diff --git a/content/privacy-notice/index.md b/content/privacy-notice/index.md index 37c1dd5..9266b70 100644 --- a/content/privacy-notice/index.md +++ b/content/privacy-notice/index.md @@ -15,60 +15,157 @@ Für die Verarbeitung von Daten, die durch das Anklicken dieser Links an Dritte Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um zu gewährleisten, dass die personenbezogenen Daten unserer Nutzer vor Verlust, unrichtigen Veränderungen oder unberechtigten Zugriffen Dritter geschützt sind. In jedem Fall haben von unserer Seite nur berechtigte Personen Zugang zu euren personenbezogenen Daten. -### Verantwortliche -Der Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist der CCC Hansestadt Hamburg e.V. mit Sitz in Hamburg. +## 1. Verantwortliche -Der CCC Hansestadt Hamburg e.V. wurde im Vereinsregister vom Registergericht des Amtsgericht Hamburg unter der VR-Nr. 20300 eingetragen. +CCC Hansestadt Hamburg e.V. Zeiseweg 9 22765 Hamburg Tel. +49 40 23830150 E-Mail: mail@hamburg.ccc.de -### Kontaktdaten der Datenschutzstelle des CCC Hansestadt Hamburg e.V. +Der CCC Hansestadt Hamburg e.V. wird durch den Vorstandsvorsitzenden Dario Joppien und die stellvertretenden Vorsitzenden Robert Anders, Stefan Bethke, Liviana Franke, Christoph Gebhardt und Nicolas Häuser vertreten. -- E-Mail: -- Anschrift: CCC Hansestadt Hamburg e.V. -c/o Datenschutzbeauftragter -Zeiseweg 9 -Viktoria-Kaserne, mittlerer Osten, 1. OG, Raum 2 -22765 Hamburg +## 2. Datenschutzbeauftragte +Unsere Datenschutzbeauftragte erreichst du schriftlich per Post mit dem Zustellhinweis „Datenschutzbeauftragte“ unter der im Impressum hinterlegen Adresse oder per E-Mail unter datenschutz@hamburg.ccc.de. -## Datenschutzerklärung für hamburg.ccc.de -Datenschutz ist uns wichtig, weshalb wir so wenig Daten wie möglich erheben. -Dies nennen wir Datensparsamkeit, je weniger Daten gesammelt werden, desto weniger Daten gilt es zu schützen. +## 3. Verarbeitungstätigkeiten -### Kategorien betroffener Personen -Da wir keine Daten erheben, gibt es auch keine betroffenen Personen. +### 3.1 Website -### Zweck der Verarbeitung -Aus Datensparsamkeit erheben wir keine Daten und können nichtvorhandene Daten auch nicht einem Zweck zuführen. +Wir verarbeiten auf unserer Website keine personenbezogenen Daten. Weder loggt unser Server deine Verkehrs- und Browserdaten, noch speichern wir auf deinen Endgeräten Cookies oder sonstige lokale Informationen. -### Weitergabe an Dritte -Da wir keine Daten von Dir sammeln, können wir auch keine weitergeben. +### 3.2 CCCHH ID (Keycloak) -### Eingebettete Inhalte von anderen Websites -Beiträge auf dieser Website können eingebettete Inhalte beinhalten (z. B. Videos, Bilder, Beiträge etc.). -Eingebettete Inhalte von anderen Websites verhalten sich exakt so, als ob der Besucher die andere Website besucht hätte. +#### 3.2.1 Übersicht über die Verarbeitungstätigkeiten -Diese Websites können Daten über Dich sammeln, Cookies benutzen, zusätzliche Tracking-Dienste von Dritten einbetten und deine Interaktion mit diesem eingebetteten Inhalt aufzeichnen, inklusive deiner Interaktion mit dem eingebetteten Inhalt, falls Du ein Konto hast und auf dieser Website angemeldet bist. +Wir betreiben mit **CCCHH ID** unter eine Keycloak-Instanz. Keycloak ist ein Identitäts- und Zugangs-Management-Service (IAM) zur Verwaltung von Zugriffsrechten und der Benutzeranmeldung und bietet Single-Sign-On, damit du dich bei unseren Diensten zentral und sicher anmelden kannst. -Wir