Höc3 - OpenServices

h1. Nutzungsvereinbarungen & Datenschutzhinweise der Höptner C3 OpenServices

{{toc}}

h2. §1 Grundsätzliches

Dieses Dokument gilt als Nutzungsvereinbarung zwischen uns (Höptner C3 GmbH) und Dir (als Betreiberin oder Betreiber eines HöC3 OpenServices Kontos) als Nutzerin oder Nutzer. Mit der Nutzung von HöptnerC3 Open Services (HöC3 Open Services, siehe [[#2-HöptnerC3 Open Services / Dienste|§2 HöptnerC3 Open Services / Dienste]]) erklärst Du Dich mit den (Nutzungs-)Bedingungen einverstanden - im Gegenzug kannst Du darauf vertrauen, dass wir unsere dargestellten Qualitätsansprüche (vor allem in Bezug auf den Schutz deiner Daten) erfüllen.

Unser Ziel ist es, möglichst vielen Menschen die Bereiche des Datenschutzes und der IT Sicherheit näher zu bringen. Gleichzeitig möchten wir mit unseren Diensten zeigen, dass OpenSource und Produktivtät durchaus vereinbar sind. Und das bei voller Kontrolle über seine eigenen personenbezogenen Daten.

Stand der hier bereitgestellten Informationen: 26.11.2022

Bei Verbesserungsvorschlägen oder Hinweisen, gern bei uns melden (siehe dazu das Absatz [[#3-Kommunikation|(3) Kommunikation]]).

Die von uns verfassten Datenschutzhinweise sind lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz. 

Teile der Nutzungsbedingungen haben wir von Malte Engeler https://legal.social/terms und https://blog.riemann.cc/projects/mastodon-privacy-policy-generator/ übernommen. Vielen Dank!

Wir betreiben die HöptnerC3 Open Services (HöC3 Open Services) mit viel Enthusiasmus, gewissenhaft und mit höchsten Ansprüchen an den Datenschutz und die IT-Sicherheit.

Bei Annahme der Nutzungsbedingung kommt ein (unentgeltliches) Vertragsverhältnis (im Sinne der EU Datenschutzgrundverordnung (DSGVO), Art. 6 Abs. 1 b) zwischen Dir und uns zustande.

Es gilt grundsätzlich:

* Zur Nutzung musst Du mindestens 16 Jahre alt sein.

* Sämtliche Dienste (§2) dürfen nur für private Zwecke genutzt werden. Solltest Du unsere Dienste für kommerzielle Möglichkeiten nutzen wollen, wende dich bitte an uns (z.B. per Mail (siehe [[#3-Kommunikation|(3) Kommunikation]]))

* Wir schließen eine Haftung für mögliche Schäden aus, die mit der Nutzung unserer kostenlosen Dienste zusammenhängen.

* Aufgrund der uns zur Verfügung stehenden Ressourcen kann es manchmal länger dauern, bis deine Anfrage beantwortet oder ein technisches Problem behoben wird. Es besteht kein Anspruch auf jederzeitigen funktionierenden Zugang zum Konto. Wir werden Downtimes aber in der Regel vorher über Mastodon / Matrix ankündigen. 

* Nutzer können über uns eingeladen werden. Wir legen viel Wert auf ein persönliches Verhältnis zu den Nutzern, so dass wir keine offene Registrierung anbieten.

* Wenn wir den Eindruck haben, dass jemand beleidigend, diskriminierend, rechtswidrig agiert oder schlicht nervtötend wird, behalten wir uns das Recht vor, Accounts zu moderieren, zu sanktionieren oder zu deaktivieren (siehe auch Absatz [[#5-Verstoß gegen diese Nutzungsbedingungen|(5) Verstoß gegen diese Nutzungsbedingungen]])

h2. §2 HöptnerC3 Open Services / Dienste

Im Folgenden stellen wir nochmal explizit heraus, welche Dienste wir anbieten. Welche Daten dabei anfallen und wie sie auf unseren Servern gespeichert werden, wird in einzelnen Nutzungsvereinbarungen erklärt, die automatisiert vor der ersten Nutzung zur Zustimmung vorgestellt werden. Alle Dienste, bis auf die Accountverwaltung selbst (im Folgenden „HöC3 IAM“, kurz für Höptner C3 Identity and Access Management), sind optional und werden je nach Absprache mit uns zur Nutzung freigeschaltet.

Unser notwendiger Basisdienst:

* *HöC3 IAM*

Allgemeine Accountverwaltung („Identity and Access Management“)

zur Verfügung gestellt mit der quelloffenen Software KeyCloak unter

https://iam.hoec3.de / https://account.hoec3.de

Unsere optionalen Dienste:

* *HöC3 Messenger*

dezentraler, föderierter Chatdienst im Matrix-Netzwerk

zur Verfügung gestellt mit der quelloffenen Software Matrix unter

"https://matrix.hoec3.de":https://matrix.hoec3.de/_matrix/static

* *HöC3 Cloud*

Cloud Speicher

zur Verfügung gestellt mit der quelloffenen Software Nextcloud unter

https://cloud.hoec3.de

* *HöC3 Mikroblog*

dezentraler, föderierter Kurznachrichtendienst im Mastodon-Netzwerk (ähnlich „Twitter“)

zur Verfügung gestellt mit der quelloffenen Software Mastodon unter

https://toot.hoec3.de

* *HöC3 Terminplaner*

Dienst für Termine und Umfragen ähnlich „doodle“

zur Verfügung gestellt mit der quelloffenen Software Framadate unter

https://terminplaner.hoec3.de

* *HöC3 GIT*

Versionsverwaltung

zur Verfügung gestellt mit der quelloffenen Software Gitea unter

https://git.hoec3.de

h2. §3 Grundsätzliches zum Datenschutz

Deine Daten gehören Dir!

