Videokonferenzen boomen seit Corona. Oft sind sie das einzige Mittel, um Infektionen sicher vorzubeugen. Allerdings: beim Datenschutz sieht es bei den meisten Lösungen schlecht aus. Für Konferenzen im Rahmen von Kommunalpolitik und Ehrenamt sind sie daher oft gar nicht (legal) anwendbar. Mit cleveren Konzepten kann man aber auch vollständig DSGVO-konform arbeiten.
Gerade für kleinere Gemeinden und deren Ehrenamtliche ist das ein Problem. Dort wird daher dennoch oft auf die großen Lösungen wie Skype, WebEx, Google Meet, Zoom und andere zurückgegriffen. Stimmen alle Teilnehmer zu und ist es ein informelles Treffen, dann erscheint das Vorgehen zumindest nicht gänzlich fragwürdig.
Das Problem
Die meisten der wirklich leistungsfähigen Anbieter sitzen im Ausland, meist auch außerhalb der EU (oder unterliegen auf „Umwegen“ z.B. US-Recht). Entsprechend befinden sich die Konferenz-Server auch im Ausland und unterliegen meist dem US-Recht. Prinzipiell hat man als nicht-Großkunde auch kaum Möglichkeiten auf die Datenschutzkonformität der Lösung einzuwirken – oder überhaupt exakt zu wissen, was der Dienstleister mit Teilnehmerdaten und auch dem Konferenzinhalt selbst denn eigentlich so macht.
Gemeinderatssitzungen
Nicht ernsthaft zu rechtfertigen ist die Verwendung dieser Anbieter daher für Gemeinderatssitzungen und ähnliche Treffen. Für Baden-Württemberg kann ich das sicher sagen. Dort hat der Gesetzgeber neuerdings virtuelle Ratssitzungen mit der Aufnahme des §37a in die Gemeindeordnung ermöglicht. Gleichzeitig hat er aber die Hemmschwelle dafür ziemlich hoch gelegt: es muss aber eine „zeitgleiche Übertragung von Bild und Ton“ erfolgen. Anders gesagt: es muss zwingend eine Videokonferenz abgehalten werden. Außerdem wird natürlich gefordert, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Ist das nicht der Fall, ergibt sich eine Rechtsunsicherheit in Bezug auf die getroffenen Beschlüsse. Wie hoch diese Unsicherheit zu bewerten ist, sei den Juristen überlassen.
Ehrenamt, Firmen, Vereinsleben
Die Einhaltung des datenschutzrechtlichen Belange ist natürlich auch in allen anderen Lebensbereichen (eigentlich) gefordert. Auch wenn so mancher gerne freiwillig darauf verzichtet. Anbieten sollte man möglichst datensparsame Anwendungen überall dort, wo es möglich ist. Das gilt im Privaten, bei Vereinen und natürlich auch bei geschäftlichen Dingen.
Eine Lösung
Die quelloffene Software Jitsi Meet liefert eine solide Grundlage, zumindest für kleinere Konferenzen. Sie ist auf PC, Mac, Tablet, iPhone und Smartphone verfügbar und kann kostenlos genutzt werden. Ihr Funktionsumfang kommt nicht ganz an die großen Lösungen heran, kann aber recht gut mithalten. Manches ist sogar verfügbar, dass nur in sehr teuren Abos der großen Anbieter enthalten ist.
Es gibt natürlich auch Nachteile: der Wichtigste ist, dass die Übertragungsqualität nicht wirklich an die Profi-Lösungen heranreicht. Auch Konferenzen mit 50 oder mehr Teilnehmenden wird man mit Jitsi eher nicht mögen. Das Web berichtet aber von guten bis brauchbaren Erfahrungen im Bereich von bis zu 30 Konferenzteilnehmern – was ja eine Menge ist und für viele Belange reicht. Wer einfach nur ein eine große Zuschauerschaft übertragen möchte, kann auch einen YouTube-Livestream bedienen. Damit haben die Zuschauer allerdings auch wieder keine datensparsame Lösung. Wenn die Übertragung zeitversetzt erfolgen darf, lässt sich auch dieses Problem allerdings über den eigenen Webserver lösen.
Achtung: Öffentliche Server
Weil es für jeden einfach und kostenlos ist, werden gerne öffentliche Server genutzt, z.B. der von Jitsi selbst. Das ist verständlich und gerade im privaten und Vereins-Umfeld kaum anders zu realisieren. Wer einen öffentlichen Server benutzt, gibt die Kontrolle über die Daten jedoch teilweise an dessen Betreiber ab. Selbst mit öffentlichem Server ist Jitsi recht sicher, weil keine Registrierung und unmittelbare Nachvollziehbarkeit der Teilnehmenden gegeben ist. Wirklich DSGVO-konform ist diese Lösung aber nicht.
Private Server
Ein großer Vorteil von Jitsi ist, dass die Einrichtung eines privaten, also selbst betriebenen, Servers relativ simpel ist. Dazu braucht es natürlich IT-Know-How. Jeder Fachkundige kann einen Server aber binnen kurzer Zeit in Betrieb nehmen. Damit erhält man rasch ein komplett selbst betriebenes, voll-funktionsfähiges Videokonferenzsystem. Und, das ist das wichtige: man hat vollständige Kontrolle über den Datenverkehr und kann somit auch die Anforderungen der DSGVO erfüllen. Dazu sollte das Grundsystem dann natürlich noch etwas optimiert werden.