betten Inhalte z.B. von diesen Webseiten ein: +#### 3.2.2 Art und Umfang der Verarbeitung personenbezogener Daten -- [Open Street Map](https://www.openstreetmap.org/) +Wir verarbeiten Accountdaten wir Username, Vor- und Nachname (freiwillig), E-Mail-Adresse, Passwort, OTP, Passkey, WebAuthn-Public-Keys sowie Daten über Zugriffsberechtigungen. Nähere Informationen über Keycloak und zu den erfassten Daten findest du unter: -### Cookies -Wir nutzen keine Cookies. +Dein Username, Vor- und Nachname (wenn gesetzt) und E-Mail-Adresse deiner CCCHH-ID werden bei der Anmeldung bei Diensten Nextcloud, DokuWiki, HedgeDoc oder Forgejo in diese Systeme übertragen und sind je nach Dienst dort für alle Nutzer\*innen öffentlich einsehbar. -### Analyse-Dienste -Wir nutzen keine Analyse-Dienste. +#### 3.2.3 Cookies -### Hosting -Unsere Server stehen in der EU und werden durch den Hoster vor physischen Zugriff Dritter geschützt. +| Bezeichnung | Zweck | Speicherdauer | +|----|----|----| +| AUTH_SESSION_ID | Speichert eine ID, um verschiedene Seitenanfragen einer Sitzung / eine\*r Benutzer\*in zuzuordnen. | Session | +| KC_AUTH_SESSION_HASH | Sicherheitsmechanismus zur Integritätsprüfung der Sitzung | 1 Minute | +| KC_RESTART | Das Cookie enthält einen Token, damit im Falle eines Verbindungsabbruchs die Autorisierung neu gestartet werden kann. | Session | +| KEYCLOAK_IDENTITY | Speichert nach Login ein Token, um verschiedene Seitenanfragen einer Sitzung / eine\*r Benutzer\*in zuzuordnen. | 30 Tage | +| KEYCLOAK_REMEMBER_ME | Speichert den Benutzernamen, wenn das Kontrollkästchen „Remember me“ beim Login aktiviert ist. | 1 Jahr | +| KEYCLOAK_SESSION | Session-Information, um nach dem Login den Berechtigungsstatus verfolgen zu können | 60 Tage | -## Rechte -Obgleich wir möglichst keine persönlichen Daten von Dir verarbeiten, wollen wir Dich hier noch über deine Rechte nach der DSGVO aufklären: +Die eingesetzten Cookies sowie die Session- und Local-Storage-Objekte sind gemäß § 25 Absatz 2 Nr. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als technisch erforderlich einzuordnen. Sie dürfen daher ohne deine Zustimmung auf deinem Gerät gespeichert werden. -- Nach DSGVO hast Du zahlreiche Rechte. Darunter fallen das Auskunftsrecht nach Art.15. Dies ist durch diese Seite erfüllt. Eine Kopie der hier nicht gespeicherten Daten kann als leere Email angefordert werden. -- Nach Art.16 kannst Du Vervollständigung oder Berichtigung der Dich betreffenden, hier nicht existierenden Daten verlangen. -- Nach Art.17 hast Du das Recht das Dich betreffende Daten unverzüglich gelöscht werden. Dies passiert fortlaufend automatisch, noch bevor die Daten gespeichert werden. Auf Anfrage bestätige wir Dir das gern mit einem Daumen nach oben per E-Mail. -- Nach Art.18 hast Du das Recht auf eine Einschränkung der Verarbeitung Deiner Daten. Aus physischen Gründen ist es uns leider nicht möglich weniger als nichts zu verarbeiten. -- Nach Art.20 hast Du das Recht alle bei uns gespeicherten (also keine) Daten zu übertragen. -- Du hast das Recht erteilte Einwilligungen zu widerrufen. Du kannst der künftigen Datenverarbeitung widersprechen. -Unabhängig eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Dir das Recht auf Beschwerde bei einer zuständigen Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt. +#### 3.2.4 Rechtsgrundlage + +Rechtsgrundlage für den technisch erforderlichen Betrieb ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Keycloak-Instanz). + +Rechtsgrundlage