Übersicht

In dieser Datenschutzerklärung beschreiben wir, welche Daten wir sammeln, warum wir sie sammeln und welche Rechte Ihnen als betroffener Person zustehen.

BigBlueButton für das Internet

BigBlueButton ist ein Web-Konferenzsystem für die Online-Bildung. Es ermöglicht kollaboratives Arbeiten - einschließlich dem Teilen von Audio, Video wie Webcams, Präsentationen, Chat, Bildschirm, Emojis und Umfragen. Alle Inhalte können grundsätzlich auch aufgezeichnet werden. Aus Datenschutzgründen haben wir diese Option allerdings vorläufig serverweit deaktiviert.

Ihre Zustimmung

Einige Systeme, d.h. “Frontends” gewähren Ihnen und Ihrem Avatar Einlass aus dem World Wide Web.

Jedes Frontend bestimmt auf spezifische Art, welche Daten von Ihnen verarbeitet werden. Beispiele sind https://bbb.daten.reisen, https://treffen.kbu.freifunk.net und das Moodle der Köln-Bonner Cryptoparty.

Wenn Sie sich auf bbb.daten.reisen anmelden oder Informationen teilen, werden wir diese verarbeiten. Falls Ihre Sitzung aufgezeichnet wird, kann sie auch von anderen eingesehen werden. Diese betrifft z.B. auch Videostreams Ihrer Webcam und Ihre Chat-Nachrichten.

Hierzu brauchen wir Ihre Zustimmung, und wir beschreiben, was genau passiert.

Was passiert beim Login?

Beim Login erheben wir mindestens zwei Informationen: Ihren Namen (optional), Ihre Mailadresse zur Identifikation sowie Ihr selbstgewähltes Passwort. Das Passwort wird gehasht in unserer Datenbank gepspeichert.

Während des Anmeldevorgangs erheben wir als weitere Informationen:

Wir erheben diese Informationen, um Ihnen bei Bedarf technische Unterstützung zu geben (beispielsweise, um bei der Fehlersuche feststellen zu können, ob Sie einen veralteten Browser verwenden) und um der verantwortlichen Stelle anonymisierte Nutzungsstatistiken bereitstellen zu können.

Welche Daten erheben wir während einer Sitzung?

Während einer Konferenz können Sie verschiedene Medien teilen: Audio (wie z.B. Telefon), Video (z.B. Webcam), Vortragsfolien, der Inhalt Ihres Computerbildschirms, Chat, Abstimmung und Umfragen, Beschriftungen und Whiteboard-Anmerkungen können von anderen eingesehen werden - jedoch nur falls Sie sich bewusst einbringen und Ihre Daten mit anderen teilen. Diese Daten bezeichnen wir als Meeting-Daten.

Der BigBlueButton Client sendet und überträgt alle Meeting-Daten verschlüsselt zu bbb.daten.reisen. Zum Einsatz kommen RTMPS, HTTPS und DTLS. Anrufe aus dem Telefonnetz können aus technischen Gründen leider nicht verschlüsselt werden.

In jeder Konferenz wird zudem eine Liste aller Teilnehmerinnen und Teilnehmer eingeblendet. Neben Ihrem Namen (d.h. dem frei gewähltem Spitznanamen oder Pseudonym), betrifft dies bei Anrufen via Telefon auch Ihre Telefonnummer (sofern Sie keine Nummernunterdrückung verwenden).

Nutzen Sie die Chance, bbb.daten.reisen mit einem Pseudonym zu nutzen und geben Sie nicht leichtfertig Ihren bürgerlichen Namen an!

Wo speichern wir die Sitzungsdaten?

Wir speichern nicht alle Sitzungsdaten. Das Speichern hängt davon ab, ob

  1. die Sitzung aufgezeichnet wird und
  2. die Moderatorin Abschnitte der Sitzung zur späteren Verwendung gekennzeichnet hat.

Allgemein gibt es drei Fälle:

Die eigentliche Aufzeichnung kann aus mehreren Formaten bestehen, etwa eine Videodatei oder eine HTML5-Seite mit Nutzungsstatistiken der Sitzung.

Um Ihnen das Verständnis zu erleichtern, zeigen wir hier das Beispiel einer Aufzeichnung und Sitzungsstatistiken. Die Statistiken geben der Sitzungsleitung die Möglichkeit, die Teilnahme an einer Veranstaltung besser einschätzen zu können. Diese Daten umfassen:

In Fall 2 und 3 speichern wir im deutschen Rechenzentrum der Hetzner Online GmbH mit Sitz in Gunzenhausen.

Wie lang speichern wir Sitzungsdaten?

