jabber.ulm.ccc.de

mistrust authorities - promote decentralization

• Home
• Howto
• Datenschutz
• FAQ
• Status
• Impressum

Datenschutz

Welche Daten werden gespeichert?

Prinzipiell werden vom Server die folgenden Daten gespeichert:

• Die Jabber-ID (JID) bestehend aus Benutzername und Domain zur Identifikation des Benutzerkontos.
• Das Passwort für den Jabber-Account zur Identifikation bei der Anmeldung des Jabber-Clients an den Server. Zur Kompatibilität mit alten Clients wurde dies eine Zeit noch im Klartext auf dem Server gespeichert. Bei einem Login eines Users wird das Passwort aber seit August 2014 mit einer gehashten Variante überschrieben.
• Die in der Aufstellung gespeicherten Kontakte eines Nutzers zusammen mit der Information, in welche Richtung(en) die Sichtbarkeit mit diesem Kontakt existiert. Dies wird gespeichert, damit man sich von verschiedenen Clients anmelden kann und immer die gleichen Kontakte hat.
• Datum und Uhrzeit wann das Benutzerkonto angelegt wurde und wann es das letzte Mal benutzt wurde. Dies geschieht, damit unbenutzte Benutzerkonten automatisch gelöscht werden können.
• Während der Benutzer nicht angemeldet ist, werden eingehende Nachrichten, die an ihn adressiert sind zwischengespeichert, damit diese ihm zugestellt werden können, wenn er sich das nächste mal anmeldet. Zu diesen Nachrichten wird auch gespeichert, wann sie angekommen sind.
• Während ein Benutzer angemeldet ist, wird gespeichert wie lange er schon online ist und wieviele Datenpakete er in dieser Zeit erhalten und verschickt hat. Dies geschieht damit die Leistungsfähigkeit und Auslastung des Servers überwacht werden kann und um gegebenenfalls Quellen einer Überlastung ausfindig machen zu können.
• Bei Fehlern in der Zustellung einer Nachricht wird abgespeichert von wem an wen die Nachricht ging und wieso die Zustellung nicht funktionierte. Nicht jedoch der Inhalt der Nachricht. Dies ist notwendig um bei gehäuften Fehlern ein Problem feststellen zu können.

Bei der Benutzung von Netzübergängen (Gateways/Transports) werden von diesen Übergängen weitere Daten gespeichert:

• Netzübergänge zu anderen IM-Systemen speichern den Benutzernamen und das Passwort für das fremde IM-System.
• Netzübergänge zu anderen IM-Systemen schreiben ein Protokoll wann mit welcher Jabber-ID sich mit welcher Nutzeridentität in ein fremdes IM-System eine Verbindung hergestellt wurde.

Desweiteren ist es möglich, dass der Jabber-Client Daten auf dem Server abspeichert. Diese Daten können vom Jabber-Client entweder so gespeichert werden, dass sie von anderen Jabber-Nutzern abgefragt werden können (z. B. vCards die Kontaktinformationen enthalten) oder so dass nur der Benutzer des Kontos die Daten wieder abrufen kann (z. B. Konfigurationseinstellungen eines Jabber-Clients). Welche Daten, in welchem Umfang und für wie lange so gespeichert werden ist Sache des Jabber-Clients.

Von allen oben genannten Daten werden regelmäßig Backups (Sicherungskopien) erstellt, die für etwa 30 Tage aufbewahrt werden. In diesen Sicherungskopien können eigentlich schon gelöschte Daten dadurch noch ein paar Tage weiterexistieren.

Was geschieht mit diesen Daten?

Die über einen Nutzer gespeicherten Daten werde nicht kommerziell genutzt. Sie werden auch nicht an dritte Personen verkauft oder weitergeben. Es wird keinerlei Werbung an die Nutzer dieses Services verschickt, auch nicht in eigener Sache.
Folgende Ausnahmen hierzu existieren: Werden Daten des Benutzers von diesem oder seinem Nutzerprogramm dazu gespeichert veröffentlich zu werden (hierunter fällt insbesondere eine abgespeicherte vCard), so sind diese Informationen durch andere Nutzer einzeln abrufbar.
Die Jabber-Adressen (JID) der Nutzer werden nicht veröffentlicht, sollte der Nutzer des Servers seine Jabber-Adresse jedoch selbst veröffentlichen, so ist nicht auszuschließen, dass Dritte diese Kenntnis nutzen um Werbung an den Nutzer zu schicken. Dies kann insbesondere auch durch eine über den E-Mail-Übergang empfangene gewöhnliche Nachricht geschehen. Der Betreiber dieses Servers untersagt ausdrücklich die Nutzung dieses Dienstes zum Versand von unerwünschter (das heißt nicht ausdrücklich angeforderter) Werbung, kann dies jedoch nicht in allen Fällen durchsetzen.

