Datenschutz

Unsere Erklärung zum Datenschutz

Präambel

Wir bitten Sie ausdrücklich, uns nur notwendige personenbezogene Daten per Mail, Fax oder Telefon zu senden. Wir bevorzugen verschlüsselte Kommunikation (Email nach GPG/Mime-Standard). Wenn Sie Fragen haben, sprechen Sie uns bitte an.

Wir geben Ihre Daten nicht an Dritte weiter. Wenn eine Weitergabe zur Auftragserfüllung notwendig ist, werden wir vorher Ihre Genehmigung einholen.

Bei Ihrem Besuch unserer Internetseiten schlittermann.de:
- Wir erfragen keine personenbezogenen Daten und verlangen keine Registrierung.
- Wir verwenden keine Werbedienstleister.
- Es gibt keine Statistik, Analyse und Überwachung von Besucherströmen.
- Es gibt keine Verlinkungen zu sozialen Netzwerken.
- Sie finden keinen Link eines Drittanbieters zur Abwicklung von Zahlungen (PayPal, etc.).
- Unsere Webseiten verwenden keine Cookies und wir verarbeiten keine Cookies, die Ihr Browser uns ggf. unaufgefordert zusendet.
- In den Protokollen des Webservers hinterläßt Ihr Besuch folgende Informationen: Browsertyp und -Version, Client-Betriebssystem, die Internetseite, von der Sie auf unsere Internetseite zugreifen (Referrer), Zeitstempel, und Client-IP-Adresse, angefragte URL. Diese Informationen dienen der Sicherstellung des technischen Betriebs unserer Webpräsenz.
- Bei einer Anmeldung an unserem Ticketsystem werden Session-Cookies verwendet. Darüber werden Sie mit der Übergabe der Zugangsdaten informiert.

Für Ihre Geschäftsbezieung mit uns werden Ihre personenbezogenen Daten in folgenden Fällen verlangt und verarbeitet:
- Bei Angebotsstellung: Ihr Name, Ihre Anschrift oder Anschrift Ihrer Firma, Ihre Email-Adresse und Ihre Telefonnummer (bzw. Daten des Partners, der das Angebot bekommt), im folgenden Kommunikationsdaten genannt.
- Bei Auftragsbestätigung- und Rechnungsstellung benötigen wir die Kommunikationsdaten und die Umsatzsteuer-ID des Rechnungsempfängers.
- Bei Verträgen benötigen wir die Kommunikationsdaten des Vertragspartners.
- Bei SEPA-Lastschrift-Ermächtigungen: Ihre Bank- und Kontodaten.
- Bei Ausführung Ihres Auftrages bzw. Nachfragen zu Ihrem Auftrag: Ihre Kommunikationsdaten und je nach Auftrag die Zugangsdaten zum jeweiligen Auftragsgegenstand.
- Die Arbeitsmittel (z.B. Mail-Clients) unserer Mitarbeiter sind ggf. in der Lage, Mailadressen aus den eingehenden Mails zu extrahieren. Diese Adressdaten werden ausschließlich im lokalen Adressbuch des Mitarbeiters gespeichert bzw. zur Autovervollständigung bei der Adresseingabe verwendet.
- Die verwendete Telefonanlage speichert Anrufinformation (Zeitstempel, Telefonnummer des Anrufers, Dauer des Gesprächs.)
- Die verwendete Telefonanlage verfügt über ein Telefonbuch, in dem wir ggf. Ihre Telefonnummer zusammen mit einem Identifikationsmerkmal (Name, Firma, Kundennummer) speichern, um mit Ihnen in Kontakt zu bleiben.
- Persönliche Arbeitsmittel unserer Mitarbeiter (Telefon, PC, Notebook) unterliegen den selben Standards über die sichere Speicherung und den Umfang der gespeicherten Daten. Scheidet ein Mitarbeiter aus unserer Firma aus, werden alle personenbezogenen Daten, die er im Rahmen seiner Tätigkeit erlangt hat, gelöscht.

Wir weisen darauf hin, dass wir verpflichtet sind, alle Rechnungen 10 Jahre lang als buchhalterische Dokumente aufzubewahren. Diese Rechnungen enthalten u.U. auch personenbezogene Daten (Kommunikationsdaten). Alle anderen Dokumente bewahren wir nur für die Dauer unserer Geschäftsbeziehung auf. Angebote im Papierform für potenziellen Kunden werden nach einem Jahr vernichtet.

