1. Für wen?

Dieser Server ist nicht öffentlich. Er richtet sich an Menschen, die in irgendeiner Weise mit mir zu tun haben — wer hier Accounts haben möchte, kann sich gerne bei mir melden.

2. Kosten, Verfügbarkeit

Für den Benutzer ist dieser Dienst kostenlos. Daraus folgt auch, dass ich keine Garantie für Verfügbarkeit oder bestimmte Funktionen geben kann. Man darf aber davon ausgehen, dass ich selbst ein großes Interesse daran habe, dass er zuverlässig funktioniert.

3. Nutzungsbedingungen

Nicht erlaubt ist eine Nutzung

  • welche gegen geltendes Recht verstößt

  • welche geeignet ist oder darauf abzielt einzelne oder die Gemeinschaft zu schädigen

  • welche den Betrieb des Servers gefährdet, die Funktion einschränkt oder eine übermäßige Belastung darstellt

  • zu kommerziellen Zwecken

Beispiele:

  • Mobbing, Bedrohung, Hetze

  • Versendung von Spam

  • Verstoß gegen Urheberrechte

Bei glaubhaften Hinweisen auf solche Nutzung muss mit der Sperrung oder Löschung des Accounts gerechnet werden.

Kinder unter 16 Jahren dürfen Accounts nur nach expliziter Erlaubnis eines Erziehungsberechtigten anlegen. Diesem Umstand wird dadurch Rechnung getragen, dass der Serverbetreiber keine Registrierungscodes an jüngere Kinder verteilt.

Wenn Erziehungsberechtige Accounts für Kinder unter 16 Jahren anlegen oder ihnen Registrierungscodes zur Verfügung stellen verpflichten sie sich,

  • diese auf das Lesen und Verstehen der Nutzungsbedingungen und Datenschutzerklärung hinzuweisen, wenn die minderjährige Person dazu schon in der Lage ist

  • oder diese über die Nutzungsbedingungen aufzuklären und ihnen zu erklären, für wen ihre ausgetauschten Nachrichten, Dateien und Daten sichtbar sind.

Diese Verpflichtung gilt natürlich auch für den Serverbetreiber.

4. Datenschutzerklärung

4.1. Geltungsbereich

Diese Datenschutzerklärung soll die Nutzer des XMPP-Servers jotwewe.de gemäß Bundesdatenschutzgesetz (BDSG) und EU-Datenschutzgrundverordnung (DSGVO) über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den Serverbetreiber Jens W. Wulf informieren.

Der Betreiber nimmt den Schutz Ihrer Daten sehr ernst, behandelt Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Vorschriften sowie dieser Datenschutzerklärung.

4.2. Transportverschlüsselung

Wenn dieser Server Daten mit einem Client oder einem anderen Server austauscht, erfolgt das erzwungenermaßen verschlüsselt. Für manche Server ist eine Ausnahme hinterlegt, so dass mit diesen auch unverschlüsselt kommuniziert werden kann (weil sie keine Verschlüsselung unterstützen) oder verschlüsselt wenn deren Zertifikat nicht als vertrauenswürdig eingestuft wird:

  • jabber.ccc.de

  • loadaverage.org

  • cmeerw.net

  • cmeerw.org

Bewertung bezüglich der Sicherheit bei der Übertragung zwischen Client und Server (c2s) und zu anderen Servern (s2s):

IM observatory score

Diese Bewertung dient nur der Information, sie kann sich jederzeit ändern.

4.3. Umgang mit personenbezogenen Daten

Der Betreiber erhebt und nutzt Ihre personenbezogenen Daten nur soweit es im gesetzlichen Rahmen erlaubt ist und ausschließlich soweit es nötig ist um den vom Benutzer gewünschten Austausch von Nachrichten über einen XMPP-Server zu ermöglichen. Wenn es nicht anders angegeben ist, bildet immer Art. 6.1.b die Grundlage der Verarbeitung von personenbezogenen Daten. Zusätzlich kann ein Account nur angelegt werden, wenn der Benutzer explizit der hier beschriebenen Datenverarbeitung zustimmt.

Die Daten werden nur weitergegeben wenn es angeordnet und gesetzlich zulässig ist oder Sie der Weitergabe zu einem bestimmten Zweck explizit zugestimmt haben.

Wenn ein Benutzer dieses Servers mit einem Benutzer oder einer Gruppe kommuniziert, dessen/deren Account auf einem anderen Server liegt (die Jabber-ID (JID) also nicht auf @jotwewe.de oder @conference.jotwewe.de endet), werden die zur Kommunikation nötigen Daten an diesen anderen Server übermittelt. Die dorthin übertragenen Daten stehen damit nicht mehr unter der Kontrolle des Betreibers von jotwewe.de.

