Datenschutzhinweise
für Online-Meetings, Video- und Internettelefonie
Wir möchten Sie nachfolgend gemäß den Vorgaben der Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Videotelefonie- und Internettelefoniesoftware Microsoft Teams und 3CX informieren.
Verantwortlich für die Datenverarbeitung
Verantwortlich für die Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von Online-Meetings, Telefonkonferenzen, Videokonferenzen und Internettelefonie steht, ist die: Ortolan Akademie GmbH, L15 12-13, 68161 Mannheim, Deutschland. Geschäftsführer: Thorsten Wagner. E-Mail: service@ortolan-akademie.de.
Unseren Datenschutzbeauftragten erreichen Sie über datenschutz@ortolan-akademie.de oder über Datenschutz, Ortolan Akademie GmbH, L15 12-13, 68161 Mannheim.
Zweck der Verarbeitung
Wir nutzen die Tools „Microsoft Teams“ und „3CX“, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und Internettelefonie durchzuführen.
Diese Tools bieten – je nach Einsatzart – insbesondere die Möglichkeit, Audio- und Videokommunikation durchzuführen, den Bildschirm zu teilen, Chatinhalte auszutauschen sowie an Besprechungen oder Telefonaten auch über eine Telefoneinwahl bzw. Internettelefonie teilzunehmen. Soweit technisch vorgesehen und von uns tatsächlich genutzt, können Gespräche zudem aufgezeichnet werden.
Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Online-Meetings, Videokonferenzen und Internettelefonie ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung im Rahmen von Vertragsbeziehungen durchgeführt wird oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Stehen weder ein Vertrag noch vorvertragliche Maßnahmen im Raum, noch haben Sie uns Ihre ausdrückliche Einwilligung zu dieser Datenverarbeitung erteilt, so ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Sofern die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erfolgt und die Verarbeitung erforderlich und gesetzlich zulässig ist, beruht die Datenverarbeitung auf Art. 6 Abs. 1 lit. c DSGVO. Darüber hinaus kann es unter begründeten Umständen auch sein, dass die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, insbesondere an einer effizienten, ortsunabhängigen und zeitgemäßen Kommunikation mit Kunden, Interessenten, Vertragspartnern und sonstigen Kommunikationspartnern.
Erforderlichkeit der Bereitstellung der personenbezogenen Daten
Die Bereitstellung personenbezogener Daten durch Sie erfolgt primär freiwillig. Für die Entscheidung über einen Vertragsabschluss, die Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen kann die Angabe bestimmter personenbezogener Daten jedoch erforderlich sein. Wir können eine Entscheidung im Rahmen vertraglicher Maßnahmen nur treffen, sofern Sie solche personenbezogenen Daten angeben, die für den Vertragsschluss, die Vertragserfüllung bzw. vorvertragliche Maßnahmen erforderlich sind.
Automatisierte Entscheidungsfindung
Zur Begründung, Erfüllung oder Durchführung der Geschäftsbeziehung sowie für vorvertragliche Maßnahmen nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren bzw. Ihre Einwilligung einholen, sofern dies gesetzlich vorgegeben ist.
Ihre Rechte als betroffene Person
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben. Sie haben zudem das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Löschung von Daten
Wir löschen die von uns über die Tools erfassten Daten, sobald Sie uns zur Löschung auffordern, Sie Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenverarbeitung entfällt und keine anderen, vorrangigen Gründe gemäß den geltenden Datenschutzgesetzen, z. B. gesetzliche Aufbewahrungspflichten, dagegensprechen. Im Falle gesetzlicher Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Wir setzen folgende Tools ein:
Microsoft Teams
(nachfolgend bezeichnet als „Teams“)
Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Der Mutterkonzern ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA.
Umfang der Verarbeitung
Wir verwenden Microsoft Teams, um Online-Meetings durchzuführen. Wenn wir ein Online-Meeting aufzeichnen möchten, werden wir Ihnen das vor Beginn der Aufzeichnung transparent mitteilen und – soweit erforderlich – um eine Zustimmung (Einwilligung) bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der Teams-App angezeigt.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir mögliche Chatinhalte im Nachgang herunterladen und abspeichern.
Zudem haben wir Microsoft Copilot für Microsoft 365 (im folgenden „Copilot“) im Einsatz. Dies ist eine Assistentenfunktion mit künstlicher Intelligenz, welche es ermöglicht Videotelefonate zu transkribieren und die wichtigsten Inhalte im Sinne eines Gesprächsprotokolls zusammen zu fassen. Wenn wir die Gesprächsinhalte transkribieren lassen, werden wir Ihnen das vorher transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Welche Daten werden verarbeitet?
