Datenschutz made by Adacor

    Verantwortliche Stelle

    Adacor Hosting GmbH
    Emmastraße 70a
    45130 Essen
    Per Telefon: +49 69 900 2990
    Per E-Mail: datenschutz(at)adacor.com


    Aufbau der Datenschutzorganisation

    Die Adacor Hosting GmbH (im Folgenden: Adacor) ist ein in Datensicherheit und Risikomanagement nach IDW PS 951 und ISAE 3402 auditiertes Unternehmen.

    Datenschutz und Datensicherheit sind wesentliche Bestandteile unseres Geschäftsbetriebes. Adacor hat hierzu eine Datenschutz- und Datensicherheitsorganisation implementiert, die aus dem betrieblichen Datenschutzbeauftragten, dem Informationssicherheitsbeauftragten, dem IT-Compliancebeauftragten, einem Informationssicherheitsteam, umfassenden Sicherheitskonzepten, internen und externen Audits und Sicherheitsüberprüfungen besteht. Um Aktualität zu gewährleisten und Leistungen stets nach dem neuesten Stand des Datenschutzes und der Datensicherheit anbieten zu können, ist Adacor u. a. Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD), der Allianz für Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik sowie in der Initiative Cloud Services Made In Germany.

    Als Datenschutzbeauftragter ernannt ist Dr. Thomas Jäschke. Für Fragen und Anmerkungen zum Datenschutz erreichen Sie uns per E-Mail unter datenschutz(at)adacor.com und telefonisch unter +49 231 543 803 00.


    Ihre Rechte

    Sie haben bezüglich Ihrer personenbezogenen Daten die folgenden Rechte.

    Jederzeit, sofern Adacor allein oder gemeinsam Verantwortung für die Datenverarbeitung hat, können Sie diese Rechte an datenschutz(at)adacor.com gegenüber Adacor geltend machen.

    Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob wir personenbezogenen Daten über Sie gespeichert haben. Wenn Sie es wünschen, teilen wir Ihnen mit, um welche Daten es sich handelt, für welche Zwecke die Daten verarbeitet werden, wem diese Daten offengelegt werden, wie lange die Daten gespeichert werden und welche weiteren Rechte Ihnen in Bezug auf diese Daten zustehen.

    Darüber hinaus haben Sie das Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) sowie Einschränkung der Verarbeitung (Art. 18 DSGVO) Ihrer personenbezogenen Daten. Sie können auch verlangen, dass wir alle personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format entweder Ihnen oder einer Person oder einem Unternehmen Ihrer Wahl zur Verfügung stellen.

    Sie haben weiterhin das Recht nicht einer auf ausschließlich automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet.

    Sofern wir Datenverarbeitungen auf Ihre Einwilligung stützen, haben Sie das Recht Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Den Widerruf richten Sie möglichst per E-Mail an datenschutz(at)adacor.com. Die Rechtmäßigkeit der Verarbeitung Ihrer Daten bis zum Zeitpunkt des Widerrufs bleibt unberührt.

    Sie haben zudem das Recht jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs.1 lit. f DSGVO (Datenverarbeitung zur Wahrung eines berechtigten Interesses) erfolgt, Widerspruch (Art. 21 DSGVO) einzulegen. Im Falle Ihres Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Wenn Sie der Ansicht sind, dass unsere Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie nach Art. 77 Abs. 1 DSGVO das Recht sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren.
    Hierzu gehört auch die für Adacor zuständige Datenschutzaufsichtsbehörde:

    Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
    Postfach 200444
    40102 Düsseldorf
    0211/38424-0
    poststelle@ldi.nrw.de


    Datenverarbeitungen im Kundenportal

    In unserem Kundenportal finden folgende Verarbeitungen Ihrer personenbezogenen Daten statt.


    Bereitstellung des Kundenportals und Erstellung von Logfiles

    1. Beschreibung und Umfang der Datenverarbeitung

    Bei jedem Aufruf unseres Kundenportals erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

    Folgende Daten werden hierbei erhoben:

    1. Informationen über den Browsertyp und die verwendete Version
    2. Das Betriebssystem des Nutzers
    3. Die IP-Adresse des Nutzers
    4. Datum und Uhrzeit des Zugriffs
    5. Websites, von denen das System des Nutzers auf unsere Internetseite gelangt (Linklösungen)

    Zur Analyse der Nutzung unseres Kundenportals und der Identifikation potenzieller Verbesserungsmöglichkeiten verarbeiten wir die Daten der Kategorien 1-4 mithilfe des Analysetools Matomo. Dabei vermeiden wir weitestgehend personenbezogene Profile. Siehe dazu auch den entsprechenden unten stehenden Abschnitt zur Verwendung von Matomo.


    2. Rechtsgrundlage für die Datenverarbeitung

    Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.


    3. Zweck der Datenverarbeitung

    Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

    Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

    In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.


    4. Dauer der Speicherung

    Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.

    Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens 30 Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall ist durch die Verkürztung der IP-Adressen der Nutzer eine Zuordnung des aufrufenden Clients nicht mehr möglich.


    5. Widerspruchs- und Beseitigungsmöglichkeit

    Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.


    Identifikation registrierter Nutzer (User-Login)

    1. Beschreibung und Umfang der Datenverarbeitung

    Die Inhalte des Kundenportals sind nur registrierten Nutzern zugänglich. Innerhalb des Kundenportals bestehen darüber hinaus weitere differenzierte Informationszugänge, die sich aus der Zuordnung der Nutzer zu Kundenunternehmen von Adacor ergeben.

