Online Meetings mit Jitsi

Online Meetings mit Jitsi sind aus Datenschutzsicht die beste Möglichkeit zur Durchführung. Der Hauptgrund dafür ist, dass bei Meetings über Jitsi Server ziemlich wenig personenbezogene Daten anfallen. Außerdem steht hinter Jitsi in der Regel kein kommerzielles Interesse.

Trotzdem fallen auch bei Online Meetings mit Jitsi personenbezogene Daten an, so dass Sie auch hierbei die DSGVO beachten müssen.

Lesen zum besseren Verständnis auch den Online Meetings Artikel.

In den Folgenden Überlegungen sind Sie Veranstalter oder Initiator von Online Meetings mit Jitsi. Wenn Sie „nur“ Teilnehmer“ eines Jitsi Meetings sind, dürfen Sie sich zurücklehnen und die anderen die Arbeit machen lassen.

allgemeines zu Jitsi

Jitsi ist eine Open Source Videokonferenzlösung für Online Meetings.

Als Teilnehmer müssen Sie keine Software installieren. Alles läuft im Browser. Auf Ihrem Smartphone können Sie Jitsi auch über Apps nutzen.

Kleiner Wermutstropfen: Jitsi funktioniert am besten mit dem Chrome Browser. Aus Datenschutzsicht ist das nicht unbedingt die beste Wahl. Eine Alternative ist der auf Chrome basierende Browser Chromium – das ist „Chrome ohne Google“. Damit sind Sie deutlich datensparsamer unterwegs. Für Android oder iOS Geräte gibt es passende Apps in den Stores.

Jitsi Server

Sie können entweder einen eigenen Jitsi Meet Server betreiben, oder auf fertige Angebote zurückgreifen. Allerdings stehen die meisten Jitsi Server nicht für die kommerzielle Nutzung zur Verfügung.

Sollten Sie die Administration eines eigenen Jitsi Server scheuen, was verständlich ist, können Sie einen Dienstleister damit beauftragen. Die Kosten dafür halten sich in Grenzen und liegen um die 200 Euro pro Jahr.

Der Vorteil eines eigenen Jitsi Servers ist, dass es die datenschutzfreundliche Lösung ist. Sie müssen sich außerdem nicht mit einem Anbeiter „herumschlagen“, keine Verträge schließen und weniger Formalien der DSGVO erfüllen.

eigener Jitsi Meet Server

Ich betreibe einen eigenen Jitsi Meet Server. Damit biete ich meinen Gesprächspartnern eine datenschutzfreundliche Lösung an.

Wenn Sie auch einen eigenen Jitsi Meet Server betreiben möchten kann ich Ihnen helfen – schreiben Sie mir eine E-Mail oder rufen Sie direkt an. Die Lösung ist sogar ziemlich einfach und kostet nicht mehr als Zoom.

Gründe die für Jitsi sprechen

Vor allem bietet der Datenschutz Gründe die für den Einsatz von Jitsi als Online Meeting Lösung. Notieren Sie die für sich relevanten Gründe – möglicherweise müssen Sie darauf zurückgreifen.

  • keine Installation von Software notwendig (Browserbasiert)
  • Geräte- und Plattformunabhängig einsetzbar (Windows, Linux, macOS, iOS, Android)
  • intuitive Menüführung (keine Schulungen nötig)
  • Ende zu Ende Verschlüsselung
  • keine Datenweitergabe an Dritte oder Auftragsverarbeiter

Formalien für Online Meetings mit Jitsi

Auch wenn Sie Ihren eigenen Jitsi Server betreiben müssen Sie einige DSGVO Formalien einhalten.

Sie finden in den folgenden Absätzen einige Punkte zu den notwendigen Rahmenbedingungen.

Auftragsverarbeitungsvertrag

Sie benötigen nur dann einen Auftragsverarbeitungsvertrag, wenn Sie den Jitsi Server von einem Dienstleister pflegen und warten lassen. Möglicherweise auch, wenn Sie Supportleistungen in Anspruch nehmen. Das hat jedoch nichts mit dem Betrieb des Jitsi Servers selbst zu tun.

Je nachdem, ob Sie Ihren Server in einem Rechenzentrum betreiben, benötigen Sie für den Serverbetrieb an sich einen Auftragsverarbeitungsvertrag. Der beinhaltet aber nicht den Betrieb des Jitsi Servers.

Sicherheit der Verarbeitung

Für die Sicherheit der Verarbeitung sind Sie als verantwortliche Stelle selbst verantwortlich.

Dokumentieren Sie Ihre getroffenen Maßnahmen mit denen Sie die Sicherheit der Verarbeitung gewährleisten.

Sicherheit der Verarbeitung

Prüfen Sie die Auftragsverarbeitungsverträge der involvierten Dienstleister. Gleichen Sie dazu die dokumentierten technischen und organisatorischen Maßnahmen (TOM) mit ihren eigenen Anforderungen an Sicherheit ab.

Die Maßnahmen des Dienstleisters dürfen NICHT unter Ihrem definierten Sicherheitsniveau liegen.

Dokumentieren Sie Ihre Prüfung.

Ihr Datenschutzbeauftragter kann Ihnen dabei helfen

Informationspflichten

Veranstalten Sie ein Jitsi Meeting, müssen Sie auch die Informationspflichten als Verantwortliche Stelle nach Art. 13 DSGVO erfüllen.
Informieren dazu Sie die Meetingteilnehmer über die Verarbeitung ihrer personenbezogenen Daten. Am besten mit Datenschutzhinweisen / Informationspflichten nach Art. 13 DSGVO.
Ein Beispiel wie so etwas aussehen kann finden Sie hier.
Am besten weisen Sie schon in der Einladung zum Jitsi Meeting per Link darauf hin. Dazu bauen Sie den Text einfach auf eine Seite Ihrer Webseite ein und verlinken darauf.

Dokumenation der Verarbeitungstätigkeit

Die Dokumentation der Verarbeitungstätigkeit nach Art. 30 DSGVO wird nicht sonderlich schwer. Schließlich verfügen Sie aus den Vorüberlegungen über die notwendigen Informationen.

Sie kennen den Zweck und können für eine mögliche Interessenabwägung Details nennen.

Sie wissen selbst, welche Daten Verarbeitet werden. Möglicherweise stehen im Auftragsverarbeitungsvertrag mit Ihrem Dienstleister  weitere Details zu den Daten die verarbeitet werden. Der Umfang der Verarbeitung hängt von den Einstellungen des Jitsi Servers ab.

Der Rest ist Standard des Verzeichnisses von Verarbeitungstätigkeiten und den Informationspflichten.

Jitsi Einstellungen

Um so datenschutzfreundlich wie möglich zu sein, achten Sie darauf KEINEN Google STUN Server in Ihrer Jitsi Installation einzubauen.

Auch sollten Sie die IP Adressen nicht protokollieren und maximal zur Fehlerbehebung / -analyse verwenden bevor sie automatisch gelöscht werden. Schützen Sie die Meeting Räume mit Passwörtern.