Bei der Nutzung von Microsoft Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen, ob Sie z. B. Ihren Bildschirm teilen und ob das Videotelefonat aufgezeichnet wird.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), Passwort (optional), E-Mail-Adresse, Profilbild (optional), Abteilung (optional).
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen.
Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.
Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z. B. die IP-Adresse des Geräts gespeichert werden.
Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Eingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Teams-Applikation abschalten bzw. stummstellen.
Copilot greift über Microsoft Graph auf Inhalte und Kontext zu. Das Tool verwendet eine Kombination aus LLMs (Large Language Models – große Sprachmodelle), einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning-Techniken und umfangreiche Datasets, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Dazu erhält Copilot Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden aus Microsoft Graph um unternehmensspezifische und kontextbezogene Antworten erzeugen zu können. Copilot hat die Möglichkeit grundsätzlich auf alle im jeweiligen Tenant gespeicherten Daten zuzugreifen und diese Informationen für die Auswertung zu verwenden. Unter einem Tenant versteht man eine isolierte Instanz in Microsoft-Cloud-Services wie Azure, Office 365 oder Microsoft 365, die einem einzelnen Kunden oder einer Organisation zugewiesen wird. Angezeigt werden nur die Daten, für welche der einzelne Benutzer mindestens eine Anzeigeberechtigung hat.
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Online-Meetings wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Microsoft erhält notwendigerweise Kenntnis von den o. g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft vorgesehen ist.
Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein: öffentliche Stellen und Institutionen, etwa Staatsanwaltschaft, Polizei, Aufsichtsbehörden oder Finanzamt, bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung, sowie Empfänger, an die die Weitergabe zur Vertragsbegründung oder -erfüllung unmittelbar erforderlich ist.
Ort der Datenverarbeitung
Microsoft ist ein Dienst, dessen Mutterkonzern in den USA sitzt. Die Verarbeitung der Daten während der Videotelefonie erfolgt regulär innerhalb des Europäischen Wirtschaftsraums.
Um ein angemessenes Datenschutzniveau zu gewährleisten, wurden mit Microsoft im Rahmen der AGB ein Auftragsverarbeitungsvertrag sowie zusätzlich als weiterführende Garantie EU-Standardvertragsklauseln vereinbart. Zudem ist Microsoft nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zur Datenverarbeitung können der Datenschutzerklärung von Microsoft entnommen werden.
Andernfalls findet eine Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums oder an eine internationale Organisation nur statt, soweit dies zur Abwicklung und somit zur Erfüllung des Vertrages oder, auf Ihren Antrag hin, zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist, die Weitergabe gesetzlich vorgeschrieben ist oder Sie uns eine Einwilligung erteilt haben.
Schutzmaßnahmen
Microsoft 365 und Copilot erfüllen bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen des Unternehmens Microsoft gegenüber kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung und der Datengrenze der Europäischen Union.
Eingabeaufforderungen, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, werden laut Microsoft nicht zum Trainieren von Grundlagen-LLMs verwendet, auch nicht für die von Copilot verwendeten.
Microsoft verspricht einen verantwortlichen Umgang mit den Daten, auf welche KI Zugriff erhält und hat dazu interne Leitlinien erstellt: Microsoft KI-Grundsätze und der Microsoft Responsible AI Standards: https://www.microsoft.com/de-de/ai/principles-and-approach.
Copilot arbeitet mit mehreren Schutzmaßnahmen, einschließlich, aber nicht beschränkt auf, Blockieren schädlicher Inhalte, Erkennen von geschütztem Material und Blockieren von Eingabeaufforderungseinschleusungen (Jailbreak-Angriffe).
Weitere Hinweise zur Datenverarbeitung und Datensicherheit durch Microsoft generell finden Sie hier: https://privacy.microsoft.com/en-gb/privacystatement. Weitere Hinweise zur Datenverarbeitung und Datensicherheit speziell im Rahmen der Nutzung von Copilot finden Sie hier: https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy.
3CX
(nachfolgend bezeichnet als „3CX“)
Anbieter ist 3CX.
Anbieter ist die 3CX Software FZE, Unit No. 5/1, Fortune Tower, Cluster C, Jumeirah Lakes Tower, Dubai, Vereinigte Arabische Emirate.
Umfang der Verarbeitung
Wir verwenden 3CX für Internettelefonie, Telefonkonferenzen sowie – je nach Nutzung im Einzelfall – auch für Audio- und Videokommunikation. 3CX ist eine Kommunikationslösung für Unified Communications und umfasst insbesondere Funktionen der cloudbasierten Kommunikation, Telefonie und – soweit genutzt – Videokonferenzen.
