Datenschutz bei mafiasi.de

Immer mehr Daten werden nicht nur lokal gespeichert, sondern auch bei Diensteanbietern. Man spricht häufig von der Speicherung „in der Cloud“. Dabei ist ein vernünftiger Datenschutz besonders wichtig. Die Fachschaft Informatik der Universität Hamburg möchte hier mit gutem Beispiel vorangehen. Es ist daher ein besonderes Anliegen der Fachschaft Informatik, offen zu kommunizieren, wie bei mafiasi.de mit Daten umgegangen wird.

Server-AG

Die Server-AG, im Folgenden auch als „wir“ bezeichnet, ist eine Arbeitsgruppe der Fachschaft Informatik der Universität Hamburg, die sich um die Bereitstellung und Administration der unter mafiasi.de angebotenen Dienste kümmert. Eine aktuelle Auflistung der Mitglieder findet sich in der Gremienvertreterliste im Fachschaftswiki. Neue Mitglieder der Server-AG werden durch die Vollversammlung der Fachschaft Informatik der Universität Hamburg bestätigt.

(Keine) Weitergabe von Daten

Wir geben grundsätzlich keine Daten an Dritte weiter, sofern wir nicht rechtlich dazu gezwungen sind oder ein explizites Einverständnis des Benutzers vorliegt. Im Falle eines Einverständnisses werden die vom Benutzer genannten Daten nur an die vom Benutzer genannten Empfänger weitergegeben.

Das Einverständnis erfolgt in der Regel elektronisch durch eine geeignete Benutzeraktion in den Diensten, beispielsweise der Freigabe eines Kalenders an eine andere Gruppe.

Speicherort

Alle Benutzerdaten befinden sich auf Servern in Rechenzentren der Universität Hamburg. Backups können auch an anderen Standorten gespeichert werden, sind dann aber vollständig verschlüsselt, so dass kein unberechtigter Zugriff stattfinden kann.

Technische und organisatorische Maßnahmen

Wir treffen technische Maßnahmen, um einen guten Datenschutz zu gewährleisten. So sind unsere Dienste, sofern technisch möglich, ausschließlich über verschlüsselte Verbindungen zu erreichen. Es wird regelmäßig geprüft, ob die verwendete Verschlüsselung dem Stand der Technik entspricht. Weiterhin setzen wir nur freie Software ein. Freie Software kann von jedem untersucht werden, insbesondere was ihren Umgang mit Daten angeht. Bei Bekanntwerden von Sicherheitslücken werden zeitnah, in der Regel innerhalb von 24 Stunden, Softwareupdates eingespielt oder andere Maßnahmen ergriffen, um die Sicherheit der Dienste zu gewährleisten.

Volle Zugriffsrechte („root-Zugriff“) auf die Server besitzen nur die Mitglieder der Server-AG.

Verzicht auf Tracking

Wir verzichten vollständig auf Methoden, die das Benutzerverhalten analysieren. Uns ist der Datenschutz an dieser Stelle wichtiger als Informationen über Benutzer, die möglichweise für die Verbesserung der Dienste verwendet werden könnten.

Einsicht während administrativer Tätigkeiten

Im Rahmen der Tätigkeiten der Server-AG kann es dazu kommen, dass die Mitglieder der Server-AG personenbezogene Daten zu Gesicht bekommen, z. B. bei der Analyse von Fehlern mit Hilfe von Logdateien (siehe Abschnitt Logdateien). Wir bemühen uns, solche Fälle zu vermeiden, können sie jedoch nicht komplett ausschließen. Gegebenenfalls eingesehene Daten werden vertraulich behandelt.

Logdateien

Um den zuverlässigen Betrieb der Dienste sicherzustellen und im Fehlerfall eine schnelle Problemlösung zu gewährleisten, werden von verschiedenen Diensten Logdateien geführt. Diese beinhalten Informationen über einzelne Anfragen oder andere Benutzeraktionen, die möglicherweise Rückschlüsse auf einzelne Benutzer zulassen. Wir speichern Logdateien für 4 Tage, ältere Logdateien werden automatisch gelöscht. Im konkreten Fehlerfall können Auszüge der Logdateien über 4 Tage hinaus gespeichert werden, um einen Fehler zu beheben oder näher zu untersuchen. Nach der Behebung oder Untersuchung des Fehlers werden solche Auszüge gelöscht. Davon unberührt bleiben die in dem Abschnitt Weitergabe genannten Fälle der Weitergabe an Dritte.

Beispiel für die Nutzung dieser Daten: Wir sehen in den Graphen zur Serverauslastung eine ungewöhnliche Lastspitze. Dann nutzen wir die Logdateien, um zu sehen, was diese Lastspitze erzeugt haben könnte. Dies kann z. B. ein fehlerhaft konfigurierter CalDAV-Client sein, der die Kalendersoftware mit Anfragen überhäuft, was im Webserver-Log sichtbar ist.

Zusätzliche Datenerhebung im Fehlerfall

Wir bemühen uns, die Dienste möglichst fehlerfrei bereitzustellen, dennoch können Fehler nicht ausgeschlossen werden. Um die genaue Ursache von Programmierfehlern zu ermitteln, setzen wir die Software Sentry ein, die wir selbst hosten. Bei einem erkannten Fehler wird ein sogenannter Stacktrace erstellt und zusammen mit den dazugehörigen Stackframes gespeichert. Diese können personenbezogene Daten enthalten, auch solche, die ursprünglich nur zur temporären Speicherung bei der Verarbeitung einer Anfrage oder Benutzeraktion gedacht waren. Diese Daten werden nach der Analyse und Behebung des Fehlers gelöscht. Davon unberührt bleiben die in dem Abschnitt Weitergabe genannten Fälle der Weitergabe an Dritte.

Langfristige Statistiken

Zur Planung der Ressourcen und weiteren Entwicklung erstellen wir langfristige Statistiken, beispielsweise zur Anzahl der HTTP-Anfragen oder der Auslastung des Servers. Die notwendigen Daten sind anonymisiert und erlauben keinen Rückschluss auf einzelne Benutzer oder Gruppen.