Nachrichten, die von einem Nutzer an einen anderen Nutzer verschickt werden, können auf andere Server zugestellt werden. Die dortige Behandlung unterliegt nicht unbedingt den Zusicherungen für diesen Server. Desgleichen gilt für Informationen, die der Benutzer für die Weitergabe an andere Nutzer oder alle Nutzer bestimmt hat (z. B. Informationen über den Online-Status/die Presence an Benutzer denen er die Erlaubnis erteilt hat sowie technisch bedingt die Server, die von diesen Nutzern verwendet werden).

Verwendet der Nutzer Übergänge in andere IM-Systeme, so ist der Schutz seiner Privatsphäre und seiner Daten auch von den Gegebenheiten des anderen Systems abhängig. Insbesondere erlauben es einige Systeme ohne explizite Zustimmung des Nutzers dessen Online-Zustand/Presence einzusehen.

IP-Adressen der Nutzer werden von diesem Server nicht an andere Nutzer weitergegeben. Alle Kommunikation über das Jabber-Protokoll erfolgt über den Server. Jabber-Clients können sich jedoch innerhalb von Nachrichten gegenseitig ihre IP-Adresse zuschicken um z. B. eine Dateiübertragung zu starten. Der Server überprüft diese IP-Adresse jedoch nicht und gibt selbst keine IP-Adresse eines Nutzers an eine dritter Person weiter.

Aus den gesammelten Daten werden Statistiken über die Nutzung und Auslastung des Servers gewonnen. Diese Statistiken werden anonym erstellt, ein Rückschluss auf einzelne Personen ist aus diesen Statistiken nicht möglich.

Wer hat Zugriff auf diese Daten?

Zugriff auf die auf diesem Server gespeicherten Daten ist möglich für die Administratoren dieses Servers. Der Benutzer kann auch Daten hinterlegen, die von anderen Benutzern abgefragt werden können.

Es werden nur noch verschlüsselte Verbindung zu Clients und zu anderen Servern aufgebaut. Die Zertifikate dazu können leider aufgrund der großen Vielfalt der Systeme nicht überprüft werden, so dass die Verbindungen zwar nicht direkt abgehört werden können, aber für Man-In-The-Middle-Angriffe anfällig sind. Auch für alle beteiligten Jabber-Server auf dem Weg zum Empfänger liegen die Daten im Klartext vor und könnten von dort abgegriffen werden. Wenn die Nachricht an den Empfänger zugestellt wird, so kann die Verbindung wieder unverschlüsselt sein. Wir empfehlen daher eine Ende-zu-Ende-Verschlüsselung mittels OTR. In diesem Fall ist die Nachricht auch auf den Jabber-Servern selbst nicht einsehbar. Dieses muss allerdings von den beteiligten Jabber-Clients des Senders und des Empfänger unterstützt werden, außerdem sollten vorher die öffenltichen Schlüssel der beiden Kommuniktionpartner verifiziert worden sein.

Anmerkungen

Unklarheiten und weitere Fragen können mit dem Administrator des Servers besprochen werden.

Dieser Server unterliegt dem Recht und der Datenschutzbestimmungen der Bundesrepublik Deutschland und der Europäischen Union.

Die Regelungen für den Umgang der Benutzerdaten können geändert werden. Eine solche Änderung wird jedoch mindestens vier Wochen zuvor auf dieser Website bekannt gemacht, wenn nicht technische Gründe eine kurzfristigere Änderung erfordern.

(Version 1.1 vom 23.10.2015 - Dieser Text wurde weitgehend von http://web.amessage.info/FAQ/privacy übernommen.)