ihr Vorname, Nachname und ihre E-Mail-Adresse für alle auf dem Server registrierten Meetingveranstalter einsehbar sind. Dieses Feature von Adobe Connect ist nicht abstellbar und dient der automatischen Einladung von Teilnehmern in einem Meeting, die ebenfalls registriert sind.

Die Verarbeitung der erhobenen Daten ist für die Nutzung des Dienstes DFNconf erforderlich. Rechtsgrundlage ist Art. 6 Absatz 1 Buchstabe lit b) DSGVO. Die Protokollierung der Daten dient zur Erkennung und Beseitigung von Störungen und dem Schutz vor Missbrauch. Die maximale Aufbewahrungsfrist beträgt 7 Tage. Zugriff auf die Logdateien haben Mitarbeiter im DFN-Verein, die mit der Erbringung des Dienstes betraut sind.

Hinweise zum Umgang mit Cookies

Cookies werden nur in Bereichen gesetzt, die mit Benutzernamen und Passwort geschützt sind und wenn die Nutzer dieses in den Einstellungen ihres Browsers zulassen. Es kommen ausschließlich kurzlebige Sitzungscookies zum Einsatz. Sie dienen der eindeutigen Zuordnung der Anfragen mehrerer zeitgleich angemeldeter Nutzer und werden mit Schließen des Browsers automatisch gelöscht.

Der Dienst DFNconf

Logging bei der Durchführung von Konferenzen

Die Webkonferenzsysteme protokollieren:

  • Uhrzeit,
  • Meetingraumname,
  • Account des Veranstalters (E-Mail-Adresse und Name) und
  • Name des Teilnehmers, welcher durch den Teilnehmer frei wählbar ist (zum Beispiel auch anonyme Bezeichnung).

Weiterhin werden, wenn vorhanden, Dokumente und Aufzeichnungen dem Meetingraum des Veranstalters zugeordnet.

Die Videokonferenzsysteme protokollieren:

  • Bei Zutritt über ein externes VC-System:
    • IP-Adresse des VC-Systems,
    • Uhrzeit,
    • Meetingraumnummer und Meetingraumname
    • wenn erforderlich: Meetingraum-Passwort (zeitlich begrenzt, wenn ein systemseitiges Debugging erforderlich ist) - bei dem Meetingraum-Passwort handelt es sich um einen optionalen numerischen PIN-Schutz des Meetingraums
  • Per Browser oder App, je nach Einstellung durch den Teilnehmer werden weitere Daten gespeichert:
    • IP-Adresse,
    • Uhrzeit,
    • Meetingraumnummer und Meetingraumname
    • PIN (zeitlich begrenzt, wenn ein systemseitiges Debugging erforderlich ist),
    • Systemkennung (Browserart, Betriebssystem),
    • Name des Teilnehmers bzw. Name der Einrichtung (diese Daten kann der Teilnehmer beeinflussen)
  • Per Telefon:
    • ausschließlich die Telefonnummer, falls diese mitgesendet wird.

Rechtsgrundlage ist Art. 6 Absatz 1 Buchstabe f) DSGVO beziehungsweise §§ 96 Absatz 1, 100 Absatz 1 Telekommunikationsgesetz. Die Protokollierung der Daten dient zur Erkennung und Beseitigung von Störungen und Missbräuchen. Sie ist für die Gewährleistung der Netz- und Informationssicherheit notwendig und damit ein berechtigtes Interesse des DFN-Vereins. Zugriffsmöglichkeiten auf vorhandene Daten haben Mitarbeiter im DFN-Verein, die mit der Erbringung des Dienstes betraut sind.

Löschung von Registrierungsdaten und Logdateien

Registrierungsdaten (Accounts) werden gelöscht, wenn ein Meetingveranstalter beim DFN-Verein die Austragung seiner Registrierung beauftragt hat oder der DFN-Verein über das Ende der Zughörigkeit eines Meetingveranstalters zu einer Einrichtung informiert wird. Die Löschung der Registrierungsdaten erfolgt unverzüglich. Mit der Löschung der Registrierungsdaten werden auch alle Bestands- und Nutzungsdaten des Accounts gelöscht.

Jede Registrierung für den Dienst und Nutzung des Dienstangebots erfordert Lizenzen, die der DFN-Verein nutzungsgerecht in ausreichender Menge bereitstellt. Aus Gründen der Wirtschaftlichkeit müssen diese Lizenzen sinnvoll verwaltet werden. Wird ein Account ein Jahr lang nicht genutzt, erfolgt die Löschung des Accounts.