für die Nutzung eines CCCHH-ID-Accounts und die Weitergabe deiner Nutzerdaten in Drittsysteme über den Single-Sign-On ist deine Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO. + +Erteilst du deine Einwilligung nicht, kannst du ggf. Dienste, die die CCCHH-ID verwenden, nicht verwenden, wenn für bestimmte Funktionen ein Account erforderlich ist. + +#### 3.2.5 Empfänger oder Kategorien von Empfängern + +Eine Weitergabe an Dritte ist nicht vorgesehen. + +#### 3.2.6. Dauer der Speicherung + +Die gespeicherten Cookies werden nach den oben genannten Fristen von deinem Endgerät gelöscht. Deine CCCHH ID einschließlich Zugriffsrechten wird bis zur der Löschung deines Accounts aufbewahrt. + +### 3.3 DokuWiki + +#### 3.3.1 Übersicht über die Verarbeitungstätigkeiten + +Unter stellen wir ein DokuWiki zur Verfügung. Mit einem optionalen User-Account kann u.a. ein Profil angelegt, Seiten erstellt und editiert und - je nach Berechtigung - geschützte Seiten und Bereiche aufgerufen werden. + +#### 3.3.2 Art und Umfang der Verarbeitung personenbezogener Daten + +Beim Besuch des Wiki ohne Login werden keine personenbezogenen Daten an uns übermittelt und verarbeitet. + +Wenn du dich einloggst, werden zusätzlich Daten für die Nutzung deines Accounts und zur Bearbeitung der Wiki verarbeitet, wie z.B. Keycloak-Token, Auth-Token, Username, echter Name, E-Mail-Adresse, Passwort, Autor\*inneneigenschaft und Timestamps deiner Änderungen im Wiki. + +#### 3.3.3 Cookies + +| Bezeichnung | Zweck | Speicherdauer | +|----|----|----| +| DokuWiki | Speichert eine ID, um verschiedene Seitenanfragen einer Sitzung / eine\*r Benutzer\*in zuzuordnen. | Session | +| DW\* | Keycloak-Token, um dich als Benutzer\*in eingeloggt zu lassen und zu identifizieren | 1 Jahr | + +Die eingesetzten Cookies sowie die Session- und Local-Storage-Objekte sind gemäß § 25 Absatz 2 Nr. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als technisch erforderlich einzuordnen. Sie dürfen daher ohne deine Zustimmung auf deinem Gerät gespeichert werden. + +#### 3.3.4 Rechtsgrundlage + +Rechtsgrundlage für den technisch erforderlichen Betrieb ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit des DokuWiki). Rechtsgrundlage für die Nutzung eines DokuWiki-Accounts ist deine Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO. + +Erteilst du deine Einwilligung nicht, kannst du ggf. nicht auf geschützte Bereiche zugreifen oder Seiten bearbeiten. + +#### 3.3.5 Empfänger oder Kategorien von Empfängern + +Es ist keine Weitergabe personenbezogener Daten an Dritte geplant. + +#### 3.3.6 Dauer der Speicherung + +Benutzerdaten werden bis zur Accountlöschung aufbewahrt. In Wiki-Artikel eingetragene personenbezogene Daten und Autor\*inneneigenschaft werden im Artikel und in der Änderungshistorie aufbewahrt; sie werden auf Anfrage (siehe Abschnitt Betroffenenrechte) gelöscht bzw. anonymisiert. + +### 3.4 Nextcloud + +#### 3.4.1 Übersicht über die Verarbeitungstätigkeiten + +Wir bieten unter eine Nextcloud-Instanz an, über die Besucher\*innen und Mitglieder einen Kalender benutzen, Dateien hochladen oder Formulare und Umfragen erstellen und ausfüllen können. + +#### 3.4.2 Art und Umfang der Verarbeitung personenbezogener Daten + +Beim Benutzung der Nextcloud können je nach Nutzungsart folgende Kategorien von Daten verarbeitet werden: Von dir hochgeladene Dateien (z.B. Textdateien oder Fotos) einschließlich Metadaten, Username, Name, E-Mail-Adresse, Session-Token, Formulareingaben, Umfrageergebnisse, Teilnahmestatus