Datenschutzhinweise zu Online-Meetings via „WebEx“, „DFNconf“ und „Skype for Business“ bei der DFG

Die Deutsche Forschungsgemeinschaft e. V. (DFG) nimmt den Schutz personenbezogener Daten und deren vertrauliche Behandlung sehr ernst. Wir informieren Sie daher hiermit über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Durchführung von Online-Meetings und Videokonferenzen (nachfolgend: „Online-Meetings“) der DFG und über die Ihnen zustehenden Rechte. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt ausschließlich im Rahmen der anwendbaren gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere der Datenschutz-Grundverordnung (nachfolgend „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“).

I. Was ist Gegenstand des Datenschutzes?

Gegenstand des Datenschutzes sind personenbezogene Daten. Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sog. betroffene Person) beziehen. Hierunter fallen z.B. Angaben wie Name, postalische Adresse, E-Mail-Adresse oder Telefonnummer.

II. Wer ist für die Datenverarbeitung verantwortlich und wer ist der Datenschutzbeauftragte?

1. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist:

Verantwortlicher für die Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung eines Online-Meetings stehen, ist:

a) Eigene Videokonferenzsysteme

aa) Hinweis zu „WebEx“:

Die Einladung zu einem Online-Meeting erfolgt über die Mitteilung eines Meeting-Links. Die Teilnahme ist durch Anklicken dieses Links über den Browser möglich. Ein Aufruf der Internetseite ist für die Nutzung von „WebEx“ jedoch nur erforderlich, um sich die Software für die Nutzung von „WebEx“ herunterzuladen. „WebEx“ ist ein Service der Cisco Systems, Inc. (nachfolgend „Cisco“), mit Sitz in den USA hat, den wir über T-Systems International GmbH / Telekom Deutschland GmbH (nachfolgend Telekom) im Rahmen der Auftragsverarbeitung beziehen. D.h., dass Cisco und die Telekom Ihre Daten nur zu den von der DFG vorgegebenen Zwecken verarbeiten.

Eine gesonderte Anmeldung bei Cisco oder die Nutzung einer WebEx-App ist nicht erforderlich. Sie können „WebEx“ hingegen auch über die „WebEx“-App nutzen, indem Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der „WebEx“-App eingeben. Wenn Sie die „WebEx“-App nicht nutzen möchten oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von Cisco finden. Zudem können Sie „WebEx“ auch über Telefon nutzen.

bb) Hinweis zu „Skype for Business“:

Die Einladung zu einem Online-Meeting erfolgt über die Mitteilung eines Meeting-Links. Die Teilnahme ist durch Anklicken dieses Links über den Browser möglich. Ein Aufruf der Internetseite von Microsoft ist für die Nutzung von „Skype for Business“ jedoch nur erforderlich, um sich die Software für die Nutzung herunterzuladen. „Skype for Business“ ist eine On-Premise-Lösung, so dass Microsoft gerade keinen Zugriff auf die Videokonferenzdaten hat.

Eine Nutzung von „Skype for Business“ ist auch ohne Microsoft-Konto und ohne Herunterladen der Software möglich, wenn Sie als Gast die Funktion „Skype for Business“ nutzen. Zudem können Sie „Skype for Business“ auch über Telefon nutzen.

b) Videokonferenzsysteme Dritter

Hinweis zu „DFNconf“:

Die Einladung zu einem Online-Meeting über „DFNconf“ erfolgt über die Mitteilung eines Meeting-Links. Die Teilnahme ist durch Anklicken dieses Links über den Browser möglich. Eine gesonderte Anmeldung oder Registrierung bei „DFNconf“ ist für Sie als eingeladener Meetingteilnehmer nicht erforderlich. Sie können „DFNconf“ auch auf anderem Wege nutzen (z.B. über das Telefon, Ihr Smartphone oder über Skype for Business), wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Online-Meeting eingeben.

Für die Verarbeitung Ihrer Daten im Rahmen der technischen Durchführung des Meetings ist der Verein zur Förderung eines Deutschen Forschungsnetzes e.V. (nachfolgend „DFN e.V.)“), Alexanderplatz 1, 10178 Berlin, verantwortlich. Weitergehende Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch den DFN e.V. finden Sie hier:

Eine Verarbeitung Ihrer Daten durch die DFG erfolgt nur während des Online-Meetings im Rahmen der Interaktion mit Ihnen.

