Von Kommentarformularen zu Konferenzen: DSGVO-Prinzipien praxistauglich anwenden – mit bbbserver.de

Wer jemals ein Kommentarformular auf einer Website ausgefüllt hat, kennt das Muster: Abgefragt werden Name, E‑Mail‑Adresse (nicht öffentlich) und optional eine Website. Häufig wird angeboten, diese Angaben im Browser zu speichern, damit sie beim nächsten Kommentar automatisch bereitstehen. Mit dem Absenden erklären Nutzende ihr Einverständnis, dass ihre Angaben zum Zweck der Beantwortung der Anfrage und für die technische Administration verarbeitet werden. Die typische Rechtsgrundlage ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO; wenn eine Vertragsanbahnung oder ‑erfüllung im Raum steht, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. Nach Abschluss der Bearbeitung werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Und: Die Datenschutzerklärung muss vorab einsehbar und akzeptiert sein.

Dieses scheinbar einfache Beispiel enthält bereits viele Kernprinzipien der DSGVO, die im Alltag tragfähig sind:

• Transparenz: Welche Daten werden wofür benötigt, wer verarbeitet sie, wie lange?
• Rechtsgrundlage: Berechtigtes Interesse vs. Vertrag vs. Einwilligung – sauber abgrenzen.
• Datenminimierung: Nur Felder, die für den Zweck erforderlich sind.
• Speicherbegrenzung: Klare Löschfristen, keine „Aufbewahrung auf Vorrat“.
• Freiwilligkeit beim Komfort: Das Speichern von Angaben im Browser braucht ein echtes Opt‑in.
• Technisch‑organisatorische Maßnahmen (TOM): Sichere Übertragung und Verarbeitung.

Diese Logik lässt sich unmittelbar auf Videokonferenzen übertragen – mit dem Unterschied, dass dort deutlich mehr Datenpunkte anfallen und Rollen (Gast, Teilnehmende, Moderation, Technik) sauber voneinander zu trennen sind. Im Folgenden zeigen wir, wie Sie diese Prinzipien für Online‑Meetings nutzbar machen und damit praxistaugliche DSGVO‑Konformität erreichen.

Hinweis: Die nachstehenden Informationen dienen der Orientierung und ersetzen keine Rechtsberatung. Ihre spezifische Situation kann abweichen.

Von Kommentaren zu Konferenzen: Datenarten, Rechtsgrundlagen, Transparenz

Welche Daten fallen in Videokonferenzen an?

• Teilnehmerdaten: Anzeigename, ggf. E‑Mail, Rolle (Gast, Moderatorin, Administrator), Organisation/Einrichtung.
• Inhaltsdaten: Audio/Video‑Streams, Bildschirmfreigaben, Präsentationen, Whiteboard, geteilte „Konferenzmedien“, Umfrageergebnisse.
• Kommunikationsdaten: Chat‑ und Q&A‑Beiträge, Reaktionen, Statusmeldungen (Hand heben).
• Metadaten: IP‑Adresse, Geräte‑/Browserinformationen, Verbindungsqualität, Zeitstempel für Beitritt/Austritt, Dauer, Raumkennung.
• Aufzeichnungen: Audio/Video, Folien/Whiteboard, ggf. Chatprotokolle als Teil der Aufnahme.
• Administrations-/Supportdaten: Raum‑ und Nutzerverwaltung, Logs zur Fehleranalyse.

Auf welche Rechtsgrundlagen können Sie sich stützen?

