Privacy Policy
Dieses Dokument beschreibt den Umgang des Betreibers der Website "www.open-egov.de" und der zugehörigen Verantwortlichen mit den ex- aber auch implizit übermittelten personenbezogenen Daten der Nutzer.
Wir freuen uns über Ihr Interesse an unserem Angebot. Der Schutz der uns anvertrauten personenbezogenen Daten unserer Nutzer ist uns sehr wichtig. Wir versichern Ihnen, dass wir sorgfältig, bedacht und sensibel mit Ihren Daten umgehen werden und möchten, dass Sie sich beim Besuch unserer Webseiten jederzeit sicher fühlen. Für eine hohe Datensicherheit nach dem Stand der Technik ist gesorgt. Gesetzliche Anforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG-neu) werden selbstverständlich eingehalten. Personenbezogene Nutzerdaten werden durch uns nur im in dieser Datenschutzerklärung beschriebenen Umfang erhoben und verarbeitet. Diese Webseite dient ebenfalls der Realisierung unserer Informationspflichten gem. Art. 13 DSGVO.
Wir lieben und leben den Datenschutz.
Kurzfassung
Beim Besuch dieser Website werden keine personenbezogenen Daten ohne Rechtsgrundlage, informierte Einwilligung oder zumindest Wissen und konkludentes Handeln des Nutzers erhoben, weitergeleitet, gespeichert oder gelöscht. Wir verpflichten uns zu voller Transparenz bzgl. dessen, was mit ihren personenbezogenen Daten passiert. Ihre gesetzlich gewährleisteten Rechte werden in keinster Weise eingeschränkt. Es wird jedoch versucht, insbesondere die Betroffenrechte vollautomatisiert zu gewähren. Sie können natürlich dennoch jederzeit auch schriftlich oder per E-Mail Anfragen stellen. Ihre Anfragen werden dann auch dazu genutzt, die Automatisierung zu vervollkommnen.
Inhaltsverzeichnis
- Rechtliches
- Kontaktdaten
- Betroffenenrechte
- Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung ("Recht auf Vergessen werden") (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. f DSGVO)
- Datenverarbeitungen
- Webserver und dessen Logdaten
- E-Mail-Formular und E-Mails
- Cookies, Web-Tracker, Werbung
- Drittanbieter-Tools
- Nutzerprofil
- IP-Adressen, Fingerprinting
- Weitere Datenverarbeitungen
- Verbesserungsvorschläge
- Technische und organisatorische Maßnahmen
- Änderungen der Datenschutzerklärung
Rechtliches
Grundsätzliche Erwägungen
Das Grundgesetz für die Bundesrepublik Deutschland, die Europäische Menschenrechtskonvention und die Charta der Grundrechte der Europäischen Union sind das Maß aller Dinge bei der Erstellung und dem Betrieb dieser Website. Insbesondere die dort nicht genannten, aber durch oberste Rechtsprechung bestätigten, Digitalen Grundrechte, wie etwa das Grundrecht auf informationelle Selbstbestimmung, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und daraus abgeleitete Grundrechte wie das Recht auf Selbstauskunft, ja selbst das Grundrecht auf Internetzugang (BGH-Urteil vom 24. Januar 2013 – III ZR 98/12) und damit Zugang zu dieser Website oder das Recht auf Nichtwissen, bilden das vielschichtige Fundament dieser Website und werden bei der Erstellung von Inhalten und Anwendungen herangezogen und interpretiert.
Rechtsgrundlagen
Die EU-Datenschutz-Grundverordnung (DSGVO) wird vollumfänglich eingehalten und alle dort genannten Nutzerrechte können auch ohne explizite Nennung an dieser Stelle jederzeit und uneingeschränkt geltend gemacht werden. Das zumindest ist das Ziel.
Hinweise für Behörden
Die umfangreiche Nutzung von Anwendungen und Datenbanken im Rahmen der Projekte Pjiu C++ Framework und insbesondere Open E-Government Project ist ausdrücklich erwünscht und wird gezielt gefördert. Es wird empfohlen, jeweils die lokal zu installierenden Pakete zu nutzen. Die Pjiu-Cloud kann natürlich zum Testen genutzt werden, sie erfüllt jedoch ggf. nicht die Anforderungen hinsichtlich der Datensicherheit und Verfügbarkeit. Es sollte evaluiert werden, inwieweit der Server im eigenen Einflussbereich betrieben werden kann.
Verschiedene Datenschutzgesetze, etwa in Sachsen-Anhalt § 15 Abs. 2 DSAG LSA erfordern, dass sich ein Auftragsverarbeiter "der Kontrolle durch den Landesbeauftragten für den Datenschutz unterwirft". Das ist natürlich möglich, jedoch würde das ggf. Unterauftragnehmer nicht betreffen. Diese Situation muss vom jeweiligen behördlichen Datenschutzbeauftragten eingeschätzt werden. Es ist anzunehmen, dass dies vielfach in der Praxis bewusst ignoriert wird (etwa im Kontext von marktführenden Betriebssystemherstellern oder Videokonferenzbetreibern im Ausland).
Pjiu erlaubt es, sehr schnell normale Anwendungen zu erstellen und in den Praxisbetrieb zu überführen. Sollte Bedarf an einer nicht marktgängigen Software bestehen, könnte diese für Ihre Behörde in agiler Art und Weise gezielt erstellt werden.
Kontaktdaten
Verantwortlicher
Verantwortlicher (vgl. Art. 4 Abs. 1 Nr. 7 DSGVO) im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Gerrit Albrecht
Thomas-Mann-Str. 20
39114 Magdeburg
Deutschland
Telefon: 0049 391 81957581
E-Mail: mail@gerrit-albrecht.de
Datenschutzbeauftragter
Der vorstehend genannte Verantwortliche nimmt auch die Aufgaben des Datenschutzbeauftragten wahr.
Aufgrund der Forderungen aus Art. 37 Abs. 1 oder Art. 13 Abs. 1 lit. b DSGVO, aber auch § 38 BDSG-neu ist eine Benennung eines Datenschutzbeauftragten für G.A.S.I. bisher noch nicht obligatorisch. Sie erfolgte dennoch freiwillig, um die Wichtigkeit des Themas zu betonen und Betroffenen einen einheitlichen Ansprechpartner aufzuzeigen. Sie erfolgte auch in Vorbereitung auf Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bedürfen. Art. 37 Abs. 7 DSGVO sieht auch eine Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten vor. Auch diese Angaben erfolgen freiwillig, zumal wir der Meinung sind, dass die Angabe eine Funktionsadresse ohne namentliche Nennung bereits ausreichend ist. Die Mitteilung des Datenschutzbeauftragten an die zuständige Datenschutzaufsichtsbehörde gem. gleichem Absatz konnte aus vorgenannten Gründen bisher unterbleiben.
Bei etwaigen Fragen, Verbesserungsvorschlägen oder Hinweisen zum Thema Datenschutz und zur Durchsetzung Ihrer Rechte können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden.
Einige der Anfragen an den Datenschutzbeauftragten etwa zu den Betroffenenrechten sollen regelmäßig innerhalb einer vorgegebenen Frist beantwortet werden. Es wird darauf hingewiesen, dass der Verantwortliche als Einzelperson keine große Firma im Hintergrund hat. Eine Vertretung ist auch nicht möglich. Auch wird darauf hingewiesen, dass die Benennung des Datenschutzbeauftragten derzeit auf freiwilliger Basis erfolgt. Im Falle etwa des Urlaubs (der durchaus auch mal 2 Monate dauern kann) oder einer Krankheit des Verantwortlichen ist für die entsprechende Dauer keine Beantwortung Ihrer Anfrage möglich. Es soll schließlich auch Urlaubsgebiete ohne Telefon und E-Mail geben. In jedem Fall wird versucht, Anfragen per E-Mail mit einer zeitnahen Eingangsmeldung zu beantworten und dann darin einen entsprechenden Hinweis zu geben. Bei postalischen Anfragen ist ebendies jedoch nicht möglich. Aus den genannten Gründen sollen (eines Tages) alle Anfragen weitgehend automatisiert über die Dienste im Benutzerprofil möglichst umfassend beantwortet werden. Derzeit ist es leider noch nicht so weit.
Es wird darauf hingewiesen, dass gem. ErwGr. 13 auch Aufsichtsbehörden dazu angehalten sind, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. In Fällen längerer Abwesenheit kann Post eben erst im Nachgang bearbeitet werden.
Betroffenenrechte
Die von der DSGVO gewährten Betroffenenrechte werden umfassend und vollständig gewährt. Konkrete Ausgestaltungen entnehmen Sie bitte den folgenden Abschnitten.
Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
Als betroffene Person können Sie jederzeit vom Verantwortlichen (s. Abschnitt Datenschutzbeauftragter) eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Davon hängen dann Ihre verschiedenen Auskunftsrechte ab. Werden personenbezogene Daten von Ihnen verarbeitet, dann haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende weitere Informationen:
- Verarbeitungszwecke (erfolgt in der jeweiligen Beschreibung der Datenverarbeitung),
- Kategorien der verarbeiteten personenbezogenen Daten (erfolgt in der jeweiligen Beschreibung der Datenverarbeitung)
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen (erfolgt in der jeweiligen Beschreibung der Datenverarbeitung),
- falls möglich die geplante Speicherdauer bzw. die die Speicherdauer bestimmenden Kriterien (erfolgt in der jeweiligen Beschreibung der Datenverarbeitung),
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung (siehe Abschnitte "Recht auf Berichtigung", "Recht auf Löschung" und "Recht auf Einschränkung der Verarbeitung"),
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (siehe Abschnitt "Recht auf Beschwerde bei einer Aufsichtsbehörde"),
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten (erfolgt in der jeweiligen Beschreibung der Datenverarbeitung),
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (derzeit nicht relevant).
Gem. Art. 15 Abs. 2 DSGVO stellt Ihnen der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Die Kopie wird vorab geprüft, dass keine personenbezogenen Daten Dritter enthalten sind, um Abs. 4 zu genügen. Wird der Antrag elektronisch gestellt, so werden die Informationen in einem gängigen elektronischen Format zur Verfügung gestellt, sofern sie nichts anderes angeben. Bitte beachten Sie, dass die Bereitstellung über das Benutzerprofil erfolgt, da nur so eine möglichst umfassende Automatisierung möglich ist. Eine manuelle Bearbeitung ist uns in der Regel nicht möglich. Bitte beachten Sie, dass Sie sich bereits bei der Registrierung damit einverstanden erklärt haben, alle Kommunikation mit uns elektronisch abzuwickeln. Es liegt nicht in unserem Interesse, stapelweise Papier auszudrucken und zu versenden. Diese Website ist eine Projekt-Homepage. Insbesondere für die vielfach kostenfrei erbrachten Dienste ist es nicht möglich, personelle Ressourcen für individuelle Zusatzmaßnahmen vorzuhalten. Daher verzichten wir von vornherein auf alle Kunden, die einen zusätzlichen kostenfreien Supportaufwand jenseits der Automatismen benötigen. Bei Fehlern werden wir natürlich immer und im Einzelfall auch gezielt mitwirken. Gern helfen wir Ihnen daher dabei, Ihre elektronischen Dokumente in passende Formate umzuwandeln und möglichst barrierefrei, zumindest barrierearm, zu nutzen.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben als betroffene Person das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Dieses Recht wird Ihnen dadurch gewährt, dass alle Eingabefelder im Benutzerprofil frei geändert werden können. Sollte das bei einer Anwendung technisch (noch?) nicht möglich sein, freuen wir uns natürlich auch über diesbezügliche Hinweise und bearbeiten derweil auch Ihre manuellen Berichtigungsersuchen zu Ihrer Zufriedenheit.
Der Verantwortliche wird seine Mitteilungspflichten gem. Art. 19 DSGVO einhalten.
Recht auf Löschung ("Recht auf Vergessen werden") (Art. 17 DSGVO)
Sie haben als betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Abs. 1 genannten Gründe zutrifft (fehlende Notwendigkeit, Widerruf der Einwilligung, Widerspruch gegen die Verarbeitung, unrechtmäßige Verarbeitung, rechtliche Löschpflicht, Minderjährige). Das Löschbegehren wird im Falle der Veröffentlichung der Daten auch allen Datenempfängern (soweit bekannt) mitgeteilt.
Bitte beachten Sie, dass in Art. 17 Abs. 3 DSGVO Gründe genannt werden, bei deren Vorliegen kein Löschanspruch besteht. Diese werden wir bei Vorliegen eines entsprechenden Verlangens prüfen.
Der Verantwortliche wird seine Mitteilungspflichten gem. Art. 19 DSGVO einhalten.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben als betroffene Person das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: die Richtigkeit wird bestritten; die Verarbeitung ist unrechtmäßig, aber die betroffene Person wünscht keine Löschung; die betroffene Personen benötigt die Daten, der Verantwortliche nicht mehr; die betroffene Personen hat von ihrem Widerspruchsrecht Gebrauch gemacht, aber es gab noch keine Entscheidung.
Bei Vorliegen einer Einschränkung der Datenverarbeitung gelten Abs. 2 (i.d.R. Einwilligung des Betroffenen vor Verarbeitung) und 3 (Unterrichtung vor Aufhebung der Einschränkung).