2. Unseren Datenschutzbeauftragten erreichen Sie wie folgt:

III. Welche meiner personenbezogenen Daten werden verarbeitet?

Durch die Nutzung von „WebEx“, „DFNconf“ und „Skype for Business“ für ein Online-Meeting werden bei der Teilnahme an einem Online-Meeting automatisch Informationen, die zur Bereitstellung des Videokonferenz-Dienstes erforderlich sind, verarbeitet. Dies sind z.B. Ihre IP-Adresse, Ihr Username und die Dauer der Videokonferenz.

Darüber hinaus verarbeiten wir nur die personenbezogenen Daten von Ihnen, die in unmittelbarem Zusammenhang mit dem jeweiligen Online-Meeting stehen, die von der DFG veranstaltet und geleitet werden.

Dies können im Einzelnen folgende Daten sein:

„WebEx“:

  • Angaben zu Benutzer*innen: Vorname (optional), Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Abteilung / Firmenname (optional)
  • Meeting-Metadaten: Thema, Beschreibung (optional), Gastgebername, Teilnehmer*innen-IP-Adressen, Geräte-/ Hardware-Informationen
  • Bei Aufzeichnungen (optional): MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats
  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit, ggf. weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts
  • Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Chat-Beiträge dienen der Kommunikation und sind zur Durchführung des Online-Meetings erforderlich, sie werden jedoch nicht gespeichert. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „WebEx“-Applikationen abschalten bzw. stummstellen.

„DFNconf“:

  • Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch den DFN e.V. finden Sie unter
  • Die DFG verarbeitet im Rahmen der Durchführung des Online-Meetings nur personenbezogene Daten von Ihnen, die während der Konferenz von Ihnen mitgeteilt wurden.

„Skype for Business“:

  • Angaben zu Benutzer*innen: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Profilbild (optional)
  • Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/ Hardware-Informationen
  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit, ggf. weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts
  • Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chatfunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Chat-Beiträge dienen der Kommunikation und sind zur Durchführung des Online-Meetings erforderlich, sie werden (je nach Einstellung des Teilnehmers) in Outlook gespeichert. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst während des Online-Meetings abschalten bzw. stummstellen.

Um an einem Online-Meeting teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen und Ihrer E-Mail-Adresse machen.

IV. Welche Zwecke werden mit der Verarbeitung meiner personenbezogenen Daten verfolgt und auf welcher Rechtsgrundlage erfolgt diese?

Wir nutzen „WebEx“, „DFNconf“ und „Skype for Business“, um Online-Meetings durchzuführen. Im Folgenden geben wir Ihnen einen Überblick über die Zwecke und Rechtsgrundlagen der Verarbeitung Ihrer personenbezogenen Daten im Rahmen eines Online-Meetings:

1. Verarbeitung von Daten im Rahmen des Beschäftigungsverhältnisses

Soweit personenbezogene Daten von Beschäftigten der DFG verarbeitet werden, ist Artikel 88 Absatz 1 DSGVO i.V.m. § 26 Absatz 1 Satz 1 BDSG Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „WebEx“, „DFNconf“ und „Skype for Business“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „WebEx“, „DFNconf“ und „Skype for Business“ sein, so ist Artikel 6 Absatz 1 Buchstabe f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung des jeweiligen Online-Meetings.

2. Verarbeitung von Daten von Externen

Die Rechtsgrundlage für die Verarbeitung von Daten von Externen (z.B. Mitglieder eines DFG-Gremiums, Teilnehmer*innen von Konferenzen im Rahmen der Forschungsförderung) bei der Durchführung eines Online-Meetings ist Artikel 6 Absatz 1 Buchstabe b) DSGVO, soweit das Online-Meetings im Rahmen von Vertragsbeziehungen zwischen der DFG und den Externen durchgeführt werden.

Sollte keine vertragliche oder vorvertragliche Beziehung bestehen, ist die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung eines Online-Meetings.

3. Aufzeichnung von Online-Meetings

Eine Aufzeichnung von Online-Meetings bei der Nutzung von „DFNconf“ und „Skype for Business“ erfolgt nicht.