Soweit im Einzelfall Besprechungen oder Gespräche über 3CX durchgeführt werden, verarbeitet 3CX die für die technische Bereitstellung und Durchführung der Kommunikation erforderlichen Daten. Soweit Aufzeichnungen oder weitergehende Funktionen tatsächlich genutzt werden sollten, werden wir Sie hierüber vorab gesondert transparent informieren und – soweit erforderlich – Ihre Einwilligung einholen.
Welche Daten werden verarbeitet?
Bei der Nutzung von 3CX werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt insbesondere davon ab, ob Sie als interner Benutzer oder externer Teilnehmer an einer Kommunikation teilnehmen und welche Funktionen konkret genutzt werden.
Folgende personenbezogene Daten können Gegenstand der Verarbeitung sein:
Angaben zu Benutzern und Kommunikationspartnern: insbesondere Name, geschäftliche Kontaktdaten, E-Mail-Adresse, Telefonnummer sowie ggf. weitere von Ihnen im Rahmen der Kommunikation angegebene Informationen. Das AVV nennt insoweit u. a. Identifikationsinformationen für Kunden, externe Teilnehmer und Nutzer sowie Kontaktinformationen.
Kommunikations- und Verbindungsdaten: insbesondere Informationen zu Anrufen und Kommunikationsvorgängen, Rufnummern, Start- und Endzeit, Verbindungsdaten sowie ggf. IP-Adressen. Bei einer Teilnahme an Videokonferenzen können zudem Informationen zu externen Teilnehmern, E-Mail-Adressen sowie – soweit bereitgestellt – Profilangaben verarbeitet werden.
Meeting- und Konferenzdaten: soweit die Videokonferenzfunktion genutzt wird, können Konferenzmetadaten, Teilnehmerinformationen sowie technische Nutzungsdaten verarbeitet werden.
Inhaltsdaten: Audioinhalte, ggf. Videobilder, Chatinhalte, geteilte Inhalte sowie sonstige Daten, die Sie im Rahmen der Kommunikation aktiv übermitteln.
Support- und Systemdaten: Soweit dies im Einzelfall erforderlich ist, können im Rahmen von Support-, Fehleranalyse- oder Wartungsvorgängen auch Protokolldaten, Tickets, Diagnosedaten oder ähnliche technische Informationen verarbeitet werden. Das AVV nennt insoweit u. a. Support Bundles, Logs, Chat Reports, Tickets, Calls oder E-Mails.
Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Nutzung von 3CX verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind.
Weitere Empfänger: 3CX erhält notwendigerweise Kenntnis von den Daten, soweit dies im Rahmen des bestehenden Auftragsverarbeitungsvertrages, zur technischen Bereitstellung der Services, zur Wartung, zur Störungsanalyse oder zur Erbringung von Supportleistungen erforderlich ist. Das AVV nennt hierzu auch den Zugriff durch Unterauftragsverarbeiter und Supportdienstleister.
Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Vertragsabwicklung erforderlich ist, Sie eingewilligt haben oder wir zur Auskunft befugt sind.
Ort der Datenverarbeitung
Die Verarbeitung personenbezogener Daten im Zusammenhang mit 3CX kann – je nach eingesetzter Konfiguration und den beteiligten Unterauftragsverarbeitern – sowohl innerhalb des Europäischen Wirtschaftsraums als auch in Drittstaaten erfolgen. Das AVV nennt hierzu verschiedene Unterauftragsverarbeiter und weist für Drittlandübermittlungen insbesondere auf die Verwendung von EU-Standardvertragsklauseln bzw. vergleichbaren Garantien hin.
Nach dem AVV werden insbesondere für Hosting, Kommunikationsdienste, Push-Benachrichtigungen, Zustellung, Support und Videokonferenzfunktionen Unterauftragsverarbeiter eingesetzt. Teilweise erfolgt die Verarbeitung in der EU, teilweise auch in Staaten außerhalb des EWR. Soweit dabei personenbezogene Daten in Drittländer übermittelt werden, sollen nach den Angaben im AVV geeignete Garantien, insbesondere Standardvertragsklauseln, eingesetzt werden.
Schutzmaßnahmen
3CX gibt im AVV an, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Zudem enthält das AVV Regelungen zu Vertraulichkeit, Sicherheit, Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten sowie zu Vorfällen im Bereich der Informationssicherheit.
3CX gibt im AVV an, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Zudem enthält das AVV Regelungen zu Vertraulichkeit, Sicherheit, Unterauftragsverarbeitern sowie zu internationalen Datentransfers, insbesondere unter Einsatz von Standardvertragsklauseln. Weitere Informationen zur Datenverarbeitung und Datensicherheit durch 3CX finden Sie im Data Processing Addendum (AVV) unter https://www.3cx.com/company/data-processing sowie in der Datenschutzerklärung von 3CX unter https://www.3cx.com/company/privacy-policy/