Für einige Kundinnen löschen wir Sitzungsdaten (und die damit verbundenen Aufnahmen) innerhalb von 7 oder 14 Tagen. Für andere löschen wir deren Sitzungsdaten auf Anfrage der Versammlungsleitung, indem sie den Knopf “Aufzeichnungen löschen” klicken.

Wenn Sie Ihren Account löschen, löschen wir automatisch nach 30 Tagen alle mit diesem Konto verbundenen Daten.

Wie schränken wir den Zugriff auf eine Konferenz ein?

Benutzerinnen und Benutzer können nur dann an einer Konferenz teilnehmen, wenn entweder die Konferenz für Sie freigegeben ist oder wenn Sie eine Einladung der Moderation erhalten haben.

Zur Einladung kann die Moderation die Adresse des Raums (URL, Internetadresse) weitergeben. Optional kann der Raum durch ein Kennwort (“Zugangscode” geschützt werden).

Vom Prinzip her ist jede Raumadresse statisch und kann mit anderen geteilt werden. Die Aufzeichnung eines Raums (“Recording”) ist grundsätzlich den Teilnehmerinnen und Teilnehmern zugänglich und kann durch sie verteilt werden.

Auf Anfrage können wir den Zugang zu einer Aufzeichnung auch durch Generierung eines zeitlich begrenzten Recording-Links (d.h. einer temporär gültigen Internet-Adresse zu der Aufzeichnung) einschränken.

Generell können wir nicht verhindern, dass einzelne Nutzer den Inhalt Ihres Bildschirms und somit auch der Konferenz aufzeichnen. Prinzipbedingt haben wir keine technische Kontrolle über Programme, die Teilnehmerinnen und Teilnehmer auf Ihren Computern installieren und die Aufzeichnungs des Bildschirminhalts ermöglichen könnten. Dennoch schränken wir den Zugriff auf die durch uns nach erfolgter Zustimmung erstellten Aufzeichnungen bestmöglich sein.

Welche Informationen heben wir wie lang für technische Unterstützung auf?

Wie oben beschrieben erfassen wir während einer Sitzung Nutzungsmetriken und Protokolle, um unsere technische Unterstützung zu verbessern. Der Server erfasst Metriken zu jeder Sitzung und jeder an einer Sitzung teilehmenden Person.

Wir benutzen diese Daten zu diesen Zwecken:

Die Meeting-Daten umfassen

Wir speichern alle Support-Daten auf Servern in Deutschland.

Wie sichern wir unsere Infrastruktur ab?

Wir beschränken den Zugang zu allen Servern, die personenbezogene Daten enthalten, auf so wenig Personen wie nötig.
Alle Dienste laufen derzeit auf einem Root-Server, der sich im Hetzners Rechenzentrum in Falkenstein, Deutschland befindet. Die verwendeten IP(s) stammen aus dem AS-Block von Hetzner. Eigentümer des Root-Servers und Low-Level-Administrator ist y0sh.
Die Authentifizierung für jeden Dienst wird via SSH-Keys geregelt. Alle Daten werden mit LUKS/DM-Crypt verschlüsselt, der Transport wird mit TLS und Zertifikaten von Let’s Encrypt verschlüsselt. Alle Server werden regelmäßig mit den neuesten Sicherheits-Patches aktualisiert.

Wer ist der Datenschutzbeauftragte - wie erreiche ich ihn?

Unseren Datenschutzbeauftragten erreichen Sie per Mail unter
datenschutz@koeln.ccc.de
oder per Post:
Chaos Computer Club Köln e.V.
Datenschutzbeauftragter
Heliosstraße 6a
50825 Köln

Wie erhalten Sie Einsicht in Ihre Daten, können diese korrigieren oder löschen lassen?

Als betroffener Person haben Sie das Recht auf Einsicht, Korrektur, Einschränkund der Verarbeitung, Löschung und Sperrung Ihrer Daten. Weiterhin haben Sie das Recht auf Datenübertragbarkeit. Bitte kontaktieren Sie hierzu unseren Datenschutzbeauftragten (vgl. Punkt “Wer ist unser Datenschutzbeauftrager - wie erreiche ich ihn?” - siehe oben).

Wie können Sie uns kontaktieren?

Wenn Sie Fragen zu diesem Dokument oder unserem Hilfe in Bezug auf die Datenschutz-Grundverordnung (EU-DSGVO) oder zu unsereren Datenschutzrichtlinien haben, wenden Sie sich bitte direkt an datenschutz@koeln.ccc.de oder per Post an den
Chaos Computer Club Köln e.V.
Vorstand
Heliosstraße 6a
50825 Köln