Die Löschung bzw. Anonymisierung von personenbezogenen Daten erfolgt auf den einzelnen Dienstkomponenten unterschiedlich. Auf den Gatekeepern der Videokonferenzplattform gespeicherte IP-Adressen werden nach 7 Tagen anonymisiert. Die Logs der Konferenzserver werden nach 4 Wochen gelöscht, um im Fehler- oder Missbrauchsfall noch ein Debugging durchführen zu können. Beim Webkonferenzdienst (Adobe Connect) erfolgt eine Löschung der Logdateien nach maximal 4 Wochen.  

Rechtsgrundlage ist Art. 6 Absatz 1 Buchstabe b) für Registrierungsdaten und Art. 6 Absatz 1 Buchstabe f) EU-DSGVO beziehungsweise §§ 96 Absatz 1, 100 Absatz 1 Telekommunikationsgesetz. Die Erkennung und Beseitigung von Störungen und/oder Missbrauchsfällen liegen im berechtigten Interesse des DFN-Vereins als Verantwortlichem.  

Aufzeichnungen von Konferenzen

Aufzeichnungen werden unverschlüsselt auf dem Server gespeichert und sind eindeutig einem Meetingraum zugeordnet. Es kann nicht anderweitig darauf zugegriffen werden. Der Meetingveranstalter informiert die Meetingteilnehmer über die Aufzeichnung, die Speicherung der Aufzeichnung und den Ort der Aufzeichnung und holt die ausdrückliche Einwilligung von jedem Teilnehmer vor dem Start der Aufzeichnung ein. Eine schriftliche Dokumentation dieser Einwilligung durch den Veranstalter zum Ausschluss späterer Probleme ist zu empfehlen. Der Meetingveranstalter ist für das Löschen der Aufzeichnungen verantwortlich. In Adobe Connect erfolgt keine automatische Löschung von Aufzeichnungen. In Pexip können ebenfalls Aufzeichnungen vom Meetingveranstalter eigenständig gelöscht werden, nach vier Wochen erfolgt in Pexip eine automatische Löschung. Die Aufzeichnungsfunktion wird als Auftragsvereinbarung für am Dienst teilnehmende Einrichtungen erbracht (Artikel 28 DSGVO).

Dateiupload

Das e-Learning-System von Adobe Connect sieht eine Funktion zum Dateiupload vor. Entsprechend dem Satzungszweck des DFN-Vereins ist dieser Dateiupload ausschließlich für Präsentationen zu wissenschaftlichen Zwecken vorgesehen. Personenbezogene Daten dürfen nur soweit enthalten sein, wie es in solchen Präsentationen üblicherweise zu erwarten ist (zum Beispiel Name des Vortragenden oder von beteiligten Wissenschaftlern). Für andere Zwecke darf der Dateiupload nicht genutzt werden. Hochgeladene Dokumente werden unverschlüsselt auf dem Server gespeichert und sind eindeutig einem Meetingraum zugeordnet. Es kann nicht anderweitig darauf zugegriffen werden. Der Meetingveranstalter ist für das Löschen hochgeladener Dokumente verantwortlich. Es erfolgt keine automatische Löschung. Die Funktion des Dateiuploads wird als Auftragsvereinbarung für am Dienst teilnehmende Einrichtungen erbracht (Artikel 28 DSGVO).

Anbindung von Lernmanagement-Systemen (LMS)

Bei Anbindung von Lernmanagement-Systemen über ein LMS-Plugin wird für jeden im LMS-Kurs angemeldeten Nutzer ein Nutzeraccount mit Vornamen, Nachnamen und E-Mail-Adresse auf der Konferenzplattform erzeugt. Diese Nutzeraccounts haben auf dem System außer dem Zutrittsrecht keine weiteren Rechte und werden nach 6 Monaten wieder gelöscht. Diese Löschfrist entspricht der Nutzung des Dienstes durch Studenten über den Zeitraum eines Semesters. Betroffene Nutzer sollten durch den Meetingveranstalter bei Anbindung von LMS vorher über die Übermittlung ihrer Daten informiert werden (ggf. durch Hinweis auf diese Datenschutzerklärung)

Mailingliste

Zum Erhalt von Betriebsinformationen, aktuellen Informationen zum Dienst DFNconf und zum Wissensaustausch werden die betrieblichen Ansprechpartner mit Vertragsabschluss automatisch in eine Mailingliste aufgenommen.

In die Mailingliste können auch Interessenten eintragen werden, die nicht für den Dienst DFNconf registriert sind.

Schulungen

Schulungen zum Dienst DFNconf werden von Mitarbeitern des Kompetenzzentrums für Videokonferenzdienste (VCC) an der TU Dresden durchgeführt. Details zu den Veranstaltungen und zum Umgang mit den dort verarbeiteten personenbezogenen Daten finden Sie auf den Informationsseiten der jeweiligen Schulungen.

