Datenschutzerklärung für BigBlueButton

(6 Bewertungen, 3.83 von 5)

Was macht  BigBlueButton?

BigBlueButton ist ein Open-Source-Tool für Webkonferenzen. Unternehmen können darüber mit Geschäftspartnern und Kunden Videokonferenzen und Telefonate abhalten, Fotos, Videos, Folien und andere Dateien austauschen sowie miteinander chatten. In Deutschland nutzen das Tool vor allem Schulen, Universitäten und Unternehmen. Hinter der Software steht ein kanadischer Anbieter. Was müssen Einrichtungen und Unternehmen datenschutzrechtlich beachten, wenn sie BigBlueButton verwenden?

Der Punkt "BigBlueButton" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Warum ist BigBlueButton datenschutzrechtlich relevant?

Je nachdem, wie Unternehmen BigBlueButton verwenden, erheben sie unterschiedliche Daten ihrer Gesprächspartner. Das können zum Beispiel

  • E-Mail-Adressen,
  • Chat-Nachrichten,
  • Dateien und
  • IP-Adressen

sein. Das Tool bietet zudem die Möglichkeit, Videokonferenzen aufzuzeichnen. Bei diesen Daten handelt es sich zum Teil um personenbezogene Daten. Unternehmen müssen daher besondere datenschutzrechtliche Pflichten beachten.

Können Unternehmen BigBlueButton DSGVO-konform verwenden?

Grundsätzlich gilt BigBlueButton als datenschutzfreundlich. So empfehlen sowohl die Berliner Datenschutzbeauftragte als auch das Landemedienzentrum Baden-Württemberg die Software. Um BigBlueButton datenschutzkonform zu verwenden, müssen Unternehmen auf diese Vorgaben der Datenschutz-Grundverordnung (DSGVO) achten:

Datenschutzerklärung anpassen

Unternehmen erheben über BigBlueButton Userdaten. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erwähnen,

  • warum sie über BigBlueButton Daten erheben,
  • welche Daten sie über BigBlueButton erheben,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage ihnen die Datenverarbeitung nach der DSGVO erlaubt und
  • dass Nutzer der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Auf eigenem Server hosten

Unternehmen sollten BigBlueButton auf einem eigenen Server betreiben. Auf diese Weise geben sie keine erhobenen Daten an Dritte weiter. Und: Sie können die Software so möglichst datenschutzfreundlich konfigurieren.

Datensparsamkeit beachten

Unternehmen sollten bei der Nutzung von BigBlueButton nur die Daten erheben, die sie unbedingt benötigen. Der Grundsatz der Datensparsamkeit der DSGVO gibt dabei vor, dass die Datenerhebung

  • einem erlaubten Zweck dienen muss,
  • geeignet sein muss, diesen Zweck zu erfüllen und
  • erforderlich sein muss, diesen Zweck zu erreichen.

Unternehmen dürfen die erhobenen Daten zudem nur so lange speichern, wie sie diese für den angegebenen Zweck benötigen oder es ein Gesetz vorgibt.

Videokonferenzen nicht aufzeichnen

BigBlueButton zeichnet Videokonferenzen automatisch auf und speichert diese in Form einer RAW-Datei. Die Datei bleibt automatisch für zwei Wochen gespeichert. Danach löscht BigBlueButton die Datei. Betätigen Unternehmen zudem während einer Videokonferenz zusätzlich die Aufnahmefunktion, erzeugt das Tool aus der RAW-Datei eine Datei, die eine Veröffentlichung ermöglicht.

Administratoren sollten Videokonferenzen nicht aufzeichnen – es sei denn, sie erfüllen so einen von der DSGVO erlaubten Zweck. Sie sollten BigBlueButton zudem so konfigurieren, dass die Software die automatisch aufgezeichnete RAW-Datei unmittelbar nach Ende einer Videokonferenz löscht. Unternehmen können so zwar nicht verhindern, dass die Datei entsteht. Sie bleibt so jedoch nicht zwei Wochen lang gespeichert.

Vertrag zur Auftragsverarbeitung abschließen?

Hosten Unternehmen BigBlueButton auf ihrem eigenen Server, müssen Unternehmen keinen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Betreiben sie das Tool über einen Hosting-Anbieter, müssen sie mit diesem einen AV-Vertrag schließen. Der Vertrag sollte klarstellen,

  • welche Userdaten der Hosting-Anbieter von Unternehmen erhält und speichert,
  • wie lange der Anbieter die Daten speichert,
  • wie der Anbieter die Daten verarbeitet und
  • welche Rechte und Pflichten Anbieter und Unternehmen haben.

Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie mit einem Hosting-Anbieter einen AV-Vertrag geschlossen haben.

Rechtsprechung zu BigBlueButton

Unternehmen, die BigBlueButton nicht selbst hosten, benötigen einen AV-Vertrag mit dem entsprechenden Hosting-Anbieter. Versäumen sie diese DSGVO-Pflicht, müssen sie mit einem Bußgeld rechnen. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Zwei Datenschutzbehörden sprachen daher bisher diese Strafen aus:

Datenschutzbehörde Hamburg zum AV-Vertrag

Ein Versandunternehmen musste am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro zahlen. Das Unternehmen hatte es versäumt, mit einem beauftragten Dienstleister einen AV-Vertrag zu schließen. Die Datenschutzbehörde Hamburg hatte daraufhin das Bußgeld ausgesprochen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußballverein VfB Stuttgart musste im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Er hatte zwar mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Eine rechtliche Grundlage in Form eines AV-Vertrags hatte der Verein dafür jedoch nicht geschaffen. Das wertete die Datenschutzbehörde Baden-Württemberg als schweren DSGVO-Verstoß.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6510 Bewertungen, 4.38 von 5)