Datenschutz | sq cloud | sq meet

Nutzung von sq cloud (esquilin-cloud.de) und sq meet (esquilin-meet.de)

1. Allgemeine Hinweise

Die sq cloud und sq meet sind Plattformen zur Übergabe von Dokumenten / Dateien und zum Abhalten von Video-Konferenzen. Der Zugang ist nur registrierten Nutzern möglich. Registrierungen werden durch die esquilin GmbH vorgenommen. Beide Plattformen werden als als Tool in Beratungsmandate eingebrachtbringt. Die sq cloud ist zur Übergabe von Dateien vorgesehen (Transport- und Übergabefunktion). Die sq meet wird für Video-Konferenzen verwendet. Es sind nach unserer Einschätzung keine Werkzeuge, um im Sinne des Art. 26 DSGVO in gemeinsamer Verantwortung Daten zu verarbeiten. Der datenschutzrechtlich Verantwortliche ist die esquilin GmbH.

Technisch basieren die sq cloud und die sq meet auf der freien Software Nextcloud; weitere Informationen hier.

Beide Plattformen werden in Eigenregie durch die esquilin GmbH betrieben. Standort des Servers ist ein professionelles Rechenzentrum in Deutschland mit 24 x 7 Überwachung.

In der sq cloud abgelegte Dateien werden serverseitig verschlüsselt; der Server arbeitet mit automatisch gespiegelten Festplatten, sodass ein Ausfall einer Platte in der Regel nicht zu Datenverlusten führt. Eine 100%ige Sicherheit oder Garantien hinsichtlich der Verfügbarkeit können wir jedoch nicht aussprechen. Der Server / die sq cloud ist insofern nicht zur Ablage von Dateien geeignet, für die es nicht an einem anderen Ort weitere Versionen gibt, die eine fehlende Verfügbarkeit oder einen Verlust kompensieren könnten.

Es wird empfohlen, Dateien von hoher Vertraulichkeit vor der Ablage auf der sq cloud zusätzlich individuell zu verschlüsseln.

Bei allen eben erläuterten möglichen technischen Einschränkungen halten wir die Verwendung der sq cloud im Vergleich zu einem Versand per E-Mail oder einem Transport per Datenträger oder Ausdruck dennoch für die bessere Variante.

Die Verwendung der sq meet wird von unserer Seite für Video-Konferenzen bevorzugt, weil das Herz der Datenverarbeitung ausschließlich auf unserem Server stattfindet (kein Google, kein Zoom, kein Microsoft, kein sonstiger Dritter).

Der Hersteller der verwendeten Software bietet einen Security Scan individueller Installationen an. Sie können den Sicherheitsstand der sq cloud und sq meet hier prüfen. Beide Plattformen sowie die jeweils darunter liegenden dedizierte Linux-Server werden regelmäßig mit Updates versorgt.

2. Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf der sq cloud und sq meet erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners (PC, Smartphone, Tablet etc.). Hierbei handelt es sich um die Informationen, die Webserver üblicherweise auf jeder Webseite aufnehmen und verarbeiten:

  • Die IP-Adresse des Nutzers
  • Das Betriebssystem des Nutzers
  • Weitere Informationen zum Endgerät des Nutzers (wie z.B. den Browsertyp und -version, die Bildschirmauflösung etc.)
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Die Anlage eines Zugangs zur sq cloud erfordert die Hinterlegung einer individuellen User-ID sowie einer E-Mail-Adresse. Der Nutzer muss zudem ein Passwort setzen. Korrespondierend zur User-ID wird auch ein Klar- bzw. Anzeigename des Nutzers gespeichert. Das System registriert jeden Zugriff und zeigt Administratoren an, wann der letzte Zugriff erfolgte. Nutzer können eine individuelle Anzeigesprache wählen; auch diese Information wird gespeichert und den Administratoren angezeigt.

Fehlerhafte bzw. gescheiterte Anmeldeversuche in der sq cloud werden in Logfiles mit Angabe der IP-Adresse gespeichert.

Für die Nutzung der sq meet werden Links als Einladung versandt; Accounts werden auf dieser Plattform nicht bereitgestellt.

