Diese Seite beschreibt welche personenbezogenen Daten auf unserem Server gespeichert werden und was mit diesen Daten passiert. Falls noch Fragen offen sind, kontaktiere uns bitte.

Grundsätzliches

Beim Umgang mit ihren Daten halten wir uns strikt an folgende Grundsätze:

  • Wir speichern so wenige Informationen wie möglich über sie.
    • Als einzige Ausnahme werden auf der Homepage einige Daten für kurze Zeit gespeichert, um die Bekämpfung von SPAM zu ermöglichen.
  • Sie  haben die volle Kontrolle über ihre eigenen Daten.
    • Gute XMPP-Clients erlauben eine fast vollständige Einsicht bzw. Kontrolle über ihre Daten.
    • Unsere Homepage deckt zusätzlich einige Lücken im XMPP-Protokoll ab.
  • Ihre Daten werden nie an Dritte weiter gegeben, außer dies wird explizit von ihnen verlangt.
    • Falls sie eine Nachricht an einen Kontakt auf einem anderen Server schicken, wird natürlich auch ihre JID mit geschickt. Das ist die ganz normale Funktionsweise vom XMPP-Protokoll.
    • Die einzige Ausnahme ist eine gerichtlich bestätigte Anordnung gemäß den österreichischen Gesetzen (siehe unten).

Verbindungsdaten

Mit Verbindungsdaten meinen wir Daten darüber, von wo sie sich zu uns Verbinden und was sie von wo machen.

  • Der Jabber/XMPP-Service selbst speichert keine Verbindungsinformationen.
  • Diese Homepage speichert ihre wichtigsten Aktivitäten, damit sie im Nachhinein verdächtiges Verhalten aufspüren können.  Sie können diese Daten unter Letzte Aktivitäten einsehen. Die Daten werden nach 31 Tagen gelöscht.
  • Einige Aktivitäten werden kurzfristig gespeichert um automatisiertes Verhalten erkennen zu können, da so die Stabilität des Services beeinträchtigt werden kann. Je nach Daten werden diese Daten nach einer Stunde bis einer Woche gelöscht.
  • Der Webserver der diese Webseite ausliefert (und auch z.B. list.jabber.at und andere Unterseiten) bewahrt Seitenaufrufe (im normalen Apache log format) für bis zu vier Wochen auf.
    • Das inkludiert auch den Zugriff auf HTTP-basierte Jabber-Dienste wie z.B. web presence oder BOSH Verbindungen (wie sie typischerweise von Clients im Browser aufgebaut werden).

Account-bezogene Daten

Die folgenden Daten werden über ihren Account gespeichert:

  • Ihre Jabber ID (JID), die aus Benutzernamen und Domain besteht. Sie identifiziert den Account.
  • Ihre bei der Registrierung genutzte E-Mail Adresse damit sie ein verloren gegangenes Passwort zurück setzen können.
  • Der SCRAM-SHA1 Hash des Passworts zum Account. Es wird zur Authentifizierung beim Verbindungsaufbau verwendet.
  • Datum und Uhrzeit wann der Account erstellt und zuletzt benutzt wurde. Diese Daten werden verwendet um unbenutzte Accounts wieder löschen zu können, wenn es ein Jahr lang keinen Login für den Account gibt.

Jabber/XMPP Daten

Ein Jabberclient kann Daten am Server speichern. Diese Daten können öffentlich zugänglich sein (z.B. eine vCard) oder nur der/dem Account-InhaberIn (z.B. Konfigurationsdaten für einzelne Clients). Ob diese Daten öffentlich sind oder nicht, obliegt dem Client.

Der Jabber-Server speichert typischerweise zumindest die folgenden personenbezogenen Daten:

  • Deine gespeicherten Kontakte ("Buddies") und je Kontakt Informationen darüber ob dieser Kontakt deinen Status sehen kann und umgekehrt. So wird sicher gestellt, dass deine Kontaktliste mit jedem Client gleich ist.
  • "Offline messages" (Nachrichten, die an dich geschickt werden, während du offline bist) werden bis zu deinem nächsten Einloggen gespeichert (maximal jedoch für 31 Tage) um sie dann an dich verschicken zu können.
  • Falls die Zustellung einer Nachricht fehlschlägt, wird das in einer Log-Datei gespeichert. Der Log-Eintrag enthält Absender, Empfänger, Zeit und eine Fehlermeldung. Der eigentliche Inhalt der Nachricht wird nicht gespeichert. Auf diese Daten wird nur zugegriffen, wenn BenutzerInnen mit Problemen an uns treten.
  • Falls dein Client XEP-0313: Message Archive Management nutzt, werden deine Nachrichten für 21 Tage gespeichert.
  • Falls dein Client XEP-0363: HTTP File Upload nutzt, werden die Dateien für 31 Tage gespeichert. Einige Clients legen aber ohnehin nur eine verschlüsselte Version der Datei auf unseren Servern ab.

