Datenschutzerklärung des 2. Niveaus


zur Kenntnisnahme und Bestätigung durch Beteiligte am Ende dieser Seite

 

Das Sozialpädagogische Fortbildungsinstitut Berlin-Brandenburg (SFBB), mit Sitz in der Königstraße 36 B, 14109 Berlin-Wannsee, Deutschland nutzt für digitale Fortbildungsangebote die Videokonferenz-Software CISCO WEBEX und hat eine Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement“ oder „MDPA“) abgeschlossen mit Cisco International Limited mit eingetragenem Firmensitz in 9-11 New Square Park, Bedfont Lakes, Feltham, England TW14 8HA, United Kingdom, einschließlich seiner verbundenen Unternehmen (nachfolgend „Cisco“). Diese ist am 14.08.2020 in Kraft getreten. Diese Rahmenvereinbarung stellt eine Auftragsverarbeitungs-Vereinbarung i.S. von Art. 29 DS-GVO dar.

Die Datenschutz-Rahmenvereinbarung weicht von der Datenschutz-Grundverordnung grundsätzlich insoweit ab, dass personenbezogene Daten der Nutzer/innen in Drittländer außerhalb der Europäischen Union (insbesondere die USA) übermittelt werden dürfen. Diese Befugnis beruht auf den Standardvertragsklauseln, die CISCO in der Anlage C seiner MDPA in Bezug genommen hat und die der Europäische Gerichtshof in seiner Entscheidung vom 16. Juli 2020 (C-311/18, Schrems II) für weiterhin anwendbar erklärt hat, solange die zuständige Datenschutz-Aufsichtsbehörde die von CISCO konkret vereinbarten Klauseln nicht für unan- wendbar und damit den Export personenbezogener Daten in Drittländer für unzulässig erklärt hat.

Die nachfolgende Datenschutzerklärung des Datenschutzverantwortlichen der SenBJF in Zusammenarbeit mit dem SFBB enthält im Lichte der o. g. Datenschutz-Rahmenvereinbarung Ergänzungen und Konkretisierungen der Datenschutzerklärung (des 1. Niveaus), die das SFBB auf seiner Website www.sfbb.berlin-brandenburg.de veröffentlicht hat. Sie beziehen sich auf weitere Abweichungen vom Datenschutzniveau der DS-GVO, die Cisco in seiner Datenschutz- Rahmenvereinbarung MDPA außerhalb der Standardvertragsklauseln vereinbart hat.

Diese Abweichungen vom Datenschutzniveau der DSGVO in der MDPA von CISCO wurden von der Berliner Beauftragten für Datenschutz und Informationsfreiheit geprüft und im Interesse der Rechte der Nutzer/innen beanstandet. Sie sind Gegenstand von Verhandlungen zwischen den Vertragsparteien mit dem Ziel, die beanstandeten Vereinbarungsbestandteile entweder hinreichend zu konkreti- sieren oder aufzuheben, wo kein berechtigtes Interesse von CISCO an der entsprechenden Verarbeitungsbefugnis erkennbar ist.

Es handelt sich dabei um folgende Klauseln der Anlage B der MDPA zum Datenschutz („Data Protection Exhibit“) über die Verarbeitungsbefugnisse von Cisco im Hinblick auf die Rechte der Webex-Nutzer/innen an ihren personenbezogenen Daten (fett markiert die problematischen, von der DS-GVO abweichenden Passagen):

Ziffer 2. d)

Wenn in diesem DPE keine bestimmten Standards oder Vorschriften bezüglich Datensicherheit oder Datenschutz genannt werden, hat Cisco die Vertraulichkeit, Sicherheit, Geheimhaltung, Integrität, Verfügbarkeit und Korrektheit personenbezogener Daten durch angemessene, all- gemein anerkannte Praktiken zu schützen.

Ziffer 4 d.xii

Bei Beendigung der MDPA – unabhängig vom Grund – oder nach schriftlicher Aufforderung, die jederzeit während der Laufzeit der Vereinbarung erfolgen kann, muss Cisco die Verarbeitung der vom Kunden erhaltenen personenbezogenen Daten einstellen und nach Aufforderung durch den Kunden innerhalb eines angemessenen Zeitraums entweder alle personenbezogenen Daten zu- rückgeben oder alle in seinem Besitz oder unter seiner Kontrolle befindlichen personenbezogenen Daten sicher und vollständig zerstören oder löschen (gemäß einem Standard wie dem US-amerikanischen DoD-5220.22-M oder NIST 800-53 oder dem britischen HMG Infosec Standard 5), es sei denn, eine solche Rückgabe oder Zerstörung ist nicht durchführbar

Ziff. 6 e

Der Kunde erklärt sich ausdrücklich damit einverstanden, dass Partnerunternehmen von Cisco als Unterauftragsverarbeiter eingesetzt werden können und Cisco bzw. seine Partnerunter- nehmen im Rahmen der Leistungserbringung Dritte als Unterauftragsverarbeiter einsetzen können. Cisco muss den Kunden auf dessen zumutbares Verlangen hin eine aktuelle Liste der Unterauftragsverarbeiter für die jeweiligen Leistungen vorlegen, in der die Identität dieser Unterauftragsverarbeiter angegeben ist („Liste der Unterauftragsverarbeiter“).

Ziffer 8

Cisco darf

Telemetrie- und Support-Daten gegenüber Dritten offenlegen, vorausgesetzt, diese Daten wurden aggregiert und/oder angemessen anonymisiert, um im vernünftigen Maß die Identifizierung jeglicher natürlicher oder juristischer Personen zu vermeiden;

Telemetrie- und Support-Daten für eigene Geschäftszwecke nutzen, ohne dem Kunden (gemeint ist das SFBB) dafür Zuschreibungen oder Vergütungen zu schulden;

Cisco darf nicht verpflichtet werden, geschützte Daten zurückzugeben oder zu zerstören, die Verwaltungsdaten, Telemetriedaten oder Support-Daten darstellen. Cisco darf diese Daten auch nach Kündigung oder Ablauf dieser MDPA weiterhin gemäß Abschnitt 8 (Zulässige Nut- zung und Offenlegung) nutzen und offenlegen.

Hiermit stimme ich der Datenschutzerklärung zu