Nutzung von sq cloud (esquilin-cloud.de) und sq meet (esquilin-meet.de)
1. Allgemeine Hinweise
Die sq cloud und sq meet sind Plattformen zur Übergabe von Dokumenten / Dateien und zum Abhalten von Video-Konferenzen. Der Zugang ist nur registrierten oder individuell von der esquilin GmbH oder der esquilin holding UG eingeladenen Nutzern möglich. Registrierungen werden durch die esquilin GmbH vorgenommen (ggf. im Namen der esquilin holding UG).
Beide Plattformen sind nach unserer Einschätzung keine Werkzeuge, um im Sinne des Art. 26 DSGVO in gemeinsamer Verantwortung Daten zu verarbeiten. Der datenschutzrechtlich Verantwortliche ist die esquilin GmbH.
Technisch basieren die sq cloud bzw. die sq meet auf der freien Software Nextcloud; weitere Informationen hier (extern).
Beide Plattformen werden in Eigenregie durch die esquilin GmbH betrieben (ggf. im Auftrag der esquilin holding UG). Standort des Servers ist ein ISO 27001 zertifiziertes Rechenzentrum in Deutschland.
In der sq cloud abgelegte Dateien werden serverseitig verschlüsselt; der Server arbeitet mit automatisch gespiegelten Festplatten, sodass ein Ausfall einer Platte in der Regel nicht zu Datenverlusten führt. Eine 100%ige Sicherheit oder Garantien hinsichtlich der Verfügbarkeit können wir jedoch nicht aussprechen. Der Server ist insofern nicht zur Ablage von Dateien geeignet, für die es nicht an einem anderen Ort weitere Versionen gibt, die eine fehlende Verfügbarkeit oder einen Verlust kompensieren könnten.
Es wird empfohlen, Dateien von hoher Vertraulichkeit vor der Ablage auf der sq cloud / sq meet zusätzlich individuell zu verschlüsseln.
Bei allen eben erläuterten möglichen technischen Einschränkungen halten wir die Verwendung der sq cloud bzw. sq meet im Vergleich zu einem Versand per E-Mail oder einem Transport per Datenträger oder Ausdruck dennoch für die bessere Variante.
Die Verwendung der sq cloud bzw. sq meet wird von unserer Seite für die Bereitstellung bzw. Durchführung von Video-Konferenzen bevorzugt, weil das Herz der Datenverarbeitung ausschließlich auf unserem Server stattfindet (kein Google, kein Zoom, kein Microsoft, kein sonstiger Dritter).
Der Hersteller der verwendeten Software bietet einen Security Scan individueller Installationen an. Sie können den Sicherheitsstand der sq cloud und sq meet hier (extern) prüfen. Beide Plattformen sowie die jeweils darunter liegenden dedizierte Linux-Server werden regelmäßig mit Updates versorgt.
2. Beschreibung und Umfang der Datenverarbeitung
Bei jedem Aufruf der sq cloud und sq meet erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners (PC, Smartphone, Tablet etc.). Hierbei handelt es sich um die Informationen, die Webserver üblicherweise auf jeder Webseite aufnehmen und verarbeiten:
- Die IP-Adresse des Nutzers
- Das Betriebssystem des Nutzers
- Weitere Informationen zum Endgerät des Nutzers (wie z.B. den Browsertyp und -version, die Bildschirmauflösung etc.)
- Datum und Uhrzeit des Zugriffs
- Websites, von denen das System des Nutzers auf unsere Internetseite gelangt
Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
Die Anlage eines Zugangs zur sq cloud bzw. sq meet erfordert die Hinterlegung einer individuellen User-ID sowie einer E-Mail-Adresse. Der Nutzer muss zudem ein Passwort setzen. Korrespondierend zur User-ID wird auch ein Klar- bzw. Anzeigename des Nutzers gespeichert. Das System registriert jeden Zugriff und zeigt Administratoren an, wann der letzte Zugriff erfolgte. Nutzer können eine individuelle Anzeigesprache wählen; auch diese Information wird gespeichert und den Administratoren angezeigt.