Der Verantwortliche wird seine Mitteilungspflichten gem. Art. 19 DSGVO einhalten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben als betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung (...) und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Der Verantwortliche wird die weiteren Artikel (Art. 2 bis 4) berücksichtigen, weist jedoch darauf hin, dass es technisch derzeit an Absprachen zu geeigneten Datenschnittstellen und auch einheitlichen Möglichkeiten der sicheren (verschlüsselten) Datenweitergabe mit anschließender Weiternutzung fehlt. Ebenfalls wird der Verantwortliche zwar die Rechtsvorschriften einhalten, weist jedoch darauf hin, dass etwa die Weitergabe der personenbezogenen Daten an völlig andere Dienstleister (etwa eine Bibliothek oder ein Fitnessstudio) zwar verlangt werden kann, jedoch wohl dem Sinn der Regelungen aus Art. 20 DSGVO widersprechen wird.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben als betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche wird die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Derzeit erfolgt auf dieser Website keine Direktwerbung. Es ist auch zukünftig nicht geplant. Diese Absätze (2 und 3) wurden nur zitiert, da in Art. 21 Abs. 4 der Hinweis auf dieses Recht ausdrücklich gefordert wird. Auf Grund der Wichtigkeit wird das an anderer Stelle ("spätestens zum Zeitpunkt der ersten Kommunikation") zusätzlich erfolgen.
Art. 21 Abs. 5 DSGVO erlaubt es Ihnen als betroffene Person, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Sie haben als betroffene Person gem. Art. 21 Abs. 6 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
Sie haben als betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Es gibt in den weiteren Absätzen Ausnahmetatbestände und weitere Umsetzungsanforderungen.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO, Art. 15 Abs. 1 lit. f DSGVO)
Im Fall, dass beim Verantwortlichen personenbezogene Daten von Ihnen verarbeitet werden, besteht, sofern Sie der Auffassung sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Regelungen der DSGVO verstößt, ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 51 DSGVO). Die Aufsichtsbehörde muss sich der Sache annehmen und die Beschwerdeführer über den Stand und das Ergebnis der Ermittlungen informieren. Als Ergebnis der Überprüfung kann eine Behörde gegebenenfalls Sanktionen gegen den jeweiligen Verantwortlichen verhängen.
Wir sind nicht daran interessiert, Gegenstand einer Beschwerde zu werden. Insofern bieten wir Ihnen an, Kritikpunkte schnell und unkompliziert in Ihrem Interesse aus der Welt zu schaffen, Probleme zu beheben und dauerhafte datenschutzgerechte Lösungen zu finden und umzusetzen. Bitte wenden Sie sich dazu an den Datenschutzbeauftragten. Dieser wird Ihre Anfrage schnell und unbürokratisch bearbeiten. Dafür ist er da. Demgegenüber wäre bei einer Beschwerde bei der zuständigen Aufsichtsbehörde erfahrungsgemäß mit einer recht langen Bearbeitungszeit zu rechnen.
Die für Sie zuständige Aufsichtsbehörde (aufgrund des Sitzes des Verantwortlichen) ist:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Postfach 1947
39009 Magdeburg
Datenverarbeitungen
An dieser Stelle werden alle öffentlich angebotenen Datenverarbeitungen auf dieser Website in Form eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit den jeweils geforderten Pflichtangaben vorgestellt. Es wird darauf hingewiesen, dass die Angaben ohne Pflicht veröffentlicht werden. Die Ausnahme des Art. 30 Abs. 5 DSGVO (keine Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten/Auftragsverarbeitungen) besteht. Die dort genannten Ausschlußgründe wurden und werden regelmäßig geprüft.
Bitte beachten Sie, dass einzelne Anwendungen - insbesondere SaaS-Anwendungen (Anwendungen, die nicht lokal bei Ihnen installiert sind, sondern im Webbrowser dargestellt und bedient werden) aus der Pjiu-Cloud heraus - eigene, weitergehende Datenverarbeitungen darstellen und eigene Angaben veröffentlichen bzw. eigene Bedingungen haben, denen Sie an der jeweiligen Stelle in Ihren Vertragsbedingungen oder beim Freischalten der Dienste in Ihrem Account zustimmen müssen. Diese sollten wie nachstehend strukturiert werden.
Webserver und dessen Logdaten
Beschreibung der Datenverarbeitung
Der Webserver befindet sich auf einem Server, der die Webauftritte von mehreren Benutzern bereitstellt. Ein Zugriff anderer Benutzer auf die Daten dieser Website ist technisch durch ein Rollen- und Rechtekonzept ausgeschlossen. Im Fall eines erfolgreichen Serverhacks oder eines Absturzes von Anwendungen, auch im Falle von Fehlkonfigurationen von Bestandteilen des Servers oder Defekten an der Technik, ist es jedoch nicht ausgeschlossen, dass einzelne Daten Dritten zugänglich werden könnten. Ein solcher Fehler kann immer und auch anderswo passieren und ist leider nicht völlig verhinderbar.
Beim Besuch unserer Website werden bei jedem Seitenaufruf personenbezogene (das schließt auch personenbeziehbare Daten mit ein) Daten von Ihnen verarbeitet und damit auch erhoben. Wir erheben und verwenden dabei personenbezogene Daten unserer Nutzer grundsätzlich nur, wenn dies zur Bereitstellung unserer Inhalte und Dienstleistungen auf einer funktionsfähigen Website erforderlich ist.
Der Webserver speichert im Regelbetrieb keine Logdateien über Ihre Besuche oder aufgerufenen Seiten. Es gibt jedoch die Möglichkeit - und von der wird während der Weiterentwicklung der Webauftritte auch Gebrauch gemacht - folgende Protokolldateien, sog. Logdateien oder Logs, gezielt einzuschalten: Ein PHP (die Programmiersprache dieser Webseiten) Fehler-Log, ein Apache (der Webserver) Fehler-Log, ein Apache Zugiffs-Log. Diese Logdateien werden im Bedarfsfall auch über längere Zeiträume (etwa bis ein gewisser Fehler wieder auftritt) erstellt und ausgewertet. Im Regelbetrieb werden sie jedoch nicht benötigt und abgeschaltet sein. Während Fehlersuchen werden diese regelmäßig ausgewertet und danach gleich gelöscht. Eine Auswertung sieht so aus, dass a) die Fehler (was nicht klappt, was abstürzt, auch einzelne Datenfelder mit ihren Inhalten) in einem Anzeigefenster bei einem Entwickler während der Tests der Webseiten-Funktionalitäten ausgegeben werden können. Desweiteren ist b) eine Auswertung mittels Skripten (kleiner Programme auf der Kommandozeile) möglich, um etwa Zusammenfassungen zu erstellen oder Abfolgen von Seitenaufrufen nachvollziehen zu können. Auch ist eine c) direkte Einsichtnahme durch einen Entwickler möglich und häufig auch notwendig. Keine der Analysen wird gespeichert, gefundene Fehler werden direkt behoben.
