Geschätzte Lesezeit: ca. 11 Minuten

CoDA-Labs CoDA-Deutschland e.V.

Internet-Komitee

IT-Sicherheit | Datenschutz

Datenschutzhinweis: *.coda-labs.de

(*. = wiki.* cloud.* blog.* meet.*)

Einführung

An dieser Stelle erwartest Du bestimmt einen Satz wie:

Wir nehmen den Schutz Ihrer Daten sehr ernst.

Doch diese oder ähnliche Eingangsformulierungen wirst Du hier vergeblich suchen. Vielmehr haben wir das, was durch solche Sätze versucht wird auszudrücken, direkt in Taten umgesetzt.

So haben wir uns bspw. bewusst gegen den Einsatz von Tracking-Cookies, Analyse-Werkzeugen oder eine direkte Einbindung fremder Inhalte entschieden. Auch wenn unser Vorgehen nicht dem »Mainstream« entspricht und möglicherweise Nachteile für das Site-Ranking bei Google und Co. hat, haben wir uns bewusst für diesen Schritt entschieden. Dieses insbesondere auch deshalb, weil wir uns darüber im Klaren sind, dass wir mit jeder Einbindung von etwaigen (externen) Angeboten die Risiken für Dein Recht auf informationelle Selbstbestimmung erhöhen bzw. Deine IT-Sicherheit nur unnötig gefährden würden.

1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen

Diese Datenschutz-Information gilt für die Datenverarbeitung durch:

CoDA-Labs AG
CoDA-Deutschland e.V.
info@coda-labs.de|info@coda-deutschland.de

Die Bestellung eines betrieblichen Datenschutzbeauftragten ist nicht erforderlich.

2. Erhebung und weitere Verarbeitung personenbezogener Daten inkl. Art und Zweck der Verwendung

2.1 Beim Besuch der Webseite

Wenn Du unsere Webseiten besuchst, übermittelt Dein Browser systembedingt gewisse Informationen an den Server, die Dich wiederum identifizierbar machen könnten. So übermittelst Du bzw. Deinen Webbrowser z.B. Informationen wie die von Deinem Provider zugewiesene IP-Adresse. Zu den Problematiken, die sich aus dieser systemimmanenten Datenübertragung ergeben können, gibt es bereits einige gute und kritische Artikel auf dem Kuketz IT-Security Blog, denen wir uns inhaltlich verbunden fühlen.

Dieses systembedingte Verhalten Deines Browsers kannst Du grundsätzlich nicht verhindern und es bleibt Dir deshalb auch nichts anderes übrig, als darauf zu vertrauen, dass wir mit den übermittelten Informationen sensibel umgehen. Weil uns – auch wenn es ein wenig abgedroschen klingen mag – der Schutz Deiner Daten tatsächlich am Herzen liegt, werden wir die übermittelten Informationen bestmöglich Deine Interessen vertretend handhaben. Aus diesem Grund erheben, verarbeiten oder nutzen wir die übermittelten Informationen nicht zu Analyse-, Werbezwecken oder Ähnlichem. Vielmehr speichern wir keine Informationen über Dich oder Deine Videochats – dessen Webserver auf Basis von nginx so konfiguriert ist, schreibt gar keine Logfiles:

## LOGS ##
access_log off;
error_log off;

Dies wird ausschließlich kurzfristig aufgehoben, wenn der Webserver technisch erkennbare Schwierigkeiten aufzeigt und wird nach Behebung der Fehler wieder in diesen Zustand zurück versetzt.

Der Webserver, auf dem dieser Blog läuft arbeitet mit apache2 und schreibt ebenfalls keine Logs – außer bei technischen Problemen zur Fehlerbehebung.

2.2 Videochats

Zur Übertragung von Video- und Audiosignalen innerhalb der Videochats kommt die quelloffene Software Jitsi Meet zum Einsatz. Auf Basis von WebRTC werden Daten bzw. Media-Streams via Datagram Transport Layer Security (DTLS) und Secure Real-time Transport Protocol (SRTP) verschlüsselt übertragen. WebRTC bietet allerdings (noch) keine Möglichkeit, Videochats mit mehreren Personen Ende-zu-Ende zu verschlüsseln. Das bedeutet: Auf dem Transportweg bzw. im Netzwerk ist der Videochat verschlüsselt, auf dem Videochat-Server hingegen, der Jitsi Meet hostet, wird der gesamte Datenverkehr entschlüsselt und ist damit für den Betreiber einsehbar.

Als Betreiber speichern wir allerdings keine Informationen über Dich bzw. die Videochats. Es wird nichts protokolliert bzw. gespeichert / mitgeschnitten. Sofern Du uns als Betreiber nicht vertraust hast Du ebenfalls die Möglichkeit, Deine eigene Jitsi Meet Instanz zu hosten.

2.3 Logfiles Videochat

Standardmäßig wird Jitsi Meet mit dem Logging-Level INFO ausgeliefert. In diesem Modus erfasst die Videobridge die IP-Adressen der Teilnehmer. Da wir diese Informationen nicht erfassen und speichern möchten, haben wir das Logging-Level auf WARNING gesetzt.

nano /etc/jitsi/videobridge/logging.properties
.level=WARNING
2.4 STUN / TURN-Server

Das STUN-Protokoll dient Clients, die sich bspw. hinter einem Router oder einer Firewall befinden und eine NAT-Adresse haben. Mithilfe des STUN-Servers können NAT-Clients ihre öffentliche IP-Adresse erfahren und sind anschließend in der Lage eine direkte Kommunikationsverbindung zwischen (zwei) Teilnehmern herzustellen. Um die Übermittlung der IP-Adresse an externe Anbieter zu vermeiden, nutzt die Jitsi-Instanz einen STUN- / TURN-Server der von (Kuketz IT-Security) selbst betrieben wird.