Fehlerhafte bzw. gescheiterte Anmeldeversuche in der sq cloud bzw. sq meet werden in Logfiles mit Angabe der IP-Adresse gespeichert.
Für die Nutzung der sq meet werden Links als Einladung versandt; Accounts werden auf dieser Plattform nicht bereitgestellt.
3. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Speicherung einer User-ID sowie eines individuellen Passwortes ist erforderlich, um eine Nutzerauthentisierung durchführen zu können. Die Speicherung des Namens und der Anzeigesprache dient dem Komfort bzw. der Nutzbarkeit des Systems. Die E-Mail-Adresse wird gespeichert, um mit dem Nutzer in Kontakt treten zu können oder eine automatisierte Passwortrücksetzung zu ermöglichen. Zusammengefasst erfolgt die Verarbeitung dieser Daten somit, um die sq cloud (komfortabel und sicher) nutzbar zu machen.
Da die sq cloud sowie die sq meet sind keine zugesicherten Leistungen unserer Beratungsverträge und somit nicht generell Bestandteil unserer Beratungsverträge. Wir bieten diese Services an, um mit Kunden (bzw. bei Unternehmenskunden deren Mitarbeitende oder Repräsentanten) effizient zusammenarbeiten zu können. Wir gehen davon aus, dass wir hiermit im Interesse aller Nutzer agieren. Formell verfolgen wir ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Neben Nicht alle Verarbeitungstätigkeiten zur Absicherung der Website sind im engeren Sinne zur Erfüllung des Vertrags (Dateiübergabe, Teilnahme an einer Video-Konferenz) erforderlich; dies tun wir aus dem Interesse, unsere Server gegen Malware oder Missbrauch abzusichern. Hierfür berufen wir uns folglich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
Einen Rückschluss auf die Person, die unsere Seiten aufgerufen hat, kann am ehesten über die IP-Adressen erfolgen. Unser Webserver anonymisiert deshalb die IP-Adresse, sobald die Webseite ausgeliefert wurde.
Sobald unser System auffällige bzw. illegitime Zugriffe feststellt, speichern wir in separaten Programmen außerhalb der normalen Webserver-Funktionalität die fragliche IP-Adressen oder sq cloud / sq meet User-ID. Als auffällig gelten insbesondere wiederholte Zugriffsversuche auf uns vorbehaltene Adminzugänge. Diese Daten nutzen wir, um diese Nutzer (IP-Adressen) für weitere Zugriffe ggf. zu sperren oder verwenden sie zur Aufklärung von Angriffen bzw. Angriffsversuchen auf unsere Server bzw. die sq cloud / sq meet. In begründeten Verdachtsfällen oder nach Aufforderung übergeben wir diese Informationen auch an Ermittlungsbehörden.
Die Verarbeitung der IP-Adresse sowie die Speicherung bei illegitimen Zugriffen erfolgt, um die Funktionsfähigkeit der Website sicherzustellen und andere Daten zu schützen. Die Verarbeitung erfolgt insofern im Rahmen einer Interessenabwägung; sie ist erforderlich, um einen sicheren Betrieb der Website zu ermöglichen. Hieraus folgt formell die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Eine Auswertung der nicht anonymisierten Daten zu Marketingzwecken findet in nicht statt.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine andere Rechtsgrundlage die Speicherung erlaubt oder gebietet.
Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies regelmäßig der Fall, wenn die jeweilige Sitzung beendet ist. Eine darüberhinausgehende Speicherung in Logfiles erfolgt nach Verfremdung der Daten, sodass eine Zuordnung des aufrufenden Clients (Nutzer) nicht mehr möglich ist.
Angriffe auf IT-Systeme erfolgen in vielen Fällen gut getarnt, sodass sie nicht unmittelbar auffallen. Für die Erkennung und Aufklärung der Angriffe sind jedoch Beobachtungen wiederkehrender Muster wichtig. Durch illegitime Zugriffe auffällige IP-Adressen werden inkl. der sonstigen aus dem Zugriff ermittelten Daten (s.o.) deshalb auch im Regelfall bis zu vier Monate durch uns aufbewahrt; auch dies begründen wir mit einem berechtigten Interesse an der Aufklärung. Uns ist bekannt, dass die Länge der Speicherfrist kontrovers diskutiert wird. Vielfach wird eine Löschung nach bereits max. sieben Tagen gefordert.