Verantwortliche (Art. 30 Abs. 1 lit. a DSGVO)
Die Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten sind anzugeben. Die Angaben des Verantwortlichen und des Datenschutzbeauftragten finden Sie im Abschnitt Verantwortlicher. Einen Vertreter des Verantwortlichen gibt es nicht. Eine gemeinsame Verantwortlichkeit würde erst Anwendungen und Webseiten Dritter betreffen. Diese verwenden diesbezüglich jedoch ihre eigene Datenschutzerklärung.
Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b DSGVO)
Rechtsgrundlage für die Erhebung der Daten und deren Speicherung in Logdateien ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Eine vorübergehende Erhebung der Daten durch das System ist erforderlich, um eine Auslieferung der Website an das Endgerät des Nutzers zu ermöglichen und deren Wiedergabe zu gewährleisten. Die Speicherung in Logfiles dient auch der Sicherstellung von Stabilität und Funktionsfähigkeit der Website. Auch dienen die Daten der Optimierung unserer Website und zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme gegen mögliche Angriffe von außen. Darin liegt zugleich unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Die temporäre Erfassung der Daten zur Bereitstellung der Website und deren Speicherung in Logfiles ist für den Betrieb der Internetseite erforderlich, sodass seitens des Nutzers keine Widerspruchsmöglichkeit besteht.
Kategorien betroffener Personen/personenbezogener Daten (Art. 30 Abs. 1 lit. c DSGVO)
Kategorien betroffener Personen:
- Benutzer dieser Webseiten,
- Administratoren,
- Entwickler
Kategorien personenbezogener Daten:
- Eingaben in der Website (zur Fehlersuche, etwa Formularinhalte),
- Einstellungen in den Benutzerprofilen (wenn Schalter ausgegeben werden, etwa ob ein Nutzer angemeldet ist),
- interne Daten (etwa die ID-Nummer, die ein Nutzer bei einem Zugriff auf eine Datenbank verwendet),
- Dateipfade (wenn bei einem Fehler der Pfad zu einer Datei etwa mitgeloggt wird),
- SQL-Anfragen an Datenbanken (zur Fehlersuche, wenn falsche Rückgaben vermutet werden oder zur Geschwindigkeitsoptimierung der Zugriffe),
- IP-Adressen des Nutzers (etwa zur Filterung von Anfragen, Weitergabe an Firewall)
Bei jedem Aufruf einer Seite auf unserer Website erfasst der Webserver automatisiert unter anderem die folgenden Daten vom Computersystem des aufrufenden Endgerätes und speichert diese in Log-Dateien:
- IP-Adresse des Nutzers
- Name der abgerufenen Webseite oder Datei
- Beim Aufruf ggf. übergebene Parameter oder Formulardaten
- Datum und Uhrzeit des Aufrufs
- übertragene Datenmenge
- Erfolgs/Fehlerstatus des Abrufs
- Daten zum Webbrowser (Typ, Version - wie Sie es übermitteln)
- Betriebssystem des Nutzers
- Website, von denen der Nutzer auf unserer Webseite gelangte
- Website, zu der der Nutzer weitervermittelt wurde
Weitere Daten werden aus dem von Ihrem Webbrowser automatisch übermittelten Datensatz (Kopfzeilen der Web-Anfrage) übernommen. Diese dienen in erster Linie der korrekten Beantwortung der Anfrage durch den Webserver. Sie werden grundsätzlich nur in Ihrem Interesse verarbeitet. Eine anonyme Statistik kann jedoch erstellt werden.
- Anforderungstyp, etwa "Nur Kopfzeilen" (HTTP Requests: HEAD, OPTIONS, TRACE, WebDAV-bezogene Spezialmethoden, ...)
- Sprachpräferenzen des Nutzers ("ich hätte gern englische Webseiten, erst wenn das nicht geht, deutsche")
- Dateityp-Wünsche: ZIP oder 7z-Archive? PDF oder HTML?
Folgende Daten sind in den einzelnen Log-Dateien beipielhaft enthalten:
PHP Fehler-Log:
Hier sollten keine personenbezogenen Daten erscheinen. Es könnte sein, dass ein Datenfeld mit unerlaubten Zeichen gefüllt und als Formular abgeschickt wird. Solche Datenfelder könnten ggf. inhaltlich im Log enthalten sein. Beispieldaten dieses Logs:
[24-May-2022 22:45:59] WARNING: [pool www] child 11884 said into stderr: "[24-May-2022 22:45:59 Europe/Berlin] PHP Notice: Undefined variable: XYZ in <Pfad zur fehlerhaften Datei.php> on line <Zeilennummer>" [24-May-2022 23:31:07] WARNING: [pool www] child 11556 said into stderr: "[24-May-2022 23:31:07 Europe/Berlin] PHP Notice: Constant XYZ already defined in <Pfad zur fehlerhaften Datei.php> on line <Zeilennummer>" [25-May-2022 15:58:02] WARNING: [pool www] child 25437 said into stderr: "[25-May-2022 15:58:02 Europe/Berlin] PHP Warning: SQLite3::query(): Unable to prepare statement: 1, no such column: keywords in <Pfad zur fehlerhaften Datei.php> on line <Zeilennummer>" [25-May-2022 15:58:02] WARNING: [pool www] child 25437 said into stderr: "[25-May-2022 15:58:02 Europe/Berlin] PHP Fatal error: Uncaught Error: Call to a member function fetchArray() on bool in <Pfad zur fehlerhaften Datei.php>:<Zeilennummer>" [25-May-2022 15:58:02] WARNING: [pool www] child 25437 said into stderr: "Stack trace:" [25-May-2022 15:58:02] WARNING: [pool www] child 25437 said into stderr: "#0 {main}" [25-May-2022 15:58:02] WARNING: [pool www] child 25437 said into stderr: " thrown in <Pfad zur fehlerhaften Datei.php> on line <Zeilennummer>" [25-May-2022 16:59:37] WARNING: [pool www] child 6318 said into stderr: "[25-May-2022 16:59:37 Europe/Berlin] PHP Parse error: syntax error, unexpected 'str_replace' (T_STRING) in <Pfad zur fehlerhaften Datei.php> on line <Zeilennummer>"
Apache Fehler-Log:
Auch hier sollten keine personenbezogenen Daten enthalten sein.
