~ Datenschutz-Erklärung ~
Stand: 22.05.2018
Vorwort Der Betrieb dieser Webseite (worldtalk.de) erfolgt zu privaten Zwecken und verfolgt keine Gewinnerzielungsabsicht. Es handelt sich um mein privates Hobby und soziales Engagement, um Freunden und Bekannten (im Folgenden "Nutzer") eine kostenfreie Plattform zur Kommunikation zu bieten. Sie umfasst u. a. einen Chat, Gästebücher, Gruppenfunktionen und sonstige Funktionen, um das Rollenspiel sowie die allgemeine Kommunikation zwischen Nutzern zu unterstützen. Da es sich um eine Ausübung einer Tätigkeit ausschließlich persönliche Art (mein Hobby) handelt, sollte gemäß DSGVO, Art. 2, Abs. 2, Buchstabe c) die Datenschutz-Grundverordnung (DSGVO) für WorldTalk.de keine Anwendung finden. Auf freiwilliger Basis, Beitrag zum Datenschutz und zur Transparenz der Nutzer wurden jedoch die Arbeitsweise, Nutzungsbedingungen und Datenschutzrichtlinien daran angepasst. 1. Verantwortlicher Als Betreiber, System-Administrator und Software-Entwickler der Community WorldTalk.de (im Folgenden "WorldTalk.de") bin ich auch für den Datenschutz zuständig. Ich bin postalisch oder per E-Mail zu erreichen: WorldTalk.de Stefan König Hohenthalplatz 2B 01067 Dresden Deutschland E-Mail: datenschutz@worldtalk.de (🔒 öffentlicher Schlüssel) 2. Datenverarbeitung bei Besuch der Webseite Beim normalen Abrufen von Informationen der Webseite übermittelt der Browser des Nutzers - je nach Einstellung - folgende personenbezogenen Daten: - IP-Adresse - URI (die angefragte Ziel-Ressource, z.B. ein Gästebuch) - Browser-Kennung - Referrer (zuletzt aufgerufene Seite) - bevorzugte Sprache - akzeptierte Datenformate und Kompressionstechniken Der Umfang dieser Daten ist von der vom Nutzer eingesetzten Software abhängig und kann nicht von Seite des Dienstleisters beeinflusst werden. Die Übermittlung der IP-Adresse und der URI ist technisch für die Kommunikation notwendig. Alle weiteren Daten sind dabei optional und können vom Nutzer durch entsprechende Einstellungen und Software unterbunden oder anonymisiert werden. Die Browser-Kennung wird von WorldTalk.de zur Optimierung der Darstellung und Kompatibilität der Webseite genutzt. Sie enthält unter Umständen Angaben zum eingesetzten Browser, dessen Version, dem Betriebssystem, installierten Plugins. Es können auch Angaben zum eingesetzten Endgerät (z.B. Modell-Bezeichnung eines Mobilfunkgeräts) enthalten sein. 2.1. HTTP-Server-Logs und Eingabekontrolle Unser Webserver protokolliert bei jedem Zugriff folgende Daten (im Folgenden „HTTP-Server-Logs“): - IP-Adresse - Domain - Datum und Uhrzeit - Anfrage-Methode und URI - Status-Code (Erfolg/Misserfolg der Anfrage) - zurückgesendete Datenmenge - Browser-Kennung In der Regel enthalten die HTTP-Server-Logs keine Inhaltsdaten (d.h. ausgetauschte Nachrichten, Passwörter, E-Mail-Adressen etc.), da diese als POST-Anfrage durchgeführt werden und dann nicht Teil des Bezeichners der angefragten Ziel-Ressource (URI) sind. Jedoch ist beispielsweise erkennbar, welche Gästebücher ein Nutzer geöffnet hat und ob und wann ein Nutzer eine Nachricht hinterlegt hat. WorldTalk.de protokolliert in bestimmten Fällen, wer wann welche potenziell personenbezogenen Daten eingegeben, geändert, gesperrt oder gelöscht hat (Eingabekontrolle) oder wenn Zugriffsverletzungen (z.B. falsche Eingabe von Passwörtern) stattgefunden haben. Das betrifft die Gästebücher und darin enthaltene