Datenschutzinformationen für Externe über die Verarbeitung personenbezogener Daten bei Videokonferenzen und Online-Meetings via Cisco WebEx Meetings

1.       Verantwortlicher

 

Verantwortlich für die Datenverarbeitung ist:

 

Die Autobahn GmbH des Bundes

Heidestraße 15

10557 Berlin

E-Mail: kontakt[@]autobahn[.]de

T +49 30 64 09 6 - 0

F +49 30 64 09 6 - 1005

 

Weitere Angaben können Sie unserem Impressum entnehmen.

 

Datenschutzbeauftragte/r

 

Die Autobahn GmbH des Bundes

z.Hd. Datenschutzbeauftragte/r

Heidestraße 15

10557 Berlin

 

E-Mail: datenschutz[@]autobahn[.]de

 

 

2.       Zwecke und Rechtsgrundlage der Verarbeitung

 

Die Autobahn GmbH des Bundes nutzt das Videokonferenzsystem „Cisco WebEx Meetings“ der Firma Cisco Systems zur Durchführung von Videokonferenzen und Online-Meetings.

 

Die Teilnahme an Videokonferenzen erfordert die Identifikation der Nutzer gegenüber dem Gastgeber, um sicherzustellen, dass derjenige am Meeting teilnimmt, der eingeladen wurde. Um die konkret angeforderten Dienste bereitstellen zu können und ihre Nutzung zu ermöglichen, werden weitere personenbezogene Daten erhoben (IP-Adresse, ggf. angegebener Name). Rechtsgrundlage hierfür ist Ihre Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO.Soweit die Videokonferenzen im Rahmen von Vertragsbeziehungen durchgeführt werden, ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Videokonferenzen Art. 6 Abs. 1 lit. b) DSGVO. 

 

Soweit wir gesetzlich dazu verpflichtet sind, die Sicherheit unserer IT-Systeme zu gewährleisten sowie dies nachzuweisen und hierzu die Auswertung der Logfiledaten erfolgt, ist die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. c i.V.m. Art. 32 DSGVO.

 

3.       Kategorien personenbezogener Daten

 

Bei der Nutzung der Dienste von Cisco WebEx und der damit verbundenen Bereitstellung werden abhängig von der jeweils konkreten Nutzung der Infrastruktur bzw. den bereitgestellten Diensten diejenigen personenbezogenen Daten erhoben, die erforderlich sind, um die Nutzung sicherzustellen.

 

Ergänzend werden solche Daten erhoben, die zur Gewährleistung der Sicherheit der IT-Systeme erforderlich sind bzw. zur Aufdeckung und Behebung von Schwachstellen oder Angriffen dienen.

 

Im Einzelnen handelt es sich um folgende personenbezogene Datenkategorien: 

 

Registrierungsinformationen:

- angegebener Name

- ggf. E-Mail-Adresse

- IP-Adresse & Mac-Adresse

- Browser

- Geografische Region (GPS)

- Unique User ID (UUID)

- ggf. Telefonnummer

- ggf. Profilfoto (Avatar)

- Cookies (Nutzung per Browser)

- ggf. Geräteaktivierungscode (z. B. für ein Konferenzsystem)

 

Gastgeber- und Nutzungs-Informationen:

- User Agent Identifier

- Hardware-Typ (Mikrofon, Lautsprecher, Webcam)

- Typ und Version des Betriebssystems

- Client-Version

- Dienst-Version

- Meeting Session Informationen (Titel, Datum und Uhrzeit, Häufigkeit, durchschnittliche und tatsächliche Dauer, Quantität, Qualität, Netzwerkaktivität und Netzwerkkonnektivität, Gastgeber, Teilnehmeranzahl, Meeting-URL, Konferenzkennung)

- Bildschirmauflösung

- Join-Methode

- Informationen zu Leistung, Fehlerbehebung und Diagnostik

- Teilnehmerinformationen (ggf. E-Mail-Adressen, IP-Adressen, angegebener Benutzernamen, genutzte Telefonnummer, ggf. Informationen zu Raumgeräten, Dauer von Audio und Video pro Person)