[Wed Jun 01 07:24:26 2022] [error] [pid 10776] mod_autoindex.c(2326): [client 138.197.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 08:05:11 2022] [error] [pid 12613] mod_proxy_fcgi.c(887): [client 85.202.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 08:06:07 2022] [error] [pid 10775] mod_proxy_fcgi.c(887): [client 85.202.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 08:12:28 2022] [error] [pid 11357] mod_autoindex.c(2326): [client 45.129.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 08:21:06 2022] [error] [pid 10775] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:12:40 2022] [error] [pid 3055] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:17:04 2022] [error] [pid 3055] mod_autoindex.c(2326): [client 34.243.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 09:19:26 2022] [error] [pid 3055] mod_autoindex.c(2326): [client 38.18.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 09:48:27 2022] [error] [pid 31689] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:48:27 2022] [error] [pid 31689] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:48:27 2022] [error] [pid 26004] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:59:10 2022] [error] [pid 10839] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:59:10 2022] [error] [pid 10839] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 09:59:10 2022] [error] [pid 10917] mod_proxy_fcgi.c(887): [client 18.195.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 10:20:02 2022] [error] [pid 22787] mod_autoindex.c(2326): [client 54.186.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 12:14:09 2022] [error] [pid 26436] mod_proxy_fcgi.c(887): [client 2.56.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 12:14:24 2022] [error] [pid 26436] mod_proxy_fcgi.c(887): [client 2.56.0.0] AH01071: Got error 'Primary script unknown' [Wed Jun 01 15:22:10 2022] [error] [pid 23593] mod_autoindex.c(2326): [client 187.189.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 17:03:46 2022] [error] [pid 11212] mod_autoindex.c(2326): [client 173.211.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive [Wed Jun 01 17:26:42 2022] [error] [pid 26028] mod_autoindex.c(2326): [client 62.138.0.0] AH01276: Cannot serve directory <verzeichnisname>: No matching DirectoryIndex (index.html,index.htm,index.html.var,index.php,index.cgi,index.sh,nocontent.html) found, and server-generated directory index forbidden by Options directive
Apache Zugriffs-Log:
Hier erscheinen Ihre Browserdaten, auf welche Seite zugegriffen wurde, ob alles geklappt hat und welche Browserkennung übermittelt wurde.
www.<domainname>:443 138.197.0.0 - - [01/Jun/2022:07:24:26 +0200] "GET / HTTP/1.0" 403 199 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)" www.<domainname>:443 54.36.0.0 - - [01/Jun/2022:07:43:31 +0200] "GET / HTTP/2.0" 200 971 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)" <domainname>:443 201.230.0.0 - - [01/Jun/2022:07:47:16 +0200] "GET / HTTP/1.1" 200 87 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36" <domainname>:443 85.202.0.0 - - [01/Jun/2022:08:05:11 +0200] "GET /wp-plain.php HTTP/1.1" 404 196 "www.google.com" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36" <domainname>:443 85.202.0.0 - - [01/Jun/2022:08:05:43 +0200] "GET /yghewsib.php?Fox=d3wL7 HTTP/1.1" 404 196 "www.google.com" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36" <domainname>:443 194.38.0.0 - - [01/Jun/2022:08:07:10 +0200] "GET /theme/assets/fileupload/index.php?file=tf2rghf.jpg HTTP/1.1" 404 196 "-" "ALittle Client" www.<domainname>:443 167.94.0.0 - - [01/Jun/2022:08:14:10 +0200] "GET / HTTP/1.1" 200 869 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)" <domainname>:443 18.195.0.0 - - [01/Jun/2022:08:21:04 +0200] "GET /wp-config.inc HTTP/1.1" 301 252 "-" "Mozilla/5.0 (Macintosh;Intel Mac OS X 10.15; rv:77.0) Gecko/20100101 Firefox/77.0"
Kategorien von Empfängern (Art. 30 Abs. 1 lit. d DSGVO)
Es sind die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen zu benennen. Derzeit werden keine Daten in Drittländer weitergegeben.
Die technischen Mitarbeiter von G.A.S.I. und sicher auch einige Administratoren unseres Auftragsverarbeiters uberspace.de sind naturgemäß in der Lage, die Logdateien einzusehen. Unser Auftragsverarbeiter hat sich vertraglich zur Einhaltung der Forderungen der DSGVO verpflichtet. Eigene Mitarbeiter wurden zur Geheimhaltung verpflichtet.
Übermittlungen an ein Drittland (Art. 30 Abs. 1 lit. e DSGVO)
Wenn vorhanden, dann sind hier Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien aufzuführen. Derartige Übermittlungen finden derzeit nicht statt.
Im Rahmen eine möglichen Erweiterung der Firma hinsichtlich Standorten und Angeboten von Vor-Ort-Cloud-Services, aber auch im Rahmen der Nutzung von unabhängigen Unterauftragnehmern ist es jedoch zukünftig nicht ausgeschlossen, dass Daten auch in Drittländer transferiert werden. Dann würde dies jedoch hier explizit dokumentiert werden.
Löschfristen (Art. 30 Abs. 1 lit. f DSGVO)
Es sollen hier - wenn möglich - die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien aufgeführt werden. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die zur Bereitstellung der Website erhobenen Daten am Ende der jeweiligen Sitzung der Fall. Bei in Log-Dateien erfassten Daten ist dies am Ende der Fehlersuche/Aufgabe der Fall, bei dem die Logdaten mit dem Abschalten des Loggens automatisch gelöscht werden. Sollte dies nicht gelingen (Arbeitsplatz wird vorzeitig verlassen), kann dies ggf. etwas länger dauern. In jedem Fall sind die Daten in Log-Dateien nach spätestens 30 Tagen gelöscht.
Alle 3 Log-Dateien werden manuell während der Entwicklung bei Bedarf gelöscht. Eine regelmäßige Löschung findet nicht statt. Stattdessen werden Skripte genutzt, um die notwendigen Log-Dateien gleichzeitig an- und abschalten zu können. Werden die Logs (immer alle komplett) deaktiviert, werden auch angelegte Log-Dateien vorab gelöscht. Somit ist am Ende einer Debug-Sitzung ein sauberer Zustand wiederhergestellt. Weiterentwicklungen und Arbeiten am Server finden mindestens einmal die Woche statt, somit würde selbst ein versehentlich aktives Log spätestens nach dieser Zeit und im Nachgang automatisiert mit abgeschaltet werden.
Technische und organisatorische Maßnahmen (Art. 30 Abs. 1 lit. g DSGVO)
Wenn möglich, soll hier eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO erfolgen. Diese Maßnahmen sind jedoch umfassenderer Natur und betreffen alle Datenverarbeitungsvorgänge aller hier gehosteten Domains gleichermaßen. Daher wird auf die Maßnahmen im Nachgang unter der Überschrift "Technische und organisatorische Maßnahmen" eingegangen und hier nur dorthin referenziert.
E-Mail-Formular und E-Mails
Beschreibung der Datenverarbeitung
Diese Website erlaubt es, ein Web-Formular für Anfragen zu benutzen. Das Formular ist technisch eine ganz normale Webseite und muss nur ausgefüllt werden. Nach dem Absenden, wird auf dem Web-Server eine E-Mail verschickt.