Nachrichten, Gruppenfunktionen (Nachrichten, Bewerbung, Akzeptanz neuer Mitglieder, Bannen von Mitgliedern etc.) sowie sämtliche Funktionen der Moderatoren. Zweck dieser Protokolle ist die Erkennung von Störungen des Webseitenbetriebs und Hilfestellung bei der Fehlerbehebung, Abwehr von Cyber-Angriffen und Spam, die Reduktion und Aufklärung von Missbrauchsfällen und Beschwerden sowie die Erstellung anonymisierter Statistiken (z. B. zur eingesetzten Hard- und Software, Nutzungshäufigkeiten) zur Optimierung der Webseite. Diese HTTP-Server-Logs werden automatisch nach 14 Tagen gelöscht. Dazu werden die Logdateien täglich rotiert und Logdateien, die äter als 14 Tage sind, gelöscht. Protokolle der Eingabekontrolle werden zusammen mit den dazugehörigen Datensätzen gelöscht bzw. zeitnah gelöscht, wenn ein Nachweis darüber nicht mehr benötigt wird. Im Falle besonderer Vorfälle (z.B. Hack-Angriffe, Missbrauch des Dienstes, Mitwirkungspflichten bei Ermittlungen staatlicher Behörden, gemeldete Verstöße gegen rechtliche Bestimmungen) kann es nötig sein, dass Kopien von Datensätzen angefertigt und länger aufbewahrt werden müssen, um als Beweismittel und Zwecken der Forensik zu dienen. Diese werden gelöscht, sobald der Vorgang abgeschlossen ist. 2.2. Cookies Cookies sind kleine Datensätze, die auf dem Endgerät des Nutzers für eine konkrete Webseite hinterlegt werden und bei einer Anfrage des Browsers an den Server der Seite übermittelt werden. Dies erlaubt beispielsweise ein zuverlässiges Wiedererkennen des gleichen Endgerätes. So kann bei einem Seitenzugriff z.B. festgestellt werden, ob es sich um eine Anfrage durch den Browser des eingeloggten Nutzers handelt. Neben Session-Cookies, die beim Schließen des Browsers gelöscht werden, gibt es persistente Cookies, die nach dem Neustart des Browsers fortbestehen. Durch Einstellungen des Browsers ist es dem Nutzer möglich, die Verwendung von Cookies von WorldTalk.de und anderen Webseiten einzuschränken. Jedoch kann es dann zu Einschränkungen in der Nutzbarkeit von Webseiten kommen. WorldTalk.de verwendet Cookies zur Sicherstellung eines störungsfreien Betriebs (Fehlersuche und Forensik) und zur Optimierung der Webseite (z.B. AB-Tests). 2.3. Kontaktaufnahme per E-Mail Bei der Kontaktaufnahme per E-Mail wird deren Inhalt in meinem Postfach gespeichert. Diese kann u.a. folgende personenbezogene Daten umfassen: - Zeitpunkt des Versandes - E-Mail-Adressen - IP-Adresse des Absenders - verwendete Mail-Software oder Dienstleister - Inhalte in Betreff, Text und Anhängen der Nachricht Wir weisen darauf hin, dass beim normalen Versand von E-Mails keine Ende-zu-Ende-Verschlüsselung gewährleistet ist. Die Integrität und Vertraulichkeit dieser Nachrichten ist dann nicht sichergestellt! Im Falle vertraulicher Nachrichten gibt es die Möglichkeit der Verschlüsselung (mein öffentlicher Schlüssel findet sich bei den Kontaktdaten) oder den Postweg. E-Mails werden bei uns mindestens bis zum Abschluss der Bearbeitung der Anfrage gespeichert und ggf. für Nachweiszwecke gespeichert gehalten bis dieser Zweck entfällt. 3. Datenverarbeitung bei registrierten Nutzern Bei Registrierung eines Nutzerkontos durch den Nutzer, ist es für die Diensterbringung erforderlich, dass weitere personenbezogene Daten erfasst werden. Dazu zählen: - Benutzer-Nummer (laufende Nummer) - E-Mail-Adressen - Pseudonym(e) + laufende Nummer - Passwort (Speicherung als Hash-Wert) - Status des Benutzerkontos Die E-Mail-Adresse wird genutzt, um den Nutzer in wichtigen Fällen (z. B. Änderungen der Nutzungsbedingungen, Schließung des Nutzerkontos bei langer Inaktivität, Setzen eines neuen Passworts, Klärungsbedarf bzgl. Nutzerinhalten) kontaktieren zu können oder um von ihm angeforderte Informationen bereit zu stellen (z.B. Chatlogs; siehe Abschnitt „Chatprotokolle“ weiter unten). Die E-Mail-Adresse wird mittels eines Aktivierungslink überprüft (Opt-In). Erst danach kann das Benutzerkonto verwendet werden. Geschieht dies nicht, wird das angelegte Nutzerkonto spätestens 7 Tage nach seiner Erstellung gelöscht. Benutzerkonten und Pseudonyme werden mit fortlaufender Nummer in der Datenbank geführt, sodass zugehörige Daten damit verknüpft werden können. Jedes Nutzerkonto hat zudem einen Status (z.B. normal, von Moderation gesperrt, vom Nutzer gesperrt etc.) und ggf. eine Zeitbegrenzung bei einer Sperrung. 3.1. Löschfristen und Recht auf Vergessen werden WorldTalk.de löscht regelmäßig inaktive Nutzerkonten. Ein Jahr nach dem letzten Login eines Nutzers wird dessen Nutzerkonto gelöscht. Das umfasst auch sämtliche Pseudonyme, dem Nutzer zugeordnete virtuelle Gegenstände, virtuelles Geld, Gruppenzugehörigkeiten und Gästebücher des Nutzers. Pseudonyme die 90 Tage nicht verwendet wurden, werden beim Login des Nutzers gesperrt und nach weiteren 14 Tagen gelöscht, sofern der Nutzer diese nicht reaktiviert. Die gesperrten Pseudonyme werden im Login-Bereich deutlich hervorgehoben und können sofort durch Verwendung wieder reaktiviert werden. Werden Pseudonyme gelöscht, werden auch deren Gästebücher und beinhaltete Nachrichten, Gruppenzugehörigkeiten und Spielgeld dieses Pseudonyms gelöscht. Virtuelle Besitztümer werden anonym für virtuelle Währung versteigert. Sie werden gelöscht, wenn ihr virtuelles Verfallsdatum erreicht ist. Nachrichten in Gruppen und fremden Gästebüchern werden als Besitz der entsprechenden Nutzer betrachtet, denen das Gästebuch gehört oder welche die Gruppe verwalten. Sofern keine expliziten Löschfristen angegeben sind, werden die Daten umgehend gelöscht, sobald sie zur Erfüllung des Zweckes, für den sie erhoben wurden, nicht mehr benötigt werden. Für Statistiken und Pseudonym-Zugehörigkeit von virtuellen Besitztümern ist das z.B. deren Verfallsdatum. Generell betrifft eine Löschung und Sperrung lediglich den aktiven Datenbestand in den Datenbanken. Aus technischen Gründen, können die Datensätze in Backups nicht berücksichtigt werden, da sonst die Integrität des gesamten Backups gefährdet wäre. Nur so kann eine zuverlässige Absicherung gegen Datenverlust durch Hard- und Softwarefehler gewährleistet werden. Daten aus Backups werden nur in den aktiven Datenbestand zurück überführt, falls dies zwingend nötig ist. Backups werden für bis zu 90 Tage nach Erstellung gehalten und anschließend vollständig gelöscht. 