2.5 Die Nutzung unserer Kontaktadresse

Bei Fragen jeglicher Art bieten wir Dir die Möglichkeit, mit uns über die E-Mail-Adresse »info@coda-labs.de« Kontakt aufzunehmen. Dabei ist die Angabe einer gültigen E-Mail-Adresse erforderlich, damit wir wissen, von wem die Anfrage stammt und um diese beantworten zu können. Weitere Angaben können freiwillig getätigt werden.

Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art.6 Abs.1 S.1 lit.a DSGVO auf Grundlage Deiner freiwillig erteilten Einwilligung.

3. Weitergabe von Daten

Eine Übermittlung Deiner persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt.

Wir geben Deine persönlichen Daten nur an Dritte weiter, wenn:

  • Du Deine nach Art.6 Abs.1 S.1 lit.a DSGVO ausdrückliche Einwilligung dazu erteilt hast
  • Die Weitergabe nach Art.6 Abs.1 S.1 lit.f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind und kein Grund zur Annahme besteht, dass Du ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten hast
  • Für die Weitergabe nach Art.6 Abs.1 S.1 lit.c DSGVO eine gesetzliche Verpflichtung besteht
  • Dies gesetzlich zulässig und nach Art.6 Abs.1 S.1 lit.b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist

4. Betroffenenrechte

Du hast das Recht:

  • Gemäß Art.15 DSGVO Auskunft über Deine von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere kannst Du Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Deine Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft Deiner Daten, sofern diese nicht bei uns erhoben wurden sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen
  • Gemäß Art.16 DSGVO unverzüglich die Berichtigung oder Vervollständigung Deiner bei uns gespeicherten personenbezogenen Daten zu verlangen
  • Gemäß Art.17 DSGVO die Löschung Deiner bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
  • Gemäß Art.18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Dir bestritten wird, die Verarbeitung unrechtmäßig ist, Du aber deren Löschung ablehnst, wir die Daten nicht mehr benötigen, Du jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigst oder Du gemäß Art.21 DSGVO Widerspruch gegen die Verarbeitung eingelegt hast
  • Gemäß Art.20 DSGVO Deine personenbezogenen Daten, die Du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen
  • Gemäß Art.7 Abs.3 DSGVO Deine einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen
  • Gemäß Art.77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel kannst Du dich hierfür an die Aufsichtsbehörde Deines üblichen Aufenthaltsortes oder Arbeitsplatzes wenden

5. Widerspruchsrecht

Sofern Deine personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art.6 Abs.1 S.1 lit.f DSGVO verarbeitet werden, hast Du das Recht, gemäß Art.21 DSGVO Widerspruch gegen die Verarbeitung Deiner personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Deiner besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall hast Du ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.

Möchtest Du von Deinem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an »info@coda-labs.de«.

6. Datensicherheit / Datenverarbeitung

Die gesamte Datenverarbeitung dieser Webseite erfolgt auf einem Server (Hosting durch Hetzner) der Arbeitsgruppe „CoDA-Labs Internet-Komitee“. Wir haben entsprechende technische und organisatorische Schutzmaßnahmen ergriffen, um potenziellen Angreifern ein Kompromittieren des Servers erheblich zu erschweren.

Beim Besuch dieser Webseite wird eine verschlüsselte Verbindung über das verbreitete TLS-Verfahren (Transport Layer Security) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe (sog. Cipher-Suite) initiiert, die von Deinem Browser unterstützt wird. Ob eine einzelne Seite unseres Internetauftrittes verschlüsselt übertragen wird, erkennst Du an der geschlossenen Darstellung des Schüssel- beziehungsweise Schloss-Symbols in der URL-Zeile Deines Browsers.

Im Übrigen verwenden wir geeignete technische und organisatorische Sicherheitsmaßnahmen, um Deine Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere getroffenen Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Zu den Maßnahmen zählen unter anderem:

  • Verschlüsselte Erreichbarkeit via HTTPS auf Basis moderner Cipher-Suite (TLS 1.3 / TLS 1.2 mit AEAD, PFS und 384-Bit-ECDSA-Zertifikat)
  • Ausgefeilte Content-Security-Policy (CSP), bspw. zum Schutz gegen Cross-Site-Scripting
  • Hardened GNU/Linux-Server auf Basis von Debian Buster
  • Keine Einbindung von Ressourcen aus (unsicheren) Drittquellen
  • Moderne Sicherheitsfeatures wie DNSSEC, OCSP-Stapling und CAA
  • Einsatz aktueller HTTP-Security-Header wie HSTS, Expect-CT und Referrer-Policy
  • […]

Hinweis

Überzeugen Sie sich selbst von den Sicherheitsmaßnahmen der Webseite mit Observatory by Mozilla, Hardenize und Qualys SSL Labs.

7. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand März 2020.

Durch die Weiterentwicklung unserer Webseite und Angebote darüber oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Webseite unter dem Link von Dir abgerufen und ausgedruckt werden.

8. Adressverarbeitung

Alle die auf dieser Webseite angegebenen Kontaktinformationen von uns inklusive etwaiger Fotos dienen ausdrücklich nur zu Informationszwecken bzw. zur Kontaktaufnahme. Sie dürfen insbesondere nicht für die Zusendung von Werbung, Spam und ähnliches genutzt werden. Einer werblichen Nutzung dieser Daten wird deshalb hiermit widersprochen. Sollten diese Informationen dennoch zu den vorstehend genannten Zwecken genutzt werden, behalten wir uns etwaige rechtliche Schritte vor.

Hinweis

Diese Datenschutzerklärung wurde in Kooperation von Kuketz IT-Security mit Rechtsanwalt Gerald Spyra, LL.M erstellt.

Share this Page