Alle Angaben erfolgen freiwillig. Alle Formularfelder sind völlig optional auszufüllen. Wenn Sie eine Angabe nicht vornehmen möchten, dann tun Sie das einfach nicht. Es ist nicht notwendig, "falsche" Daten einzutragen. Bitte bachten Sie, dass dann ggf. Funktionen des Formulars oder Möglichkeiten der Beantwortung oder Bearbeitung Ihrer Anfrage entfallen. Ohne eine Absenderangabe gibt es keine Antwortmöglichkeit, ohne umfassende Hinweise zum Problem reichen die Informationen vielleicht nicht zur Bearbeitung aus.
Der Webserver und auch der E-Mail-Server befinden sich auf einem Server, der mehreren Benutzern seine Dienste bereitstellt. Ein Zugriff anderer Benutzer auf die Daten dieser Website oder Postfächer ist technisch durch ein Rollen- und Rechtekonzept ausgeschlossen. Im Fall eines erfolgreichen Serverhacks oder eines Absturzes von Anwendungen, auch im Falle von Fehlkonfigurationen von Bestandteilen des Servers oder Defekten an der Technik, ist es jedoch nicht ausgeschlossen, dass einzelne Daten Dritten zugänglich werden könnten. Ein solcher Fehler kann immer und auch anderswo passieren und ist leider nicht völlig verhinderbar.
Verantwortliche (Art. 30 Abs. 1 lit. a DSGVO)
Die Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten sind anzugeben. Die Angaben des Verantwortlichen und des Datenschutzbeauftragten finden Sie im Abschnitt Verantwortlicher. Einen Vertreter des Verantwortlichen gibt es nicht. Eine gemeinsame Verantwortlichkeit würde erst Anwendungen und Webseiten Dritter betreffen. Diese verwenden diesbezüglich jedoch ihre eigene Datenschutzerklärung.
Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b DSGVO)
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO. Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Rechtsgrundlage für die Nutzung des Kontakt-Formulars und die Nutzung von E-Mails im Rahmen der Kommunikation zwischen Ihnen als Kunden/Benutzer und dem Verantwortlichen dieser Website ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Eine vorübergehende Erhebung der Daten durch das System ist erforderlich, um eine Übermittlung und Bearbeitung Ihres Anliegens zu ermöglichen. Darin liegt zugleich unser berechtigtes Interesse an der Datenverarbeitung. Wir erheben und verwenden dabei personenbezogene Daten unserer Nutzer grundsätzlich nur, wenn dies zur Bereitstellung unserer Inhalte und Dienstleistungen auf einer funktionsfähigen Website erforderlich ist.
Kategorien betroffener Personen/personenbezogener Daten (Art. 30 Abs. 1 lit. c DSGVO)
Kategorien betroffener Personen:
- Kunden/Benutzer (Kontakt-Formular, E-Mail-Kommunikation, Benutzerprofil),
- Administratoren,
- Entwickler
Kategorien personenbezogener Daten:
- Angaben im Formular/der E-Mail (Absender, Betreff, Text)
- IP-Nummern,
- Website, von der aus das Kontakt-Formular aufgerufen wurde,
- Angaben zur gewünschten Verschlüsselung (Zertifikate, Keys, yes/no)
Kategorien von Empfängern (Art. 30 Abs. 1 lit. d DSGVO)
Es sind die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen zu benennen. Derzeit werden keine Daten in Drittländer weitergegeben. Sollten Sie sich in einem Drittland aufhalten, erfolgt die Korrespondenz mit Ihnen ggf. auf einem "unsicheren" Weg. Bitte nutzen Sie in diesen Fällen eine zusätzliche Verschlüsselung (PGP).
Die technischen Mitarbeiter von G.A.S.I. und sicher auch einige Administratoren unseres Auftragsverarbeiters uberspace.de sind naturgemäß in der Lage, E-Mails einzusehen. Das dürfen Sie jedoch nicht. Unser Auftragsverarbeiter hat sich vertraglich zur Einhaltung der Forderungen der DSGVO verpflichtet. Eigene Mitarbeiter wurden zur Geheimhaltung verpflichtet.
Übermittlungen an ein Drittland (Art. 30 Abs. 1 lit. e DSGVO)
Wenn vorhanden, dann sind hier Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien aufzuführen. Derartige Übermittlungen finden derzeit nicht statt.
Im Rahmen eine möglichen Erweiterung der Firma hinsichtlich Standorten und Angeboten von Vor-Ort-Cloud-Services, aber auch im Rahmen der Nutzung von unabhängigen Unterauftragnehmern ist es jedoch zukünftig nicht ausgeschlossen, dass Daten auch in Drittländer transferiert werden. Dann würde dies jedoch hier explizit dokumentiert werden.
Löschfristen (Art. 30 Abs. 1 lit. f DSGVO)
Es sollen hier - wenn möglich - die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien aufgeführt werden. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Alle Daten werden letztlich in Form einer E-Mail entgegengenommen. Diese wird regelmäßig gelöscht, wenn Ihr Anliegen erfüllt wurde. Sollten Sie von Ihren Betroffenenrechten Gebrauch machen, und etwa eine Löschung Ihrer vorhandenen personenbezogenen Daten fordern, dann würden alle bzw. die von Ihnen bezeichneten E-Mails von Ihnen unmittelbar gelöscht werden. Bitte beachten Sie, dass dann Ihre Anliegen nicht weiter bearbeitet werden können. Wir aktivieren auch später keine Backups zur Wiederherstellung, da diese nur zweckgebunden für den Fall einer IT-Panne vorliegen und nur so genutzt werden. Sie müssten dann erneut eine Anfrage stellen, wenn Sie Bedarf dafür haben. Wir versuchen, jede Ihrer Anfragen zu erledigen und im Anschluss daran kurz zu beantworten. Etwaige Handlungen werden kategorisiert und in einem anonymen Log erfasst. Handlungen und Ergebnisse werden in Ihrem Benutzerprofil dokumentiert, so dass Sie als Kunde nachvollziehen können, wer was wann getan hat. Wenn kein Benutzerprofil existiert, werden die E-Mails bei kleinen Anfragen sofort nach Erledigung gelöscht. Angebote, Vertragsänderungen, Zusagen und Versprechungen per E-Mail unsererseits werden aufbewahrt und nach der gesetzlich vorgegebenen Frist für Geschäftsbriefe gelöscht werden. E-Mail-Inhalte können (anonymisiert) etwa im Rahmen des Qualitätsmanagements oder der Produktverbesserung als Text (Issue) im Ticketsystem aufgenommen werden.
Zukünftig werden Ihre Anfragen und E-Mails Bestandteil Ihres Kundenprofils werden. Sie können dann dort unmittelbar selbst Änderungen und Löschungen vornehmen.
Technische und organisatorische Maßnahmen (Art. 30 Abs. 1 lit. g DSGVO)
Wenn möglich, soll hier eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO erfolgen. Diese Maßnahmen sind jedoch umfassenderer Natur und betreffen alle Datenverarbeitungsvorgänge aller hier gehosteten Domains gleichermaßen. Daher wird auf die Maßnahmen im Nachgang unter der Überschrift "Technische und organisatorische Maßnahmen" eingegangen und hier nur dorthin referenziert.
