Der Einsatz von Videokonferenzdiensten an der Universität Rostock

Empfehlungen zur Auswahl des Videokonferenzdienstes

Grundsatz: lokale Lösung (BigBlueButton) wählen

Bitte arbeiten Sie grundsätzlich mit der vom ITMZ angebotenen lokalen Lösung (Stand September 2024: BigBlueButton). Auf diese Weise wird gewährleistet, dass die Universität Rostock die volle Kontrolle über den Umfang und die Empfänger der verarbeiteten personenbezogenen Daten hat. Zudem kann sichergestellt werden, dass nicht mehr Daten erhoben werden, als zur Zweckerreichung benötigt und die verarbeiteten Daten nicht an Dritte weitergegeben werden. Auch ist seitens des ITMZ ein kontinuierlicher und persönlicher Support für die Nutzer gegeben. Mitarbeiter sind „greifbar“ und können im Ernstfall auch tatsächlich angewiesen werden, bestimmte Einstellungen vorzunehmen, Daten zu löschen usw. Und zu guter Letzt: Die lokalen Systeme basieren auf Open Source-Software, so dass Fehler im Code von der Community und ggf. auch dem ITMZ selbst erkannt und ggf. eliminiert werden können. All dies trifft auf externe Dienste/Software nicht (bspw. „Zoom X“) oder nur partiell (z.B. „DFNConf“) zu.

 

externe Lösung(en) nur ausnahmsweise

Der Einsatz externer Dienste kann erst erwogen werden, wenn die genannte lokale Lösung (On-Premise-Variante) aus technischen und/oder inhaltlichen Gründen für das konkrete Anwendungsszenario nachweislich nicht geeignet ist. Dafür genügt es nicht, pauschal auf die Gewöhnung an einen bestimmten externen Anbieter hinzuweisen oder zu behaupten, es käme aller Voraussicht nach zu technischen Problemen mit der lokalen Lösung, ohne dass dafür Anhaltspunkte vorlägen. Vielmehr ist darzutun und zu dokumentieren, aus welchen konkreten Gründen die Videokonferenz nicht mit dem lokalen Dienst durchführbar ist.  

Im Hinblick auf die zur Verfügung stehenden externen Lösungen wird empfohlen, diejenigen Dienste einzusetzen, die zentral über das bzw. vom ITMZ bereitgestellt werden und deren IT-Infrastruktur sich vollständig im deutschen bzw. europäischen Raum befindet. Diese beiden Voraussetzungen erfüllt „DFNConf“. Wenn Sie sich für diesen Dienst entscheiden, steht Ihnen ein umfangreicher technischer Support seitens des ITMZ zur Verfügung. Zudem werden die europäischen Datenschutz-Standards eingehalten.

Letzteres ist bei (webbasierten) (Cloud-) Diensten, die ihre IT-Infrastruktur im Wesentlichen außerhalb der EU bzw. des EWR betreiben, häufig nicht oder jedenfalls nicht im erforderlichen Umfang der Fall, weshalb die Stabsstelle Datenschutz und Informationssicherheit grundsätzlich von deren Einsatz abrät. Diese Empfehlung gilt für eine Reihe us-amerikanischer Produkte, wie bspw. Microsoft Teams, Skype oder Google Meet. Sie alle verarbeiten personenbezogene Daten in einer Art und Weise, die mit dem geltenden Recht (derzeit noch) nicht im erforderlichen Umfang in Einklang zu bringen ist. 

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine ganze Reihe von Videokonferenzdiensten eingehend aus technischer wie auch aus rechtlicher Sicht überprüft. Seine Handreichung ergänzt die obigen Empfehlungen und soll Ihnen die Auswahl eines geeigneten Videokonferenzdienstes ebenso erleichtern wie die OH Videokonferenzsysteme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. 

Checkliste "rechtliche und technische Anforderungen an Videokonferenzsysteme"

In dieser Checkliste werden die rechtlichen und technischen Anforderungen an Videokonferenzsysteme übersichtlich zusammengefasst. 

Datenschutz und IT-Sicherheit bei der Verwendung des Videokonferenzdienstes

Hinweise/Empfehlungen
  1. Achten Sie darauf, dass Sie die/den Videokonferenzsoftware/-dienst nicht automatisch beim Hochfahren des Computers starten.
  2. Nutzen Sie für die Registrierung/Anmeldung an der/dem Videokonferenzsoftware/-dienst unterschiedliche Passwörter und nicht das zum Nutzerkennzeichen zugehörige Passwort.
  3. Tragen Sie dafür Sorge, dass das Mikrofon beim Betreten eines VC-Raums automatisch stumm geschaltet wird.
  4. Überprüfen Sie vorab Ihr eigenes Videobild, ob es Objekte enthält, die nicht gesehen werden sollen (bspw. vertrauliche Informationen an einer Pinnwand).
  5. Wählen Sie Ihre Meeting-ID bzw. Meeting-URL möglichst kryptisch und keinesfalls sprechend (z.B.: Ihr Name oder Ihre Telefonnummer), damit sie nicht erraten werden kann.
  6.  Vergeben Sie ein Passwort zum Betreten des Meeting-Raums.
  7. Geben Sie die Zugangsdaten zu dem Meeting nur an die geplanten Teilnehmer weiter.
  8. Beobachten Sie als Veranstalter des Meetings die Teilnehmer. Reagieren Sie sofort, wenn ein nicht eingeladener Teilnehmer erscheint.
  9. Halten Sie die/den Videokonferenzsoftware/-dienst (oder den Browser, mit dem Sie an der Videokonferenz teilnehmen) aktuell.
  10. Für die Aufzeichnung einer Videokonferenz ist die Zustimmung aller Teilnehmer erforderlich.
  11. Wenn Sie parallel zur Videokonferenz in der Software einen Chat-Kanal benutzen, sollten Sie sich nur so äußern, dass eine versehentliche Veröffentlichung des Chats keinen Schaden für Sie oder die Universität Rostock anrichtet.
  12. Klären Sie vor der Einladung zu einem Meeting, ob die zu erwartenden Inhalte der Besprechung für das Medium geeignet sind. Insbesondere wenn Beratungen zu sensiblen Themen via Videokonferenz durchgeführt werden sollen (bspw. Gespräche im Personalbereich wie etwa Vorstellungs- und Mitarbeitergespräche sowie Gespräche in Berufungsverfahren), müssen Sie vorab klären, ob und unter welchen Voraussetzungen diese zulässig sind.

Kontakt und Beratung

Dr. Katja Fröhlich

Stabsstelle Datenschutz und Informationssicherheit
Albert-Einstein-Str. 22 (Konrad-Zuse-Haus), Raum 104
18059 Rostock

Tel.: +49 (0) 381/ 498 8333
Mobil: + 49 (0) 151/ 4425 4645
E-Mail: datenschutzbeauftragteuni-rostockde