Datenschutzerklärung für BigBlueButton

 

Verantwortlich nach Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO)

Leonie Hannig, Andreas Steinhauser und Sebastian Breuer

Datenschutzbeauftragter nach Art. 37 Abs.1 DSGVO

Dr. Thomas Pudelko, datenschutz@t-pudelko.de

Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Durchführung von Audio-bzw. Videokonferenzen. Dies beinhaltet auch die Bereitstellung von Präsentationen, Videos und von extern eingebundenen Inhalten sowie Screenshares. Desweiteren fallen hierunter auch die Verwaltung von Nutzer:innendaten z.B. für die Authentifizierung, die Wartung der Systeme und Fehlerbeseitigung und sonstige Maßnahmen zur Gewährleistung der Funktionsfähigkeit der Videokonferenzsoftware BigBlueButton.

Erhebung personenbezogener Daten bei der Nutzung von BigBlueButton und des Webfrontends Greenlight

infra.run betreibt die Videokonferenzsoftware BigBlueButton, die zusammen mit dem Webfrontend Greenlight eingesetzt werden kann. Besitzen Nutzer:innen Accounts für Greenlight, so werden Namen, E-Mail-Adressen, Passwörter, Raumnamen und der Zeitpunkt des letzten Logins gespeichert. Von Teilnehmer:innen an BigBlueButton-Sitzungen (mit und ohne Greenlight-Account) werden Namen, Videostreams, Audiostreams, Chat-Nachrichten, Notizen und sonstige Daten, die im Rahmen einer BigBlueButton-Sitzung anfallen sowie Aufzeichnungen von BigBlueButton-Sitzungen, sofern dies durch den oder die Nutzer:innen jeweils veranlasst wurde, gespeichert und verarbeitet.

Speicherung von Cookies

In Greenlight wird ein Anmeldungs- / Sessioncookie gesetzt. Dieses wird beim Ausloggen gelöscht. BigBlueButton setzt Cookies, die für den Betrieb notwendig sind, aber keine Tracking-Cookies.

Logdaten

Das von der infra.run Service GmbH betriebene BigBlueButton bzw. Greenlight erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können

  • die verwendeten Browsertypen und Versionen,
  • das vom zugreifenden System verwendete Betriebssystem,
  • die Internetseite, von welcher ein zugreifendes System auf das System gelangt (sogenannte Referrer),
  • die Unterwebseiten, welche über ein zugreifendes System angesteuert werden,
  • das Datum und die Uhrzeit eines Zugriffs,
  • eine Internet-Protokoll-Adresse (IP-Adresse),
  • der Internet-Service-Provider des zugreifenden Systems,
  • sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die infra.run Service GmbH keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um

  • Inhalte korrekt auszuliefern,
  • Inhalte für die betroffene Person zu optimieren,
  • die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik zu gewährleisten,
  • Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen.

Diese anonym erhobenen Daten und Informationen werden durch die infra.run Service GmbH daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.

Löschung von gespeicherten Daten

Die bei der Nutzung von BigBlueButton entstandenen Daten (z.B. Chatinhalte oder Zeichnungen) werden nach Beendigung einer Videokonferenz gelöscht. Logdaten werden nach drei Tagen gelöscht, sofern dies nicht gesetzlich anders geregelt ist.

Personenbezogene Daten werden grundsätzlich dann gelöscht, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Weitergabe von Daten

Eine Übermittlung von persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet durch uns nicht statt. Wir geben persönlichen Daten nur an Dritte weiter, wenn

  • der/die Nutzer:in uns nach Artikel 6 Abs.1 S.1 lit.a DSGVO ausdrückliche Einwilligung dazu erteilt hat,
  • dies gesetzlich zulässig und nach Artikel 6 Abs.1 S.1 lit.b DSGVO für die Abwicklung von Vertragsverhältnissen unbedingt erforderlich ist, wie bspw. im Fall der Nutzung unserer Telefoneinwahl,
  • für die Weitergabe nach Artikel 6 Abs.1 S.1 lit.c DSGVO eine gesetzliche Verpflichtung besteht,
  • die Weitergabe nach Artikel 6 Abs.1 S.1 lit.f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten besteht.

Derzeit übermitteln wir automatisiert nur Daten im Falle einer Telefoneinwahl. Hierbei wird die Telefonnummer der:s Teilnehmer:in durch unseren Partner easybell verarbeitet. Eine darüber hinausgehende automatisierte Übermittlung von Daten an Drittanbieter findet nicht statt. Eine manuelle Übermittlung findet nur aus den oben angegebenen Gründen statt.

Serverstandorte

infra.run nutzt ausschließlich Rechenzentren in Deutschland mit ISO27001-Zerfitizierung

Rechtsgrundlage der Verarbeitung

Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zur unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO.

In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basie- ren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Un- ternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).

Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.

Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem:r Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch eine betroffene Person muss sich die betroffene Person an eine:n unserer Mitarbeiter:innen wenden. Unser:e Mitarbeiter:in klärt die betroffene Person einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.

Recht auf Auskunft und Löschung

Wer der das von der infra.run Service GmbH betriebene BigBlueButton / Greenlight aufruft, hat das Recht auf Auskunft über die ihn/sie betreffenden personenbezogenen Daten. Eine Auskunft wird jederzeit gegeben. Jede:r hat ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit der Person dies gesetzlich zusteht. Eine Löschung kommt nicht in Betracht, wenn ggf. ein Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen bestehen. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht anderweitig sicher verifiziert werden kann, muss damit gerechnet werden, dass Rückfragen bezüglich der Identität der nachfragenden Person erfolgen. Es muss sicher gestellt werden, dass die Person, die anfragt auch diese Person ist.

Schließlich hat jede natürliche Person ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Insbesondere wenn ein Widerspruchsrecht gegen eine Verarbeitung dieser Daten auf Basis der Interessenabwägung geltend gemacht werden, muss damit gerechnet werden, dass dies genau geprüft wird. Die Interessenabwägungen wurden hier sorgfältig vorgenommen. Also den Art. 21 DSGVO bitte genau lesen und damit rechnen, dass auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO gestellt werden. Natürlich hat jede natürliche Person auch ein Recht auf Datenübertragbarkeit. Auch hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.

Beschwerderecht bei einer Aufsichtsbehörde

Jede natürliche Person hat das Recht, sich über die Verarbeitung personenbezogener Daten durch den Seitenbetreiber bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Diese Datenschutzhinweise werden bei Änderungen an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen, verändert. Die jeweils aktuelle Fassung ist stets auf dieser Internetseite zu finden.