    Bei Beginn der Vertragsverhältnisses zwischen Adacor und seinen Kunden werden zugangsberechtigte Personen durch die Kunden benannt, welche die kundenspezifischen Informationszugänge und Funktionen im Kundenportal erhalten sollen (registrierte Nutzer). Adacor richtet die Zugangsdaten erstmalig ein und stellt Möglichkeiten zur Änderung der Einwahldaten für die registrierten Nutzer bereit.


    Sobald Daten in der Anmeldemaske des Kundenportals eingegeben werden, werden diese gegen Zugangsdaten bereits registrierter Nutzer geprüft. Sind die Daten korrekt eingegeben, können Nutzer das Kundenportal verwenden. Sind sie es nicht, wird die Nutzung verwehrt.

    Folgende Daten werden somit verarbeitet:

    1. jegliche eingegebene Daten in der Anmeldemaske
    2. Mail-Adresse registrierter Nutzer
    3. Passwort registrierter Nutzer
    4. konfigurierte Berechtigungen registrierter Nutzer
    5. die Firmenbezeichnung des Kunden, dem die angemeldeten registrierten Nutzer zugeordnet sind.

    Soweit für eine Fehleranalyse erforderlich, analysieren wir zudem unter Hinzuziehung der Logfiles die eingegebenen Daten (Kategorie 1).


    2. Rechtsgrundlage für die Datenverarbeitung

    Rechtsgrundlage ist die erforderliche Verarbeitung zur Erfüllung vertraglicher Pflichten gem. Art. 6 Abs. 1 lit. b DSGVO.


    3. Zweck der Datenverarbeitung

    Die Identifizierung registrierter Nutzer dient dazu, der betroffenen Person Inhalte oder Leistungen anzuzeigen, die nur Kunden von Adacor angeboten werden.


    4. Dauer der Speicherung

    Die in der Eingabemaske eingegebenen Informationen werden nur für die Dauer der aktiven Session gespeichert.

    Registrierten Nutzern steht jederzeit die Möglichkeit frei, die für die Identifikation angegebenen personenbezogenen Daten jederzeit abzuändern oder vollständig aus dem Datenbestand löschen zu lassen.


    5. Widerspruchs- und Beseitigungsmöglichkeit

    Die Verarbeitung der Daten ist für die Gewährleistung der Sicherheit und des Betriebs des Kundenportals zwingend erforderlich. Es besteht folglich seitens der Nutzer keine Widerspruchsmöglichkeit hinsichtlich der Verarbeitung eingegebenen Daten in der Anmeldemaske.


    Webanalyse durch Matomo (ehemals PIWIK)

    1. Umfang der Verarbeitung personenbezogener Daten

    Wir nutzen in unserem Kundenportal das Open-Source-Software-Tool Matomo (ehemals PIWIK) zur Analyse des Nutzung unseres Kundenportals. Dabei bedient sich das Tool zum Teil an den Informationen aus den anderen, vorab genannten Verarbeitungsvorgängen.

    Werden Einzelseiten im Kundenportal aufgerufen, so werden im Rahmen eines sogenannten "Device Fingerprintings" folgende Daten gespeichert:

    1. Zwei Bytes der IP-Adresse des aufrufenden Systems des Nutzers
    2. Die aufgerufene Webseite
    3. Die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen werden
    4. Die Verweildauer auf der Webseite
    5. Die Häufigkeit des Aufrufs der Webseite
    6. die Firmenbezeichnung des Kunden, dem die angemeldeten registrierten Nutzer zugeordnet sind.

    Die Software ist so eingestellt, dass die IP-Adressen nicht vollständig gespeichert werden, sondern 2 Bytes der IP-Adresse maskiert werden (Bsp.: 192.168.xxx.xxx). Auf diese Weise ist eine Zuordnung der gekürzten IP-Adresse zum aufrufenden Rechner nicht mehr möglich.

    Durch die Speicherung des Firmennamens kann abhängig von der Anzahl der zugeordneten Nutzer zur Firma im Einzelfall ein Rückschluss auf eine natürliche Person möglich sein. Ein solcher Rückschluss wird aber weder durch eine automatisierte noch durch eine nicht-automatisierte Datenverarbeitung durch Adacor hergestellt und ist wenn dann nur zufällig.

    Die Software läuft dabei ausschließlich auf den Servern unseres Kundenportals. Eine Speicherung der verwendeten personenbezogenen Daten der Nutzer findet nur dort statt. Eine Weitergabe der Daten an Dritte erfolgt nicht.


    2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

    Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ist das berechtigte Interesse seitens Adacor, Art. 6 Abs. 1 lit. f DSGVO.


    3. Zweck der Datenverarbeitung

    Die Verarbeitung der personenbezogenen Daten der Nutzer ermöglicht uns eine Analyse des Surfverhaltens unserer Nutzer. Wir sind in durch die Auswertung der gewonnen Daten in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer Webseite zusammenzustellen. Dies hilft uns dabei unsere Webseite und deren Nutzerfreundlichkeit stetig zu verbessern. In diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der Daten nach Art. 6 Abs. 1 lit. f DSGVO. Durch die Anonymisierung der IP-Adresse wird dem Interesse der Nutzer an deren Schutz personenbezogener Daten hinreichend Rechnung getragen.


    4. Dauer der Speicherung

    Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden.
    In unserem Fall ist dies nach sechs Monaten der Fall.


    5. Widerspruchs- und Löschungsmöglichkeit

    Gegen die Datenverarbeitung durch Device Fingerprinting kann auch Widerspruch im Sinne der DSGVO eingelegt werden. Auch kann die Löschung der oben erwähnten Daten im Sinne des Art. 17 DSGVO verlangt werden.

    Nähere Informationen zu den Privatsphäreeinstellungen der Matomo Software finden Sie unter folgendem Link: https://matomo.org/docs/privacy/.