Tatsächlich hat der Gesetzgeber jedoch für privatwirtschaftlich betriebene Server keine konkreten Werte vorgegeben. Für öffentliche Stellen wiederum gibt es verpflichtenden Regeln zur Protokollierung in § 76 BDSG (über ein Jahr). Mit einer Speicherdauer von bis zu vier Monaten bewegen wir uns im unteren Bereich der Frist, die hier definiert wurde; wir halten diesen Ansatz für legitim, erforderlich und interessewahrend.
Nutzerdaten innerhalb der sq cloud / sq meet werden mit der Deaktivierung der Zugänge gelöscht. Zugänge werden auf Wunsch der Nutzer deaktiviert, spätestens jedoch beim Ende der unmittelbaren Zusammenarbeit mit der esquilin GmbH.
5. Widerspruchs- und Beseitigungsmöglichkeit
Sobald eine Datenverarbeitung auf der Rechtsgrundlage “berechtigtes Interesse” erfolgt (was hier vielfach der Fall ist), muss den betroffenen Personen ein Widerspruchsrecht eingeräumt werden.
Derartige Widersprüche sind zu begründen und münden in eine erneute Interessenabwägung. Wir blicken insbesondere den Widersprüchen zur Speicherung der Daten aus illegitimen Zugriffen mit einiger Neugierde entgegen.
Widersprüche, die sich auf die Verarbeitung der IP-Adresse zur Auslieferung der Website beziehen, können nach Lage der Dinge nur dadurch aufgelöst werden, indem wir den Server abschalten oder die Betroffenen die Website nicht mehr aufrufen; denn diese rudimentäre Verarbeitung personenbezogener Daten ist technisch unumgänglich. Dasselbe gilt mit Einschränkungen für die Verarbeitung der personenbezogenen Daten innerhalb der sq cloud bzw. sq meet.
6. Verwendung von Cookies
Die sq cloud / sq meet setzen technische Cookies auf bzw. in den Endgeräten der Nutzer dieses Service.
Bei Cookies handelt es sich um kleine Dateien, die im bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden, sofern der Nutzer dies auf seinem Gerät so eingestellt hat. Cookies können eine charakteristische Zeichenfolge enthalten, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen oder beim Bewegen innerhalb der Website ermöglicht.
Cookies werden – einfach gesagt – verwendet, entweder um bestimmte Funktionen der Website überhaupt zu ermöglichen sowie den Komfort der Nutzung zu verbessern (technische Cookies) oder Nutzer wiederzuerkennen und nachzuverfolgen (Tracking- oder Marketing-Cookies).
Wir setzen ausschließlich technische Cookies ein und zwar nur die, die der Hersteller der für die sq cloud / sq meet verwendeten Standardsoftware zum Betrieb zwingend vorgesehen hat. Die Cookies stammen ausschließlich von unserem (von uns kontrollierten) Server und beliefern niemanden (auch nicht den Hersteller der Software) mit Nutzungsinformationen. Da es sich nur um technische Cookies handelt, findet auch keine Reichweitenmessung oder Nachverfolgung der Nutzer statt (von niemanden). Diese Verwendung von Cookies erfordert keine ausdrückliche Einwilligung nach den Vorgaben der DSGVO, was erklärt, warum unsere Website keinen Cookie-Banner verwendet (weil diesbezüglich unnötig).
Das mit der Verwendung der beschriebenen technischen Cookies verfolgte Interesse (komfortabler und sicherer Betrieb der Website) gilt allgemein datenschutzrechtlich als legitim. Nach den Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, gültig seit 01.12.2021) dürfen Cookies nur dann ohne Einwilligung (z.B. via Cookie-Banner) gesetzt werden, wenn sie unbedingt für die ausdrücklich aufgerufene Website erforderlich sind.
