SchülerWiki - Rechtliche Informationen
Impressum & Datenschutzerklärung
Impressum
Angaben gemäß § 5 TMG und § 18 MStV:
[Dein Name / Firma]
[Straße und Hausnummer]
[PLZ Ort]
Deutschland
Kontakt:
E-Mail: info@schuelerwiki.org
Datenschutzerklärung
Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
[Dein Name / Firma]
[Straße und Hausnummer]
[PLZ Ort]
E-Mail: info@schuelerwiki.org
Sie können sich jederzeit bei Fragen zum Datenschutz an diese Adresse wenden.
1. Allgemeine Hinweise und Pflichtinformationen
Umfang der Datenverarbeitung
Die Nutzung unserer Webseite ist grundsätzlich ohne Angabe personenbezogener Daten möglich. Soweit personenbezogene Daten (z.B. Name, E-Mail-Adresse, Benutzername) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.
Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z.B. für öffentliche Kommentare)
- Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung des Benutzerkontos)
- Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (IT-Sicherheit, Betrieb der Plattform)
2. Webserver-Logs und technische Daten
Erfasste Daten
Beim Zugriff auf unsere Webseite werden automatisch allgemeine Informationen (sog. Server-Logfiles) erfasst. Diese beinhalten:
- IP-Adresse des zugreifenden Geräts
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seiten und Dateien
- HTTP-Statuscode
- Referrer (vorherige Webseite)
- Verwendeter Webbrowser und Betriebssystem (User-Agent)
- Internet Service Provider
Die IP-Adressen werden in den Webserver-Logs (Apache) vollständig und unverändert gespeichert. Dies ist aus folgenden Gründen für die IT-Sicherheit zwingend erforderlich:
- Erkennung von DDoS-Angriffen: Automatisierte Angriffe können nur durch Analyse vollständiger IP-Adressen identifiziert und abgewehrt werden
- Missbrauchserkennung: Automatisierte Bots, Scraper und Brute-Force-Angriffe müssen anhand der IP-Adresse blockiert werden können
- Forensische Analyse: Bei Sicherheitsvorfällen ist die vollständige IP-Adresse für die Nachverfolgung und rechtliche Aufarbeitung notwendig
- Firewall-Konfiguration: Verdächtige IP-Adressen müssen gezielt blockiert werden können
| Log-Typ | