Online Meetings mit Jitsi

Online Meetings mit Jitsi sind aus Datenschutzsicht die beste Möglichkeit zur Durchführung. Der Hauptgrund dafür ist, dass bei Meetings über Jitsi Server ziemlich wenig personenbezogene Daten anfallen. Außerdem steht hinter Jitsi in der Regel kein kommerzielles Interesse.

Trotzdem fallen auch bei Online Meetings mit Jitsi personenbezogene Daten an, so dass Sie auch hierbei die DSGVO beachten müssen.

Lesen zum besseren Verständnis auch den Online Meetings Artikel.

In den Folgenden Überlegungen sind Sie Veranstalter oder Initiator von Online Meetings mit Jitsi. Wenn Sie „nur“ Teilnehmer“ eines Jitsi Meetings sind, dürfen Sie sich zurücklehnen und die anderen die Arbeit machen lassen.

allgemeines zu Jitsi

Jitsi ist eine Open Source Videokonferenzlösung für Online Meetings.

Als Teilnehmer müssen Sie keine Software installieren. Alles läuft im Browser. Auf Ihrem Smartphone können Sie Jitsi auch über Apps nutzen.

Kleiner Wermutstropfen: Jitsi funktioniert am besten mit dem Chrome Browser. Aus Datenschutzsicht ist das nicht unbedingt die beste Wahl. Eine Alternative ist der auf Chrome basierende Browser Chromium – das ist „Chrome ohne Google“. Damit sind Sie deutlich datensparsamer unterwegs. Für Android oder iOS Geräte gibt es passende Apps in den Stores.

Jitsi Server

Sie können entweder einen eigenen Jitsi Meet Server betreiben, oder auf fertige Angebote zurückgreifen. Allerdings stehen die meisten Jitsi Server nicht für die kommerzielle Nutzung zur Verfügung.

Sollten Sie die Administration eines eigenen Jitsi Server scheuen, was verständlich ist, können Sie einen Dienstleister damit beauftragen. Die Kosten dafür halten sich in Grenzen und liegen um die 200 Euro pro Jahr.

Der Vorteil eines eigenen Jitsi Servers ist, dass es die datenschutzfreundliche Lösung ist. Sie müssen sich außerdem nicht mit einem Anbeiter „herumschlagen“, keine Verträge schließen und weniger Formalien der DSGVO erfüllen.

Gründe die für Jitsi sprechen

Vor allem bietet der Datenschutz Gründe die für den Einsatz von Jitsi als Online Meeting Lösung. Notieren Sie die für sich relevanten Gründe – möglicherweise müssen Sie darauf zurückgreifen.

  • keine Installation von Software notwendig (Browserbasiert)
  • Geräte- und Plattformunabhängig einsetzbar (Windows, Linux, macOS, iOS, Android)
  • intuitive Menüführung (keine Schulungen nötig)
  • Ende zu Ende Verschlüsselung
  • keine Datenweitergabe an Dritte oder Auftragsverarbeiter

Formalien für Online Meetings mit Jitsi

Auch wenn Sie Ihren eigenen Jitsi Server betreiben müssen Sie einige DSGVO Formalien einhalten.

Sie finden in den folgenden Absätzen einige Punkte zu den notwendigen Rahmenbedingungen.

Auftragsverarbeitungsvertrag

Sie benötigen nur dann einen Auftragsverarbeitungsvertrag, wenn Sie den Jitsi Server von einem Dienstleister pflegen und warten lassen. Möglicherweise auch, wenn Sie Supportleistungen in Anspruch nehmen. Das hat jedoch nichts mit dem Betrieb des Jitsi Servers selbst zu tun.

Je nachdem, ob Sie Ihren Server in einem Rechenzentrum betreiben, benötigen Sie für den Serverbetrieb an sich einen Auftragsverarbeitungsvertrag. Der beinhaltet aber nicht den Betrieb des Jitsi Servers.

Sicherheit der Verarbeitung

Für die Sicherheit der Verarbeitung sind Sie als verantwortliche Stelle selbst verantwortlich.

Dokumentieren Sie Ihre getroffenen Maßnahmen mit denen Sie die Sicherheit der Verarbeitung gewährleisten.

Sicherheit der Verarbeitung

Prüfen Sie die Auftragsverarbeitungsverträge der involvierten Dienstleister. Gleichen Sie dazu die dokumentierten technischen und organisatorischen Maßnahmen (TOM) mit ihren eigenen Anforderungen an Sicherheit ab.

Die Maßnahmen des Dienstleisters dürfen NICHT unter Ihrem definierten Sicherheitsniveau liegen.

Dokumentieren Sie Ihre Prüfung.

Ihr Datenschutzbeauftragter kann Ihnen dabei helfen

Informationspflichten

Veranstalten Sie ein Jitsi Meeting, müssen Sie auch die Informationspflichten als Verantwortliche Stelle nach Art. 13 DSGVO erfüllen.
Informieren dazu Sie die Meetingteilnehmer über die Verarbeitung ihrer personenbezogenen Daten. Am besten mit Datenschutzhinweisen / Informationspflichten nach Art. 13 DSGVO.
Ein Beispiel wie so etwas aussehen kann finden Sie hier.
Am besten weisen Sie schon in der Einladung zum Jitsi Meeting per Link darauf hin. Dazu bauen Sie den Text einfach auf eine Seite Ihrer Webseite ein und verlinken darauf.

Dokumenation der Verarbeitungstätigkeit

Die Dokumentation der Verarbeitungstätigkeit nach Art. 30 DSGVO wird nicht sonderlich schwer. Schließlich verfügen Sie aus den Vorüberlegungen über die notwendigen Informationen.

Sie kennen den Zweck und können für eine mögliche Interessenabwägung Details nennen.

Sie wissen selbst, welche Daten Verarbeitet werden. Möglicherweise stehen im Auftragsverarbeitungsvertrag mit Ihrem Dienstleister  weitere Details zu den Daten die verarbeitet werden. Der Umfang der Verarbeitung hängt von den Einstellungen des Jitsi Servers ab.

Der Rest ist Standard des Verzeichnisses von Verarbeitungstätigkeiten und den Informationspflichten.

Jitsi Einstellungen

Um so datenschutzfreundlich wie möglich zu sein, achten Sie darauf KEINEN Google STUN Server in Ihrer Jitsi Installation einzubauen.

Auch sollten Sie die IP Adressen nicht protokollieren und maximal zur Fehlerbehebung / -analyse verwenden bevor sie automatisch gelöscht werden. Schützen Sie die Meeting Räume mit Passwörtern.

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Online Meetings mit ZoomDatenschutzbeauftragten benennenDatenschutzbeauftragten benennen