Von der obigen Ausnahme abgesehen werden Daten nicht an Dritte weitergegeben, auch nicht um daraus finanzielle Mittel zum Betrieb des Servers zu generieren.

4.4. Gespeicherte Daten

Welche Daten werden gespeichert, warum und wie lange? An einigen Stellen wird zwischen Direktnachrichten und solchen in Gruppenchats (MUCs) unterschieden.

  • Sie können nur mit einem Registrierungscode einen Account erstellen. Ich merke mir an wen (Name und/oder Emailadresse) ich welche Registrierungscodes gegeben habe und es wird aufgezeichnet, mit welchem Registrierungscode ein bestimmter Account erstellt wurde. Dadurch habe ich einen Ansprechpartner, wenn es bei einem Account Auffälligkeiten gibt (siehe Nutzungsbedingungen).

  • Mit jedem Account ist eine Jabber-ID (JID) verknüpft, die aus Benutzernamen und Domain besteht.

  • Zu jedem Account wird ein Hash des Passworts gespeichert, er wird zur Authentifizierung bei der Verbindung mit dem Server verwendet. Das Passwort selbst kann aus dem Hash nicht abgeleitet werden.

  • Die Kontaktliste des Benutzers (inkl. der MUCs) und das Profilbild/Avatar werden auf dem Server gespeichert, damit sie über verschiedene Clients synchronisiert werden können.

  • Online-Status und Status-Nachrichten

  • Für den Benutzer empfangene Direktnachrichten werden gespeichert, bis der Benutzer sich wieder mit dem Server verbindet und diese Nachrichten übertragen werden.

  • Für den Fall, dass der Benutzer mehrere Clients benutzt, werden Direktnachrichten auch nach der Zustellung an den ersten Client noch gespeichert, damit auch die anderen Clients sie empfangen können. Sie werden nach einer Woche gelöscht. Der Benutzer kann diese Speicherfunktion über seinen Client abschalten.

  • MUCs: die 100 aktuellsten Nachrichten werden gespeichert. Der Besitzer eines MUCs kann diese Funktion abschalten.

  • Versendete Dateien (Bilder, Sprachnachrichten, Videos, …) werden üblicherweise durch die Methode "http upload" übertragen und dann auf dem Server gespeichert auch nachdem der oder die Empfänger sie erhalten haben. Sie werden nach zwei Wochen gelöscht.

  • Der Zeitpunkt der letzten Verbindung zum Server wird gespeichert, damit unbenutzte Accounts erkannt und entfernt werden können (Art. 6.1.f).

Möglicherweise speichert der Client des Benutzers weitere Daten auf dem Server, die nicht in der Liste oben aufgeführt sind. Dazu können beispielsweise Profilinformationen (vCards) und vorbereitete Schlüssel (nötig für OMEMO-Verschlüsselung) gehören.

Ob übertragene Nachrichten und Dateien im Klartext oder verschlüsselt auf dem Server sichtbar sind, hängt davon ab wie der Client sie verschickt hat. Wenn sie verschlüsselt (OMEMO) verschickt wurden, sind sie auch auf dem Server nicht lesbar. Abgesehen von öffentlichen MUCs wird empfohlen OMEMO zu aktivieren.

Der Server erstellt Logfiles (Art. 6.1.f und Erwägungsgrund 49), damit der Betreiber Fehler erkennen und beheben kann. Es werden keine erfolgreichen Benutzerverbindungen darin aufgezeichnet (keine IP-Adressen, keine Benutzernamen), sondern nur Warn- und Fehlermeldungen.

Zur Analyse von Fehlern, Angriffen und anderen Vorgängen die den Betrieb des Dienstes stören und nicht durch die normalen Logfiles eingegrenzt/behoben werden können, behalte ich mir vor, für eine kurze Zeitspanne ausführlichere Logfiles (Stufe info oder debug) zu aktivieren. Diese Logfiles werden sofort nach der Auswertung gelöscht.

4.5. Push-Benachrichtigungen

Durch manche Clients (z.B. die kostenpflichtige Version von Conversations aus dem Google Play Store, Chatsecure aus dem Apple Store) wird der Server angewiesen, beim Erhalt einer Nachricht für den Benutzer einen Mechanismus zu starten, durch welchen der mobile Client auf dem Smartphone über die neue Nachricht informiert wird.

Dazu wird dieser Server eine Nachricht an einen durch den Client-Entwickler bereitgestellten Server schicken, welcher wiederum den Betreiber des Push-Dienstes benachrichtigt, welcher wiederum den Client auf dem Smartphone benachrichtigt.

Es wird dabei kein Nachrichteninhalt übertragen und kein Hinweis auf den Absender der Nachricht.