Sofern wir ein Online-Meeting bei der Nutzung von „WebEx“ aufzeichnen möchten, werden wir Ihnen das im Vorfeld transparent mitteilen. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „WebEx“-App angezeigt. Im Falle eines Online-Meetings können wir für Zwecke der Aufzeichnung und Nachbereitung eines Online-Meetings auch die von Teilnehmenden gestellten Fragen verarbeiten.

a) Soweit das mit Ihnen bestehende Vertragsverhältnis als Rechtsgrundlage für eine Aufzeichnung dient, verarbeiten wir Ihre Daten auf Grundlage von Artikel 6 Absatz 1 Buchstabe b) DSGVO.

b) In allen anderen Fällen erfolgt die Verarbeitung auf Grundlage der Einwilligung des Teilnehmers (Artikel 6 Absatz 1 Buchstabe a) DSGVO). Ohne Einwilligung ist eine Teilnahme nicht möglich.

Eine Einwilligung können Sie jederzeit widerrufen. Beachten Sie dabei aber bitte, dass dieser Widerruf nur Wirkung für die Zukunft entfaltet, also die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs bereits auf Basis Ihrer Einwilligung erfolgten Verarbeitung der Daten durch den Widerruf nicht berührt wird.

V. Werden meine personenbezogenen Daten auch bei Dritten erhoben?

Wir verarbeiten die personenbezogenen Daten, die wir im Rahmen der Anmeldung zu oder Teilnahme an einem Online-Meeting direkt von Ihnen erhalten. In einigen Konstellationen beziehen wir vorab Ihre personenbezogenen Daten auch von Dritten, um Sie zu Online-Meetings einzuladen. Die Dritten können zum Beispiel sein:

  • Unsere Geschäftspartner*innen / Kooperationspartner*innen,
  • Ihre Geschäftspartner*innen / Kooperationspartner*innen bzw. Geschäftspartner*innen / Kooperationspartner*innen Ihres Arbeitgebers,
  • Ihr Arbeitgeber.

VI. Erfolgt eine automatisierte Entscheidungsfindung oder ein Profiling?

Wir verwenden weder eine automatisierte Entscheidungsfindung noch ein Profiling gemäß Artikel 22 DSGVO.

VII. Muss ich meine personenbezogenen Daten bereitstellen?

Im Rahmen eines Online-Meetings der DFG müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Durchführung des Online-Meetings erforderlich sind oder zu deren Verarbeitung wir gesetzlich verpflichtet sind. Ohne diese Daten werden Sie gegebenenfalls an dem Online-Meeting der DFG nicht teilnehmen können.

VIII. Wer hat Zugriff auf meine personenbezogenen Daten und welche Empfänger*innen erhalten diese?

Innerhalb der DFG haben auf Ihre personenbezogenen Daten nur Beschäftigte der DFG-Geschäftsstelle Zugriff. Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte der Online-Meetings dazu dienen, um Informationen zu kommunizieren und damit zur Weitergabe der Teilnehmer*innen des Online-Meetings bestimmt sind und diese so Kenntnis von Daten erlangen.

Wir geben Ihre personenbezogenen Daten an externe Empfänger*innen nur dann weiter, wenn dafür eine gesetzliche Rechtfertigung besteht oder Sie darin eingewilligt haben. Dabei beachten wir den Grundsatz der Datensparsamkeit und geben Daten grundsätzlich nur in dem für den konkreten Zweck erforderlichen Umfang weiter. Dies gilt insbesondere für besondere Kategorien von Daten. Eine Datenweitergabe an Dritte zu ausschließlich deren kommerziellen Zwecken erfolgt nicht.

Etwaige externe Empfänger der Daten sind abhängig vom jeweils eingesetzten Videokonferenzsystem. Wir setzen folgende Auftragsverarbeiter ein:

  • WebEx: Telekom (Cisco wird als Unterauftragsverarbeiter der Telekom tätig).

Zu diesem Zweck haben wir mit den o.g. Unternehmen einen Vertrag zur Auftragsverarbeitung geschlossen, der sicherstellt, dass der Auftragsverarbeiter und die Unterauftragsverarbeiter Ihre personenbezogenen Daten ausschließlich zu den von uns vorgegebenen Zwecken verarbeiten darf.