Datenschutz und Verfahren bei Bewerbungen:
Bewerbungsunterlagen können per Post, per Email oder per Fax geschickt werden. Die Unterlagen des Bewerbers werden unter Beachtung der gesetzlichen Vorschriften entweder gespeichert (Email) oder gelagert (Fax oder Brief). Die personenbezogenen Daten werden entweder für einen Arbeitsvertrag benutzt oder 6 Monate nach der Antwort vernichtet. Bewerbungen, die unser Mailsystem als Spam zurückweist (nicht annimmt), sind von diesem Verfahren ausgenommen.

Wir empfehlen Ihnen, uns vor einer Bewerbung zu kontaktieren, nur dann können wir eine rechtskonforme Behandlung Ihrer Bewerbung sicherstellen.

Schulungen
Wenn im Rahmen von Schulungen personenbezogene Daten erhoben werden (z.B. Seminareinschätzung), dann werden unsere Trainer Sie bei der Übergabe Erhebungsformulare über die Verwendung der Daten informieren.

Administration und Wartung Ihrer Systeme
Unsere Mitarbeiter sind informiert, wie sie bei der Ausübung ihrer Administrations-Tätigkeit mit personenbezogenen Daten umgehen müssen. In den Arbeitsverträgen verpflichten sich unsere Mitarbeiter zur Verschwiegenheit.

Im Rahmen unserer Tätigkeit ist nicht auszuschließen, dass unseren Mitarbeitern schutzbedürftige Daten zur Kenntnis gelangen. Solche Daten werden auf unsere Systeme nur als Bildschirminhalt übertragen und damit nicht permanent gespeichert.

Zugangsdaten für alle Systeme, die wir warten, befinden sich auf den persönlichen verschlüsselten Datenträgern unserer Mitarbeiter. Ein Remote-Zugriff wird ausschließlich per SSH/VPN mit schlüsselbasierter Authentifizierung ausgeübt. Ausnahmen hiervon werden nur bei ausdrücklicher Anforderung durch den Kunden zugelassen.

Ihre Daten in unseren Dienstleistungen

Mailhosting
Mails bleiben in unserem System (Mailbox) bis sie vom Nutzer selbst gelöscht werden (POP3: delete, IMAP: expunge). Für die Verweildauer in der Mailbox können befugte Personen und unsere Mitarbeiter auf die Inhalte dieser Mails zugreifen. Bei Ende-zu-Ende verschlüsselten Mails sind nur Metadaten (Kopfzeilen) diesem Zugriff ausgesetzt.

Wenn Sie Mails über uns versenden, lesen Sie bitte den nächsten Abschnitt zur Mailweiterleitung.

Folgende Daten erfassen unsere Systeme im Zusammenhamg mit dem Mailhosting: Zeitstempel, Client-IP-Adresse, Nutzername, statistische Parameter der IMAP/POP3-Verbindung, Informationen zu verwendeten Transportverschlüsslungen (TLS/SSL). Protokolle werden bis zu 30 Tagen gespeichert. Protokolle werden nicht an Dritte übermittelt.

Mailweiterleitung
Mails, die über uns weitergeleitet werden, bleiben in unserem System bis sie zum nächsten Server weitergeleitet sind. Protokolliert werden: Zeistempel, IP-Adresse des nächsten Hosts, Nutzername und Client-IP-Adresse (bei Mail-Submission), Informationen zu verwendeten Transportverschlüsslungen (TLS/SSL), Absender, Empfänger, Betreff und Weiterleitungsstatus. Protokolle bleiben 365 Tage gespeichert.

Bei inhaltsbezogenen Ablehnungen werden auch die Kopfzeilen protokolliert. Temporär können für eine anlassbezogene Fehlersuche durch unsere Mitarbeiter auch deutlich detaillierte Protokolle erstellt werden. Diese werden nach Wegfall des Anlasses wieder gelöscht.

Protokolle werden nicht an Dritte übermittelt.

Mailadressen und Mailinhalte werden an Dritte (oder andere technische Systeme) nur übermittelt, wenn es im Rahmen der Leistungserbringung (Mailtransport) notwendig ist.

Unser Mailsystem verwendet SSL/TLS-Transport-Verschlüsselung, wenn der Kommunikationspartner dies unterstützt.