Das Kontakt-Formular wird mit den gleichen technischen und organisatorischen Maßnahmen geschützt, wie die Website selbst. Das bedeutet alle eingebenen personenbezogenen Daten werden transportverschlüsselt mit TLS 1.3 sicher an uns übermittelt. Technisch erfolgt die Transportverschlüsselung nur bis zum Webserver bei uberspace.de. Von dort wird eine normale E-Mail mit Ihren Angaben erstellt und verschickt. Da sich das Postfach des Verantwortlichen auf dem gleichen Server befindet, ist eine weitere Verschlüsselung nicht notwendig. Die Inhalte werden etwa einmal täglich auf sichere Art und Weise abgeholt und auf dem Server gelöscht.
E-Mails von externen Quellen werden am Server ESMTPS(A)-geschützt, also sicher verschlüsselt und bei internen Nutzern auch authentifiziert, entgegengenommen.
Cookies, Web-Tracker, Werbung
Beschreibung der Datenverarbeitung
Werbung ist die Ignoranz des Willens des Nutzers. Es wird dem Nutzer der Kauf eines Produktes oder die Vornahme einer Handlung nahegelegt. Eine gute Werbung schwatzt dem Nutzer etwas auf, was er bei reiflicher Überlegung und klarem Verstand wohl nie gekauft hätte. Daher gibt es auf keiner Website von mir oder einem meiner Projekte Werbung. Es werden niemals Nutzerdaten verkauft oder auch nur bewusst aus der Hand gegeben. Sollten tatsächlich einmal Hinweise Dritter verschickt werden, dann haben wir diese im Auftrag verschickt. Man kann nicht zu den Guten gehören und gleichzeitig Schlechtes tun.
Cookies sind kleine Textdateien, welche der Browser anlegt, um sich den Nutzer zu merken. Der Webbrowser zeigt diese beim nächsten Besuch der Webseite unaufgefordert vor. Hat er sich etwa eine Nutzernummer gemerkt, kann auf diese Art und Weise der Nutzer in der Datenbank aufgefunden und automatisch angemeldet werden. Ein Cookie kann also die Eingabe von Benutzernamen und Passwort für eine vorab festgelegte Zeitspanne ersetzen. Dementsprechend wichtig ist es, Cookies nicht zu verlieren oder versehentlich zu veröffentlichen.
Cookies sind notwendig, wenn Informationen über den Nutzer gemerkt oder auch nur bei einem Webseitenwechsel von einer Seite zur anderen Seite weitergegeben werden müssen. Das wäre etwa der Fall, wenn ein Warenkorb bei einem Seitenwechsel erhalten bleiben soll (Sitzungs-Cookies). Bei solchen, für den Betrieb einer Website unbedingt notwendigen, Cookies wird nicht explizit um Erlaubnis gefragt und ausdrücklich nur die geschätzt erforderliche Zeitspanne zum Merken in den Cookie eingetragen.
Andere Cookie-Arten (Anmeldedaten) werden via Opt-In gesetzt, jedoch ggf. nicht explizit als "Cookie" benannt. Es wird etwa im Rahmen eines Anmeldevorgangs gefragt, ob man zukünftig diesen Dialog überspringen und der Webbrowser sich das merken soll. Nichts anderes ist ein solcher Cookie.
Im Übrigen wird davon ausgegangen, dass der Nutzer weiss, dass er Cookies im Webbrowser löschen und verwalten kann. In der Regel hat er bewusst die gewünschten, hoffentlich korrekten Einstellungen getroffen und diese werden nach Möglichkeit respektiert.
Cookies, die dem Nutzer Probleme bescheren könnten, etwa zur Nachverfolgung über mehrere Websites (ggf. auch unterschiedlicher Anbieter) hinweg, zur Datensammlung mit Hilfe von Dritten oder zu Spionagezwecken, werden hier nicht genutzt. Daher ist auch die Frage nach der Erlaubnis des Setzens von Cookies beim Ansurfen einer Website grundsätzlich kein Thema.
Drittanbieter-Tools
Beschreibung der Datenverarbeitung
Es wird versucht, wo immer möglich, auf Softwarepakete und Anwendungen Dritter zu verzichten. So wird auf Projekte wie jQuery, Web-Fonts oder das direkte Verlinken zu notwendigen Komponenten Dritter bewusst verzichtet. Werden Anwendungen Dritter angeboten, so werden deren Quelltexte etwa direkt in die Website übernommen und auch bei Updates auf dem Webserver selbst aktualisiert. Es wird nicht direkt auf die Quellen des Drittanbieters verwiesen, so dass keine Daten ohne Genehmigung abfließen können.
Skripte (etwa via Javascript), die der Kontrolle Dritter unterliegen oder verdeckte Datenabflüsse in Drittländer umsetzen, werden nicht eingebunden. Wir sind uns der Schrems-II-Problematik bewusst und schützen unsere Nutzer durch Nichtnutzung von kostengünstigen Angeboten (etwa von US-Unternehmen), bei denen mit Nutzerdaten bezahlt werden muss.
Nutzerprofil
Beschreibung der Datenverarbeitung
Auf den verschiedenen durch G.A.S.I. betriebenen Websites, aber auch den verbundenen Projekt-Websites und auch auf einzelnen Homepages ist es möglich, sich zu registrieren (eine - ggf. sogar anonyme - E-Mail-Adresse reicht) und danach weitere Dienste zu nutzen. Alle zu diesem Verbund gehörenden Websites werden auf dem gleichen Server betrieben und nutzen die gemeinsame Benutzerdatenbank. Die eingebenen Nutzerdaten (das sog. Profil) befinden sich in dieser Datenbank. Andere Websites im Verbund können mit den gleichen Anmeldedaten genutzt werden. In den im Profil gespeicherten Daten ist jeweils vermerkt, welche "Identität" (Name, Profilbild/Avatar, Kontaktmöglichkeiten, ...) nach außen hin angezeigt werden soll. Beim Aktivieren einer Website oder eines Dienstes wird intern ein Schalter von aus auf an umgestellt. Diese Schalter können in den Einstellungen des Nutzerprofils unmittelbar eingesehen und auch zurückgestellt werden. Zu jedem Dienst ist ebendort auch eine Datenschutzbeschreibung mit den von der DSGVO geforderten Angaben enthalten. Da diese Daten Anwendungs- oder Dienst-spezifisch sind, werden sie nicht hier aufgeführt. In den jeweiligen Webbereichen der jeweiligen Anwendungen und Dienste sind diese jedoch auch ohne Registrierung vorab einsehbar.