Wenn ein Benutzer solche Push-Benachrichtungen und die damit verbundene Übertragung von Daten nicht wünscht, muss er mindestens eine der folgenden Möglichkeiten wählen:

  • Mit dem Smartphone ist kein Account bei Apple oder Google verknüpft.

  • Im Client ist die Benutzung von Push-Nachrichten abgeschaltet.

  • Es wird ein Client benutzt welcher keine Push-Nachrichten unterstützt.

4.6. Umgang mit Kontaktdaten

Nehmen Sie mit dem Betreiber durch die angebotenen Kontaktmöglichkeiten (XMPP, Email, Telefon) Verbindung auf, werden Ihre Angaben gespeichert, damit auf diese zur Bearbeitung und Beantwortung Ihrer Anfrage zurückgegriffen werden kann. Ohne Ihre Einwilligung werden diese Daten nicht an Dritte weitergegeben.

4.7. Ihre Rechte

Selbstverständlich haben Sie in Bezug auf die Erhebung Ihrer Daten Rechte. Laut geltendem Gesetz sind wir dazu verpflichtet, Sie über dieselben aufzuklären. Die Inanspruchnahme und Durchführung dieser Rechte ist für Sie kostenlos.

4.7.1. Widerrufsrecht

Sie haben das Recht, Ihre Einwilligung bzgl. der Erhebung von Daten jederzeit zu widerrufen. Dieses Recht gilt mit Wirkung für die Zukunft; die bis zur Rechtkraft des Widerrufs erhobenen Daten bleiben hiervon unberührt.

4.7.2. Recht auf Datenübertragbarkeit

Sie haben das Recht, eine Übertragung Ihrer Daten von uns auf eine andere Stelle zu beantragen.

4.7.3. Auskunftsrecht

Sie haben das Recht, von uns eine Bestätigung zu verlangen, ob und wie wir personenbezogene Daten von Ihnen beziehen. Dieses Recht ist durch die vorliegende Datenschutzerklärung realisiert. Zusätzlich können Sie eine elektronische Auskunft anfordern.

4.7.4. Recht auf Berichtigung, Löschung oder Sperrung

Sie haben das Recht, Ihre Daten berichtigen, löschen oder sperren zu lassen. Letzteres kommt zur Anwendung, wenn die gesetzliche Lage eine Löschung nicht zulässt.

4.7.5. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Stelle ist der Landesbeauftragte für den Datenschutz Baden-Württemberg, Postfach 10 29 32, 70025 Stuttgart.

4.8. Über diese Datenschutzerklärung

Sie basiert auf einem Muster von www.datenschutz.org, welches u.a. auf die Gegebenheiten dieses Dienstes angepasst wurde.

Es wurden Hinweise und Formulierungen von https://www.bussgeldkatalog.org/datenschutzerklaerung/ benutzt.

5. Gewollte Einschränkungen

In der Datenschutzerklärung finden sich sich Angaben zur maximalen Speicherdauer verschiedener Daten.

5.1. Dateiaustausch

Per "http upload" übertragene Dateien (siehe oben) dürfen maximal 50MB groß sein, für jeden Benutzer werden maximal 200MB gespeichert.

5.2. Unbenutzte Accounts und MUCs

Unbenutzte Accounts und Gruppenchats (MUCs) werden nach sechs bis zwölf Monaten gelöscht.

6. (Un-)Bekannte Einschränkungen

Für diese wie auch andere Einschränkungen bitte ich um Rückmeldung, damit es verbessert werden und/oder hier dokumentiert werden kann.

6.1. Push, insbesondere mit Chatsecure

Push mit Conversations/Android wurde mit diesem Server noch nicht getestet (März 2018), funktioniert aber üblicherweise wohl.

Bei Chatsecure (iOS) ist das weniger sicher, wurde aber mit einem Benutzer (Chatsecure 4.2.1) erfolgreich getestet. Meine letzte Information ist jedoch, dass Nachrichten vielleicht auch bei korrekter Serverkonfiguration nicht immer sofort ankommen oder dass je Nachricht zu viele Benachrichtigungen auf dem iPhone ankommen.

Auf diesem Server sind der geänderte Code und smacks aktiv.

Dort schreibt jemand, dass es trotz des obigen Patches nicht immer funktioniert und auch unter welchen Bedingungen es sicher nicht funktioniert — aber er hatte smacks nicht aktiv.

Anderes zum Thema Push und Benachrichtigung: 949 770 883

Zu viele Benachrichtigungen: 968 881 In beiden Fällen verweist Chris auf "account settings → Server Info → Reset Push."


Letzte Änderung: 04.11.2018 15:27
Jens W. Wulf

Impressum
Datenschutzerklärung