Datenschutz – nuntiare cloud
Nutzung der nuntiare Cloud (nuntiare.net)
1. Allgemeine Hinweise
Die nuntiare Cloud ist eine Plattform zur Übergabe von Dokumenten / Dateien und zum Abhalten von Video-Konferenzen. Der Zugang ist nur registrierten Nutzern möglich. Eine Registrierung erfolgt ausschließlich auf Veranlassung des Betreibers (esquilin GmbH).
Technisch basiert die nuntiare Cloud auf der freien Software Nextcloud; weitere Informationen hier (extern).
Die nuntiare Cloud wird durch die esquilin GmbH betrieben.
2. Beschreibung und Umfang der Datenverarbeitung.
Bei jedem Aufruf der nuntiare Cloud erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners (PC, Smartphone, Tablet etc.). Hierbei handelt es sich um die Informationen, die Webserver üblicherweise auf jeder Webseite aufnehmen und verarbeiten:
- Die IP-Adresse des Nutzers
- Das Betriebssystem des Nutzers
- Weitere Informationen zum Endgerät des Nutzers (wie z.B. den Browsertyp und -version, die Bildschirmauflösung etc.)
- Datum und Uhrzeit des Zugriffs
- Websites, von denen das System des Nutzers auf unsere Internetseite gelangt
Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
Die Anlage eines Zugangs zur nuntiare Cloud erfordert die Hinterlegung einer individuellen User-ID sowie einer E-Mail-Adresse. Der Nutzer muss zudem ein Passwort setzen. Korrespondierend zur User-ID wird auch ein Klar- bzw. Anzeigename des Nutzers gespeichert. Das System registriert jeden Zugriff und zeigt Administratoren an, wann der letzte Zugriff erfolgte. Nutzer können eine individuelle Anzeigesprache wählen; auch diese Information wird gespeichert und den Administratoren angezeigt.
Fehlerhafte bzw. gescheiterte Anmeldeversuche in der nuntiare Cloud werden in Logfiles mit Angabe der IP-Adresse gespeichert.
3. Zweck und Rechtsgrundlage der Datenverarbeitung
Die Speicherung einer User-ID sowie eines individuellen Passwortes ist erforderlich, um eine Nutzerauthentisierung durchführen zu können. Die Speicherung des Namens und der Anzeigesprache dient dem Komfort bzw. der Nutzbarkeit des Systems. Die E-Mail-Adresse wird gespeichert, um mit dem Nutzer in Kontakt treten zu können oder eine automatisierte Passwortrücksetzung zu ermöglichen. Zusammengefasst erfolgt die Verarbeitung dieser Daten somit, um die nuntiare Cloud (komfortabel und sicher) nutzbar zu machen. Da die nuntiare Cloud kein versprochener Service sondern nur ein privat genutzes Tool in der Zusammenarbeit darstellt, scheidet die Rechtsgrundlage “Vertragserfüllung” aus. Datenschutzrechtlich basiert die Datenverarbeitung somit nach unserer Bewertung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Auf technischer Ebene sind die vorstehend genannten Informationen erforderlich, um die Website auf dem Endgerät anzeigen und nutzbar machen zu können.
Einen Rückschluss auf die Person, die unsere Seiten aufgerufen hat, kann am ehesten über die IP-Adressen erfolgen. Unser Webserver anonymisiert deshalb die IP-Adresse, sobald die Webseite ausgeliefert wurde.
Sobald unser System auffällige bzw. illegitime Zugriffe feststellt, speichern wir in separaten Programmen außerhalb der normalen Webserver-Funktionalität die frageliche IP-Adressen oder nuntiare Cloud User-ID. Als auffällig gelten insbesondere wiederholte Zugriffsversuche auf uns vorbehaltene Adminzugänge. Diese Daten nutzen wir, um diese Nutzer (IP-Adressen) für weitere Zugriffe ggf. zu sperren oder verwenden sie zur Aufklärung von Angriffen bzw. Angriffsversuchen auf unsere Server bzw. die sq Cloud. In Einzelfällen übergeben wir diese Informationen auch an Ermittlungsbehörden.
Die Verarbeitung der IP-Adresse sowie die Speicherung bei illegitimen Zugriffen erfolgt, um die Funktionsfähigkeit der Website sicherzustellen und andere Daten zu schützen. Die Verarbeitung erfolgt insofern im Rahmen einer Interessenabwägung; sie ist erforderlich, um einen sicheren Betrieb der Website zu ermöglichen. Hieraus folgt formell die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Eine Auswertung der Daten zu Marketingzwecken findet in nicht statt.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine andere Rechtsgrundlage die Speicherung erlaubt oder gebietet.
Im Falle der Erfassung der Daten zur Bereitstellung der Website ist regelmäßig dies der Fall, wenn die jeweilige Sitzung beendet ist. Eine darüberhinausgehende Speicherung in Logfiles erfolgt nach Verfremdung der Daten, sodass eine Zuordnung des aufrufenden Clients (Nutzer) nicht mehr möglich ist.
