Jitsi – Videokonferenzen

Lesezeit: 4 Minuten

Beschreibung

Jitsi ist eine Open Source Videokonferenz Plattform, die als sehr datenschutzfreundlich gilt. Sie kann auf einem eigenen Server betrieben werden, was jedoch nicht nur einen Server braucht, sondern auch das Wissen, wie man Jitsi sicher betreibt. Daneben gibt es die Möglichkeit, einen der vielen im Netz offen zugänglichen Jitsi Server zu nutzen. Die meisten Anbieter offener Jitsi Server stellen den Dienst frei zur Verfügung, da sie sich für Datenschutz, Bürgerrechte und das Recht auf informationelle Selbstbestimmung einsetzen. Man kann hier davon ausgehen, dass die Betreiber kein Interesse an den Daten der Benutzer haben. Von daher ist das Risiko, dass Videokonferenzen abgehört, aufgezeichnet und verbreitet werden, sehr gering. Eine hundertprozentige Sicherheit gibt es hier jedoch so wenig wie bei anderen Plattformen. Werden Links zu Video Meetings öffentlich bekannt gemacht, können sich auch bei Jitsi Dritte einklinken und stören.

Jitsi, Dienste Dritter und Sicherheit

Wie sicher und datenschutzfreundlich Jitsi Server sind, hängt von der Konfiguration ab und den genutzten Diensten Dritter. Wird die Jitsi Instanz auf einem Server von Amazon, Google, Cloudflare oder Microsoft betrieben, kommen Dritte ins Spiel, hier US Dienstleister, die je nach Serverstandort nicht nur der DS-GVO unterliegen. Gleiches gilt auf für den genutzten STUN Server. Einige der frei verfügbaren Jitsi Server nutzen Google STUN Server. Das wird aus der Sicht von Datenschützern oftmals kritisch gesehen. Als Open Source Lösung ist die Datennutzung bei Videokonferenzen transparent.

Als Plattform ist Jitisi selbst sehr datenschutzfreundlich, da Nutzer dort an Videokonferenzen teilnehmen können, ohne Spuren zu hinterlassen. Eine Registrierung ist zur Teilnahme an einer Videokonferenz nicht erforderlich. Bei den öffentlichen Jistsi Servern braucht es auch zum Starten einer Videokonferenz keine Registrierung. Jitsi speichert keine Nutzerdaten und die Videokonferenzen sind verschlüsselt. Anders als bei einigen anderen Videokonferenz Plattformen bestehen Konferenzräume nur solange sie genutzt werden. Sie werden nicht für neue Meetings gespeichert. Video, Audio und Chat werden nur für die Dauer einer Konferenz gespeichert.1Es gibt Einstellmöglichkeiten in Jitsi, die Speicherungen von Inhalten zulassen. Darüber hinaus kann auch durch die Konfiguration des Jitsi Servers eingestellt werden, wie datenschutzfreundlich Videokonferenzen durchgeführt werden. Ob die Einstellmöglichkeiten genutzt werden, hängt von der Person ab, die eine Videokonferenz startet. Mehr Informationen zum Datenschutz bei Jitsi unter https://jitsi.org/security/

Anbieter-Sammlungen

Unter den folgenden Links finden sich Sammlungen von Jitsi Servern.

Auf den Seiten der Jitsi Server findet man selten selten Angaben zu den Anbietern. Über die URL kann man jedoch meist leicht herausfinden, wer den Server betreibt. Wenn man einen Anbieter nicht kennt und man möchte den Server nutzen, muss man ihm vertrauen. Aus Sicht des Datenschutz ist das keine Ideale Grundlage für eine Nutzung, wenn Sicherheit gewünscht ist.

Empfehlen kann man auf jeden Fall aus den Listen z.B.:
meet.teckids.org
https://www.kuketz-meet.de
https://jitsi.fem.tu-ilmenau.de

sowie von CCC und Freifunk betriebenen Server. Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden.

Beispiele für kommerzielle Jitsi Anbieter für Schulen sind4Die Nennung von Anbietern ist nur beispielhaft und erfolgt ohne finanzielle Interessen.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Da die meisten Anbieter offen nutzbarer Jitsi Server ihren Dienst ohne finanzielle Interessen anbieten, kann man von ihnen keinerlei vertragliche Absicherung in Form eines Vertrags zur Auftragsverarbeitung für eine Nutzung erwarten.