Alle Deine auf hoec3.de oder hoeptner-c3.de gespeicherten Daten, Dateien, Nachrichten oder Ähnliches gehören ausschließlich Dir und das bleibt auch so. Du kannst jederzeit von uns Auskunft darüber anfordern, welche Daten wir von Dir gespeichert haben und genauso eine Löschung deiner Daten veranlassen. Du nutzt unsere Dienste auf eigene Gefahr und bist selbst verantwortlich für Deine Inhalte und alle daraus resultierenden Konsequenzen. Selbstverständlich steht es Dir frei, eigene weitere Daten in Deinem Profil zu ergänzen.

Sollten wir aufgrund gesetzlicher Bestimmungen (die wir sehr genau prüfen) gezwungen sein, nutzerbezogene Daten an staatliche Behörden weitergeben zu müssen, informieren wir, sofern möglich, darüber. Wir geben Deine Daten ansonsten nicht weiter und nutzen sie auch nicht für eigene (Marketing-)Zwecke.

Bitte beachte, dass unsere Administratoren theoretisch jederzeit Zugriff auf Deine Daten haben, sofern Du sie nicht end-to-end (E2E) verschlüsselst. Wir garantieren Dir allerdings, dass wir dies nur aufgrund technischer Erfordernisse (Bugfixing in Rücksprache mit Dir), gesetzlicher Aufforderungen oder zur Schadensabwehr (z.B. Hacker) durchführen.

h2. §4 Gesetzliche Bestimmungen

Als Anbieter von elektronischen Diensten unterliegt die Höptner C3 GmbH dem Grundsatz der Datenvermeidung und Datensparsamkeit. Deshalb erheben wir in den meisten Fällen keine oder nur so wenig wie möglich personenbezogenen Daten. Wo dies durch die von uns verwendete Software dennoch geschieht, löschen wir die Daten automatisch innerhalb kurzer Zeit.

Immer nach dem Motto: "Wo nichts gespeichert wird, kann auch nichts missbraucht oder an Dritte weitergegeben werden."

h3. (1) Haftung für Inhalte

Als Anbieter sind wir gemäß § 7 Abs. 1 "TMG(Telemediengesetz)":https://www.gesetze-im-internet.de/tmg/ für eigene Inhalte unserer Dienste nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 "TMG(Telemediengesetz)":https://www.gesetze-im-internet.de/tmg/ sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir umgehend entsprechende Schritte ergreifen.

h3. (2) Haftung für Links

Diese Instanz enthält Links zu externen Webseiten, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die verlinkten Inhalte ist stets die jeweilige Anbieterin oder Betreiberin der Seiten verantwortlich. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir umgehend die gebotenen Schritte ergreifen.

h3. (3) Urheberrecht

Die hier durch die HoeC3 OpenServices User oder uns erstellten Inhalte unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen in der Regel der schriftlichen Zustimmung der jeweiligen Autorin bzw. Erstellerin. Downloads und Kopien sind grundsätzlich nur für den privaten, nicht kommerziellen Gebrauch gestattet. Solltest Du auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir hinsichtlich derartiger Inhalte umgehend die notwendigen Schritte ergreifen.

h2. §5 Worauf du achten solltest

h3. (1) Datensicherung

Obwohl wir alles daran setzen, dass hoec3.de reibungslos läuft, ist uns dieser Hinweis wichtig: du nutzt unsere Dienste in eigener Verantwortung und auf eigene Gefahr. Wir als Höptner C3 GmbH richten unser Tun und unsere Sicherheitsmaßnahmen nach dem BSI-Grundschutz aus. Wir erstellen regelmäßig Backups, um etwaigem Datenverlust vorzubeugen.

Umso wichtiger ist es, dass Du etwas dafür tust: Es obliegt Dir, Deine bei uns gespeicherten Daten regelmäßig auf einem eigenen Speichermedium zu sichern. Die Sicherung dient der Schadensminderung in dem nie ganz auszuschließenden Fall eines Verlustes oder einer Beschädigung Deiner Daten.

h3. (2) Sichere Passwörter

Du bist aufgefordert, Deine Daten mit einem sicheren Passwort zu schützen. Um sowohl unser System als auch deine Daten zu schützen, lassen wir nur Passwörter zu, die eine minimale Komplexität aufweisen und nicht bereits in Passwortlisten im Internet kursieren. Du findest ausführlichere Informationen zu unseren Passwortrichtlinien in den Anlagen. Dein Passwort darf nur dir persönlich bekannt sein. Eine Weitergabe des Passworts ist strengstens untersagt. Du hast Sorge dafür zu tragen, dass dein Passwort stets verdeckt eingegeben werden kann. Dies gilt insbesondere in öffentlichen Plätzen, wie Flughäfen, Bahnhöfen, Veranstaltungen, etc.

