Gemeinnützige, bzw.mildtätige Organisationen haben die Möglichkeit, unsere datenschutzfreundliche Videokonferenzplattform in vereinsinterne Dienste einzubinden. Dazu ist es notwendig, einen Auftragsdatenverarbeitungsvertrag (AV-Vertrag) mit uns abzuschließen. Auf dieser Seite beschreiben wir, wie gemeinnützige Vereine einen AV-Vertrag mit uns abschließen und unsere Plattform über ein eigenes Frontend (z.B. Plugins in Nextcloud oder Moodle) in ihre IT-Systeme einbinden können.
Screenshot von Nextcloud mit BigBlueButton-Plugin
- Was ist ein AV-Vertrag und wofür brauche ich ihn?
- Kann ich für unsere Organisation einfach das auf der Senfcall-Website bereitgestellte Frontend benutzen? Warum nicht?
- Was meint ihr denn mit Frontend?
- Wie funktioniert das mit dem eigenen Frontend?
- Welches Frontend sollte genutzt werden?
- Welche Teile der BigBlueButton-API werden unterstützt?
- Wie kann ich die Telefoneinwahlnummer und -PIN in die Willkommensnachricht einbinden?
- Wie kann ich einen AV-Vertrag mit Senfcall abschließen?
Was ist ein AV-Vertrag und wofür brauche ich ihn?
Die DSGVO sieht vor, dass zur Verarbeitung von Daten durch Dritte zwischen der Verantwortlichen (in diesem Fall Eure Organisation) und dem Verarbeiter (in diesem Fall Senfcall) ein Vertrag zur Absicherung des Umgangs mit deren Daten abgeschlossen wird. Dies ist in der DSGVO im Artikel 28 definiert, der die Überschrift „Auftragsverarbeiter" trägt. Daher wird meist vom „Auftragsdatenverarbeitungsvertrag" oder kurz „AVV" oder „AV-Vertrag" gesprochen.
Für die Arbeit in einer Organisation oder für Veranstaltungen wird vermutlich ein solcher AV-Vertrag notwendig sein. Ob ein AV-Vertrag notwendig ist, müsst ihr allerdings selbst beurteilen (fragt Eure:n Datenschutzbeauftragte:n). Es schadet allerdings nicht, einen AV-Vertrag abzuschließen, auch wenn er unnötig wäre.
Kann ich für unsere Organisation einfach das auf der Senfcall-Website bereitgestellte Frontend benutzen? Warum nicht?
Der AVV gilt nur für die Nutzung des Senfcall-Backends mit einem eigenen Frontend (z.B. Nextcloud-Plugin) über den von uns bereitgestellten API-Key. Die von Senfcall bereitgestellten Frontends werden nicht durch den AVV abgedeckt.
Für diese Form der Auftragsdatenverarbeitung sprechen vor allem drei starke Argumente:
-
Flexible Einbindung: Die Nutzung eines API-Keys ermöglicht jeder Organisation, ihre bestehenden System einfach mit unseren zu verknüpfen. BigBlueButton-Plugins gibt es für viele Systeme, die sich sehr einfach aufsetzen lassen. So dürfte es den meisten Organisationen sehr einfach fallen, unsere Systeme in die eigenen zu integrieren.
-
Keine Verwaltung von Nutzer:innendaten im Rahmen der Auftragsverarbeitung: Die (dauerhafte) Speicherung und Verwaltung/Pflege der Nutzer:innendaten erfolgt durch Eure Organisation, nicht durch Senfcall. Die Daten liegen somit auch nicht in unserer Verfügungsgewalt.
-
Datentrennung: Der organisationsspezifische API-Zugang erlaubt es uns, technisch zu unterscheiden, welche Nutzer:innen über einen AV-Vertrag an Videokonferenzen teilnehmen, und wer sich über die Senfcall-eigenen Frontends einwählt (und damit direkt unserer eigenen Datenschutzerklärung unterliegt). Diese Unterscheidung ist für uns vor allem von rechtlicher Relevanz.
Was meint ihr denn mit Frontend?
Was die meisten Nutzer:innen als BigBlueButton kennen, sind eigentlich verschiedene Komponenten, die miteinander agieren.
- Verwaltungsfrontend: Dient der Raum- und Nutzer:innverwaltung und als Loginpunkt zur Teilnahme an einem Meeting. Ein solches Frontend ist beispielsweise auch unser Dienst zum Anlegen spontaner Meetings unter public.senfcall.de. Diverse populäre Anwendungen wie z.B. Wordpress und Nextcloud lassen sich über Plugins zu einem BigBlueButton-Frontend machen.
