Ein besonderes Augenmerk liegt dabei auf der Frage, wo die Inhalte von Gesprächen und Videodaten verarbeitet werden und ob dort die erforderlichen Voraussetzungen vorliegen, um deren Vertraulichkeit zu gewährleisten.
Wird das Videokonferenzsystem auf eigenen Systemen betrieben oder individuell bereitgestellt, bleibt die Hoheit und Kontrolle über die anfallenden Daten in vollem Umfang in der Verantwortung der betreibenden Organisation erhalten. Im Gegensatz dazu ist bei Nutzung einer Cloud-basierten Lösung (z. B. Software-as-a-Service) die Verantwortung für Sicherheit und Betrieb zwischen nutzender Organisation und Diensteanbietenden verteilt.
Das BSI zeigt in seiner aktuellen Empfehlung am Beispiel der freien und quelloffenen Videokonferenzsoftware Jitsi Meet auf, wie ein selbstverwaltetes Videokonferenzsystem konfiguriert sowie betrieben werden kann und welche Aspekte der IT-Sicherheit beachtet werden sollten. Das Papier richtet sich an IT-Verantwortliche im Unternehmen.