3.2. Nutzungsstatistiken Zu den Nutzerkonten werden verschiedene Statistiken erhoben (z.B. Zeitpunkt der Registrierung des Kontos, des letzten Logins sowie der letzten Aktivität, Anzahl der Logins, Anzahl falscher Passworteingaben insgesamt und seit letztem erfolgreichem Login, Statistik über aktive und inaktive Nutzungsdauer der Pseudonyme der letzten 90 Tage sowie insgesamt). Zweck dieser Statistiken ist die Erkennung und Verhinderung von Hack-Angriffen (z.B. Login-Verzögerung bei vielen Passwort-Fehlversuchen), Verbesserung des Angebotes (z.B. gezieltes Zugehen auf neue Nutzer), Information an andere Nutzer (z. B. Anzeige des Online-Status bzw. der letzten Aktivität im Gästebuch [nur im Login-Bereich], Online-Punkte in der Mitgliederliste), Erkennung von ungenutzten Pseudonymen und Nutzerkonten (d.h. automatische Sperrung und Löschung), Moderation (z.B. zuverlässige Zuordnung von Beschwerdefällen), Sortierkriterium bei der Anzeige und ähnlichem genutzt. Nutzungsstatistiken werden gelöscht, wenn das zugehörige Pseudonym bzw. das Nutzerkonto gelöscht wird (automatische Löschung oder auf Wunsch des Nutzers). 3.3. Chat-Protokolle WorldTalk.de zeichnet keine Protokolle des Chatverlaufs auf, es sei denn ein dazu berechtigter Nutzer (z.B. die Person die einen benutzerdefinierten Chatraum erstellt hat, eine von ihr berechtige Person oder ein Moderator oder Administrator) startet ein sogenanntes „Autolog“. In diesem Fall werden alle Personen in diesem Raum umgehend und deutlich erkennbar darüber informiert. Alle Personen, die einen Raum betreten, in dem ein solches Autolog bereits aktiv ist, werden ebenso informiert. Die Person, die das Autolog startet, erhält eine Kopie des Chatverlaufs per E-Mail, wenn die Protokollierung beendet ist (von Hand oder sobald alle Personen den Raum verlassen haben). Weitere im selben Raum befindliche Personen können als Kopie-Empfänger eingetragen werden. Diese erhalten dann eine gesonderte E-Mail, sodass kein Empfänger die E-Mail-Adresse der anderen erfährt. Diese Protokolle betreffen nur öffentliche Mitteilungen (kein „Flüstern“) in diesem Raum. Sie werden auf dem Server gespeichert und in der Regel umgehend nach Beendigung versendet und sofort gelöscht. In seltenen Fällen (z. B. bei bekannten Störungen im Mail-Versand) werden die E-Mails später versendet und ggf. für wenige Tagen nach dem Versand weiter gespeichert gehalten, sodass bei Bedarf eine Wiederholung des Versandes stattfinden kann. Zweck ist es, zu ermöglichen, dass Nutzer ein Protokoll ihres Rollenspiels oder eines wichtigen Gesprächs zum späteren Nachlesen oder sonstigen Zwecken erhalten können. 3.4. Profil-Inhalte und ausgetauschte Nachrichten Die Nutzer haben die Möglichkeit an verschiedenen Stellen (z. B. im Gästebuch als Selbstbeschreibung sowie als Nachrichten in anderen Gästebüchern oder im Chat) persönliche Informationen zu hinterlegen, die jedoch nur für eingeloggte Nutzer zugänglich sind. Dies geschieht auf freiwilliger Basis und hat die Verbesserung der Kommunikation und Vertrauensbildung der Nutzer untereinander zum Ziel. Es steht dem Nutzer frei, keine Personendaten oder nur fiktive Daten (d.h. Rollenspiel-Charakter) auszutauschen. Im Falle von fiktiven Daten ist darauf zu achten, dass diese als fiktive Daten erkennbar sind. Zudem besteht die Möglichkeit private Nachrichten auszutauschen (über private Gästebuchnachrichten oder Flüsterfunktion im Chat). Diese Nachrichten können regulär nur von deren Sendern und Empängern eingesehen werden und sind auch den Moderatoren nicht ohne Mithilfe des Empfängers zugänglich. 