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Durchführung und Moderation eines Meetings, IT‑Sicherheit, Dokumentation organisatorischer Abläufe. Notwendig ist eine Interessenabwägung und Transparenz.
• Vertrag/Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Teilnahme zur Erfüllung eines Vertrags erforderlich ist (z. B. Schulung für Kunden, Unterricht an Bildungseinrichtungen, interne Projektbesprechung).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Vor allem bei Aufzeichnungen, optionalen Komfortfunktionen (z. B. „Name im Browser speichern“), oder wenn besondere Kategorien personenbezogener Daten im Raum stehen. Für Aufzeichnungen ist eine Einwilligung in der Praxis oft der sicherste Weg, sofern keine andere tragfähige Rechtsgrundlage greift.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Etwa wenn Behörden bestimmte Dokumentationspflichten treffen.
• Besondere Kategorien (Art. 9 DSGVO): Vermeiden Sie deren Erhebung im Meeting. Wenn unvermeidbar, ist regelmäßig eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a erforderlich.

Wie informieren Sie transparent – idealerweise bereits in der Einladung?

• Zweck und Umfang: Warum findet das Meeting statt? Welche Daten werden verarbeitet (inkl. Hinweis auf mögliche Aufzeichnung)?
• Rechtsgrundlagen: Kurz benennen, woraus sich die Verarbeitung stützt (f, b und ggf. a DSGVO).
• Beteiligte und Empfänger: Interne Rollen, Auftragsverarbeiter (Videokonferenzanbieter), ggf. Unterauftragsverarbeiter.
• Speicherorte und Drittlandtransfer: Bevorzugt europäische Server, keine Übermittlung in Drittländer ohne geeignete Garantien.
• Speicher‑ und Löschfristen: Konkrete Fristen für Aufzeichnungen und Chatprotokolle.
• Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch, Widerruf einer Einwilligung.
• Kontakt: Datenschutzbeauftragte/r oder zuständige Stelle, Link zur Datenschutzerklärung.

Was bedeutet Datenminimierung in der Praxis?

• Nur erforderliche Felder abfragen (z. B. Anzeigename statt E‑Mail, falls nicht nötig).
• Gastzugänge ohne Konto ermöglichen, wo sinnvoll.
• Pseudonyme zulassen, sofern die Identifizierung nicht zwingend ist.
• Funktionen, die nicht gebraucht werden, deaktivieren (z. B. Dauerchat, Datei‑Uploads).
• Aufzeichnungen nur bei Bedarf und selektiv einsetzen (z. B. ohne Chat‑Overlay).

Datenschutz durch Technik und Organisation: So setzen Sie es nachhaltig um

Konfigurieren Sie Rollen und Rechte bewusst

• Rollenbasierte Rechtevergabe: Moderation darf z. B. Aufzeichnungen starten, Teilnehmende stummschalten, Funktionen sperren; Gäste haben standardmäßig reduzierte Rechte.
• Sperr‑ und Freigabemechanismen: Kamera/Mikrofon nur auf Opt‑in, Bildschirmfreigabe für Gäste standardmäßig deaktiviert, Wartebereich aktivieren.
• Sichtbarkeit steuern: Teilnehmerliste nur für Moderation sichtbar, wenn der Zweck es erlaubt; Chat‑Sichtbarkeit auf „Raumweit“ oder „Privat“ begrenzen.

Definieren Sie klare Speicher‑ und Löschkonzepte

• Aufzeichnungen: Standardmäßig „aus“. Wenn aktiv, mit sichtbarem Hinweis und dokumentierter Einwilligung. Automatisches Löschen nach einer festgelegten Frist (z. B. 30 oder 90 Tage). Möglichkeit, Löschfristen pro Raum/Projekt zu variieren.
• Chat‑ und Q&A‑Protokolle: Nur speichern, wenn erforderlich (z. B. für Protokollzwecke). Ansonsten nach Meetingende automatisch löschen oder stark begrenzen (z. B. 7–14 Tage).
• Metadaten/Logs: Auf das technisch und rechtlich erforderliche Minimum reduzieren; klare Aufbewahrungsfristen (z. B. 30 Tage für Fehlersuche).
• „Name/E‑Mail im Browser speichern“: Echte Opt‑in‑Checkbox, standardmäßig deaktiviert; Erklärung, was gespeichert wird (z. B. in Local Storage) und wie man es löscht.

Stellen Sie starke TOMs sicher

• Serverstandorte in Europa, Rechenzentren mit anerkannter Zertifizierung (z. B. ISO/IEC 27001).
• Verschlüsselung: Transportverschlüsselung durchgängig; sofern möglich Verschlüsselung ruhender Daten.
• Zugriffskontrollen: Getrennte Admin‑Konten, Mehrfaktor‑Authentifizierung, least‑privilege‑Prinzip.
• Protokollierung und Monitoring: Nachvollziehbare, datensparsame Logs; Zugriff nur für Berechtigte.
• Auftragsverarbeitung: AV‑Vertrag nach Art. 28 DSGVO mit dem Videokonferenzanbieter; klare Liste von Unterauftragsverarbeitern.
• Schulung und Prozesse: Richtlinien für Moderation, Umgang mit Aufzeichnungen, Löschroutinen, Umgang mit Betroffenenanfragen.

Wie bbbserver.de Sie dabei unterstützt

• Datenschutzkonformität als USP: Hosting auf europäischen Servern in einem ISO 27001‑zertifizierten Rechenzentrum, stabile und sichere Verbindungen rund um die Uhr.
• Funktionsumfang mit Augenmaß: Intuitive Oberfläche, hochwertige Audio/Video‑Übertragung, Aufzeichnung, Screensharing, interaktives Whiteboard. Moderations‑ und Gastrollen lassen sich über das Kundenkonto granular verwalten.
• Datenminimierung aus der Praxis: Gastzugänge ohne Konto, Pseudonyme möglich, Funktionen je Meeting konfigurierbar.
• Speicher und Mediennutzung: „Konferenzmedien“ für das sichere Teilen von Audio‑/Videodateien; Speicher je Paket skalierbar und bei Bedarf per Support erweiterbar.
• Betriebsmodelle: Flexible Verbindungspakete und Zahlungsintervalle, kostenlose Testphase; für große Abonnements sind spezielle Service‑Level‑Agreements verfügbar.

Für Bildungseinrichtungen, Unternehmen, Behörden sowie Selbstständige im Homeoffice bedeutet das: Sie kombinieren organisatorisch saubere Prozesse mit einer Plattform, die diese konsequent unterstützt.

Praxisbausteine: Checkliste und Formulierungen für Einladungen und Datenschutzhinweise

Checkliste für datenschutzkonforme Online‑Meetings

• Zweck: Ist klar dokumentiert, warum das Meeting stattfindet?
• Rechtsgrundlage: Für Teilnahme, Chat, Q&A, Aufzeichnung jeweils benannt (f/b und ggf. a DSGVO).
• Minimierung: Nur erforderliche Felder; Gastzugang/Pseudonym möglich; unnötige Features aus.
• Transparenz: Hinweis bereits in der Einladung; Link zur Datenschutzerklärung.
• Aufzeichnung: Standard „aus“; sichtbarer Hinweis; Einwilligung eingeholt; Aufbewahrungsfrist definiert.
• Chat/Q&A: Speicherdauer festgelegt; Information, wer Einblicke hat; Export nur, wenn nötig.
• Opt‑in Komfort: Checkbox „Namen/E‑Mail im Browser speichern“ standardmäßig deaktiviert.
• Rollen/Rechte: Moderationsrechte restriktiv zugewiesen; Wartebereich aktiv; Bildschirmfreigabe begrenzt.
• TOMs: EU‑Server, ISO‑zertifiziertes Rechenzentrum, TLS‑Verschlüsselung, AV‑Vertrag, MFA für Admins.
• Betroffenenrechte: Prozesse für Auskunft, Löschung, Widerspruch, Widerruf der Einwilligung.
• Löschung: Automatisierte Routinen für Aufzeichnungen, Chats, Logs.
• Notfall/Support: Geklärter Umgang mit Störungen und Supportzugriffen (so wenig Daten wie möglich).

