Datenschutzerklärung

Jeder gute Internetdienst braucht eine Datenschutzerklärung? Ok, dann machen Sie sich auf etwas gefasst.

Präambel

Artikel 12 der EU-Datenschutzgrundverordnung (kurz: DSGVO) fordert, dass ich Ihnen „in präziser, transparenter, verständlicher und leicht zugänglicher Form [und] in einer klaren und einfachen Sprache“ erkläre, was hier auf dieser Webseite geschieht. Da ich dabei nicht davon ausgehen darf, dass Sie fünf Jahre Informatik, Jura oder Raketeningenieurwesen studiert haben, soll ich hier also Klartext schreiben. Das mache ich doch gerne.

;tltr;; Ich speichere nur diejenigen Daten, die für den Betrieb technisch unbedingt erforderlich sind und ohne die das ganze Internet nicht funktionieren könnte und die jeder andere auch erheben und speichern müsste. Ich werte diese Daten weder manuell noch automatisch aus und werde dies nicht auch in Zukunft nicht tun und übergebe oder gewähre sie auch keinen dritten Parteien. Weder interessiert mich, was Sie in ihren privaten Bereichen auf kolloq.de tun, noch werde ich diese Daten bertrachten, auswerten oder dritten Verfügbar machen, noch habe ich das jemals getan. Außnahmen stellen nur Betriebsfehler (Siehe Logdateien), Anfragen durch Sie selber oder Anfragen durch staatliche Mächte dar.

§1 Hosting

Alle Webseiten (kolloq.de, amfass.de ink. Subdomains) und Dienste werde offiziell von mir privat gehostet. Ich habe das Hosting an einen großen deutschen Hosting-Anbieter (netcup.de) ausgelagert und mir dort einen vServer gemietet. Ein vServer ist mein eigener Rechner auf dem ich das Betriebssystem und sämtliche Dienste selber verwalten kann und muss. Der Anbieter (netcup) hat mit in seinem Vertrag zugesichert, dass kein Mitarbeiter der Firma, wissentlich oder unwissentlich, auf die Daten auf dem vServer zugreifen kann. Ich bin derzeit noch damit beschäftigt mit der Firma netcup einen Datenverarbeitungsvertrag zu schließen aber bisher nur eine Absichtserklärung formuliert. Das ganze könnte auch noch etwas dauern, weil derzeit noch nicht so wirklich klar ist, ob ich das als Privatperson wirklich brauche und ob dies für einen vServer erforderlich ist. Immerhin kommt keiner der Mitarbeiter mit den dort gespeicherten Daten in Berührung.

 

§2 Google, Facebook, Tracking und Co.

Ich versichere hiermit ausdrücklich, dass ich nach besten Wissen und Gewissen keine Analysewerkzeuge andere Unternehmen auf meinen Server lasse. Das gilt für Dienste wie Google-Analystics, Like und Social-Sharing-Buttons und Trackingdienste. Ich habe auch nicht vor eigene Analysediensde auf meiner Webseite zu betreiben. Ich verrate niemanden, dass ihr auf meiner Seite wart. Datenschutzerklärungsgarantiertes Indianerehrenwort!

 

§3 Logfiles auf kolloq.de und amfass.de

Fast jeder Dienst auf kolloq.de (genau: Nextcloud, Matrix, Typo3) läuft über einen Webserver. Technisch bedingt überträgt ihr Rechner bei jedem Besuch einer Webseite auf kolloq.de oder dem Aufruf von Diensten ein paar Daten an den Server. Diese sind die eigene IP-Adresse (technisch geht es nicht anders. Jede digitale Verbindung braucht immer ein Ziel und ein Ursprung), die URL des Dienstes (sie wollen ja auch nur die Informationen, die Sie aufgerufen haben), ihre Browserversion und ihr Betriebssystem (das sieht der HTTP-Standard so vor). Jeder Webserver speichert diese Informationen in eine Logdatei. Seit Beginn des Internets ist es üblich, dass diese Daten für eine Weile auf den Server aufbewahrt werden. Die Idee dahinter ist, dass man bei Problemen „in die Logs“ schauen kann. Ich habe den Server so konfiguriert, dass diese Dateien genau 30 Tage aufgehoben werden, danach werden sie gelöscht. Warum 30 Tage? Das war so voreingestellt.

Im Wesentlichen liegen diese Logdateien nur auf meinem Server rum und fressen einige KB Speicherplatz. Weder analysiere ich sie noch werte ich sie automatisch oder manuell aus. Ich werde nur dann mal einen Blick reinwerfen, wenn es mal irgendwo hakt.

§4 Zugang und Wartung von kolloq.de

Auf das Dateisystem des Servers kann nur ich zugreifen, sonst niemand. Der Zugang wurde nach den gängigen Empfehlungen, inklusive einer 2-Faktor-Authentifzierung, für SSH abgesichert.

