Datenschutz ist wichtig. Deshalb sammeln unsere Dienste so wenig Daten wie möglich und diese werden gut geschützt. Verantwortlich für die Datenverarbeitung sind die im Impressum genannten Personen.
Beim Aufruf unserer Dienste werden folgende Informationen übertragen:
- IP-Adressen
- Datum und Uhrzeit der Anfrage
- Aufgerufene Seite/aufgerufener Endpunkt und Website
- ggf. Browser & Betriebssysteminformationen und gespeicherte Cookies
Diese Daten werden aus Gründen der Sicherheit (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen), Verfügbarkeit Entwicklung oder Wartung für die Dauer von maximal einem Jahr gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung für einen der oben genannten Zwecke erforderlich ist, sind bis zur Klärung des jeweiligen Vorfalls/Zwecks von der Löschung ausgenommen.
Einige Dienste die wir anbieten können die Erstellung eines Kontos erfordern. Durch Erstellung eines Kontos werden die angegebenen Daten und von die auf dem Server erstellten oder hochgeladen Inhalte auf dem Server gespeichert. Kontodaten werden nur nach Deaktivierung des Accounts oder auf Verlangen des Users gelöscht. Bei Deaktivierung/Löschung des Accounts durch Nutzer*innen werden die entsprechenden Daten für die Dauer des Backups dort vorgehalten, sind jedoch in ihrer Verarbeitung entsprechend eingeschränkt.
Bei der Eingabe von Daten über ein Formular werden diese Daten gespeichert und ggf. per E-Mail an die verantwortlichen Personen versendet. Personenbezogene Daten die auf diese Art erhoben werden, werden spätestens 4 Wochen nach Ende des Erfassungsgrundes gelöscht.
Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. Das bedeutet, die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.
Rechte von Nutzer*innen
Nutzer*innen haben das Recht auf Auskunft über die ihnen zugeordneten, personenbezogenen Daten. Ein Auszug über gespeicherte Daten wird innerhalb von 4 Wochen nach Eingang des Auskunftsersuchens erstellt und elektronisch bereitgestellt. Nutzer*innnen haben das Recht auf Korrektur oder Löschung der ihnen zugeordneten, personenbezogenen Daten. In beiden Fällen ist ein entsprechendes Ersuchen an die im Impressum genannten, aktiven und aktuellen Kontaktdaten zu stellen.
Speicherort & Dienstleister
Die Server werden im Auftrag durch Strato, Contabo oder Hetzner bereitgestellt und betrieben. Ein Vertrag zur Auftragsdatenverarbeitung liegt vor. Backups werden in verschlüsselter Form an geschützten Orten gespeichert und sind ohne Kenntnis der Passphrase unzugänglich. Auch ist eine Speicherung durch Dritte möglich, in diesem Fall liegt ein Vertrag zur Auftragsdatenverarbeitung vor.
Sämtliche Datenverarbeitung findet in einem Mitgliedstaat der Europäischen Union statt.
Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Realisierung eines wirksamen Zutrittsschutzes
- Verschlüsselung
- Protokollierung administrativer Tätigkeiten & Logins von Nutzer*innen bei ausgewählten Diensten
- Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
- Umsetzung sicherer Zugangsverfahren zur Authentisierung und Authentifizierung
- Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
- Berechtigungskonzepts
- Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
- Datensparsamkeit im Umgang mit personenbezogenen Daten
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Sichere Datenübertragung zwischen Server und Client
- Sichere Ablage von Daten, inkl. Backups
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
- Monitoring
- Datensicherungskonzepte und Umsetzung
- Standortseparierung von Server und Backup
- Automatisierte Installation von Systemen
4. Datenschutzorganisation
- Festlegung von Verantwortlichkeiten
5. Auftragskontrolle
- Abschluss einer Vereinbarung zur Auftragsverarbeitung mit Auftragnehmern
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Durchführung von technischen Überprüfungen
- Prozessbeschreibung