Für optimalen Schutz empfehlen wir auch die Nutzung eines zweiten Faktors zum Login, z.B. die simple und offene "„freeOTP“-App":https://freeotp.github.io/, die in allen App-Stores kostenlos verfügbar ist. Für einige Dienste behalten wir uns vor, den zweiten Faktor standardmäßig vorzugeben.

Für Einstellungen zu beidem schau auf die Seite für das Accountmanagement in unserem *HöC3 IAM*-Service unter https://account.hoec3.de.

h3. (3) Kommunikation

Es kann vorkommen, dass wir mit Dir Kontakt aufnehmen wollen, um dich über wirklich wichtige Dinge zu deinem Account oder deinen Daten zu informieren. Da wir so wenige persönlichen Daten wie möglich über dich speichern möchten, werden wir dich in diesen Fällen über Deinen Matrix-Account innerhalb der Hoec3-openServices anschreiben, falls Du diesen nutzt. Wir bitten dich deshalb, Deinen Account regelmäßig auf neue Nachrichten zu prüfen. Dies gilt insbesondere dann, wenn Du Deinen Account üblicherweise nur zur Anmeldung für bestimmte Dienste (Cloud-Speicher, Rezepte, etc.) benutzt. Solltest Du diesen nicht benutzen wollen, teile uns bitte einen alternativen Weg mit, wie wir dich bei Bedarf erreichen können. Gerne kannst du auch Deine Mailadresse nutzen und in IAM vermerken.

Natürlich kannst Du Dich bei Fragen auch immer an uns wenden.

Verantwortliche Betreiberin der HöptnerC3 Open Services ist die Firma Höptner C3 GmbH.

Die vollständigen Kontaktdaten lauten:

> Höptner C3 GmbH

> Hintere Badgasse 3

> 96172 Mühlhausen

> mail@hoeptner-c3.de

> Matrix: @c3m1chho00:hoec3.de

h3. (4) Schutz vor Mißbrauch

Wir behalten uns das Recht vor, zu unser aller Schutz, die Nutzung eines Dienstes einzuschränken, wenn dieser missbraucht wird. In folgenden Fällen wäre das bspw. möglich:

* unberechtigter Zugriff durch Dritte

* Verbreitung von menschen- und verfassungsfeindlichen Inhalten

* Aufrufe zu Straftaten

* Verteilung von Schadsoftware

* Erstellung von Bots oder Bridges ohne Absprache mit uns

h3. (5) Verstoß gegen diese Nutzungsbedingungen

Solltest Du gegen unsere Nutzungsbedingungen verstoßen, behalten wir uns das Recht vor, Dich und Deinen Account sofort und ohne Ankündigung zu sperren oder zu löschen.

h3. (6) Meldung des Verstoßes gegen diese Nutzungsbedingungen

Hilf uns, diesen Service sauber zu halten, indem Du uns Verstöße oder Missbrauch meldest. Dies kannst du über die übliche [[#3-Kommunikation|Kommunikation]] an uns tun.

h3. (7) Ungenutzte Accounts

Datenschutz hat auch immer etwas mit Datenvermeidung zu tun. Deshalb ist es uns wichtig, dass auf unseren Servern ungenutzte Daten nicht unnötig "herum liegen". Wir behalten uns das Recht vor, Accounts die länger als 12 Monate nicht genutzt wurden, zu löschen. In jedem Fall werden wir dich vorher darüber benachrichtigen (siehe [[#3-Kommunikation|Kommunikation]]). Die Löschung erfolgt, sofern wir innerhalb von vier Wochen keine Reaktion auf unsere Nachricht erhalten.

h3. (8) Beendigung der Nutzung / Tod

Sofern Du Deinen Zugang zu einem unserer Dienste nicht mehr benötigst, teile es uns mit. Wir löschen dann auf deinem Wunsch den Zugang und alle gespeicherten Daten.

Du stimmst zu, dass mit Deinem Tod alle Rechte an deinem Account, inklusive aller gespeicherten Daten enden und wir berechtigt sind, Deine Daten zu löschen.

h3. (9) Änderungen dieser Vereinbarung

Wir behalten uns das Recht vor, diese Richtlinie zu verändern. Alle Änderungen können über die Versionshistorie nachvollzogen werden. Im Regelfall informieren wir hierzu aber rechtzeitig.

h2. §6 Technisches

h3. (1) Verfügbarkeit

Der Ausfall von Diensten ist immer ärgerlich. Für dich kann es bedeuten, dass du an deine Daten nicht heran kommst und für uns entsteht Arbeit, da wir natürlich wollen, dass der Dienst schnellstmöglich wieder verfügbar ist. Eine Angabe zur monatlichen oder jährlichen Verfügbarkeit unserer Dienste haben wir nicht zu bieten.

Falls Dir etwas komisch vorkommt, zögere nicht, uns eine Nachricht zu schicken. 

Wie schnell wir im Falle eines Problems reagieren, kann unterschiedlich sein. Da wir viele der kostenlosen Dienste der hoec3.de nebenbei betreiben, hängt es immer davon ab, wie sehr uns unsere sonstigen Verpflichtungen gerade fordern.