- Diagnose- und Protokolldaten

- Gerätename & Geräteidentifikation (IMEI)

- Operating System Typ und Version

- Zeitzone

- Domain Name

- Nutzerprofildaten (Serviceeinstellungen)

 

Verbindungsdaten:

- Mobile Subscriber Integrated Services Digital Network Number (MSISDN)

- Nutzungsdaten (Anrufer-Protokoll und Metadaten)

- Einzelgesprächsnachweis (Call Detail Records (“CDRs”))

- Website, über die ein Anruf gestartet wurde (bei Nutzung des Browsers)

- Protokollinformationen über den Netzwerkverkehr

 

Nutzer-generierte Informationen:

- Medienstreams, die Audio-, audio-visuelle (Video-) und Textdaten während laufender Meetings bzw. Chats und Calls übertragen (reine Übertragung ohne Speicherung von Daten)

- Verbindungstyp (Ethernet / WiFi / Cellular)

- Transportprotokoll (TCP / UDP / xTLS)

- CPU / RAM Auslastung sowie Bitrate der Übertragung (Kbps)

- Verwendeter Medien-Knoten (z. B. Frankfurt)

- Verwendete Plattform (Windows, Mac, Android, IOS, Linux)

- Teilnahmezeitpunkt des Benutzers zum WebEx Meeting

- Authentisierungsinformationen

- Synchronisierungs-Status

- Nutzungsaktivitäten (Datum, Zeitpunkt, Person)

- Aktivitätsprotokoll

- Nachrichten (Inhalt, Sender, Empfänger, Datum, Zeitpunkt, Gelesen-Status)

- Inhalts-Sharing (Dateien, Dateinamen, Größe and Datentyp)

- Whiteboard-Inhalt

- Bild- und Videodaten, sofern Nutzer ein Bild oder die Videoübertragung nutzen

 

 

4.       Empfänger der Daten

 

Die Daten können von Mitarbeitenden des Geschäftsbereichs IT bzw. der Stabsstelle Informationssicherheit entsprechend einem strikten Rollen- und Berechtigungskonzept eingesehen werden.

 

Soweit wir Dienstleister einbinden, die uns bei der Verarbeitung personenbezogener Daten oder anderweitig unterstützen und dabei ggf. mit Ihren personenbezogenen Daten in Kontakt kommen, geschieht dies nur nach vorherigem Abschluss eines sogenannten Vertrags zur Auftragsverarbeitung, mit dem wir unsere Dienstleister verpflichten, personenbezogene Daten nur nach unserer Weisung zu verarbeiten und sie vertraulich zu behandeln. Die Auftragsverarbeiter erhalten nur Zugriff auf solche personenbezogenen Daten, die zur Erfüllung Ihrer Dienste für uns erforderlich sind.

 

Die Datenspeicherung und -verarbeitung erfolgt soweit möglich innerhalb der EU. Sofern eine Verarbeitung personenbezogener Daten in den USA erfolgt, wurden besondere Schutzmaßnahmen getroffen, um das angemessene Schutzniveau zu erreichen. 

 

5.       Speicherdauer

 

Die personenbezogenen Daten werden, ggf. unter Wahrung gesetzlicher Fristen, gelöscht, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden.

 

 

6.       Betroffenenrechte

 

Sie haben das Recht:

  • eine von Ihnen erteilte Einwilligung gemäß Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.
  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen. Es gelten die Einschränkungen gemäß § 34 BDSG;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Es gelten die Einschränkungen gemäß § 35 BDSG;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen; 
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Anschrift: Graurheindorfer Str. 153, 53117 Bonn - Zentrale Telefonnummer: 0228/997799-0 Zentrale E-Mail-Adresse: poststelle[@]bfdi.bund[.]de.

     

Darüber hinaus haben Sie das Recht gemäß Art. 21 DSGVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 S.1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, die Ihre Interessen, Rechte und Freiheiten als betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unsere/n Datenschutzbeauftragte/n.

Letzte Änderung: Juli 2024.