für Termine, Adressbücher und Teams, Änderungshistorie. Dein Benutzername und deine E-Mail-Adresse werden aus der CCCHH-ID übernommen und sind für alle Nutzer\*innen einsehbar. + +#### 3.4.3 Cookies + +| Bezeichnung | Zweck | Speicherdauer | +|----|:---|:---| +| oc_sessionPassphrase | Speichert eine Passphrase, um verschiedene Seitenanfragen einer Sitzung zuzuordnen / eine\*r Benutzer\*in zuzuordnen. | Session | +| \_\_Host-nc_sameSiteCookielax/\_\_Host-nc_sameSiteCookiestrict | Vermeidung von Cross Site Request Forgery (CSRF) - Attacken | 5 Wochen | + +Die eingesetzten Cookies sowie die Session- und Local-Storage-Objekte sind gemäß § 25 Absatz 2 Nr. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als technisch erforderlich einzuordnen. Sie dürfen daher ohne deine Zustimmung auf deinem Gerät gespeichert werden. + +#### 3.4.4 Rechtsgrundlage + +Rechtsgrundlage für den technisch erforderlichen Betrieb ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit des DokuWiki). + +Rechtsgrundlage für die Nutzung eines Nextcloud-Accounts (über die CCCHH ID) ist deine Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO. + +#### 3.4.5 Empfänger oder Kategorien von Empfängern + +Eine Weitergabe personenbezogener Daten an Dritte ist nicht geplant. + +#### 3.4.6 Dauer der Speicherung + +Die gespeicherten Cookies werden nach den oben genannten Fristen automatisch gelöscht. Hochgeladene Dateien und erstellte Umfragen, Formulare oder Kontakte werden bis zur Löschung durch dich oder unsere Administrator\*innen aufbewahrt. Von uns erstellte Einträge, Umfragen oder Formulare werden nach Ende der Auswertung, spätestens nach Erreichen des Verarbeitungszwecks gelöscht. + +### 3.5 HedgeDoc + +\*TODO\* + +### 3.6 Forgejo + +\*TODO\* + +## 4. Übermittlung von personenbezogenen Daten an ein Drittland + +Deine Daten werden grundsätzlich innerhalb der Europäischen Union bzw. innerhalb der EWR-Staaten Island, Liechtenstein und Norwegen verarbeitet. Sofern wir deine Daten in einem Drittland verarbeiten, achten wir darauf, dass die Empfänger\*innen über angemessene Garantien gem. Art. 44 ff. DSGVO verfügen, um ein angemessenes Datenschutzniveau zu gewährleisten. Mögliche Garantien sind ein von der EU-Kommission festgestelltes angemessenes Schutzniveau wie z. B. in den USA, der Schweiz oder in Kanada, mit dem Empfänger abgeschlossene EU-Standardvertragsklauseln oder in Ausnahmefällen deine Einwilligung in die Datenverarbeitung. Weitere Informationen dazu erhältsts du bei unserer Datenschutzbeauftragten. + +## 5. Betroffenenrechte + +Du hast gegenüber uns folgende Rechte hinsichtlich der dich betreffenden personenbezogenen Daten: + +- Recht auf Auskunft +- Recht auf Berichtigung oder Löschung +- Recht auf Einschränkung der Verarbeitung +- Recht auf Widerspruch gegen die Verarbeitung +- Recht auf Widerruf der Einwilligung + +## 6. Recht auf Beschwerde bei der Aufsichtsbehörde + +Du hast das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, wenn du der Meinung bist, dass unsere Verarbeitung deiner personenbezogenen Daten gegen die gültigen Datenschutzgesetze verstößt. + +## 7. Links zu anderen Internetseiten + +Unsere Webseite enthält Links zu anderen Internetseiten. Wir haben keinen Einfluss darauf, dass deren Betreiber\*innen die Datenschutzbestimmungen einhalten. Trotz vorheriger sorgfältiger inhaltlicher Kontrolle können wir für externe Links zu fremden Inhalten keine Haftung übernehmen.