§5 Nextcloud

Ich betreibe einige Nextcloud Instanzen: Weil ich vollen Zugriff auf den Server habe (Dateisystem, Datenbanken) kann ich theoretisch mit etwas Aufwand jede hochgeladene Datei auf Nextcloud sehen, verschieben, löschen und bearbeiten. Einzig bei verschlüsselten Dateien und Ordnern bleibe ich außen vor.

Ich verspreche hiermit aber Hoch und Heilig, dass ich niemals in die privaten Ordner meiner Nutzer hereinschauen oder etwas verändern werde und drücke dieses Versprechen mit dieser Erklärung auch juristisch aus. Einzig, wenn ich von Ihnen persönlich darum gebeten werde oder von staatlichen Mächten gezwungen werde. Aber auch dann werde ich nur in Ihren Ordner schauen. Die Ordner von anderen Personen bleiben weiterhin Tabu.

§6 Matrix

Ich betreibe auch einen Marix Homeserver. Auch hier gilt: Ich bin der Boss und habe alle Macht in meinen Händen. Mann muss da ja mal ganz ehrlich sein: Mit etwas mehr Aufwand könnte ich in jedes unverschlüsselte Gespräch und Medium hineinschauen, wenn entweder einer der Nutzer oder der Raum auf meinem Server liegt. Bei verschlüsselten Gesprächen kann ich immerhin noch herausfinden, wer wem wann und wie viel geschrieben hat. Aber weil die ganze Grundidee hinter Matrix ja ist, dieser leidlichen Schnüffelei und Analyse von Metadaten einen Ende zu machen, werde ich das niemals tun. Es sei denn, ich werde von staatlichen Mächten dazu gezwungen.

 

In diesem Versprechen, niemals diese große Macht zu missbrauchen, liegt der große Unterschied zu den großen Konkurrenten wie WhatsApp: Die geben sehr offen zu, dass sie großes Interesse an den Gesprächs und Metadaten (bei Verschlüsslung) haben, um „sie an dritte Partner zu Forschungs- und Analyszwecken“ weiterzugeben. Grob übersetzt: „Alles was ihr bei uns macht, wird analysiert und verkauft weil am Ende geht es ja immer nur ums Geld – welche Konsequenzen das für euch oder die Gesellschaft hat, ist uns ziemlich egal.“

 

Also in aller Deutlichkeit: Mir ist es egal mit wem oder was ihr schreibt und deswegen verspreche ich mit dieser Datenschutzerklärung, dass weder ich selbst noch andere Parteien Zugang zu euren Gesprächsverläufen und Medien haben werden. Die paar Euro im Monat für den Server kann ich mir auch ohne Werbung leisten.

 

Aber hier noch ein kleiner Hinweis in eigener Sache: Matrix funktioniert wie E-Mail. Wenn ihr einmal auf Senden gedrückt habt, sind eure Nachrichten versendet. Unter Umständen haben sie dabei sogar meinen Server verlassen und liegen auf einem anderen Homeserver. Wenn eure Gesprächspartner dann die Nachricht auf ihren Geräten lesen, dann ist eure Nachricht auch auf diesen Geräten gespeichert. Das „Recht auf Löschen“ und „Recht auf Veränderung“ der EU-DSVGO greift hier nach meiner juristischen Einschätzung nicht! Weder für eure Nachrichten noch für eure Metadaten (wie z.B. welche Räume ihr wann und wo betreten habt).

§7 Jugendschutz

Im Erwägungsgrund 38 zum besonderen Schutz von Kindern und Jugendlichen der DSVGO geht es darum, dass die Daten der Kinder nicht für Werbung und das Bilden von Nutzerprofilen genutzt werden sollen. Es steht außer Zweifel, dass Facebook und WhatsApp gerade das tun .. Umgekehrt lese ich das so, dass ein Dienst, der das nicht tut, möglicherweise auch ohne Einwilligung der Eltern von Jugendlichen genutzt werden darf. Aber fragt eure Eltern bitte trotzdem.

 

§8 Backups

Wie jeder gute Admin mache auch ich regelmäßig Backups von allen Dateien und Datenbanken. Es kann also sein, dass wenn ihr Dateien gelöscht habt, diese zwar auf dem Server gelöscht sind, aber noch bis zu 2 Monate später in einem Backup liegen. Länger als zwei Monate hebe ich meine Backups nicht auf. Dafür ist mit der Speicherplatz zu teuer.