Solange man nur kleine Konferenzen mit wenigen (4 bis 8) Teilnehmern durchführt, ist auch die notwendige Server-Hardware noch kostengünstig. Allerdings: man benötigt einen starken Internet-Anschluss. Für die Videoübertragung werden recht große Datenmengen benötigt.
Wo wird der Server betrieben?
Daher wird man um die Platzierung des Servers in einem Rechenzentrum nicht herum kommen. Mit dem Hosting-Provider ist dann zwar eine externe Stelle „im Rennen“, direkten Zugriff auf den Server hat sie allerdings nicht. Somit bleibt man hier DSGVO-Konform – und zwar nicht nur nach Checkliste, sondern auch tatsächlich. Wichtig: der angemietete Server sollte sich allerdings in Deutschland befinden, ersatzweise in der EU. Einen Server z.B. in den USA anzumieten wäre nach meinem Verständnis ein Verstoß gegen die DSGVO und auch tatsächlich aus Datenschutz-Sicht nicht empfehlenswert.
Was ist mit größeren Konferenzen?
Konferenzen mit mehr als 8 Teilnehmern benötigen sicherlich einen stärkeren Server. Auch den wird man bei einem Hosting-Provider finden. Und auch hier dürfte der Preis sich noch in einem vertretbaren Rahmen bewegen. Für einen Verein kann sich hier allerdings schon die Kostenfrage stellen, dass muss man zugeben. Eventuell könnte man sich dann zusammen tun – oder die Kommune stellt einen sicheren virtuellen Versammlungsraum kostenlos oder gegen kleine Gebühr zur Verfügung. Das macht sie schließlich auch mit physischen Räumen.
Wenn die Kosten ein Problem sind, kann man auch gezielt Angebote auswählen, bei denen der Server nur während der tatsächlichen Nutzungszeiten gezahlt werden muss. Das ist technisch anspruchsvoller, geht aber durchaus (wir arbeiten gerade an einem solchen Konzept).
Wie eingangs erwähnt, scheinen Konferenzen mit bis zu 30 Teilnehmern relativ problemlos. Darüber hinaus wird es dann wohl doch schwieriger. Eigene Erfahrungen zu dem Thema haben wir noch nicht vorzuweisen – wir wollen Sie aber in der in Kürze beginnenden Erprobungsphase erarbeiten.
Ist die Lösung wirklich datenschutzkonform?
Unserer Meinung nach ein ganz klares „Ja“. Kritischster Punkt ist der Serverbetrieb in einem Rechenzentrum. Hier ist die geeignete Auswahl sowie geeignete sonstige technische und organisatorische Maßnahmen wichtig.
Übrigens verwendet das Land Baden-Württemberg für Fernunterricht der Schulen ein ähnliches Konzept. Dort werden Jitsi-Server bei den Kreismedienzentralen betrieben und der Zugang den Schulen zur Verfügung gestellt. Dazu heißt es beim Landesmedienzentrum „Die Nutzung dieses Tools wurde vom Landesdatenschutzbeauftragten bei entsprechender Konfiguration durch die Schule als datenschutzfreundlich eingestuft„. Insofern gehen wir davon aus, dass auch die Verwendung in anderer Umgebung problemlos ist.
Fazit
Videokonferenzen können DSGVO-konform durchgeführt werden. Mit einem selbst betriebenen Server lässt sich auch der strenge deutsche Datenschutz realisieren. Besonders geeignet dafür ist die Software Jitsi, die für Fachleute sehr einfach zu installieren ist und einen hinreichenden Funktionsumfang für viele Anwendungen bietet. Die Gesamtkosten sind relativ gering, insbesondere wenn sich ehrenamtliche Fachleute zur Betreuung des Servers bereit finden.
Damit bietet dieses Konzept auch kleinen und finanzschwachen Kommunen eine ernsthafte Möglichkeit zur Nutzung von Videokonferenzen für z.B. Gemeinderatssitzungen.
Wie geht es weiter?
Wir haben einen privaten Jitsi Server eingerichtet und erproben dessen Verwendung sowohl in Großrinderfeld bei ehrenamtlichen Tätigkeiten als auch zur beruflichen Anwendung im Rahmen unseres Open-Source Projekts „rsyslog„. Bei rsyslog erwarten wir auch Teilnehmerzahlen, die unseren Server sicherlich an seine Leistungsgrenze bringen werden.
Aktuell betreiben wir eine einfache Grundkonfiguration. Diese wird im Rahmen des Probebetriebs erweitert. Auch ein Konzept zum sehr kostengünstigen nur zeitweisen Betrieb des Servers ist geplant und soll dann erprobt werden.
Für den kommunalen Bereich gäbe es aus meiner Sicht übrigens eine sehr einfache Lösung: die bei den Kreismedienzentralen für die Schulen betriebenen Server könnten den Kommunen am Abend unentgeltlich zur Verfügung gestellt werden. Damit wäre „mit einem Schlag“ das ganze Thema „Ratssitzung via Videokonferenz“ sehr viel einfacher.