3.5. Notizen der Moderation und Beschwerden Moderatoren haben die Möglichkeit Notizen zu bearbeiteten Beschwerden sowie über beobachtete Vorfälle und Gespräche mit Nutzern im System zu hinterlegen. Diese Notizen umfassen Zeitpunkt, Pseudonym des betroffenen Nutzers und des Moderators, Art des Verstoßes bzw. der Notiz sowie weitere manuell erfasste Informationen, wie manuell angefertigte Gesprächs-Protokolle des Moderators oder Screenshots. Registrierte Nutzer können Beschwerden über andere Nutzer (inkl. angefertigter Chatprotokolle, Screenshots oder andere Belege) an die Moderation senden. Diese werden entsprechend im System hinterlegt. Notizen der Moderation werden bis zu einem Jahr nach deren Erstellung gespeichert gehalten, es sei denn sie enthalten Informationen, die über diesen Zeitraum hinaus von Bedeutung sind (z. B. Nachweise zu Urheber- und Nutzungsrechten, die von Nutzern geliefert wurden). 3.6. Virtuelle Besitztümer und Chatbots Pseudonyme können zum Zwecke des Rollenspiels virtuelle Besitztümer haben (Spielgeld, sowie virtuelle Gegenstände) mit denen gehandelt werden kann. Zur Transparenz für den Nutzer wird darüber ein von ihm einsehbares Protokoll geführt, welches Zeitpunkte und Transaktionsdaten enthält. Die Besitztümer, außer dem Spielgeld, werden anderen Nutzern im Gästebuch öffentlich angezeigt. Zu allen Gegenständen wird Zustand, Alter sowie Kaufpreis gespeichert. Diese Daten werden für die Preisberechnungen der Wirtschaftssimulation genutzt. Im Chat werden Bots eingesetzt, die für ihre Aufgaben pseudonymbezogene Statistiken führen oder sich Zeitpunkte bestimmter Ereignisse merken können. Zum Beispiel kann dies den letzten Zeitpunkt der Auszahlung des Bürgergeldes (d.h. virtuelles Geld das jeder aktive Nutzer täglich erhält) betreffen, sodass jeder nur einmal alle 24 Stunden den Betrag bekommt. Und der Quizbot führt zum Beispiel eine Statistik über die korrekt beantworteten Fragen der Spielteilnehmer und eine Highscore-Liste. 4. Auskunft, Berichtigung, Sperrung, Löschung, Übertragung und Widerspruch Nutzer haben das Recht auf Auskunft, Berichtigung, Sperrung, Löschung und Übertragung ihrer personenbezogenen Daten sowie auf Widerspruch gegen deren Verarbeitung für bestimmte Zwecke. Das gilt jedoch nur, sofern eine zuverlässige Identifikation des Nutzers (und damit eine Zuordnung der zu ihm gehörigen Daten) möglich ist und keine gesetzlichen Vorschriften oder wichtigeren Interessen Dritter diesem Recht entgegen stehen. Für unregistrierte Nutzer können in der Regel keine Auskünfte, Berichtigungen, Sperrungen, Löschungen, Widersprüche oder Übertragungen von personenbezogenen Daten erteilt bzw. umgesetzt werden, da die gespeicherten Daten einer anfragenden Person durch uns nicht eindeutig zugeordnet werden können. Es obliegt dem Nutzer einen entsprechenden Nachweis zu erbringen. Registrierte Nutzer erhalten über die Konto-Einstellung eine Datenschutz-Auskunft. Diese umfasst alle nicht-öffentlichen personenbezogenen Daten. Dort ist auch eine Berichtigung bestimmter Daten möglich. Außerdem ist dort ein Antrag auf Löschung des gesamten Nutzerkontos möglich. Das Konto und zugehörige Inhalte werden dabei sofort gesperrt und nach 1 Jahr automatisiert gelöscht. Eine sofortige automatisierte Löschung erfolgt nicht, da die Daten zur Aufklärung von Beschwerdefällen und Nachweisen im Falle von rechtlichen Forderungen möglicherweise noch benötigt werden. Sperrung von Daten bedeutet, dass die Daten als gesperrt markiert werden und sich der Dienst aus Sicht regulärer Nutzer so verhält, als ob die entsprechenden Datensätze gelöscht worden wären. Die Konto-Einstellungen erreicht ein Nutzer durch Login auf der Startseite. Danach befindet sich direkt auf