IX. Ist eine Übermittlung meiner personenbezogenen Daten in Drittländer beabsichtigt?

„WebEx“ ist ein Dienst, der von Cisco aus den USA erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit ggf. auch in einem Drittland statt. Wir haben mit der Telekom bezogen auf „WebEx“ einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht. Ein angemessenes Datenschutzniveau wird im Falle einer Drittlandsübermittlung durch geeignete Garantien in Form von Standardvertragsklauseln zwischen uns und Cisco sichergestellt. Weitere Informationen hierzu finden Sie unter

X. Wie lange werden meine personenbezogenen Daten gespeichert?

Wir löschen die Daten, wenn sie für die von uns verfolgten Zwecke nicht mehr erforderlich sind und keine anderweitigen Rechtsgrundlagen, insbesondere gesetzliche oder vertragliche Aufbewahrungsfristen, greifen. Sofern wir Ihre Daten auf Grundlage einer Einwilligung verarbeiten, löschen wir die Daten, wenn die in der Einwilligung genannte Speicherfrist verstrichen ist oder Sie die Einwilligung widerrufen haben und keine anderweitige Rechtsgrundlage vorliegt. Falls Letzteres zutrifft, löschen wir die Daten nach Wegfall der anderen Rechtsgrundlage.

Wenn Sie bei „WebEx“ als Benutzer*in registriert sind, dann können Berichte über ein Online-Meeting (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten, Umfragefunktionen) durch Cisco gespeichert werden. Nähere Informationen zu den Speicherfristen, die bei der Nutzung von „WebEx“ von Cisco vorgegeben sind, finden Sie hier:

XI. Welche Betroffenenrechte stehen mir zu?

1. Auskunftsrecht

Sie haben das Recht, von uns eine Bestätigung darüber zu erhalten, ob wir personenbezogene Daten über Sie verarbeiten oder nicht. Sollte dies der Fall sein, haben Sie das Recht auf Auskunft über Ihre personenbezogenen Daten und auf weitere Informationen bezüglich der Verarbeitung.

2. Berichtigungsrecht

Sie haben das Recht, die Berichtigung Ihrer unrichtigen personenbezogenen Daten zu verlangen und unvollständige personenbezogene Daten vervollständigen zu lassen.

3. Recht auf Löschung („Recht auf Vergessenwerden“)

Unter bestimmten Umständen haben Sie das Recht, von uns die Löschung Ihrer personenbezogenen Daten zu verlangen. Dieses Recht besteht z.B., wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr notwendig sind oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

4. Einschränkung der Verarbeitung

Unter bestimmten Umständen haben Sie das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. In diesem Falle speichern wir nur diejenigen personenbezogenen Daten, für die Sie eine Einwilligung erteilt haben oder für die die DSGVO eine Verarbeitung erlaubt. Beispielsweise können Sie ein Recht auf Einschränkung der Verarbeitung haben, wenn Sie die Richtigkeit Ihrer personenbezogenen Daten bestritten haben.

5. Datenübertragbarkeit

Sofern Sie uns personenbezogene Daten auf Basis eines Vertrags oder einer Einwilligung bereitgestellt haben, können Sie bei Vorliegen der gesetzlichen Voraussetzungen verlangen, dass Sie die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder dass wir diese an einen anderen für die Verarbeitung Verantwortlichen übermitteln.

6. Widerruf der Einwilligung

Sofern Sie uns eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten bis zum Widerruf bleibt hiervon unberührt.

7. Widerspruch gegen die Verarbeitung auf Grundlage „berechtigten Interesses“

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe f) DSGVO (Datenverarbeitung aufgrund einer Interessensabwägung) erfolgt, Widerspruch einzulegen. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

8. Beschwerderecht bei der Aufsichtsbehörde

Darüber hinaus steht Ihnen das Recht zu, Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt. Sie können sich hierzu an die Datenschutzbehörde wenden, die für Ihren Aufenthaltsort, Arbeitsplatz oder den Ort eines mutmaßlichen Verstoßes zuständig ist, oder an die für uns zuständige Datenschutzbehörde. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem Sie wohnen, arbeiten oder ein mutmaßlicher Verstoß stattgefunden haben soll, der Gegenstand der Beschwerde ist.

XII. An wen kann ich mich bei Fragen oder zur Geltendmachung meiner Betroffenenrechte wenden?

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Geltendmachung Ihrer in Ziffer XI. Nr. 1–7 genannten Betroffenenrechte können Sie sich unentgeltlich mit uns in Verbindung setzen. Bitte nutzen Sie unsere Kontaktdaten unter Ziffer I. Nr. 1. Für den Widerruf einer Einwilligung können Sie darüber hinaus stets auch denjenigen Kontaktweg wählen, den Sie bei der Abgabe der Einwilligungserklärung verwendet haben.