3. Zweck und Rechtsgrundlage der Datenverarbeitung

Die Speicherung einer User-ID sowie eines individuellen Passwortes ist erforderlich, um eine Nutzerauthentisierung durchführen zu können. Die Speicherung des Namens und der Anzeigesprache dient dem Komfort bzw. der Nutzbarkeit des Systems. Die E-Mail-Adresse wird gespeichert, um mit dem Nutzer in Kontakt treten zu können oder eine automatisierte Passwortrücksetzung zu ermöglichen. Zusammengefasst erfolgt die Verarbeitung dieser Daten somit, um die sq cloud (komfortabel und sicher) nutzbar zu machen.

Da die sq cloud sowie die sq meet keine zugesicherten Leistungen unserer Beratungsverträge und somit nicht Bestandteil unserer Verträge. Da wir diese Services optional anbieten und eine Nutzung nur erfolgt, wenn unsere Kunden oder Interessenten jeweils das Angebot annehmen, kommt rein formell betrachtet jeweils ein Vertrag zustande, sodass alle erforderlichen Datenverarbeitungen zur Erfüllung des Vertrages auf die DSGVO-Rechtsgrundlage ‘Vertrag’ abgestellt werden können (Art. 6 Abs. 1 lit. b).

Nicht alle Verarbeitungstätigkeiten zur Absicherung der Website sind im engeren Sinne zur Erfüllung des Vertrags (Dateiübergabe, Teilnahme an einer Video-Konferenz) erforderlich; dies tun wir aus dem Interesse, unsere Server gegen Malware oder Missbrauch abzusichern. Hierfür berufen wir uns folglich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Einen Rückschluss auf die Person, die unsere Seiten aufgerufen hat, kann am ehesten über die IP-Adressen erfolgen. Unser Webserver anonymisiert deshalb die IP-Adresse, sobald die Webseite ausgeliefert wurde.

Sobald unser System auffällige bzw. illegitime Zugriffe feststellt, speichern wir in separaten Programmen außerhalb der normalen Webserver-Funktionalität die frageliche IP-Adressen oder sq cloud User-ID. Als auffällig gelten insbesondere wiederholte Zugriffsversuche auf uns vorbehaltene Adminzugänge. Diese Daten nutzen wir, um diese Nutzer (IP-Adressen) für weitere Zugriffe ggf. zu sperren oder verwenden sie zur Aufklärung von Angriffen bzw. Angriffsversuchen auf unsere Server bzw. die sq cloud. In Einzelfällen übergeben wir diese Informationen auch an Ermittlungsbehörden.

Die Verarbeitung der IP-Adresse sowie die Speicherung bei illegitimen Zugriffen erfolgt, um die Funktionsfähigkeit der Website sicherzustellen und andere Daten zu schützen. Die Verarbeitung erfolgt insofern im Rahmen einer Interessenabwägung; sie ist erforderlich, um einen sicheren Betrieb der Website zu ermöglichen. Hieraus folgt formell die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Eine Auswertung der nicht anonymisierten Daten zu Marketingzwecken findet in nicht statt.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine andere Rechtsgrundlage die Speicherung erlaubt oder gebietet.

Im Falle der Erfassung der Daten zur Bereitstellung der Website ist regelmäßig dies der Fall, wenn die jeweilige Sitzung beendet ist. Eine darüberhinausgehende Speicherung in Logfiles erfolgt nach Verfremdung der Daten, sodass eine Zuordnung des aufrufenden Clients (Nutzer) nicht mehr möglich ist.

Angriffe auf IT-Systeme erfolgen in vielen Fällen gut getarnt, sodass sie nicht unmittelbar auffallen. Für die Erkennung und Aufklärung der Angriffe sind jedoch Beobachtungen wiederkehrender Muster wichtig. Durch illegitime Zugriffe auffällige IP-Adressen werden inkl. der sonstigen aus dem Zugriff ermittelten Daten (s.o.) deshalb auch im Regelfall bis zu vier Monate durch uns aufbewahrt; auch dies begründen wir mit einem berechtigten Interesse an der Aufklärung. Uns ist bekannt, dass die Länge der Speicherfrist kontrovers diskutiert wird. Vielfach wird eine Löschung nach bereits max. sieben Tagen gefordert.