- Middleware: Bspw. ein Load-Balancer oder auch unser API-Proxy, welche zwischen Verwaltungsfrontend und Videokonferenzbackend vermitteln und unter anderem prüfen, ob das Frontend berechtigt ist, ein Meeting zu eröffnen.
- Videokonferenzbackend: Hier findet die eigentliche Videokonferenz statt. Nur das Videokonferenzbackend heißt tatsächlich BigBlueButton. Die restlichen Komponenten sprechen über eine API miteinander. Wir stellen euch die Stufen 2 und 3 zur Verfügung.
Mit Frontend meinen wir also die Stufe 1, das Verwaltungsfrontend. Ihr könnt somit selbst entscheiden, welches System ihr dafür benutzen wollt.
Wie funktioniert das mit dem eigenen Frontend?
Im Grunde genommen ist das ganz einfach. Ihr müsst euch nur entscheiden, welches System/Plugin ihr nutzen möchtet – die entsprechenden BigBlueButton-Plugins sind dann mit wenigen Mausklicks installiert. Nun müsst ihr nur den von uns bereitgestellten API-Key sowie die Webadresse zu unserem Endpunkt eintragen. Das war es schon.
Weitere Konfigurationsmöglichkeiten sind natürlich möglich, diese hängen aber vom genutzten System/Plugin ab (hierfür bieten wir aber nur eingeschränkten Support, die meisten Anleitungen sind aber sehr verständlich).
Welches Frontend sollte genutzt werden?
Nun, das hängt ganz von den Anforderungen und euren bestehenden Systemen ab. Hier haben wir eine Auswahl von nutzbaren Plugins/Systemen zusammengestellt. Bitte beachtet aber die Nutzungsbedingungen zu Anforderungen an Frontends.
Folgende Frontends haben wir mit unserem API-Zugang getestet und für funktionierend befunden:
- Plugins:
- für Wordpress: BBB Administration Panel
- für Nextcloud: BigBlueButton integration for Nextcloud
- Standalone:
Es existieren für diverse weitere Anwendungen BigBlueButton-Plugins, die wir jedoch nicht getestet haben.
Zur Einrichtung des Frontends musst Du in diesem lediglich den API-Zugangspunkt und das Secret eintragen. Beides bekommt ihr nach der Freischaltung von uns zur Verfügung gestellt.
Welche Teile der BigBlueButton-API werden unterstützt?
Es werden nicht alle Funktionen der offiziellen API unterstützt. So kann beispielsweise keine Aufzeichnung gestartet werden und auch eine Änderung des Designs ist nicht möglich. Unzulässige Aufrufe ignoriert unser Backend, loggt diese aber mit.
Der API-Zugang beschränkt sich auf folgende Funktionen: create, join, isMeetingRunning, getMeetings, getMeetingInfo. Für den create-Call werden folgende Parameter unterstützt: name, attendeePW, moderatorPW, welcome, moderatorOnlyMessage, webcamsOnlyForModerator, muteOnStart, logoutURL, maxParticipants, duration, meetingID.
Weitere Details zur BigBlueButton-API könnt Ihr der offiziellen Dokumentation entnehmen.
Wie kann ich die Telefoneinwahlnummer und -PIN in die Willkommensnachricht einbinden?
Schreibe in deinem Frontend die Platzhalter %%DIALNUM%% (für die Telefonnummer) und %%CONFNUM%%# (mit Hashtag am Ende, für die PIN) in die Willkommensnachricht. Das System ersetzt diese bei Meetingbeginn durch die richtige Telefonnummer und PIN.
Wie kann ich einen AV-Vertrag mit Senfcall abschließen?
Gehe auf avv.senfcall.de/signup und lege einen Account an. Nach der Registrierung musst Du einige Kontaktdaten eurer Organisation angeben, sowie den Freistellungsbescheid vom Finanzamt, aus dem eure Gemeinnützigkeit hervorgeht, hochladen. Du bekommst eine E-Mail, sobald wir den Antrag bearbeitet haben. Wenn er bewilligt wurde, kannst Du die API-Zugangsdaten auf avv.senfcall.de einsehen und in euer Frontend eintragen, sowie den AV-Vertrag als PDF-Datei herunterladen.