der Folgeseite auf der linken Seite ein Button „Einstellungen“. Per Klick auf diesen Button gelangt man zu den Konto-Einstellungen. Zudem kann für einzelne Pseudonyme die Löschung beantragt werden. Das ist im Verwaltungsbereich, direkt nach dem Login möglich. Die Inhalte der Pseudonyme werden anschließend sofort gesperrt und anderen Nutzern nicht mehr angezeigt, werden jedoch für den Fall einer irrtümlichen Löschung durch den Nutzer sowie zur Moderation (Zuordnung von Beschwerden anderer Nutzer über das Pseudonym zu einem Nutzerkonto) für 14 Tage weiterhin gespeichert gehalten und anschließend automatisiert gelöscht, sofern die Löschung nicht durch den Nutzer rückgängig gemacht wird. Daten, die auch für andere Nutzer sichtbar sind, lassen sich durch das Navigieren innerhalb des Login-Bereiches abrufen (z.B. durch Aufruf des entsprechenden Gästebuches). Zudem können registrierte Nutzer, die zu hren Pseudonymen gespeicherten, für andere Nutzer zugänglichen Inhalte selbst bearbeiten bzw. entfernen. Dafür ist der gleiche Mechanismus zu nutzen, der auch für das freiwillige Erstellen dieser Daten durch den Nutzer verwendet wurde. Nach einem Widerspruch dürfen diese Daten nur noch verarbeitet werden, sofern zwingende schutzwürdige Gründe nachgewiesen werden können, die den Interessen, Rechten und der Freiheit der betroffenen Person überwiegen oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. In der Regel hat die Erhebung und Verarbeitung schutzwürdige Gründe, wie sie oben nachgelesen werden können. Im Zweifelsfall bitte ich darum, sich über die obigen Kontaktdaten mit mir in Verbindung zu setzen. Wir prüfen dann gemeinsam, welche Ansprüche überwiegen und welche Optionen wir ggf. haben, da ein Widerspruch Folgen für die Nutzbarkeit der Dienstleistung für den Nutzer haben kann, die möglicherweise nicht erkannt wurden bzw. nicht gewollt sind. Nutzern sollen auf Anfrage ihre Personendaten in einem gängigen, maschinenlesbaren Format zur Verfügung gestellt werden oder, falls technisch möglich, in deren Auftrag ihre Daten an einen anderen Verantwortlichen übermittelt werden. Dabei dürfen aber die Rechte und Freiheit anderer Personen nicht beeinträchtigt werden. Ein automatisiertes Verfahren dafür kann aktuell nicht bereitgestellt werden. Nutzer, die dieses Recht wahrnehmen möchten, können sich über die oben genannten Kontaktdaten mit mir in Verbindung setzen. Falls die Rechte eines Nutzers nicht über diese Möglichkeiten erfüllt werden, bitten ich um eine Kontaktaufnahme über die am Anfang der Seite angegebenen Kontaktdaten. 5. Weitergabe von Daten 5.1. Nutzergruppen und Zugriffsberechtigungen In diesem Abschnitt geht es um die verschiedenen bei uns vorkommenden Personengruppen und in welchen Umfang sie Zugriff auf Personendaten haben: Sonstige Nutzer, Bots und Suchmaschinen – Dies umfasst sämtliche, auch unregistrierte Nutzer oder maschinelle Zugriffe. Sie haben Zugriff auf anonymisierte Statistiken wie Anzahl der angemeldeten Nutzer, regelmäßigen Nutzer, Zahl der Pseudonyme und der aktuell eingeloggten Nutzer insgesamt. Registrierte Nutzer – Diese Nutzergruppe hat Zugriff auf die üblichen Community-Funktionen und damit auf die von anderen Nutzern für diese Personengruppe eingestellten personenbezogenen Daten (z.B. Gästebuch-Profiltexte, öffentliche Gästebuch-Nachrichten, Chat-Inhalte die sie im gleichen Raum posten sowie Nachrichten die innerhalb