Eins noch dazu: neben den unerwarteten Ausfällen kann es auch geplante Auszeiten geben. Beispielsweise müssen wir bei der Aktualisierung von Diensten diese meist kurz ausschalten. Kommerzielle Anbieter bezahlen dafür Menschen, die solche Wartungsarbeiten mitten in der Nacht durchführen, wo kaum jemand etwas davon mitbekommt. Da wir durchaus zu den üblichen Zeiten schlafen gehen, führen wir solche Wartungsarbeiten gelegentlich auch am frühen Abend oder am Wochenende Abend durch.

Generell versuchen wir rechtzeitig über unsere üblichen Kanäle zu informieren.

h3. (2) Verschlüsselung

Zusätzlich sind unsere Systeme mit einer Festplattenverschlüsselung ausgerüstet. Dadurch sind deine Daten vor fremden Zugriff, also vor Einbrechern, Behörden oder anderen neugierigen Wesen geschützt.

Bitte beachte, den Unterschied zwischen einer Festplattenverschlüsselung und verschlüsselt gespeicherten Daten: auf einer verschlüsselten Festplatte liegen Daten in der Regel unverschlüsselt vor. Jede Person mit Zugriff auf das System kann die Daten lesen. Verschlüsselt gespeicherte Daten liegen (wie es der Begriff schon sagt) verschlüsselt vor und nur Personen mit dem passenden Schlüssel können die Daten lesen. Während also verschlüsselte Festplatten dafür sorgen, dass niemand von außen Zugriff auf deine Daten hat, sorgen verschlüsselt gespeicherte Daten dafür, dass niemand von innen deine Daten lesen kann.

Beim *HöC3 Messenger* und der *HöC3 Cloud* liegt eine E2E-Verschlüsselung vor, so dass nur Du Zugriff auf deine Daten hast. Bitte beachte, dass MetaDaten, wie zum Beispiel Dateinamen anfallen können. Weiter erheben wir zur IT-Sicherheit Log-Daten, die 7-14 Tage vollständig (keine weiteren Anonymisierungsverfahren) gespeichert werden. Im Anschluss werden sie gelöscht oder anonymisiert, um Statistiken zur Nutzung bzw. zur Verbesserung der Services genutzt zu werden. Zum Beispiel können wir ggf. daraus ablesen, wie stark unsere Services genutzt werden, um eine höhere Serverkapazität für einzelne Services bereit zu stellen.

h3. (3) Geo-Blocking

Aufgrund der Minimierung des Angriffsvektors haben wir uns dazu entschlossen, unsere Dienste nur für ausgewählte Länder verfügbar zu machen. Unsere Server sind also nicht von überall aus erreichbar.

Aktuell sind folgende Länder freigeschaltet:

* AN - Netherlands Antilles

* AT - Austria

* AU - Australia

* BE - Belgium

* BG - Bulgaria

* CA - Canada

* CH - Switzerland

* CY - Cyprus

* CZ - Czechia

* DE - Germany

* DK - Denmark

* ES - Spain

* EU - European Union

* FI - Finland

* FK - Falkland Islands (Malvinas)

* FO - Faroe Islands

* FR - France

* FX - France, Metropolitan

* GB - United Kingdom of Great Britain and Northern Ireland

* GR - Greece

* HR - Croatia

* HU - Hungary

* IE - Ireland

* IL - Israel

* IT - Italy

* JP - Japan

* LI - Liechtenstein

* LU - Luxembourg

* MC - Monaco

* NL - Netherlands

* NO - Norway

* NZ - New Zealand

* PL - Poland

* PT - Portugal

* RO - Romania

* RS - Serbia

* SE - Sweden

* US - United States of America

h3. (4) Föderation in Matrix (HöC3 Messenger)

Um die bestmögliche Kontrolle über unsere Daten zu halten, haben wir uns dazu entschieden, nur mit ausgewählten Servern zu föderieren. Solltest Du weitere Vorschläge für föderierte Server aus Deinem Bekanntenkreis haben, sag uns Bescheid.

Aktuell föderieren wir mit folgenden Servern:

* dyn.ceiwarom.de (Alter, privater Matrix Server)

* tchncs.de (Bekannt für gute Moderation und technisch versierte Absicherung)

* messenger.werner-muc.de (Firma Werner GmbH für Kundenkontakte)

h3. (5) Löschautomatismen in Matrix

* Messages und Media: 30 Tage

* Webserver logs: 7 Tage

* Synapse logs: 7 Tage

* IP-address logged by the Matrix homeserver: 7 Tage

* Last time you have been seen: 7 days

h2.  §7 Datenschutzhinweise

Diese Datenschutzhinweise klären Dich darüber auf, welche Informationen bei der Nutzung unserer Dienste verarbeitet werden und welche Rechte Du gegenüber uns, dem Betreiber der Dienste, hast. 

h3. (1) Datenverarbeitung bei Aufruf der Startseite, Registrierungsmaske und Nutzung im Allgemeinen

Sobald Du unsere Dienste aufrufst, um dich zu registrieren oder auch während der Nutzung im Allgemeinen, wird eine Verbindung zum Webserver aufgebaut, auf dem diese Instanz betrieben wird. Um dem Browser Deines Endgeräts die Seite anzeigen zu können, werden dabei entsprechend dem HTTP und TCP/IP Protokoll gewisse Daten verarbeitet. Dazu gehören:

* die IP-Adresse Deines Internetanschlusses, 

* die Betriebssystemversion Deines PCs, Tablets oder Smartphones, 

* der von Dir genutzte Internetbrowser sowie 

* der Zeitpunkt Deines Zugriffs auf die Webseite. 