Zur Spam-Erkennung werden Fingerprints/Hashwerte von Mails oder Fingerprints/Hashwerte von Metadaten an externe Dienstleister übermittelt.

Webseiten
Alle Inhalte (statische Dateien ebenso wie Datenbank-Inhalte), Bilder, HTML, Skripte und Programme der Webseiten werden ausschließlich durch den Kunden hochgeladen und bearbeitet. Inhaltliche Verantwortung für Datenbank-Inhalte und Web-Content liegt ausschließlich in den Händen der Kunden.

Es liegt in der Eigenverantwortung des Kunden, auf den Schutz der Daten in einer shared-Hosting-Umgebung zu achten. Jeder Webspace ist unter einer eigenen User-ID aktiv, ein Schutz gegen andere Nutzer ist möglich (Dateiberechtigungen: rw------- bzw. 0600).

Protokolliert werden beim Upload: Zeitstempel, Client-IP-Adresse, Nutzername. Beim Webzugriff werden protokolliert: Browsertyp und -Version, Client-Betriebssystem, Referrer, Zeitstempel, Client-IP-Adresse, angefragte URL. Diese Protokolle werden 365 Tage aufbewahrt.

Cloudspeicher
Für die Inhalte bereitgestellten Cloudspeichers sind die Kunden verantwortlich. Je nach verwendeter Software fallen Applikations-Logs und/oder allgemeine Protokolle des Webservers beim Zugriff an.

Kundenserver
Für die Inhalte bereitgestellter Kundenserver (physische Hosts oder virtuelle Maschinen) sind die Kunden verantwortlich. Wir erstellen keine Protokolle.

Zertifikate
Zur Ausstellungen von SSL-Zertifikate benötigen wir die zu zerftifizierende Information (zB. persönlicher Name oder Domainname). Diese Daten können an externe Dienstleister übermittelt werden. Zu Verifizierung des Zertifizierungs-Requests können diese externen Dienstleister andere personenbezogenen Daten anfordern. Wir werden dann Ihr Einverständnis einholen.

Domainverwaltung
Zum Registrieren einer Domain benötigen wir je nach Toplevel-Domain personenbezogene Daten des Domaininhabers, um dem Inhaber die Rechte an der Domain zu sichern. Für viele Toplevel-Domains sind die erhobenen Daten: vollständige Anschrift, Mail-Adresse und Telefonnummer des Eigentümers. Wir übermitteln die erforderlichen Daten anlassbezogen über verschlüsselte Verbindungen an das Portal des jeweiligen Registrars. Je nach Registrar ist es möglich, dass diese Daten vollständig oder auzugsweise über öffentlich zugängliche Onlinedienste wie „whois“ abrufbar sind.

Auf unseren Systemen werden diese Daten ebenfalls gespeichert, um im Streitfall als Inhaber-Wunsch-Nachweis zu dienen. Wir geben diese Daten nicht weiter.

Fast alle Domains registrieren wir bei joker.com. Mehr über dessen Datenschutzrichtlinien erfahren Sie direkt auf dessen Webseiten. Gerne informieren wir Sie über den genauen Registrar Ihrer Domain und gerne finden wir für Sie einen aktuellen Link der Registry zu seinen Datenschutzrichtlinien.

Standort unserer Server
Die Standort-Firmensysteme befinden sich physikalisch in Dresden. Alle Info über die Systeme in Rechenzentren in Kapitel "Konzept der technischen und organisatorischen Maßnahmen zur Datensicherheit".

Unser sekundärer DNS-Server befindet physikalisch in Hamburg. Auf diesem DNS Server sind keine personenbezogenen Daten gespeichert.

Unser sekundärer Mailserver (Fallback-MX) für eingehende Mails befindet sich in Hamburg. Dort können bei Erreichbarkeits-Problemen der Dresdner Server Ihre Mails temporär zwischengespeichert sein.

Allgemeines
Die von Nutzern oder auf Kundenwunsch gelöschten Daten der primären Systeme können in den Backups eine längere Verweildauer haben. Aus technischen Gründen ist die Löschung einzelner Datensätze aus dem Backup nicht vorgesehen.

Alle Beratungsleistungen und Technikereinsätze bezüglich Datenschutzmaßnahmen können nach den üblichen Stundensätzen abgerechnet werden.