der gleichen Gruppen ausgetauscht werden). Für bestimmte Funktionen existieren Zugriffsbarrieren (z. B. Profil-Bilder können nur für Freunde sichtbar sein und selbst angelegte, abgesperrte Räume können regulär nach einer Einladung betreten werden, auf Mitgliedsbereiche von Gruppen kann nur nach akzeptierter Bewerbung zugegriffen werden). Moderatoren (VIPs) – Moderatoren sind keine Angestellten von WorldTalk.de, sondern vom Betreiber als vertrauenswürdig eingestufte Nutzer (auch „VIPs“ genannt), die zur Moderation berechtigt sind. Ihre Aufgabe ist es, die Einhaltung rechtlicher Verpflichtungen (z.B. Jugendschutz, Urheberrecht, Persönlichkeitsrechte) sicherzustellen und Schadensersatzansprüchen vorzubeugen. Sie haben lesenden Zugriff auf alle Gästebuch-Inhalte (außer private Nachrichten), Zugriff auf die Moderator-Notizen (Erstellen, Kategorisieren und Lesen) sowie die Beschwerden gegen Nutzer, sowie die Möglichkeit die Zugehörigkeit von Pseudonymen zu Nutzerkonten zu erkennen und ggf. den Zugang von Nutzern auf die Seite temporär oder permanent einzuschränken. Weiterhin haben sie die Möglichkeit neue Nutzer zu identifizieren. Administratoren – Der einzige Administrator bin ich (Stefan König), der Betreiber und für den Datenschutz Verantwortliche von WorldTalk.de. Als Software-Entwickler und System-Administrator der Community habe ich technisch bedingt Zugriff auf alle bei WorldTalk.de verarbeiteten Daten. Die Zahl der Moderatoren (inkl. Administrator) liegt derzeit unter 10 Personen. 5.2. Auftragsverarbeitung und Weitergabe von Daten Die Daten von WorldTalk.de werden von einen Dedicated Server in einem Rechenzentrum innerhalb Deutschlands verarbeitet, welcher derzeit von der Firma Hetzner Online GmbH zur Verfügung gestellt wird. Mit der Firma wurde ein Vertrag zur Auftragsdatenverarbeitung geschlossen, der bestimmte technisch-organisatorische Maßnahmen seitens des Rechenzentrums zusichert (z.B. Zutritts- und Zugangskontrolle zum Rechenzentrum, Datenschutzkonforme Löschung und ggf. Vernichtung von Datenträgern nach Nutzung). Mitarbeiter der Firma haben zwar physikalischen Zugriff auf das Computersystem, jedoch keine Berechtigung auf die hinterlegten Personendaten zuzugreifen. Es wurden weitere technisch-organisatorische Maßnehmen getroffen (siehe Abschnitt 6. Technisch-Organisatorische Maßnahmen). Eine Weitergabe an sonstige Dritte kann erfolgen zur Erfüllung gesetzlicher Bestimmungen, Gerichtsbeschlüsse oder behördlicher Auflagen sowie bei Rechtsverfahren und zu Nachweiszwecken zur außergerichtlichen Abwendung von Forderungen Dritter gegen den Betreiber wegen Verstößen des Nutzers gegen gesetzliche Vorgaben (z.B. Jugendschutz oder Urheberrechte). Außer zu den zuvor genannten Zwecken erfolgt keine Weitergabe der personenbezogenen Daten an Dritte. 6. Technisch-Organisatorische Maßnahmen Zum Schutz der Personendaten wurden zusätzlich zu den Maßnahmen des Auftragsdatenverarbeiters (siehe 5.2.) eine Reihe von technisch-organisatorischen Maßnahmen umgesetzt: Die Übertragung der Webseite wird über das HTTPS-Protokoll Ende-zu-Ende verschlüsselt. Ob die Verschlüsselung ordnungsgemäß funktioniert, prüft ein Nutzer wie folgt: In der Adresszeile des Browsers steht am Beginn der Adresse „https://worldtalk.de“ (wichtig: „https://“ und nicht „http://“) sowie ein vorangestelltes Schloss-Symbol, das nicht durchgestrichen oder durch andere Weise als „inaktiv“ markiert ist. Es handelt sich dabei um ein gängiges, anerkanntes Verschlüsselungsverfahren. Dennoch kann nicht ausgeschlossen werden, dass durch Schwachstellen diese Verschlüsselung umgangen wird. Der Nutzer ist dafür verantwortlich, einen aktuellen Browser mit sicheren Einstellungen zu verwenden. WorldTalk.de wird im Rahmen der Möglichkeiten in regelmäßigen Abständen überprüfen, ob Schwachstellen vorliegen und ggf. geeignete Maßnahmen ergreifen. Passwörter der Nutzer sind weder dem Administrator noch den Moderatoren bekannt und sollten nur auf der Webseite von WorldTalk.de eingegeben werden. Zugriff der Personen mit Zugriff auf tendenziell personenbezogene Daten (z.B. Moderatoren) ist auf ein Minimum begrenzt, sodass sie ihre Aufgabe erfüllen können, aber die Gefahr eines Missbrauchs minimiert ist. Weitere technische-organisatorische Maßnahmen sind beispielsweise: - Verwendung restriktiver Firewalls - verschlüsselte Übertragung bei allen Fernzugriffen auf verarbeitende Systeme - verschlüsselte Datenträger-Partitionen gegen Diebstahl von Datenträgern - Administrations-Passwörter mit hoher Komplexität und Zufälligkeit - keine Verwendung dieser Passwörtern für andere Systeme - Einsatz von Fachwissen des Betreibers bzgl. Sicherheitsaspekten - Prüfung der Sicherheit ist immer Teil der Software-Entwicklung - regelmäßige Aktualisierung von Software-Systemen 7. Haftungsausschlüsse Vorfälle in der Vergangenheit (z.B. „Shellshock“, „Heartbleed“, „Spectre“ und „Meltdown“) haben gezeigt, dass Fehler in weit verbreiteter Hard- und Software, selbst über viele Jahre unentdeckt bleiben und dazu führen können, dass Dritte unberechtigten Zugriff auf Personendaten erhalten können. WorldTalk.de schützt die Daten seiner Nutzer fachkundig im zumutbaren Rahmen der verfügbaren Möglichkeiten vor unberechtigten Zugriff. Dennoch kann eine fehlerfreie und sichere Funktion der eingesetzten Hard- und Software nicht vollumfänglich garantiert werden. Aus diesem Grund muss ich diese Dienstleistung „wie sie ist“ anbieten und kann nur im Falle grober Fahrlässigkeit die Haftung für Schäden übernehmen. Der Austausch wirklich vertraulicher und anderer sensibler Informationen über die Webseite erfolgt daher auf eigene Gefahr der Nutzer und sollte im Zweifelsfall vermieden werden. Sofern sich auf rechtliche Regelungen bezogen wird, stellt dies keine Rechtsberatung, sondern lediglich eine möglichst verständliche Information für unsere Nutzer dar, so wie ich sie nach besten Wissen und Gewissen verstehe. Der Leser ist selbst dafür verantwortlich, sich bzgl. der Vollständigkeit sowie der korrekten Auslegung der geltenden gesetzlichen Regelungen zu informieren. 8. Änderungen dieser Datenschutzerklärung WorldTalk.de kann diese Datenschutzerklärungen aktualisieren. Die Aktuelle Version findet der Nutzer immer unter dem Begriff „Datenschutz“ verlinkt auf der Startseite unserer Webseite. Sofern es sich dabei um für Nutzer relevante Änderungen (also z.B. keine Tippfehler) handelt, werden die registrieren Nutzer per E-Mail darüber informiert. Durch Fortsetzen der Nutzung (d.h. außer Zugriff auf die Konto-Einstellungen) wird von einem Einverständnis des Nutzers ausgegangen, spätestens jedoch 14 Tage nach Information an den Nutzer. Falls der Nutzer die neuen Datenschutzerklärungen ablehnen möchte, kann dieser über die Konto-Einstellungen eine Löschung seines Nutzerkontos beantragen. |
||
|