Diese technischen Daten werden verarbeitet, damit unsere Dienste von dem Webserver an Dein Endgerät übermittelt und von Deinem Browser richtig verarbeitet und angezeigt werden kann. Nach jedem Seitenbesuch werden einige dieser Daten in Logs gespeichert. Wir verarbeiten diese Daten zu Zwecken der Wartung und Sicherheit des Servers, löschen IP-Adressen aber nach spätestens 14 Tagen, in der Regel früher. 

Die Datenverarbeitung erfolgt dabei gemäß Art. 6 Abs. 1 Buchst. b) DSGVO im erforderlichen Umfang, um Ihnen den Aufruf der Dienste sowie die Registrierung im Rahmen des Nutzungsverhältnisses zwischen uns und Dir (dem Betreiber des HöC3 OpenServices Kontos) zu ermöglichen sowie zur Erfüllung der Verpflichtung zur Ergreifung technisch-organisatorischer Schutzmaßnahmen.

h3. (2) Datenverarbeitung bei der Registrierung

Im Rahmen der Registrierung verarbeiten wir grundlegende Kontoinformationen: Dazu zählen Benutzername, (ggf. optional) E-Mail-Adresse und Passwort. Du kannst auch zusätzliche Profilinformationen wie etwa einen Anzeigenamen oder eine Biografie eingeben und ein Profilbild oder ein Headerbild hochladen. Der Benutzername, der Anzeigename, die Biografie, das Profilbild und das Headerbild werden dann immer öffentlich angezeigt.

Die Datenverarbeitung im Rahmen der Registrierung erfolgt dabei gemäß Art. 6 Abs. 1 Buchst. b) DSGVO im erforderlichen Umfang, um Ihnen den Aufruf die Registrierung im Rahmen des Nutzungsverhältnisses zu ermöglichen.

h3. (3) Datenverarbeitung bei der Nutzung

# *Dein IAM / KeyCloak-Konto*

#* Benutzername (von uns vorgegeben)

#* Weitere von dir hinzugefügte Daten (z.B. Vorname, Nachname, Mailadresse)

#* Gruppenzugehörigkeit (nutzbare Dienste)

# *Dein HöC3 Microblogging/Mastodon-Konto*

#* Es werden Profildaten in Form von Beiträgen (toots), Abonnements (following), Abonnenten (follower), Inhaltsbewertungen (likes) und Aktionen (boosts) zur Veröffentlichung im Rahmen von Profil- und Beitragsseiten verarbeitet.

Bei registrierten Nutzern verarbeiten wir Ihre Profildaten zur Bereitstellung des Dienstes. Bei Nutzern anderer Instanzen speichern und zeigen wir öffentliche Profildaten und berufen uns dabei auf unser berechtigtes Interesse, bis sie widersprechen und in jedem Fall, wenn sie ihren Beitrag oder andere Daten löschen (unsubscribe, unlike, unboost).

#* Beiträge, Folge- und andere öffentliche Informationen:

Die Liste der Leute, denen Du folgst, wird öffentlich gezeigt, das gleiche gilt für Deine Folgenden (Follower). Sobald Du eine Nachricht übermittelst, wird das Datum und die Uhrzeit gemeinsam mit der Information, welche Anwendung Du dafür verwendet hast, gespeichert. Nachrichten können Medienanhänge enthalten, etwa Bilder und Videos. Öffentliche und ungelistete Beiträge sind öffentlich verfügbar. Sobald Du einen Beitrag auf Deinem Profil anpinnst, ist dieser ebenfalls öffentlich verfügbar. Deine Beiträge werden an Deine Folgenden ausgeliefert, was in manchen Fällen bedeutet, dass sie an andere Server(andere Instanzen) ausgeliefert werden und dort Kopien gespeichert werden. Sobald Du Beiträge löscht, wird dies ebenso an Deine Follower ausgeliefert. Die Handlungen des Teilens und Favorisieren eines anderen Beitrages sind immer öffentlich.

#* Direkte und "Nur Folgende"-Beiträge:

Alle Beiträge werden auf dem Server gespeichert und verarbeitet. "Nur Folgende"-Beiträge werden an Deine Folgenden und an Benutzerinnen, die Dich erwähnen, ausgeliefert, direkte Beiträge ("Direktnachrichten") nur an in ihnen erwähnte Benutzerinnen. Direktnachrichten sind allerdings nicht Ende-zu-Ende verschlüsselt und daher auch durch uns sowie ggf. den Serverbetreibenden der Instanz des Empfängers einsehbar. Wir können nur sicherstellen, dass Unbefugte keinen Zugang zu den auf unserer Instanz gespeicherten Beiträgen haben, jedoch könnten andere Server/Instanzen dabei scheitern. Deswegen ist es wichtig, die Instanz, zu denen Deine Folgenden gehören, zu überprüfen. Du kannst auch eine Option in den Einstellungen umschalten, um neue Folgende manuell anzunehmen oder abzuweisen. Bitte beachte, dass die Betreibende des Server und jedes empfangenden Servers solche Nachrichten anschauen könnten und dass Empfängerinnen von diesen eine Bildschirmkopie erstellen könnten, sie kopieren oder anderweitig weiterverteilen könnten. Teile daher keine sensiblen Informationen über Mastodon.