IP-Adressen, Fingerprinting
Beschreibung der Datenverarbeitung
Cookies zur Wiedererkennung und Verfolgung des Nutzers werden nicht gesetzt. Es wird auch nicht versucht, Nutzer über dazu alternative Techniken, wie etwa durch das Herstellen von Browser-"Fingerabdrücken" (durch Abfrage der Möglichkeiten und Einstellungen des Browsers), die Auswertung seiner IP-Nummern oder biometrischer Merkmale (Tippgeschwindigkeit, Kamera, ...) wiederzuerkennen. Sollte der Nutzer dies für einen Dienst oder eine Anwendung jedoch wünschen, würde er im Einzelfall im ausdrückliche Genehmigung gebeten werden.
Statistische Daten werden erfasst. Etwa Klickwege im Browser, Herkunft (Land) und Sprache der Nutzer. Diese Daten werden aber vollkommen anonymisiert verarbeitet.
Weitere Datenverarbeitungen
Beschreibung der Datenverarbeitung
Im Rahmen der Weiterentwicklung der Anwendungen und dieses Webangebots werden zusätzliche Datenverarbeitungen vorgenommen, erprobt, wieder verworfen und ggf. auch dauerhaft implementiert. Die Tests erfolgen nicht mit Kundendaten (im Snne von von Nutzern abgelegten Dokumenten o.ä.), jedoch können Nutzer betroffen sein.
Bei den in der Pjiu-Cloud angebotenen Anwendungen ist es etwa notwendig, die Möglichkeiten des Webbrowsers zu kennen. Dabei geht es um die Möglichkeit von Zugriffen auf Kamera, Mikrofon, 3D-Beschleunigung, lokal verfügbare Schriftarten oder Zugriff auf das Dateisystem (zum Speichern von Dateien aus einer Cloud-Anwendung heraus). Es erfolgt ausdrücklich kein Fingerprinting Ihres Browsers oder Ihrer Arbeitsumgebung. Sie werden anhand dieser Daten nicht gezielt nachverfolgt. Es ist jedoch möglich, dass einzelne Daten zur Verbesserung der Sicherheit Ihres Zugangs dauerhaft hinterlegt und bei Zugriffen auf Webseiten oder Anwendungen geprüft werden. Das erfolgt jedoch nur über eine bewusste Einstellung. So könnten Sie in den Einstellungen einer Anwendung etwa sagen, dass sie von Ihrem Browser oder ihrer IP aus immer mit vereinfachter Anmeldung Dienste nutzen möchten. Dann würden die zu hinterlegenden Daten jedoch nicht im Klartext, sondern nur als Hashwert ("gesalzen", also mit dienstspezifischen Zusatzdaten) abgelegt werden.
Die Webbrowserdaten und auch die zur Verschlüsselung Ihrer Verbindung zu unserem Webserver genutzten Einstellungen, Parameter, Algorithmen und Zertifikate können gemerkt werden und der zusätzlichen Absicherung Ihres Zugriffs durch etwa Verhinderung von Man-in-the-Middle-Angriffen mit gefälschten, jedoch von einer anerkannten Zertifizierungsstelle signierten Zertifikaten dienen.
Eine Zusammenführung all dieser Daten mit anderen Datenquellen findet ggf., wenn, dann aber nur temporär und nur in Ihrem (angenommenen) Interesse, statt. So wird beispielsweise die IP-Adresse automatisch in einen Ortsbezug umgewandelt. Es ist geplant, solche Daten zukünftig in einer anonymen Statistik zu aggregieren. Damit wäre es möglich, zu ermitteln, aus welchen Ländern wie viele Zugriffe auf welche Teile der Website erfolgen. Oder wie häufig welche Sprache durch die Nutzer gesprochen wird. Ihre personenbezogenen Daten werden nicht mit zugekauften Daten angereichert. Es erfolgen keine verdeckten Datenverarbeitungen.
Verbesserungsvorschläge
Für Hinweise auf fehlerhaft umgesetzte Datenschutzaspekte oder technische und organisatorische Maßnahmen sind wir jederzeit dankbar und werden diese im Sinne eines weltweit existierenden Datenschutzgrundrechts nach dem Stand von Wissenschaft und Technik (sofern insbesondere finanziell möglich), mindestens jedoch gemäß national, in Deutschland, geltenden Datenschutzrechten, im Rahmen unserer Möglichkeiten schnellstmöglich anpassen.
Wenden Sie sich dazu bitte an den vorstehend genannten Datenschutzbeauftragten.
Technische und organisatorische Maßnahmen
Der Web-Anbieter wurde hauptsächlich aufgrund seines auf unsere Bedürfnisse zugeschnittenen Angebotes von Datenschutz- und IT-Sicherheits-Maßnahmen ausgewählt. Beim Dienstleister werden im Rahmen der Auftragsverarbeitung bereits alle notwendigen Maßnahmen nach dem Stand der Technik umgesetzt. Gleichzeitig sind die Zugänge auch aktiv datenschutzgerecht voreingestellt und die Webseiten passend konfiguriert. Die Einstellungen wurden und werden regelmäßig überprüft.
Es werden verschiedene sicherheitsrelevante Web-Header bei jedem Seitenabruf passend mitgeliefert (Dokumentation, Erklärung der Standard-Werte). Die folgenden Header werden derzeit gesetzt:
Referrer-Policy: strict-origin-when-cross-origin Strict-Transport-Security: max-age=31536000 X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-Xss-Protection: 1; mode=block
Das verwendete PHP ist minimal konfiguriert und auf einer aktuellen Version. Derzeit ist das Version 8.1.
Die Website wird ausschließlich transportverschlüsselt angeboten. Dies dient dem Schutz vor dem unberechtigten Mitlesen, aber auch Ihrer Zugangsdaten etwa beim Anmelden oder Übertragen eines Cookies. Es werden kostenfreie Kurzzeit-Zertifikate der Let's Encrypt CA genutzt. Diese erlauben eine Verschlüsselung mit TLS 1.3 (TLS_AES_128_GCM_SHA256) nach dem Stand der Technik und sind in den gängigen Webbrowsern bereits hinterlegt.
Der Webserver ist ein Linux-Server. Der Betreiber wurde in einem Auftragsverarbeitungsvertrag (Stand 02.11.2018, dort unter Nr. 5.2) zu den folgenden technischen und organisatorische Maßnahmen verpflichtet:
Der Auftragsverarbeiter gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen.
Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Er muss den Verantwortlichen hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Wesentliche Änderungen sind zu dokumentieren.
Änderungen der Datenschutzerklärung
Wir behalten es uns ausdrücklich vor, diese Datenschutzerklärung jederzeit ohne Nennung von Gründen mit Wirkung für die Zukunft zu ändern. Bitte sichern sie sich ggf. jetzt ein Exemplar mit dem derzeitigen Stand.
Als Kunde erhalten Sie auf Wunsch (Einstellung im Benutzerprofil) eine Benachrichtigung über Änderungen unserer General Terms and Conditions und dieser Privacy Policy.
Stand: 7. Juni 2022