§9 Abmahnungen

Bevor Sie mich wegen eventuell fehlender, unvollständiger oder nicht ausreichend durchdrungener Aspekte der DSGVO abmahnen, berücksichtigen Sie bitte die Worte der zur Einführung der Verordnung zuständigen EU-Justizkommissarin Věra Jourová. Die sagte in einem Interview mit der ZEIT wörtlich: „Es geht [bei der DSGVO] um gesunden Menschenverstand und Verhältnismäßigkeit. Wenn Ihnen jemand eine E-Mail schreibt [oder sich bei einen meiner nicht öffentlichen Dienste bewusst anmeldet] und Ihnen zugesteht, dass Sie seine Daten verwenden dürfen, dann ist doch klar, dass er Ihnen eine Einwilligung erteilt. Im Übrigen sanktionieren die Datenschutzbeauftragten nicht nur, sondern beraten auch. Meine Prognose ist, dass sich die Behörden auf die Anbieter konzentrieren, die den größten Schaden verursachen können, die die meisten Daten verarbeiten.“

 

Darüber hinaus verweise ich hier auch gerne auf eine Aussage des deutschen „Vaters“ der DSGVO, Jan Philipp Albrecht. Er schreibt in seinem Blog wörtlich: „Was hingegen nicht eintreten wird, ist dass […] die Aufsichtsbehörden und irgendwelche Abmahnanwälte plötzlich eine ganz andere Gangart gegenüber all den kleinen Unternehmen, Einzelunternehmern, Vereinen und Bloggern einlegen werden.“ Sie dürfen davon ausgehen, dass ich beiden Akteuren im Falle einer Abmahnung hiervon berichten werde.

 

§10 Kontaktaufnahme

Nun zur Kontaktaufnahme: Falls Sie mir eine E-Mail senden, müssen Sie damit leben, dass ich Daten von Ihnen erhalte. Ich sehe dann Ihre Emailadresse, eventuell auch Ihre IP-Adresse und wenn ich mir richtig Mühe gebe und den X-Header Ihrer E-Mail händisch auswerte, kann ich eventuell sogar sehen, wie der Computer heißt, von dem aus Sie die Nachricht geschrieben haben. Das ist keine Zauberei oder Hackerkunst, sondern ein Internet-Standard. Wer den lesen kann, kommt an diese Daten. Das ist technisch bedingt – und schon seit vielen Jahren so. Falls Sie mir ungefragt Ihre Daten zusenden, dürfen Sie davon ausgehen, dass ich Ihre E-Mail genauso gut oder schlecht behüte wie alle meine übrigen E-Mails auch. Sollten Sie sich irgendwann mal überlegen, dass ich die von Ihnen ungefragt zugesandte E-Mail löschen soll, dürfen Sie mich höflich darum bitten – versprechen tue ich aber nichts. Auch hier gilt: wenn Sie damit nicht leben können, senden Sie mir bitte keine E-Mail zu.

§11 Schlussbestimmungen

Last but not least: Ich sehe mich als Teil der Hackerszene und habe eine positive Grundhaltung zum Thema Datenschutz. Gerade deswegen betreibe ich da diesen Server mit seinen Diensten und versuche, so weit das technisch Sinn ergibt, auf Datenerhebung zu verzichten und biete alle Dienste mit einer Transportverschlüsselung über Let‘s Encrypt an.

Das Thema liegt mir wirklich am Herzen. Wenn ich dann allerdings sehe, mit welcher handwerklichen Qualität die Datenschutzgrundverordnung in Deutschland ausgerollt wurde, komme ich als politisch interessierte Privatperson zu dem Schluss, dass ich nicht über jedes Stöckchen springen will und kann, was der Gesetzgeber mir hier hin hält.

Um Missverständnis auszuräumen: Ich finde die DSVGO ist eine sehr gute Sache. Aber ich sehe Datenschutz primär als Schutz der Würde und Gottesebenbildlichkeit des Menschen vor Datenmissbrauch. Deswegen verzichte ich auf Analysewerkzeuge und Co., weil ich dieses Grundidee bei den großen Firmen nicht mehr erkennen kann.

Sieht jemand in meinen Diensten oder Umgang mit den Daten diesen Grundsatz gefährdet, bitte ich ausdrücklich um eine Mitteilung an webmaster@kolloq.de

Datenschutz ist aber auch ein Prozess. Ein Prozess der durch die DSVGO mal so richtig ins Rollen gekommen ist. Wohin die Fahrt geht wird sich in den nächsten 10 Jahren zeigen. Wenn neue Regelungen und Auslegungen es erforderlich machen, werde ich diese Datenschutzbestimmungen mal überarbeiten.

 

Copyleft: Wer diese Datenschutzbestimmung abwandeln, recyclen oder kopieren will, darf das gerne machen – auch ohne Quellenangabe und von mir aus auch kommerziell.

 

Und weil ich eine ehrliche Socke bin: Vieles hier wurde übernommen von: https://ditze.net/datenschutzerklaerung/

 

Impressum:

Diese Seite wird betrieben von:

Philipp Ruess

Im Ziegelhaus 5

63571 Gelnhausen

Kontakt und Anfragen: webmaster@kolloq.de