#* Internet Protocol-Adressen (IP-Adressen) und andere Metadaten:

Sobald Du dich anmeldest, erfasst Mastodon sowohl die IP-Adresse, von der aus Du dich anmeldest, als auch den Namen Deiner Browseranwendung. Alle angemeldeten Sitzungen (Sessions) sind für die Überprüfung und Widerruf in den Einstellungen verfügbar. Die letzte verwendete IP-Adresse speichert Mastodon bis zu 12 Monate lang. Wir arbeiten daran, die Speicherdauer durch Mastodon deutlich zu reduzieren, aktuell ist sie jedoch durch Mastodon in dieser Form vorgegeben und damit auch für den Betrieb dieser Instanz erforderlich. 

#* Um eine sichere Interaktion zu gewährleisten, wird das Cookie "_mastodon_session" mit einer Kennung im Browser von registrierten und nicht registrierten Website-Besuchern, bis diese ihren Browser schließen. Bei registrierten Website-Besuchern speichert das Cookie '_session_id' deren Login-Status bis zum Logout. Auf der Grundlage der Zustimmung des Nutzers speichert die Website auch die Einstellungen für Push-Benachrichtigungen im Browser.

#* Beiträge von Drittanbietern:

Wir verarbeiten personenbezogene Daten, wenn Nutzer von Drittdiensten mit ActivityPub-Unterstützung (das ist das Protokoll, damit z.B. die verschiedenen Mastodon Server miteinander kommunizieren können) mit seinen Konten interagieren. Um öffentliche Profilseiten mit Profildaten anzureichern, werden folgende Daten gemäß den Anforderungen des ActivityPub-Protokolls verarbeitet:

#** IP-Adresse des Drittdienstes

#** Anzeigename, Kontoname und Profilbild

#** Aktuelles Datum und Uhrzeit

#* Profildaten

Diese Verarbeitung ist notwendig, um eine föderierte Mastodon-Instanz zur Verfügung zu stellen und basiert daher auf Art. 6 Abs. 1 Buchst. f) DSGVO (unserem berechtigen Interesse), mit Ausnahme von personenbezogenen Daten, die nicht erforderlich sind, wie der Anzeigename und das Profilbild, deren Verarbeitung auf Art. 6 Abs. 1 Buchst. a) DSGVO (Einwilligung) basiert. Wir speichern Profildaten aus Abonnements von kompatiblen Drittdiensten, bis es über diesen Dienst oder direkt vom Nutzer eine Aufforderung zur Löschung oder zum Widerspruch (unsubscribe, unlike, unboost) erhält.

# *Dein HöC3-Messenger/Matrix-Konto*

#* Zugangsverwaltung: ggf. Vor- & Nachname(n), Matrix-ID, Anzeigename

#* Authentifizierung: Nutzername und Passwort

#* Benutzerinhalte: alle Daten, die Du in das System eingibt (Ende-zu-Ende-verschlüsselt möglich), wie Nachrichten, Bilder, Dateien, Mailadresse, Profilbild Spitzname

#* Geräteidentifikation: IP-Adressen mit Zeitstempel und Gerätename; verwendete Art des Endgerätes (Mobil / Desktop), Betriebssystem

#* Serverprotokoll: IP-Adressen mit Zeitstempel

#* Zukünftig: Audio-/Video-Telefonie: IP-Adressen, AV-Daten

# *Dein HöC3 Cloud-Konto*

#* Benutzerkennung

#* Inhalte die du hochlädst und einstellst: Dateien aller Art, Kalender, Kontakte, Aufgaben, Rezepte, Notizen und weitere Daten die in verschiedene Apps der Nextcloud eingefügt werden</p></li>

#* Auf unserer Nextcloud&#45;Instanz können Nutzer Inhalte an andere Nutzer oder externe Personen freigeben. Es können unter anderem Dateien, Ordner, Kalender, Termine und Aufgaben freigegeben werden. </p></li>

#* Aktivitäten

Auf unserer Webseite werden die Änderungen der Nutzer:innen an jeglichen Inhalten gespeichert. Dadurch ist eine Nachverfolgung, wer eine Änderung erwirkt hat, möglich. Diese können von anderen Nutzer:innen, welche Zugriff auf die jeweiligen Inhalte haben, eingesehen werden. Es werden folgende personenbezogenen Daten dabei übermittelt:

#** Lokaler Benutzername oder Benutzerkennung

#** Betroffener Inhalt

#** Art der Änderung

#** Zeitpunkt der Änderung

#** IP-Adressen der teilnehmenden Personen in System-Logs

#* Kalender, Termine und Aufgaben

Auf unserer Webseite können Nutzer:innen Kalender erstellen, bearbeiten und löschen. Dadurch ist es möglich, Termine und Aufgaben zu verwalten. Es werden folgende personenbezogenen Daten dabei übermittelt:

#** Lokaler Benutzername oder Benutzerkennung</p></li>

#** Kontaktdaten mit allen dazugehörigen Attributen, darunter fallen unter anderem: Titel, Ort, Beschreibung, Datum und Uhrzeit, Status, Teilnehmer</p></li>

#** Aufgaben mit allen dazugehörigen Attributen, darunter fallen:

Titel Beschreibung Status

#** Zeitpunkt der letzten Änderung

#* Collabora

Auf unserer Webseite können Nutzer Dokumente bearbeiten. Hierfür kann der Dienst Collabora genutzt werden. Dieser läuft unter der Domain collabora.hoec3.de und wird ebenfalls von uns bereitgestellt. Es werden folgende personenbezogenen Daten dabei übermittelt:

#** Lokaler Benutzername oder Benutzerkennung der Universität Hamburg

#** Name der Nutzer

#** Inhalte der Datei und alle dazugehörigen Attribute

# *Der HöC3 Terminplaner*

#* Nutzungsdaten:

Wir erheben und speichern auf diesem Server keine Nutzungsdaten.

#* Cookies:

Framadate-Software nutzt ein Session-Cookie „PHPSESSID“ , das nicht zum Tracking genutzt werden kann und beim Beenden des Browsers gelöscht wird.

#* Formulardaten:*

*Wenn Du unseren Terminplaner bzw. Umfragedienst nutzt, verwenden wir die von Dir eingegebenen Daten ausschließlich zu diesem Zweck. Die von Dir eingegebenen Daten  -  und nur diese  -  werden in einer Datenbank vorgehalten. Rechtsgrundlage dieser Verarbeitung ist Deine Einwilligung gemäß Art. 6, Abs. 1, lit. a  -  DS-GVO, sofern du kein registrierter Nutzer der HoeC3-OpenServices bist.

#* Umfragen und deren Inhalt werden in unregelmäßigen Abständen durch uns über das System bereinigt (spätestens nach 6 Monaten nach Ablauf der Umfrage). Du kannst deine Umfragen allerdings auch selbst löschen. Beachte, dass deine Umfragen nicht verschlüsselt gespeichert werden.

# *Dein HöC3 Git Konto*

Für alle Daten, welche du beiträgst, z. B.

#* Code

#* Inhalt

#* Kommentare

#* Repositories

#* Accountdaten

#* Einstellungen

hast du die volle Verantwortung und Kontrolle. Du kannst neue Sachen hinzufügen, erweitern und abändern. Falls Daten auf der Plattform nicht durch Dich geändert werden können, ist dies als technischer Fehler zu betrachten und muss schnellstens behoben werden. Bitte melde solche Fälle und andere Fehler an den uns.

# *Technische Log-Daten Webserver / Reverse Proxy / Anwendungen*

Wir weisen daraufhin, dass wir zur Aufrechterhaltung unserer IT Sicherheit Log-Daten von unseren Webservern erfassen lassen. Dies können sein: IP-Adresse, Produkt- und Versionsinformationen über den verwendeten Browser und das Betriebssystem, Datum und Uhrzeit der Anfrage. Außerdem werden der Status und die übertragene Datenmenge im Rahmen dieser Anfrage erfasst.

Diese Daten werden für eine begrenzte Zeitdauer (maximal 7 Tage) gespeichert. Die Rechtsgrundlage für die Nutzung der Server-Log-Dateien ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus der Notwendigkeit für den Betrieb unserer Dienste, insbesondere um Fehler der Dienste festzustellen und zu beseitigen, um Anpassungen oder Verbesserungen vorzunehmen und die Sicherheit des Systems zu gewährleisten.

Grundsätzlich sind wir bemüht, keinerlei Log-Daten zu erheben. Im Regelfall werden neben den ERROR-Logs (Fehlermeldungen des Systems) keine weiteren Log-Daten gespeichert.

h3. (4) Rechtsgrundlage

Die Datenverarbeitung im Rahmen der Nutzung erfolgt dabei gemäß Art. 6 Abs. 1 Buchst. b) DSGVO im erforderlichen Umfang, um Dir die Nutzung Deines HöC3-OpenServices Accounts im Rahmen des Nutzungsverhältnisses zu ermöglichen. Sofern Du weitere Daten eingibst, die nicht zur Bereitstellung unserer Dienste notwendig sind, dann geschieht dies durch Deine Einwilligung gemäß gemäß Art. 6 Abs. 1 Buchst. a). Für die Logdaten und die Daten von Drittservern (z.B. im Rahmen der ActivityPub-Unterstützung) gilt unser berechtiges Interesse gemäß Art. 6 Abs. 1 Buchst. f) DSGVO.

h3. (5) Nutzung von Cookies

Einige Dienste verwenden Cookies (kleine Textdateien, die Deinen Browser eindeutig unterscheidbar von anderen machen), um Dir Kern- und Komfortfunktionen bereitzustellen. Diese Cookies ermöglichen es u.a. der Instanz Deinen Browser wiederzuerkennen und, sofern Du ein registriertes Konto hast, diesen mit Deinem registrierten Konto zu verknüpfen. Alle davon sind technisch notwendig, um die Nutzung zu ermöglichen (§25 Abs. 2 Nr. 2 TTDSG). Es findet kein Tracking statt.

h3. (6) Datenverarbeitung bei der E-Mail-Kommunikation (Kontaktaufnahme/Anfrage)

Wenn Du dich per E-Mail an die Administration wendest, wird Deine E-Mail samt Absenderadresse und Inhalt verarbeitet und gespeichert, um die Kommunikation mit Dir abzuwickeln. Diese Informationen werden so lange gespeichert, wie es erforderlich ist, um dem Inhalt Deines Anliegens gerecht zu werden. Sofern nicht die besondere Natur unserer Kommunikation es erfordert, werden die alten E-Mails in der Regel ein Jahr nach dem Empfang der letzten Rückmeldung von Dir gelöscht.