Falls Gateways oder Transports verwendet werden, speichert der Server in der Regel weitere Informationen:

  • Username und Passwort (sofern benötigt) zum Transport.
  • Ein Log das speichert wann welche Jabber ID sich zu welchem Transport verbindet.
  • Wir verwenden unterschiedliche Software für diverse Transport, die jene Daten speichern, die benötigt werden, um den Transport zu benützen. Wenn du detaillierte Informationen haben willst, kontaktiere uns bitte.

Was passiert mit den Daten?

Die Daten werden ausschließlich dazu genutzt, um einen Jabber/XMPP Service zur Verfügung zu stellen. Die Daten werden nie kommerziell genutzt werden, verkauft oder anderweitig an Dritte weiter gegeben. Es wird keine Werbung über dieses Service versandt. Dieser Grundsatz kann nicht ohne vorherige Verständigung aller BenutzerInnen geändert werden!

Nachrichten von dir zu einem/einer BenutzerIn auf einem anderen Server werden zu letzterem Server weitergeleitet. Wie die Information und deine Privatsphäre dort behandelt wird unterliegt nicht unserem Einfluss.

NutzerInnen von Gateways auf andere IM-Netze seien darauf hingewiesen, dass die Privatsphäre möglicherweise durch die anderen Netze eingeschränkt wird. Beispielsweise erlauben es manche Netze standardmäßig, deinen Status abzurufen.

Unser Jabber-Server gibt die IP-Adressen unserer BenutzerInnen nicht an andere BenutzerInnen oder Server weiter. Die gesamte Kommunikation wird normalerweise über den Jabber-Server abgewickelt. Clients können allerdings selber ihre IP-Adressen austauschen, dies passiert z.B. beim Initialisieren eines Dateitransfers.

Es werden Nutzungsstatistiken über den Server erstellt. Diese Statistiken enthalten keine personenbezogenen Daten.

Wer hat Zugriff auf die Daten

Zwei Personen haben Zugriff auf die Daten: David und Mati.

Rechtliche Situation und Kooperation mit Strafverfolgungsbehörden

Es gibt in Österreich derzeit keine Vorratsdatenspeicherung. Es wäre für uns nicht legal, Daten länger als für den Betrieb des Services notwendig zu speichern. In Österreich kann ein Gericht im Rahmen eines Strafverfolgungsverfahren anordnen, dass wir den Strafverfolgungsbehörden sämtliche Daten eines Accounts übergeben müssen. So eine Anordnung ist nur möglich, wenn die fragliche Straftat mit mindestens einem Jahr Gefängnis bedroht ist ("schwere Straftat"). Die Anordnung gilt immer nur für einen spezifischen Account und muss zeitlich begrenzt sein. Im Falle so einer Anordnung müssen wir alle gespeicherten Daten sofort übergeben und sofort damit beginnen, sämtliche Verbindungsdaten (vor allem inklusive aller versendeten und empfangenen Nachrichten) zu speichern und zu übergeben. Wir sind bei diesen Anordnungen rechtlich verpflichtet, mit den Strafverfolgungsbehörden zu kooperieren und es ist uns verboten, die überwachte Person über die Überwachung in Kenntnis zu setzen. Das heißt natürlich: Im Falle so einer Anordnung kooperieren wir natürlich, auch wenn es uns vielleicht nicht gefällt. Niemand von uns will für einen anonymen Account ins Gefängnis gehen. Es ist natürlich auch unabhängig von jeder Überwachung ratsam, OTR, GPG oder eine andere Technologie zur "end-to-end Verschlüsselung" einzusetzen. Wir sind froh, dass solche Anordnungen nicht sehr häufig auftreten:

Jahr Anzahl der Anordnungen
2010 0
2011 0
2012 0
2013 1
2014 0
2015 0
2016 0
2017 0
2018 0
2019 0
2020 0
2021 0

Backups

Die Daten des Jabber-Servers werden stündlich zu einem Server an einem anderen Ort gesichert. Die Daten werden mit GPG verschlüsselt, bevor sie an den Backup-Server geschickt werden. So können nur Robert, Mati und David die Backups entschlüsseln, selbst wenn der Backup-Server kompromittiert wird. Die stündlichen Backups werden für drei Tage aufbewahrt, zusätzlich werden tägliche Backups für zusätzliche vier Tage aufgehoben.

Anmerkungen

Bitte kontaktiere uns, falls du noch Fragen hast.

Diese Server steht in Österreich und unterliegt daher den Rechtsbestimmungen der Republik Österreich bzw. der Europäischen Union.