Wir haben die der sq cloud und sq meet zugrundeliegende Software (Nextcloud) bewusst gewählt, weil sie den soliden Ruf hat, ein sehr hohes Maß an Datensicherheit zu bieten. Wir betreiben die Nextcloud so, wie vom Hersteller vorgesehen. Individualisierungen nehmen wir ausschließlich über die vom Hersteller bereitgestellten Controls (Steuerelemente in der Benutzeroberfläche) oder durch vom Hersteller dokumentierte Eingriffe in Konfigurations-Dateien vor. Tiefergehende Eingriffe in den Code gelten nicht als Best Practice, weil sie die Sicherheit des Systems potentiell in Frage stellen – und deshalb im Interesse der Datensicherheit nicht in Frage kommen.
Das Ausprogrammieren der Cookies ist somit keine Option. Beim Aufruf der Anmeldeseite werden vier Cookies gesetzt. Erfolgt eine Anmeldung, werden weitere Cookies gesetzt, um beim Bewegen innerhalb der sq cloud / sq meet nicht immer wieder eine Anmeldung erforderlich zu machen. Diese Anmelde-Cookies werden beim Logout wieder entfernt.
Wir verstehen die Software so, dass die jeweils gesetzten Cookies zwingend zum Produkt gehören. Wer das Produkt nutzen will, muss diese (technischen) Cookies akzeptieren – sie sind insofern erforderlich – zumal sie tatsächlich technische Funktionen haben. Um dem TTDSG gerecht zu werden, muss der Dienst dann auch noch ausdrücklich aufgerufen worden sein. sq cloud und sq meet haben jeweils spezifische URLs (Adressen). Wer über den Namen unseres Unternehmens oder die E-Mail Domain unsere Webseite aufruft, landet auf unserer Homepage – die keine Cookies verwendet. sq cloud oder sq meet erreicht man wiederum nur durch spezielle Links; die URLs dieser Seiten werden ansonsten nicht promotet; ein zufälliges, nicht ausdrückliches ‘Ansurfen’ erscheint hier nicht praxisrelevant.
Der Hersteller charakterisiert die Cookies so: “Nextcloud only stores cookies needed for Nextcloud to work properly. All cookies comes from your Nextcloud server directly, no 3rd-party cookies will be sent to your system. Zwei der vier Cookies sind persistent, verbleiben also auf dem Rechner. Hierzu der Hersteller: “The same-site cookies are used to determine how a request reaches the Nextcloud server. We use them to prevent CSRF attacks. No identifable information is stored in those.” Die Same-site cookies sind keine Session Cookies; sie verbleiben auf dem Rechner, enthalten jedoch keine individuellen Daten (“no user-related data are stored, all same-site cookies are the same for all users on all Nextcloud instances”).
Ohne die Verwendung der beim Produkt standardmäßig und nicht abschaltbar verwendeten Cookies wäre der Betrieb der sq cloud / sq meet für uns nicht möglich, sodass eine Erforderlichkeit gegeben ist. Ein Eingriff in die Rechte und Freiheiten der Nutzer ist wiederum nicht erkennbar, sodass die Verwendung der Cookies datenschutzrechtlich auf Basis einer Interessenabwägung erfolgen kann und erfolgt (Art. 6 Abs. 1 lit. f DSGVO).
Die Rechtsgrundlage ‘berechtigtes Interesse’ gibt Ihnen auch beim Setzen der Cookies ein Widerspruchsrecht.
Falls Sie die Verwendung von Cookies konsequent unterbinden wollen, können Sie dies gewöhnlich durch Einstellungen in Ihrem Internetbrowser gewährleisten. Eine Nutzung der sq cloud (esquilin-cloud.de) / sq meet (esquilin-meet.de) ist dann jedoch nicht mehr möglich, weil die Anmeldung und die Sicherheitsfunktion gegen CSRF-Attacken nicht funktioniert. Ein Kompromiss ist die Akzeptanz der Cookies während der Nutzung und die Löschung aller unserer Cookies nach Beendigung der Nutzung der sq cloud / sq meet. Aber, wie gesagt: Die Cookies kommen ausschließlich von dem von uns kontrollierten Server (nicht vom Hersteller) und werden nicht zum Tracking verwendet.
Allgemeine Datenschutzhinweise (u.a. Infos zu Ihren Rechten): esquilin GmbH | esquilin holding UG
as of 2024-09-26