Tatsächlich hat der Gesetzgeber jedoch für privatwirtschaftlich betriebene Server keine konkreten Werte vorgegeben. Für öffentliche Stellen wiederum gibt es verpflichtenden Regeln zur Protokollierung in § 76 BDSG. Mit einer Speicherdauer von bis zu vier Monaten bewegen wir uns im unteren Bereich der Frist, die hier definiert wurde; wir halten diesen Ansatz für legitim, erforderlich und interessewahrend.

Nutzerdaten innerhalb der sq Cloud werden mit der Deaktivierung der Zugänge gelöscht. Zugänge werden auf Wunsch der Nutzer deaktiviert, spätestens jedoch beim Ende der unmittelbaren Zusammenarbeit mit der esquilin GmbH.

4. Widerspruchs- und Beseitigungsmöglichkeit

Sobald eine Datenverarbeitung auf der Rechtsgrundlage “berechtigtes Interesse” erfolgt (was hier der Fall ist), muss den betroffenen Personen ein Widerspruchsrecht eingeräumt werden.

Derartige Widersprüche sind zu begründen und münden in eine erneute Interessenabwägung. Wir blicken insbesondere den Widersprüchen zur Speicherung der Daten aus illegitimen Zugriffen mit einiger Neugierde entgegen.

Widersprüche, die sich auf die Verarbeitung der IP-Adresse zur Auslieferung der Website beziehen, können nach Lage der Dinge nur dadurch aufgelöst werden, indem wir den Server abschalten oder die Betroffenen die Website nicht mehr aufrufen; denn diese rudimentäre Verarbeitung personenbezogener Daten ist technisch unumgänglich. Dasselbe gilt mit Einschränkungen für die Verarbeitung der personenbezogenen Daten innerhalb der sq Cloud.

5. Verwendung von Cookies

Die sq Cloud setzt technische Cookies auf bzw. in den Endgeräten der Nutzer dieses Services.

Bei Cookies handelt es sich um Textdateien, die im bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem System des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen oder beim Bewegen innerhalb der Website ermöglicht.

Cookies werden – einfach gesagt – verwendet, entweder um bestimmte Funktionen der Website überhaupt zu ermöglichen sowie den Komfort der Nutzung zu verbessern (technische Cookies) oder Nutzer wiederzuerkennen und nachzuverfolgen (Tracking- oder Marketing-Cookies).

Wir setzen ausschließlich technische Cookies ein und zwar nur die, die der Hersteller der für die sq Cloud verwendeten Standardsoftware zum Betrieb vorgesehen hat. Die Cookies stammen ausschließlich von unserem (von uns kontrollierten) Server und beliefern niemanden (auch nicht den Hersteller der Software) mit Nutzungsinformationen. Da es sich nur um technische Cookies handelt, findet auch keine Reichweitenmessung oder Nachverfolgung der Nutzer statt (von niemanden). Diese Verwendung von Cookies erfordert keine ausdrückliche Einwilligung, was erklärt, warum unsere Website keinen Cookie-Banner verwendet (weil unnötig).

Das mit der Verwendung der beschriebenen technischen Cookies verfolgte Interesse (komfortabler und sicherer Betrieb der Website) gilt allgemein als legitim. Ohne die Verwendung der Cookies wäre der Betrieb der sq Cloud für uns nicht möglich, sodass auch eine Erforderlichkeit gegeben ist. Ein Eingriff in die Rechte und Freiheiten der Nutzer ist wiederum nicht erkennbar, sodass die Verwendung der Cookies auf Basis einer Interessenabwägung erfolgen kann und erfolgt (Art. 6 Abs. 1 lit. f DSGVO).

Die Rechtsgrundlage ‘berechtigtes Interesse’ gibt Ihnen auch beim Setzen der Cookies ein Widerspruchsrecht, was jedoch zu begründen wäre.

Falls Sie die Verwendung von Cookies konsequent unterbinden wollen, können Sie dies gewöhnlich durch Einstellungen in Ihrem Internetbrowser gewährleisten. Eine Nutzung der sq Cloud (esquilin.net) ist dann jedoch nicht mehr möglich, weil die Anmeldung nicht funktioniert.


Rechte | Übersicht