Informationen zur Datenverarbeitung für die Teilnahme externer Personen an BigBlueButton-Konferenzen auf vhs.cloud

(1) Wer ist die verantwortliche Stelle?

Verantwortliche Stelle im Sinne des Datenschutzrechts ist grundsätzlich diejenige auf vhs.cloud registrierte Institution, die Ihnen den Link zur Teilnahme an der Web-Konferenz zur Verfügung gestellt hat. In Zweifelsfällen erfahren Sie von derjenigen Person, die Ihnen den Link zur Verfügung gestellt hat, wer datenschutzrechtlich für die Durchführung der Web-Konferenz verantwortlich ist.

(2) Eingesetztes Konferenzsystem

Die Umsetzung der in vhs.cloud integrierten Nutzerfunktion „Konferenz“ erfolgt mit der Open-Source-Software „BigBlueButton“ (BBB).  BBB erlaubt die Durchführung moderierter Online-Veranstaltungen mit den marktüblichen Leistungsmerkmalen mittels WebRTC direkt im Browser. Die Datenübertragung bei der Nutzung des Konferenzsystems erfolgt verschlüsselt (Transportverschlüsselung).

Der Betrieb von BBB erfolgt im Auftrag von DigiOnline GmbH als technischem Dienstleister im Rechenzentrum der IBH IT-Service GmbH (Dresden). Die IBH IT-Service GmbH ist für die Erbringung technischer Dienstleistungen zertifiziert. Bei Bedarf werden zusätzliche Betriebskapazitäten durch die als IT-Dienstleister ebenfalls zertifizierte Hetzner Online GmbH (Falkenstein) im Auftrag der IBH IT-Service bereitgestellt. Der technische Betrieb erfolgt jeweils in Deutschland. DigiOnline GmbH hat mit der IBH IT-Service GmbH einen entsprechenden Vertrag über Auftragsverarbeitung nach Art. 28 DSGVO geschlossen, der die datenschutzrechtskonforme Verarbeitung der übermittelten Daten und der bei Nutzung der Konferenz entstehenden Kommunikationsdaten gemäß DSGVO sicherstellt.

Konferenzen können nur von Moderatorinnen und Moderatoren in der Nutzerfunktion „Konferenz“ auf vhs.cloud gestartet werden. Sie können als externe*r Teilnehmer*in an einer Web-Konferenz nur dann teilnehmen, wenn der Konferenzraum durch die Moderation bereits gestartet wurde.

Verarbeitungen

Bei Aufruf des Konferenzsystems werden die IP-Adresse sowie allgemeine Informationen verarbeitet, die der Browser automatisch an den BBB-Server übermittelt. Diese Daten werden im sog. Log-File des Servers gespeichert. Hierzu zählen Informationen zum verwendeten Betriebssystem und zum beim Aufruf verwendeten Browser. Wird der Konferenzraum betreten, wird zur technischen Absicherung der persönlichen Konferenz-Sitzung automatisch ein sog. Session-Cookie gesetzt.

Bei Betreten des Konferenzraumes wird nach erfolgreichem Echotest der von Ihnen auf der Landingpage angegebene Name in den BBB-Konferenzraum übermittelt, damit die Konferenzteilnehmerinnen und Konferenzteilnehmer sich in der Konferenz untereinander identifizieren und ansprechen können. Eine anonyme Nutzung des Konferenzsystems ist nicht möglich.

Wenn die Nutzerinnen und Nutzer aktiv an einer Konferenz teilnehmen und dabei optional ihre Kamera und ihr Mikrofon für die Konferenz freigeben, werden entsprechende Audio- und Videodaten in die Konferenz übertragen und auf dem Server verarbeitet. Die Freigabe von Kamera und/oder Mikrofon kann durch den Nutzer jederzeit in der laufenden Konferenz wieder zurückgezogen werden.

Während einer Konferenz entstehen durch den optionalen Einsatz integrierter weiterer Konferenzfunktionen ggf. weitere personenbezogene Daten:

  • Chat-Beiträge
  • Abstimmungsverhalten bei Umfragen
  • in der Konferenz verfasste, mit den anderen Teilnehmerinnen und Teilnehmern geteilte Text-Notizen
  • Beiträge auf dem Whiteboard (Texte, Zeichnungen)

Moderatorinnen und Moderatoren können bei Bedarf innerhalb einer Konferenz im Konferenzraum jederzeit sog. Gruppenräume (Break-Out-Räume) erstellen und Teilnehmerinnen und Teilnehmer diesen Gruppenräumen zuweisen. In diesen Gruppenräumen stehen grundsätzlich dieselben Nutzerfunktionen wie im Konferenzraum zur Verfügung. Moderatorinnen und Moderatoren können sich in aus didaktischen Gründen in Untergruppen zuschalten und dort zuhören sowie sprechen. Dies wird in der Teilnehmerliste der Gruppenräume entsprechend angezeigt.

Moderatorinnen und Moderatoren können gemeinsam erstellte Notizen aus dem Konferenzraum in unterschiedlichen Dateiformaten exportieren.

In Konferenzen kann die Moderation durch die Angabe von Video-URLs externe Videos teilen und diese verlinkten Videos in der Konferenz simultan für alle Teilnehmerinnen und Teilnehmer abspielen. Wird ein Video in der Konferenz abgespielt, so verarbeitet der externe Video-Dienst (z.B. YouTube) diejenigen personenbezogenen Daten, die bei Abspielen des Videos über den Browser üblicherweise auch außerhalb der Konferenz verarbeitet werden. Über diese Verarbeitungen Dritter informieren die Datenschutzerklärungen der Anbieter der betreffenden Videodienste.