Angriffe auf IT-Systeme erfolgen in vielen Fällen gut getarnt, sodass sie nicht unmittelbar auffallen. Für die Erkennung und Aufklärung der Angriffe sind jedoch Beobachtungen wiederkehrender Muster wichtig. Durch illegitime Zugriffe auffällige IP-Adressen werden inkl. der sonstigen aus dem Zugriff ermittelten Daten (s.o.) deshalb auch im Regelfall bis zu vier Monate durch uns aufbewahrt; auch dies begründen wir mit einem berechtigten Interesse an der Aufklärung. Uns ist bekannt, dass die Länge der Speicherfrist kontrovers diskutiert wird. Vielfach wird eine Löschung nach bereits max. sieben Tagen gefordert.
Tatsächlich hat der Gesetzgeber jedoch für privatwirtschaftlich betriebene Server keine konkreten Werte vorgegeben. Für öffentliche Stellen wiederum gibt es verpflichtenden Regeln zur Protokollierung in § 76 BDSG. Mit einer Speicherdauer von bis zu vier Monaten bewegen wir uns im unteren Bereich der Frist, die hier definiert wurde; wir halten diesen Ansatz für legitim, erforderlich und interessewahrend.
Nutzerdaten innerhalb der nuntiare Cloud werden mit der Deaktivierung der Zugänge gelöscht.
4. Widerspruchs- und Beseitigungsmöglichkeit
Sobald eine Datenverarbeitung auf der Rechtsgrundlage “berechtigtes Interesse” erfolgt (was hier der Fall ist), muss den betroffenen Personen ein Widerspruchsrecht eingeräumt werden.
Derartige Widersprüche sind zu begründen und münden in eine erneute Interessenabwägung. Wir blicken insbesondere den Widersprüchen zur Speicherung der Daten aus illegitimen Zugriffen mit einiger Neugierde entgegen.
Widersprüche, die sich auf die Verarbeitung der IP-Adresse zur Auslieferung der Website beziehen, können nach Lage der Dinge nur dadurch aufgelöst werden, indem wir den Server abschalten oder die Betroffenen die Website nicht mehr aufrufen; denn diese rudimentäre Verarbeitung personenbezogener Daten ist technisch unumgänglich. Dasselbe gilt mit Einschränkungen für die Verarbeitung der personenbezogenen Daten innerhalb der nuntiare Cloud.
5. Verwendung von Cookies
Die nuntiare Cloud setzt technische Cookies auf bzw. in den Endgeräten der Nutzer dieses Services.
Bei Cookies handelt es sich um Textdateien, die im bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem System des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen oder beim Bewegen innerhalb der Website ermöglicht.
Cookies werden – einfach gesagt – verwendet, entweder um bestimmte Funktionen der Website überhaupt zu ermöglichen sowie den Komfort der Nutzung zu verbessern (technische Cookies) oder Nutzer wiederzuerkennen und nachzuverfolgen (Tracking- oder Marketing-Cookies).
Wir setzen ausschließlich technische Cookies ein und zwar nur die, die der Hersteller der für die sq Cloud verwendeten Standardsoftware zum Betrieb vorgesehen hat. Die Cookies stammen ausschließlich von unserem (von uns kontrollierten) Server und beliefern niemanden (auch nicht den Hersteller der Software) mit Nutzungsinformationen. Da es sich nur um technische Cookies handelt, findet auch keine Reichweitenmessung oder Nachverfolgung der Nutzer statt (von niemanden). Diese Verwendung von Cookies erfordert keine ausdrückliche Einwilligung, was erklärt, warum unsere Website keinen Cookie-Banner verwendet (weil unnötig).
Das mit der Verwendung der beschriebenen technischen Cookies verfolgte Interesse (komfortabler und sicherer Betrieb der Website) gilt allgemein als legitim. Ohne die Verwendung der Cookies wäre der Betrieb der nuntiare Cloud für uns nicht möglich, sodass auch eine Erforderlichkeit gegeben ist. Ein Eingriff in die Rechte und Freiheiten der Nutzer ist wiederum nicht erkennbar, sodass die Verwendung der Cookies auf Basis einer Interessenabwägung erfolgen kann und erfolgt (Art. 6 Abs. 1 lit. f DSGVO).
Die Rechtsgrundlage ‘berechtigtes Interesse’ gibt Ihnen auch beim Setzen der Cookies ein Widerspruchsrecht, was jedoch zu begründen wäre.
Falls Sie die Verwendung von Cookies konsequent unterbinden wollen, können Sie dies gewöhnlich durch Einstellungen in Ihrem Internetbrowser gewährleisten. Eine Nutzung der nuntiare Cloud (nuntiare.net) ist dann jedoch nicht mehr möglich, weil die Anmeldung nicht funktioniert.