Sicherheit

Alle zur Diensterbringung erforderlichen Server befinden sich in Deutschland. Die personenbezogenen Daten werden auf besonders geschützten Servern in Deutschland gespeichert. Sie stehen mit hoher Verfügbarkeit und Ausfallsicherheit an den Kernnetzknoten im Wissenschaftsnetz. Der Zugriff darauf ist nur befugten Personen möglich, die entweder als Mitarbeiter des DFN-Vereins, oder bei einem durch den DFN verpflichteten Auftragsunternehmen mit Installation, Betrieb, Wartung und Aktualisierung der Server befasst sind.
Die Anmeldung der Meetingveranstalter aus teilnahmeberechtigten Einrichtungen an den Servern des Dienstes DFNconf sowie die gesamte Verwaltung des Accounts und der Austausch der Meetingdaten (Audio, Video, Datenpräsentationen/Whiteboard) erfolgt verschlüsselt.

Änderungen beim Datenschutz

Der DFN-Verein behält sich vor, diese Datenschutzerklärung künftig zu ändern. Eine entsprechende Nachricht wird durch eine hervorgehobene Bekanntmachung auf den Webseiten zur Verfügung gestellt.

Rechte betroffener Personen nach der EU-Datenschutz-Grundverordnung

Art. 15 DSGVO regelt das Auskunftsrecht Betroffener. Artikel 15 gibt Ihnen die Möglichkeit, vom DFN-Verein eine Bestätigung zu verlangen, ob Ihre personenbezogenen Daten von uns verarbeitet werden. Sofern Ihre personenbezogenen Daten bei uns vorliegen, können Sie weiterhin Information zum Verarbeitungszweck, zu deren Herkunft und Empfängern beim DFN Verein, der Speicherdauer und Details (insbesondere Datenkategorien) zu den von Ihren vorliegenden Daten verlangen.

Art. 16 DSGVO eröffnet Ihnen das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Art. 17 Abs. 1 DSGVO gibt ihnen das Recht - mit bestimmten Ausnahmen - die Löschung von Daten zu verlangen. Art. 17 Abs. 2 DSGVO regelt ein „Recht auf Vergessenwerden“, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Eine Löschung kann insbesondere verlangt werden, wenn die personenbezogenen Daten nicht mehr für ursprünglichen Zweck notwendig sind oder Sie Ihre Einwilligung widerrufen haben und keine anderweitige Rechtsgrundlage zur Verarbeitung vorliegt.

In bestimmten Fällen kann nach Art. 18 DSGVO auch die Einschränkung der Verarbeitung verlangt werden – zum Beispiel, wenn der Verantwortliche die Daten nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gibt unter bestimmten Voraussetzungen (insbesondere wenn die Datenverarbeitung auf einer Einwilligung oder einem Vertrag basiert) einen Anspruch, eine Kopie von personenbezogenen Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu erhalten, bzw. dass diese Daten direkt einem anderem Verantwortlichen - sofern technisch möglich - übermittelt werden.

Nach Art. 21 Abs. 1 DSGVO hat der Betroffene je nach Sachlage und Umständen ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten, welche auf Grundlage des Art. 6 Abs. 1 lit. e (Wahrnehmung von Aufgaben im öffentlichen Interesse) oder f (Wahrung berechtigter Interessen des Verantwortlichen) DSGVO erfolgt.

Wenn die Datenverarbeitung auf Ihrer Einwilligung basiert (Artikel 6 Abs. 1 lit. a), so haben sie nach Artikel 7 Abs. 3 DSGVO jederzeit das Recht Ihre Einwilligung zurückzuziehen. Die Datenverarbeitung vor Eingang Ihres Wiederrufs verbleibt rechtmäßig.

Insbesondere wichtig für Meetingteilnehmer: Der Widerruf der Einwilligung sollte direkt den Meetingveranstaltern mitgeteilt werden, da diese für die Organisation der personenbezogenen Daten in den Webkonferenzen verantwortlich sind und insbesondere nur sie diese Daten mit wenig Aufwand löschen können.

Artikel 77 DSGVO eröffnet jeder betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Kontaktdaten der Datenschutzbeauftragten im DFN-Verein:

Verein zur Förderung eines Deutschen Forschungsnetzes e.V.
z. Hd. Der Datenschutzbeauftragten
Alexanderplatz 1, 10178 Berlin,
E-Mail: datenschutz@dfn.de, Telefon: +49 30 884299 9103

Mit Fragen zum Dienst DFNconf können Sie sich darüber hinaus auch an die auf dem Portal angegebenen Kontaktdaten wenden.

Diese Hinweise datieren vom 02.10.2018 und wurden zuletzt am 06.08.2021 aktualisiert.

aktualisiert: 6. August 2021 16:19