Info
Inhalt

Jitsi Meet: Datenschutz

Um eine Orientierung für datenschutzkonforme Videochatlösungen zu geben, hat der Berliner Datenschutzbeauftragte eine übersichtliche Darstellung von aktuell auf dem Markt befindliche Lösungen erarbeitet.

Eine übersichtliche Ampelbewertung weist aus, welche Lösungen datenschutzkonform und welche kritisch zu betrachten sind. Für usnere Kunden installieren wir eine eigenständige Jitis Videoserver Lösung. Dies garantiert vertrauliche Beratung. Weiter Parameter um datenschutzkonforme Beratung anbieten zu können ist der richtige Umgang mit Jitsi, siehe beiliegendes Dokument.

Allgemeine Anmerkungen zu Jitsi Meet (Zitat aus dem Bericht des Berliner Datenschutzbeauftragten)
Bei Jitsi Meet handelt es sich um freie und quelloffene Software. Wir haben beispielhaft die Angebote einiger Dienstleister betrachtet, die den Betrieb der Software für Verantwortliche zum Inhalt haben. Hierbei haben die Dienstleister die Software teilweise angepasst. Am Markt sind eine Reihe weiterer Betreiber dieser Software tätig. Mit der Nennung der Anbieter ist keine Aussage dahingehend verbunden, dass ihre Dienstleistung der anderer im Wettbewerb stehender Unternehmen vorzuziehen ist. Die Bereitstellung eines Jitsi-Systems führt allerdings auch regelmäßig zur Übernahme von technischen Einschränkungen, die sich auf einen datenschutzkonformen Einsatz auswirken
und bei den entsprechenden Anbietern systematisch wiederfinden lassen. Einige dieser Einschränkungen können in Abhängigkeit von der Nutzung des Systems dazu führen, dass nicht alle datenschutzrechtlichen Anforderungen erfüllt werden. Um dies zu korrigieren, sind u. U. Anpassungen des Quellcodes der Software notwendig. Eine Übernahme in die öffentlich verfügbare Community-Code-Basis würde es auch anderen Stellen, die die Software einsetzen, ermöglichen, von den Anpassungen zu profitieren. Eingeschränkt sind insbesondere das Rollenkonzept und die zur Verfügung stehenden Methoden zur Zugangskontrolle. Außer in Anwendungsfällen mit geringfügigen Risiken sollten die Verantwortlichen darauf achten, dass der von ihnen genutzte Dienst eine Moderationsrolle anbietet, die nur nach Anmeldung mit personenindividuellen Merkmalen (typischerweise mit Nutzername und Passwort) übernommen werden kann. Viele Jitsi-Instanzen vergeben die Moderationsrolle an die erste Person, die einen Konferenzraum betritt. Dies ist für Anwendungsfälle mit mehr als geringfügigen Risiken nicht geeignet.
Die uns bekannten Dienste, die Jitsi Meet einsetzen, erlauben es nicht, die Teilnahme an einer Konferenz auf Personen einzuschränken, die sich mit personenindividuellen Merkmalen
(typischerweise mit Nutzername und Passwort) angemeldet haben. In Abhängigkeit von den weiteren Maßnahmen, die die/der Verantwortliche trifft, und den Risiken im konkreten Anwendungsfall kann dies zur Unzulässigkeit des Einsatzes führen.
Die Anbieter von jitsi-basierten Diensten stellen keine eigenen mobilen Anwendungen (Apps) zur Nutzung ihrer Dienste bereit. Stattdessen können die für alle solche Dienste allgemein einsetzbaren Apps eingesetzt werden. Wir warnen dabei vor der Nutzung der Apps aus dem Google Play Store und dem Apple App Store, die jeweils Software von TrackingAnbietern wie Crashlytics und Firebase enthalten. Die Variante der Jitsi-App aus dem FDroid-Store20 dagegen ist frei von derartigen Komponenten. Verantwortliche müssen in der Einladung zu einer Konferenz auf die genannten Defizite der Apps hinweisen und den Zugang zu dem Dienst über die F-Droid-App oder einen Webbrowser empfehlen, soweit diese Information den Eingeladenen noch nicht bekannt ist.
Wie bei jedem Dienst, bei dem es zur Teilnahme an einer Konferenz ausreicht, den Konferenzlink aufzurufen und das Konferenz-Passwort einzugeben, müssen Verantwortliche besonderes Augenmerk auf die Vertraulichkeit der Übergabe des Links zur Konferenz und des Konferenz-Passworts legen. Ein Sicherheitsgewinn kann erzielt werden, indem Passwort und Einladungslink den Teilnehmenden auf unterschiedlichen Kommunikationskanälen mitgeteilt werden.

Download der Einschätzung von Videokonferenzdiensten durch die Berliner Datenschutzbehörde

2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

nach oben