25.01.2021

Sichere Videokonferenzen mit BigBlueButton

Dass Videokonferenzen zur Zeit unerlässlich sind – ob man sie nun mag oder nicht – ist völlig klar! Wie man sie datenschutzkonform und sicher durchführen kann, stellen wir Ihnen hier kurz vor.

Videokonferenzen - Wichtiges zur aktuellen Rechtslage in Firmen und Schulen!
Wie man Videokonferenzen datenschutzgerecht durchführt
Was ist bei Videokonferenzservern organisatorisch und technisch zu beachten?
Unser Angebot: BigBlueButton als Webservice oder auf eigener Hardware

Videokonferenzen – Wichtiges zur aktuellen Rechtslage in Firmen und Schulen!

Bei Videokonferenzen werden immer datenschutzrechtlich relevante Daten verarbeitet. Auch wenn ich mich in der Konferenz unter anonymisiertem Namen anmelde, so werden immer noch meine Stimme und/oder mein Video übertragen. Das sind selbstverständlich personenbezogene Daten, die automatisiert von der Videokonferenzsoftware verarbeitet werden. Damit fallen Videokonferenzen eindeutig unter die DSGVO. Die Datenschutz-Aufsichtsbehörde Berlin hat in einer Analyse verschiedener Videokonferenzsysteme festgestellt, dass die üblichen Softwaresysteme nicht rechtskonform eingesetzt werden können. Dies betrifft auch Slack, Microsoft Teams, Google Meet, Skype und Zoom. Das Gutachten können Sie hier herunterladen. Auch wenn die Anbieter inzwischen versucht haben, nachzubessern (oder Klage einzureichen), wurde die Beurteilung bisher von noch keiner Datenschutzbehörde revidiert (Stand 01. Januar 2021).

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz hat im Januar 2021 Schulen die Auflage erteilt, spätestens zum Ende des aktuellen Schulhalbjahres auf BigBlueButton umzusatteln. Die gesamte behördliche Stellungnahme können Sie hier einsehen. Einen Videokonferenzserver sicher und datenschutzkonform einzurichten ist also nicht ganz trivial! Was die Verantwortlichen und die IT-Abteilung dabei beachten müssen, haben wir weiter unten bei “Was ist bei Videokonferenzservern organisatorisch und technisch zu beachten?” näher ausgeführt.

Wie man Videokonferenzen datenschutzgerecht durchführt

Wer sich einen Videokonferenz-Zugang als Webservice buchen möchte, muss die üblichen Punkte beachten: Der Server muss garantiert innerhalb der EU oder einem außereuropäischen Land mit entsprechendem Datenschutzabkommen stehen. Nach dem Kippen des Privacy-Shield Abkommens dürfen damit keine Anbieter mehr genutzt werden, welche die Daten auf US-amerikanischen Servern verarbeiten.

Wenn man einen europäischen Dienstleister wählt, muss man nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag abschließen. Darin muss sich der Anbieter auch verpflichten, Logdateien nach angemessener Frist (üblicherweise zwischen 5 und 14 Tagen) zu löschen. So weit, so klar.

Wenn Sie nun Teilnehmer zu Ihrer Videokonferenz einladen, müssen Sie auch Ihren Informationspflichten nachkommen. Nach Art. 13 DSGVO müssen Sie dafür bei der ersten Einladung die Datenschutzhinweise zur Videokonferenz aushändigen. Da Einladungen zur Konferenz üblicherweise per E-Mail erfolgen, kann man die Datenschutzhinweise einfach als PDF der Einladung mit anhängen. Hier finden Sie unsere Vorlage, an der Sie sich zum Beispiel orientieren können.

Aufpassen müssen Sie, wenn Sie die Videokonferenz aufzeichnen möchten: Alle mitgeschnittenen Personen müssen im Vorwege schriftlich der Aufzeichnung zustimmen. Dabei muss im Vorhinein bekannt gemacht werden, wofür die Aufzeichnung verwendet wird. Also: Wenn Sie bei einem Webinar nur den Vortragenden aufzeichnen, so reicht seine alleinige Einwilligung. Sobald man in der Aufzeichnung aber die Benutzernamen oder Videos der Teilnehmer sieht oder deren Stimmen hört, müssen auch die Teilnehmer einwilligen.

Die Gefahr, dass sich unberechtigte Personen in Ihre Konferenz einschleichen, ist auch höher als man vermutet. Aufmerksamkeit hat das erfahren, als sich der Berliner Rapper Sido und der TV-Moderator Klaas Heufer-Umlauf in Videokonferenzen eingeschlichen und das Ganze bei ProSieben ausgestrahlt haben. Gegen so etwas gibt es einen einfachen Schutz: versehen Sie Ihre Videokonferenz mit einem Passwort bzw. Zugangscode!

Damit alle Mitarbeiter das so umsetzen, sollte Ihr Datenschutzbeauftragter dazu am besten ein kleines Merkblatt erstellen und an die Mitarbeiter verteilen. Eine kleine Schulung der Mitarbeiter über das Vorgehen bei Videokonferenzen kann ergänzend dazu auch helfen. Das könnte man ja gleich per Video machen ?

Was ist bei Videokonferenzservern organisatorisch und technisch zu beachten?

Dieses Kapitel richtet sich an die IT-Verantwortlichen und Informatiker unter Ihnen. Ohne zu sehr ins technische Detail zu gehen, wollen wir kurz auflisten, was man bei der Konfiguration eigener Videokonferenzserver beachten muss – sowohl für allgemeine Videokonferenzsysteme wie auch für BigBlueButton im Speziellen.

