Datenschutz

Kurze Version

Da dieser Dienst unter anderem den Sinn verfolgt, Menschen von Kommunikationsdiensten großer Konzerne, die eigentlich immer mit den eigenen Daten als Währung bezahlt werden, hin zu einer Kommunikation über freie, dezentrale Dienste zu bewegen, legen wir natürlich großen Wert darauf so wenig Nutzerdaten wie möglich zu erheben und über die, die wir erheben, aufzuklären. Hier ein paar Informationen dazu, welche Daten das sind und warum wir diese speichern:

  • Eure Passwörter werden nur gehashed auf dem Server gespeichert.
  • Client-to-Server und Server-to-Server Verbindungen verlangen eine TLS Verschlüsselung. Self-signed Zertifikate von anderen Servern werden akzeptiert, da es durchaus Menschen gibt die nur für sich selbst einen XMPP Dienst betreiben und dafür kein SSL Zertifikat eines Anbieters verwenden. In Zeiten von Let’s encrypt werden wir uns jedoch vorbehalten dies in Zukunft ebenfalls zu unterbinden. Solltest du also einen Kontakt auf einem anderen Server nicht kontaktieren können, wird dieser keine Verschlüsselung verwenden.
  • Außer der Transportverschlüsselung ist per default keine Ende-zu-Ende Verschlüsselung aktiv. Um diese zu verwenden empfehlen wir Clients, die das OTR oder OMEMO Protokoll unterstützen.
  • Eure IP Adressen werden nicht protokolliert (weder vom XMPP-, noch vom Webserver), wären aber während einer offenen Verbindung einfach herauszufinden. Um dies zu umgehen könnt ihr euch auch über unsere .onion Adresse verbinden.
  • Nach abgeschlossener Registrierung bekommen die Admins eine einmalige Nachricht mit dem Usernamen übermittelt, welche wie folgt aussieht:

    User username just registered on 5222.de from 127.0.0.1
    

    Dies dient uns als eventuelle Erstidentifizierung von Bot Registrationen, welche man zumeist an Hand der Namen oder der Menge an Registrierungen innerhalb weniger Sekunden/Minuten ausmachen kann. Die zur Registrierung verwendete IP Adresse wird immer durch die localhost Adresse ersetzt.

  • Es werden nur Error Meldungen geloggt, welche 5 Tage aufgehoben werden.

  • Zur Analyse von Fehlern, Angriffen und anderen Szenarien die den Betrieb des Dienstes stören oder behindern und nicht durch den Error-Log eingegrenzt/behoben werden können, behalten wir uns vor, für eine kurze Zeitspanne, den Debug-Log zu aktivieren, welcher mehr Informationen mit schreibt. In diesem Fall werden wir darüber informieren.

  • Der Zeitpunkt des letzte Login’s oder Logout’s werden in der Datenbank gespeichert. Dies dient lediglich zur Identifizierung von inaktiven Accounts.

  • Via http_upload hochgeladene Dateien werden nach 30 Tagen gelöscht. Sofern ihr keine Ende-zu-Ende Verschlüsselung verwendet, liegen die Dateien in dieser Zeit unverschlüsselt auf dem Server. Außerdem verschlüsseln nicht alle Clients den Filenamen der Datei (Conversation tut es mittlerweile; Gajim’s http_upload Plugin tut es bisher nicht). Seit euch außerdem im klaren darüber das jeder der die URL kennt die Dateien herunterladen kann, verwendet deshalb eine E2E Verschlüsselung die auch die Dateien verschlüsselt (z.B. OMEMO), bzw. nutzt primär die Option via Proxy zu teilen, da hier der Datenaustausch direkt zwischen den Clients statt findet.

  • Roster, Vcard und Zuordnung von http_upload zu Accounts liegen im Klartext auf dem Server.

  • Message Archive Management (MAM) ist per default deaktiviert. Dies gilt auch für MAM für Gruppenchats (mod_mam_muc). Es muss durch den User oder den Client explizit aktiviert werden. Wenn aktiviert, werden Nachrichten, welche älter als eine Woche sind, automatisch gelöscht.