Telefoneinwahl

BBB erlaubt– wie die meisten Konferenzsysteme – die Teilnahme über Einwahl per Telefon (Audio). Für die alternative telefonische Teilnahme an der Konferenz wird innerhalb der Konferenz allen Teilnehmerinnen und Teilnehmern eine Telefonnummer sowie eine raumbezogene Konferenz-PIN angezeigt. Nach Wahl der Telefonnummer und Eingabe der Konferenz-PIN wird man telefonisch in die Konferenz dazu geschaltet.

Als in der Konferenz angezeigte Name der telefonischen Teilnehmerinnen und Teilnehmer erscheinen die letzten drei Ziffern der Telefonnummer desjenigen Anschlusses, über den die Einwahl erfolgt ist. Die vollständige Telefonnummer wird im Server-Log gespeichert.

Zweckbindung

Die Verarbeitung der personenbezogenen Daten dient ausschließlich dem Zweck, Ihnen die Nutzung des Konferenzsystems zu ermöglichen, um mit den Mitgliedern von vhs.cloud, deren Einladung Sie gefolgt sind, online zu kommunizieren. Im Sinne der Datensparsamkeit werden dabei nur diejenigen personenbezogenen Daten verarbeitet, die zu diesem Zweck zwingend verarbeitet werden müssen. Nutzungsdaten (IP-Adresse und Browserkennung), die während der Nutzung der Konferenz automatisch anfallen, werden ausschließlich zur Sicherstellung des technischen Betriebs, zur Störungsbehebung und Fehleranalyse verarbeitet.

Löschfristen

Die in einer Konferenz übertragenen Audiodaten, Videodaten und Dateien werden wie ggf. im Konferenzraum vorhandene geteilte Notizen, Chatbeiträge und Umfragen nach Beendigung der Konferenz zusammen mit dem gesamten Konferenzraum gelöscht. Audio- und Videodaten werden nur für den Moment übertragen und sind schon während der Konferenz flüchtig. Eine BBB-interne, serverbasierte Option der Aufnahme von Konferenzen gibt es nicht.

Das Session-Cookie zur technischen Absicherung der Konferenz-Sitzung wird bei Schließen des Browserfensters vom Browser gelöscht.

Die im Server-Log gespeicherten personenbezogenen Nutzungs- und Verbindungsdaten (z.B. IP-Adresse bei Aufruf der Konferenz, Telefonnummer bei telefonischer Einwahl) werden durch Löschung des Server-Logs vier Wochen nach Beendigung der Konferenz automatisch gelöscht.

(3) Auf welcher rechtlichen Grundlage basiert die Verarbeitung?

Wenn Sie an einer Web-Konferenz auf vhs.cloud teilnehmen, so ist die verantwortliche Stelle, die Ihnen den Link zur Konferenz zur Verfügung gestellt hat, verpflichtet, Sie über die Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten zu informieren. In der Regel wird dies in der E-Mail erfolgen, in der Sie den Link zur Landingpage der Konferenz oder ggf. die Telefonnummer und die Konferenz-PIN zur telefonischen Einwahl erhalten haben.

Grundsätzlich ist es das berechtigte Interesse des Konferenzanbieters, Ihnen eine Web-Konferenz über vhs.cloud anzubieten. Ihr Interesse ist es, an dieser angebotenen Web-Konferenz teilzunehmen. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in diesem Fall auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Sofern Sie gegenüber dem Verantwortlichen eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, ist dies die Rechtsgrundlage (Art. 6 Abs. 1 lit a DS-GVO.

Sollte eine andere Rechtsgrundlage zur Anwendung kommen, wird der Verantwortliche Sie darüber informieren.

(4) An welche Empfänger werden die Daten weitergegeben?

In einem Konferenzraum wird der von Ihnen auf der Landing-Page angegebene Name für alle Teilnehmerinnen und Teilnehmer der Konferenz sichtbar dargestellt. Wenn Sie telefonisch an einer Konferenz teilnehmen, werden die letzten drei Ziffern Ihrer Telefonnummer als Teilnehmer-Name angezeigt. Falls Sie Ihre Kamera und Ihr Mikrofon aktiviert haben, wird zusätzlich Ihr Bewegtbild und Ihre Stimme in die Konferenz übertragen.

Ihre Nutzer- und Nutzungsdaten werden durch den genannten Auftragsverarbeiter IBH IT-Service GmbH (Dresden) für den Betrieb des Konferenzsystems verarbeitet.

(5) Ihre Rechte

Sie haben gegenüber dem Verantwortlichen für die Verarbeitung Ihrer personenbezogenen Daten stets folgende Rechte:

  • Recht auf Auskunft über Ihre personenbezogenen Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung, Sperrung oder Löschung (Art. 16 u. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie das
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO, soweit technisch möglich).

Richten Sie Ihre Anfrage bitte an die verantwortliche Stelle, also an diejenige Institution, die Ihnen den Link zur Teilnahme an der Web-Konferenz zur Verfügung gestellt hat.

Beschwerderecht

Zusätzlich zu den oben genannten Rechten haben Sie das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen (Art. 77 DSGVO).

Stand dieser Informationen: 04.12.2023