Diese Datenschutzerklärung wurde für Zweck der DSGVO (Datenschutz-Grundverordnung) selbständig erstellt. Irrtümer sind vorbehalten. Anmerkungen bitte an [mailto:info@schlittermann.de].

 

Konzept der technischen und organisatorischen Maßnahmen zur Datensicherheit

Es wird darauf hingewiesen, dass die genaue Art(en) der personenbezogenen Daten des Kunden / Auftraggebers, die sich auf unseren Systemen befinden, sind in einer Auftragsvereinbarung gennant.

Seit Ende November 2019 sind unsere Daten und die Daten unserer Kunden in anderen physischen Lokationen als bisher. Wenn nicht anders vereinbart, sind diese Daten auf Servern des Rechenzentrums der Firma Netcup. Informationen über die Datenschutzregeln und die physische Lokationen der Rechner finden Sie auf der Webseite www.netcup.de.

Für Server, die sich im Rechenzentrum DSI Dresden befinden, gelten die Informationen auf der Seite www.dsi.net.

Folgend genannte Sicherheitsmaßnahmen mit Bemerkung * sind wirksam nur im Zusammenhang mit empfindlichen Daten, die sich an unserem Firma-Standort befinden.

1/ Zutritt zu unseren Systemen (*):
1a/ Technische Maßnahmen: manuelles Schließsystem, Videoüberwachte Eingänge
1b/ Organisatorische Maßnahmen: Liste der Schlüssel, Besucher in Begleitung der Mitarbeiter

2/ Zugangskontrolle zu unseren Systemen:
2a/ Technische Maßnahmen: Einsatz von individuellen Benutzernamen, Login mit Benutzernamen und Passwort, Login über SSH mit Namen und Key, AntiVirus SW, Firewall, VPN für Remote-Zugriffen, Verschlüsselung von Datenträgern und Smartphones und Notebooks und Tablets, automatische Desktopsperre
2b/ Verwalten von Benutzerberechtigungen, allgemeine Richtlinie von Datenschutz und Sicherheit

3/ Zugriffskontrolle auf unseren Systemen:
3a/ Technische Maßnahmen: Log Files bei den Systemen, Aktenschredder (*)
3b/ Organisatorische Maßnahmen: minimale Anzahl an Administratoren, Verwaltung Benutzerrechte durch Administratoren

4/ Trennung unserer Systeme
4a/ Technische Maßnahmen: Physikalische Trennung (Datenbank / Datenträger)
4b/ Organisatorische Maßnahmen: Festlegung von Datenbankrechten

5/ Pseudonymisierung und Verschlüsselung unserer Systeme:
Alle Daten sind verschlüsselt.

6/ Integrität in den Systemen:
6a/ Technische Maßnahmen: Protokolle über Tätigkeit der Mitarbeiter im Logfile, Email-Verschlüsselung, Einsatz von VPN, Bereitsstellung über verschlüsselte Verbindungen wie sftp und https, Nutzung von Signaturverfahren
6b/ Organisatorische Maßnahmen: sichere Verbindungen sind bevorzugt

7/ Verfügbarkeit und Belastbarkeit unserer Systeme:
7a/ Technische Maßnahmen (*): Feuerlöscher in Flurkoridoren
7b/ Organisatorische Maßnahmen: Backup & Recovery Konzept, regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse

8/ Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung bei unseren Systemen:
8a/ Technische Maßnahmen: Zentrale Dokumentation aller Verfahrensweisen und regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter (wiki)
8b/ Organisatorische Maßnahmen: Mitarbeiter belehrt und auf Vertraulichkeit und Datengeheimnis verpflichtet, regelmäßige Sensibilisierung der Mitarbeiter

9/ Incident-Response-Management
9a/ Einsatz von Firewall / Spamfilter / Virenscanner und regelmäßige Aktualisierungen
9b/ auf sichere Verbindungen, Verschlüsselung und Backup-Konzept lt. technischen Bedingungen und Standard geachtet
9c/ Ticketsystem (soweit bei Störung verfügbar)

10/ Datenschutzfreundliche Voreinstellungen:
Es werden nur personenbezogene Daten erhoben, wenn diese für den jeweiligen Zweck erforderlich sind, Auswahl datenschutzfreundlicher Technologie bei der Beschaffung

 

(Version 20200124)

schlittermann.de    KEYS: GnuPG  |  SSH  |  X509 || Linux User Group Dresden  ||  Doc