Wenn es um eine Nutzung für eine Videokonferenz geht, bei der sensible Inhalte besprochen und vielleicht auch gezeigt werden sollen, ist ein freier Jitsi Server in der Regel nicht geeignet, es sei denn man kennt die Betreiber persönlich und vertraut ihren Zusicherungen.5Für eine rechtssichere Nutzung stellt ein solches Vertrauensverhältnis ohne Vertrag zur Auftragsverarbeitung jedoch auch keine ausreichende Grundlage dar.

Einen Vertrag zur Auftragsverarbeitung wird man nur erhalten, wenn man Jitsi durch einen Dienstleister betreiben lässt, etwa den Schulträger, einen von diesem beauftragten IT Dienstleister oder einen selbst beauftragten Anbieter.

Einwilligung

Wird der Jitsi Server selbst betrieben oder im Auftrag, braucht es eine Einwilligung der Betroffenen. In Schule ist dabei immer die informierte Freiwilligkeit vorausgesetzt.

Bei Nutzung eines freien Jitsi Servers aus einer der Listen oben sollten Betroffene ebenfalls eine Einwilligung erteilen, auch wenn die Schule nicht Herrin der Daten ist. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Eine Vorlage für das Einholen einer Einwilligung für den Fall, dass man einen freien Jitsi Server nutzt, könnte aussehen wie folgt.

Eine Vorlage für eine Einwilligung bei Vorliegen eines Vertrags zur Auftragsverarbeitung mit dem Anbieter, mit Versionen für Schüler und Lehrkräfte und den erforderlichen Informationen zur Datenverarbeitung.6Diese Vorlage ist für Schulen gedacht, die sich selbst einen Anbieter suchen oder Jitsi über ihren Schulträger bereitgestellt bekommen. Schulen in NRW, welche die vom Land bereitgestellte, an den Messenger Element angedockte Version von Jitsi nutzen, brauchen diese Vorlage nicht, da die Informationen zur Datenverarbeitung online vorliegen und die Einwilligung elektronisch bei der Anmeldung an der Plattform abgegeben wird.

Abschließende Bewertung

Diese Bewertung ist eine Einschätzung ähnlich einer Produktbewertung und damit subjektiv, aber an den oben beschriebenen Beobachtungen orientiert.

Nutzung unter optimalen Bedingungen

Betrieben durch einen Dienstleister in der EU auf der Grundlage eines Vertrag zur Auftragsverarbeitung, auf Servern in der EU und mit STUN Server von EU Betreiber hat man alles unter Kontrolle.

Nutzung auf frei verfügbaren Jitsi Server – nur EU Dienste

Solange man dem Anbieter vertraut und man sicher ist, dass keine Dienste von Anbietern außerhalb der EU genutzt werden, ist das Risiko für Nutzer eher gering.

Nutzung auf frei verfügbarem Jitsi Server – nicht EU Dienste

Durch die Nutzung von nicht EU Diensten beim Angebot des Jitsi Dienstes ergibt sich ein potentielles Risiko durch Datenabflüsse an Dritte.

Empfehlung

Wenn Jitsi im schulischen Kontext genutzt werden soll, empfiehlt es sich, eine Instanz zu nutzen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert im Auftrag der Schule betrieben wird. Von einer Nutzung von offen angebotenen Jitsi Servern ist eher abzuraten, vor allem dann, wenn unbekannt ist, ob zum Betrieb die Dienste von nicht-EU Dienstleistern genutzt werden.

Tipps zur Nutzung

Kukez (ist ein IT/ Datenschutz Spezialist und Mitarbeiter einer Aufsichtsbehörde, der das Blog privat betreibt) hat eine Reihe von Tipps zur Nutzung gesammelt, etwa wenn es technische Probleme bei Teilnehmern gibt: https://www.kuketz-blog.de/jitsi-meet-erste-hilfe-bei-problemen/

Sehr ausführlich beschäftigt sich der Beitrag Jitsi – Fragen & Antworten von JOTBE mit den Funktionen, der Sicherheit und dem Betrieb von Jitsi.

Stand 09/2020