Die Speicherung und Nutzung der in den E-Mails enthaltenen Daten sowie Deiner Kontaktdaten erfolgt im erforderlichen Umfang aufgrund unseres berechtigten Interesses an der Abwicklung der Kommunikation mit Dir, soweit Deine Interessen dem nicht entgegenstehen (Art. 6 Abs. 1 Buchst. f) DSGVO).

h3. (7) Deine Rechte

Du hast das Recht, zu verlangen,

* dass wir Auskunft über die Dich betreffenden und von uns hier verarbeiteten personenbezogenen Daten geben (Art. 15 DSGVO). 

* dass wir unrichtige Daten berichtigen (Art. 16 DSGVO). 

* dass Deine Daten gelöscht werden, wenn diese z.B. nicht mehr erforderlich für den ursprünglichen Zweck sind oder Streit darüber besteht, ob wir bestimmte Daten rechtmäßig verarbeiten (Art. 17 DSGVO). 

* die Einschränkung der Verarbeitung, wenn die Voraussetzungen des Art. 18 DSGVO vorliegen. 

* die Dich betreffenden personenbezogenen Daten, die Du mir bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art. 20 DSGVO). 

* Insbesondere kannst Du aus Gründen, die sich aus einer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund von Art. 6 Abs. 1 Buchst. e) oder f) DSGVO erfolgt, Widerspruch einlegen (Art. 21 DSGVO). 

Bezüglich aller genannten Rechte gilt dabei: Ein entsprechendes an uns per E-Mail oder schriftlich per Post (Adresse in §5 Abs. 3) übermitteltes Verlangen genügt, um Deine Rechte in Anspruch zu nehmen.

Gleichzeitig bieten einige Services auch automatische Datenexporte an. Z.B. kanst du in dem Client Elemenent (für DEN HöC3 Messenger / Matrix) einzelne Chats eigenständig exportieren.

Solltest du hierfür Hilfe benötigen, wende dich gerne an uns!

h3. (8) Verantwortlicher im Sinne des Datenschutzrechts

> Höptner C3 GmbH

> Hintere Badgasse 3

> 96172 Mühlhausen 

> mail@hoeptner-c3.de

h3. (9) Zuständige Datenschutzaufsicht

Solltest Du der Meinung sein, dass wir das geltende Datenschutzrecht verletzen, dann kannst Du Dich jederzeit an eine Datenschutzaufsichtsbehörde wenden. Für uns im Kontext des Betriebs unserer Dienste (§2) zuständig ist das

> _Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)_

> _Promenade 18_

> _Postfach 1349_

> _91522 Ansbach_

> _Telefon: +49 (0) 981 180093-0_

> _Telefax: +49 (0) 981 180093-800_

> _E-Mail: poststelle@lda.bayern.de_

> Website: _https://www.lda.bayern.de/_

h2. §8 Anhänge

h3. (1) Passwortrichtlinien

h4. 1. Allgemeines

* Passwörter DÜRFEN NICHT mehrfach verwendet werden. Auch nicht für andere Services oder Anbieter! 

* Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. 

* Passwörter MÜSSEN geheim gehalten werden. 

* Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein. 

* Passwörter DÜRFEN NUR unbeobachtet eingegeben werden. 

* Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden. 

* Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden. 

* Das Passwort DARF NICHT identisch mit dem Account-Namen oder einer eigenen Email-Addresse sein. 

h4. 2. Passwortqualität

Allgemein gilt: je mehr Zeichen, desto niedriger die Anforderungen an die Komplexität der Zeichen, um das selbe Schutzlevel abzubilden.

Mathematisch: Länge wirkt sich mulitplikativ auf die Komplexität aus, Zeichauswahl nur logarithmisch.

Multi-Faktorauthentifizierung und Erweiterung der Zeichenauswahl wirken sich nichtsdestotrotz positiv auf die Sicherheit aus, besonders bei der Verwendung eines Passwortmanagers.

|_/2. Schutzbedarf|_\3. Mindestanforderungen|

|_.Länge|_.2FA|_.Zeichenauswahl|

|normal|12|-|/3.keine einzelnen Wörter oder bekannte/geleakte Passwörter, ansonsten keine Einschränkung|

|hoch|24|Empfohlen|

|sehr hoch|32|Ja|

Manchmal lässt sich Zielsetzung nicht 1:1 in Anwendungen umsetzen. In diesen Fällen werden in den Systemen Regeln für mindestens gleichstarke Passwörter eingese

h4. 3. Passwortänderungen & -Wechsel

Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht. IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel werden vermieden.