Datenschutz- und Protokollierungsrichtlinie
Informationen zur Nutzung der Kundenkonsole und des Admincenters sowie zur Protokollierung von Zugriffen und Aktionen.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Tim Stoppa
Max-Baer-Straße 19
01979 Lauchhammer
Deutschland
E-Mail: info@timstoppa.de
2. Geltungsbereich und Kenntnisnahme
Diese Richtlinie gilt für sämtliche Kunden- und Administrationskonten der Kundenkonsole und des Admincenters. Die Nutzung ist ausschließlich namentlich freigegebenen Personen gestattet. Kundenkonten dürfen erst bereitgestellt werden, nachdem eine unterschriebene Nutzungsvereinbarung dokumentiert wurde. Nicht freigegebene Personen sind von jeder Nutzung ausgeschlossen.
Die Verarbeitung personenbezogener Daten beruht nicht allein auf dieser Bestätigung. Maßgeblich sind die nachfolgend genannten gesetzlichen Rechtsgrundlagen.
3. Zwecke der Verarbeitung
Die Protokollierung dient ausschließlich:
- der sicheren Bereitstellung und Verwaltung geschützter Kunden- und Administrationsbereiche,
- der Authentifizierung und Zugriffskontrolle,
- der Erkennung, Aufklärung und Abwehr von Missbrauch und Sicherheitsvorfällen,
- der nachvollziehbaren Dokumentation administrativer und kundenbezogener Aktionen,
- der Fehleranalyse sowie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Eine Nutzung zu Werbezwecken, zur Leistungs- oder Verhaltensbewertung oder zur Erstellung kommerzieller Nutzerprofile findet nicht statt.
4. Protokollierte Daten
Bei einer erfolgreichen Anmeldung und während einer authentifizierten Sitzung können folgende Angaben verarbeitet werden:
- Zeitpunkt des Zugriffs oder der Aktion,
- Kontotyp und interne Konto- beziehungsweise Kundenzuordnung,
- aufgerufener Bereich und Art der ausgeführten Aktion,
- HTTP-Methode und ausschließlich die Namen vorhandener URL-Parameter, nicht deren Werte,
- pseudonymisierte Sitzungskennung,
- vollständige öffentliche IP-Adresse des zugreifenden Anschlusses,
- technische Browserkennung (User-Agent).
Zusätzlich kann ein schlüsselbasierter IP-Hash als technischer Such- und Sperrschlüssel verarbeitet werden. Maßgeblich für die Nachweisdokumentation ist jedoch die ungekürzte IP-Adresse. Passwörter, Einmalcodes und vollständige Formularinhalte werden nicht im Aktivitätsprotokoll gespeichert.
5. Rechtsgrundlagen
Soweit die Verarbeitung zur Bereitstellung des Kundenkontos und zur Durchführung eines bestehenden Vertrags erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
Die Sicherheits-, Missbrauchs- und Nachweisprotokollierung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Die berechtigten Interessen liegen im Schutz der Systeme und Kundendaten, in der Verhinderung unbefugter Zugriffe, in der Nachvollziehbarkeit administrativer Änderungen und in der Sicherung von Rechtsansprüchen.
6. Erforderlichkeit
Die Protokollierung ist für die Nutzung der geschützten Bereiche erforderlich. Ohne diese Verarbeitung kann kein Kunden- oder Administrationszugang bereitgestellt werden. Auch vor einer erfolgreichen Anmeldung werden sicherheitsrelevante Zugriffe durch TS BotShield erfasst. Dazu gehören insbesondere fehlgeschlagene Anmelde- und Zwei-Faktor-Versuche sowie ausgelöste Sperren. Dabei können Zeitpunkt, vollständige IP-Adresse, betroffener Dienst, Ereignisart und Sperrdauer gespeichert werden. Passwörter und Zwei-Faktor-Codes werden nicht protokolliert.
7. Speicherdauer und Löschung
Protokolle authentifizierter Zugriffe und Aktionen werden spätestens zwölf Monate nach ihrer Entstehung automatisiert gelöscht. BotShield-Sicherheitsereignisse werden grundsätzlich nach 30 Tagen, schwerwiegende oder wiederholte Ereignisse spätestens nach 90 Tagen gelöscht. Eine darüber hinausgehende Aufbewahrung erfolgt nur, wenn ein konkreter Sicherheitsvorfall oder Rechtsstreit dies im Einzelfall erfordert. In diesem Fall werden nur die erforderlichen Einträge gesondert gesichert und nach Abschluss des Vorgangs gelöscht, soweit keine gesetzliche Pflicht entgegensteht.
8. Empfänger und Hosting
Zugriff auf die Protokolle erhalten nur hierzu berechtigte Personen, soweit dies für die genannten Zwecke erforderlich ist. Die Systeme werden bei der STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO betrieben. Eine Übermittlung zu Werbezwecken oder an unbeteiligte Dritte findet nicht statt.
Eine Übermittlung der Protokolldaten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist nicht vorgesehen.
9. Schutzmaßnahmen
Zum Schutz der Daten werden insbesondere TLS-Verschlüsselung, rollenbezogene Zugriffsbeschränkungen, Sitzungsabsicherung, Zwei-Faktor-Authentifizierung für Administrationskonten, Zugriffsbeschränkungen auf namentlich Berechtigte und geschützte Protokollspeicherung eingesetzt. Zugriffe auf die Datenbank sind auf technisch erforderliche Konten beschränkt.
10. Rechte betroffener Personen
Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch gegen eine Verarbeitung nach Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO).
Zur Ausübung dieser Rechte genügt eine Nachricht an info@timstoppa.de. Die Identität der anfragenden Person kann in angemessenem Umfang überprüft werden.
11. Beschwerderecht
Betroffene Personen können sich nach Art. 77 DSGVO bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig für den Sitz des Verantwortlichen ist die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, Stahnsdorfer Damm 77, 14532 Kleinmachnow. Weitere Informationen und das Beschwerdeformular sind unter lda.brandenburg.de verfügbar.
12. Automatisierte Entscheidungen
Auf Grundlage des Aktivitätsprotokolls finden keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung und kein Profiling im Sinne des Art. 22 DSGVO statt. Automatische, zeitlich begrenzte Sicherheitssperren bei auffälligen oder wiederholt fehlerhaften Zugriffen bleiben unberührt.