Organisatorisch ist zu beachten:

BigBlueButton bringt die Besonderheit mit sich, dass es nur auf Ubuntu 16.04 funktioniert. Der Nachteil der vollkommenen Unflexibilität bringt dafür den Vorteil der reibungslosen und 100% aufeinander abgestimmten Konfiguration. Daher fiel uns die Installation von BigBlueButton, obwohl wir ansonsten alle unsere Server aus Gründen der verstärkten Sicherheit und Netzwerkstabilität auf FreeBSD Unix laufen lassen, recht leicht.

Da ein Videokonferenzserver auch ein Webserver ist, muss ein Impressum und eine Datenschutzerklärung bestehen. Dort müssen für die Bereitstellung des Konferenzsystems alle üblichen Punkte aufgeführt werden. Dazu gehören Nennung der Verantwortlichen, Zweck und Rechtsgrundlage der Datenverarbeitung, Speicherung und Empfänger der Daten sowie Rechte der Betroffenen.

Ebenso müssen die Logdateien des Backends so konfiguriert sein, dass sie regelmäßig gelöscht werden (Datenschützer streiten sich immer noch, was eine gerechtfertigte Aufbewahrungsfrist ist – mit einer Logrotation von 5 Tagen macht man jedenfalls nichts verkehrt). Bei BigBlueButton ist das einigermaßen kompliziert, da BigBlueButton eine Ansammlung von vielen verschiedenen Open-Source-Systemen ist. Neben den nginx bzw. Apache Logs gibt es noch verschiedene Logdateien von BigBlueButton selbst sowie von Red5 und Kurento. Auch bei Servern hinter einer NAT muss man die entsprechenden Dienste anpassen.

Technisch ist zu beachten:

Natürlich gelten alle Standardmaßnahmen zur datenschutzgerechten Konfiguration und sicheren Installation für Server auch hier: Die Zutrittssicherung zur Hardware muss gewährleistet sein, ein Berechtigungskonzept durch Passwörter oder Zertifikate für den Serverzugriff. Die Firewall kann mit dem Kommando ufw sehr einfach eingerichtet werden. Sollte der Server im Hosting sein, ist ein Auftragsverarbeitungsvertrag notwendig.

Für alle Videokonferenzserver, unabhängig ob BigBlueButton oder nicht, gilt außerdem: Damit Teilnehmer hinter einer Firewall auch in einer Videokonferenz teilnehmen können, muss ein Turn-/Stun-Server eingerichtet werden! Das hat den Grund, dass viele Firmenfirewalls aus den stärker geschützten Firmenbereichen (z.B. in den Systemen von Forschung und Entwicklung oder auf der Managementebene) UDP-Adressbereiche aus Sicherheitsgründen sperren. Hier müssen die Übertragungsdaten für die Videokonferenz per TCP an den Turn-/Stun-Server geschickt werden, welcher die Daten dann per UDP an den Videkonferenzserver weiterleitet.

Bei der Aktivierung der SSL-Verschlüsselung darf man nicht vergessen, neben nginx bzw. Apache auch Freeswitch auf SSL umzuschalten, um die sichere (d.h. verschlüsselte) Datenübertragung zu gewährleisten.

Für das Ressourcen-Monitoring kann man seinen Server ins Nagios- oder Icinga-Monitoring einbinden oder mit dem Standardtool der Debian-Derivate sysstat mittels des sar-Befehls lokales Monitoring betreiben. Darüber hinaus gibt es bei BigBlueButton auch eine Schnittstelle zu Prometheus für detaillierte Analysen und Statistiken.

Der Autor

Georg Rasch ist seit 2010 Datenschutzbeauftrager und IT-Sicherheitsberater. Nach seinem Mathematikstudium arbeitete er zunächst als Informatiker an der Christian-Albrechts-Universität zu Kiel. 2014 hat er die DSS IT Security GmbH in Kiel gegründet und ist seitdem als ihr Geschäftsführer tätig.

Sichere Videokonferenzen mit BigBlueButton

Videokonferenzen – Wichtiges zur aktuellen Rechtslage in Firmen und Schulen!

Wie man Videokonferenzen datenschutzgerecht durchführt

Was ist bei Videokonferenzservern organisatorisch und technisch zu beachten?

Der Autor

Kontakt

Kommentare

Einen Kommentar schreiben

Nichts mehr verpassen

Gruppe
Name
Technischer Name
Anbieter
Ablauf in Tagen
Datenschutz
Zweck
Erlaubt
Gruppe	Essenziell
Name	Contao CSRF Token
Technischer Name	csrf_contao_csrf_token
Anbieter	https://www.diwish.de/
Ablauf in Tagen	1
Datenschutz	https://www.diwish.de/datenschutz.html
Zweck	Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name	Contao HTTPS CSRF Token
Technischer Name	csrf_https-contao_csrf_token
Anbieter	https://www.diwish.de/
Ablauf in Tagen	1
Datenschutz	https://www.diwish.de/datenschutz.html
Zweck	Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name	PHP SESSION ID
Technischer Name	PHPSESSID
Anbieter	https://www.diwish.de/
Ablauf in Tagen	1
Datenschutz	https://www.diwish.de/datenschutz.html
Zweck	Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name	FE USER AUTH
Technischer Name	FE_USER_AUTH
Anbieter
Ablauf in Tagen	1
Datenschutz
Zweck	Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Gruppe	Analyse
Name	Matomo (ehemals PIWIK)
Technischer Name	_pk_id.1.b542,_pk_ses.1.b542