Formulierungsvorschlag für Meeting‑Einladungen

• Zweck und Plattform: „Wir führen am [Datum/Uhrzeit] ein Online‑Meeting zum Thema [Zweck] über unsere datenschutzkonforme Plattform bbbserver.de (BigBlueButton) durch. Die Server stehen in der EU; das Rechenzentrum ist ISO/IEC 27001 zertifiziert.“
• Verarbeitete Daten: „Verarbeitet werden Ihr Anzeigename, Verbindungsdaten (z. B. IP, Zeitstempel), sowie die von Ihnen freiwillig bereitgestellten Inhaltsdaten (Audio/Video, Chat, Bildschirmfreigaben).“
• Rechtsgrundlagen: „Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).“
• Aufzeichnung: „Eine Aufzeichnung findet nur statt, wenn dies erforderlich ist und Sie zuvor informiert wurden. In diesem Fall stützen wir uns regelmäßig auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit für die Zukunft widerrufen können.“
• Datenminimierung und Optionen: „Die Teilnahme ist als Gast ohne Konto möglich; Sie können ein Pseudonym verwenden. Kamera und Mikrofon sind optional. Das Speichern Ihres Namens im Browser ist freiwillig und nur mit Ihrer aktiven Einwilligung möglich.“
• Weitere Hinweise: „Details entnehmen Sie bitte unserer Datenschutzerklärung: [Link]. Ansprechpartner/in Datenschutz: [Kontakt/E‑Mail].“

Formulierungsvorschlag für Ihre Datenschutzhinweise (Abschnitt „Videokonferenzen“) „Wir setzen für Online‑Meetings die Plattform bbbserver.de (BigBlueButton) ein. Anbieter ist die invokable GmbH, Remscheid, mit Hosting auf Servern in der EU in einem ISO/IEC 27001‑zertifizierten Rechenzentrum. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO).

Zwecke der Verarbeitung: Durchführung von Besprechungen, Schulungen und Online‑Veranstaltungen; Moderation, IT‑Sicherheit, ggf. Dokumentation.

Kategorien personenbezogener Daten: Anzeigename, ggf. E‑Mail/Organisation, Rollen (Gast/Moderation), Kommunikations‑ und Inhaltsdaten (Audio/Video, Chat, Whiteboard, Bildschirmfreigaben), Verbindungs‑ und Metadaten (IP, Geräteinformationen, Zeitstempel), optional Aufzeichnungen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Systemsicherheit). Aufzeichnungen und optionale Komfortfunktionen auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO; soweit besondere Kategorien betroffen sind, Art. 9 Abs. 2 lit. a DSGVO.

Empfänger: Interne Stellen entsprechend Zuständigkeit; invokable GmbH als Auftragsverarbeiter; keine Übermittlung in Drittländer.

Speicherdauer: Aufzeichnungen werden nach [z. B. 30/90] Tagen automatisiert gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen. Chat‑/Q&A‑Protokolle speichern wir nur, wenn erforderlich, und löschen sie nach [z. B. 7/14] Tagen. Technische Logs werden nach [z. B. 30] Tagen gelöscht. Das lokale Speichern von Anzeigenamen/E‑Mail im Browser erfolgt nur mit Ihrer Einwilligung und kann jederzeit von Ihnen gelöscht werden.

Betroffenenrechte: Sie haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und den Widerruf erteilter Einwilligungen. Kontakt: [Datenschutzkontakt]; weitere Informationen: [Link zur vollständigen Datenschutzerklärung].“

Mit diesen Bausteinen gestalten Sie Ihre Videokonferenzen nicht nur rechtskonform, sondern auch vertrauenswürdig und nutzerfreundlich. Die Erfahrung aus einfachen Webformularen zeigt: Je klarer und sparsamer Sie mit Daten umgehen, desto reibungsloser funktionieren Zusammenarbeit und Kommunikation – in Schule, Unternehmen, Verwaltung und Homeoffice gleichermaßen.