  • Offline-Nachrichten werden auf dem Server zwischengespeichert, falls der Kontakt offline ist.

  • Sollte wir aufgrund eines geltenden Gesetzes zur Kooperation mit Strafverfolgungsbehörden verpflichtet sein, werden Daten gemäß der aktuellen Gesetzeslage herausgegeben.

Lange Version

Unser Dienst auf 5222.de verarbeitet, speichert und übermittelt personenbezogene Daten über dich wie folgt, in Übereinstimmung mit der EU DSGVO. Mit der Nutzung des Servers erklären du dich mit der beschriebenen Verarbeitung deiner Daten einverstanden.

Website

Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Folgende Daten werden hierbei erhoben:

  • Informationen über den Browsertyp und die verwendete Version
  • Das Betriebssystem des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Rechtsgrundlage für die Datenverarbeitung

Nach Maßgabe des Art. 13 DSGVO teilen wir Ihnen die Rechtsgrundlagen unserer Datenverarbeitungen mit. Sofern die Rechtsgrundlage in der Datenschutzerklärung nicht genannt wird, gilt Folgendes: Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO, und die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen ist Art. 6 Abs. 1 lit. f DSGVO. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

XMPP

Datenverarbeitung

Dieser Part beschreibt wie unser Dienst auf 5222.de deiner personenbezogene Daten intern verarbeitet:

Deinem Account zugehörige Informationen

Die folgenden Informationen werden benötigt, um dir den Service anbieten zu können (Art. 6.1b) und werden so lange gespeichert, wie Ihr Konto existiert:

  • Login informationen werden verschlüsselt gespeichert und niemals an Dritte weiter gegeben.
  • Deine Jabber ID (JID) wird nur an Benutzer oder Dienste weitergeben mit denen du interagierst.
  • Deine Kontaktliste (Roster, gebookmarkte Chaträume) wird nicht an Dritte weiter gegeben, außer du erlaubst es (XEP-0321: Remote Roster Management)
  • Informationen über deine Verfügbarkeit (presence) wird im RAM vorgehalten und automatisch mit deinen Kontakten oder Chaträumen, denen du beitrittst und möglicherweise anderen Diensten (Transports) geteilt. Das Datum und die Zeit deines letzten Logins wird mit deinem Account gespeichert. Dies ermöglicht uns inaktive Accounts zu identifizieren.
Benutzerinhalte

Inhalte, die du versendest oder die dir zugesandt werden, werden in deinem Namen gespeichert, so dass du von allen deinen Geräten darauf zugreifen kannst (Art. 6.1b):

  • Nachrichten, die an dich gesendet werden, während du offline bist, werden gespeichert, bis du eine Verbindung herstellst oder dein Konto gelöscht wird.
  • Die Nachrichtenarchive der gesendeten und empfangenen Nachrichten werden 7 Tage lang gespeichert, wenn du XEP-0313: Message Archive Management aktiviert hast.
  • Hochgeladene Dateien werden 30 Tage lang gespeichert (einige Clients speichern Nachrichten, aber keine Dateien, so dass diese für eine längere Zeit aufbewahrt werden).
  • Der Chatraumverlauf wird entsprechend der Konfiguration des jeweiligen Chatraums gespeichert und kann von anderen Teilnehmern veröffentlicht werden.
  • Deine öffentlichen Profilinformationen (vCard) und dein Avatar-Bild werden neben dem Konto gespeichert und können von Benutzern abgefragt werden, die deine Jabber-ID kennen.
Server logs

Um den ordnungsgemäßen Betrieb des Dienstes, einschließlich der Netz- und Informationssicherheit, zu gewährleisten, werden die Serverprotokolle 7 Tage lang gespeichert (Erwägungsgrund 49 des EU DSGVO). Es werden in der Regel nur Fehlermeldungen geloggt und sonst keine weiteren Daten. Wir behalten uns allerdings vor zu Analysezwecken das Loglevel auf Information oder Debug zu stellen. In diesem Fall enthält die Logdatei folgende Informationen:

Information
  • Metadaten (JID, C2S Verschlüsselung)
  • Nachrichteninhalt, insofern die Nachricht automatisch als Spam erkannt wurde. Diese Nachrichten werden höhst wahrscheinlich anschließend manuell begutachtet.
  • Verbindungsinformationen (Zeitstempel)
  • http_upload Slot Name des Uploades
Debug
  • Alle unter Informationen aufgezählten Informationen
  • Metadaten (Sender, Empfänger, Nachrichtentyp)
  • Verbindungsinformationen (Zeitstempel, IP Adresse)
  • Interne Informationen über die Datenverarbeitung

Datenfreigabe

Das Hauptziel des Jabber-Netzwerks ist es, deine Nachrichten an deine Kontakte zu senden und umgekehrt. Dazu werden Daten und Metadaten an die Server der jeweiligen Nutzer übermittelt, soweit dies zur Zustellung der Nachrichten erforderlich ist (Art. 6.1b).

Andere Jabber Dienste

Inhalte, die du an andere Server sendest, unterliegen deren Datenschutzrichtlinien. Die Verarbeitung auf diesen Servern unterliegt möglicherweise nicht den hohen Datenschutzstandards, die du erwartest, insbesondere wenn sich die Server außerhalb der EU befinden (Art. 49.1b).

Dein Online Status

Wenn du einem Chatraum beitrittst oder andere Benutzer zu deiner Kontaktliste hinzufügst, werden diese Benutzer (und die Betreiber ihrer Server) automatisch darüber informiert:

  • Wenn du online gehen
  • Wenn du offline gehen
  • Dein Verfügbarkeitsstatus und Deine Nachricht

Indem du einem anderen Benutzer erlaubst, sich bei dir anzumelden (normalerweise geschieht dies beim Hinzufügen zu Ihrer Kontaktliste), entscheidest du dich für diese Übertragung.

Dein öffentliches Profil

Deine öffentlichen Profilinformationen (vCard) und dein Avatar-Bild können von Benutzern abgefragt werden, die Ihre Jabber-ID kennen.

Push Dienste

Wenn du Push-Benachrichtigungen aktivierst (z.B. auf einem mobilen Client), werden die für die Durchführung der Push-Benachrichtigung erforderlichen Daten (typischerweise eine Geräte-ID und Nachrichten-Metadaten) an von der Client-Anwendung bestimmte Server übertragen (Art. 6.1b, Art. 49.1b). Die Verarbeitung auf diesen Servern unterliegt den Datenschutzrichtlinien der jeweiligen Client-Anwendung und des Push-Dienstleisters.

Berichtigung und Löschung

Du kannst die folgenden Informationen, die über dich gespeichert sind, mit einem Jabber-Client abrufen, ändern und löschen, nachdem du dich mit Ihrer Jabber-ID angemeldet haben:

  • Deine Kontaktliste und Chatraum-Lesezeichen
  • Deine vCard und Avatar
  • Deine Offline-Nachrichten
  • Dein Nachrichtenarchiv

Für alle anderen Arten von personenbezogenen Daten, die vom Dienst auf 5222.de verarbeitet werden, wende dich bitte an den unten stehenden Ansprechpartner.

Um Auskunft über die Daten zu erhalten, die bei anderen Jabber-Diensten verarbeitet und gespeichert werden, wende dich bitte an die jeweilige Ansprechpartner des Dienstes.

Ansprechpartner

Der Ansprechpartner für alle Zwecke des Datenschutzes ist:

Christoph Hüffelman E-Mail: admin@5222.de Jabber: chr@istoph.de

Du musst dich als Inhaber einer bestimmten Jabber-ID identifizieren, um Informationen darüber zu erhalten.

Wenn du die Bedingungen dieses Dienstes für inakzeptabel hältst oder andere Bedenken hast, hast du das Recht, dich an eine deutsche Datenschutzbehörde zu wenden.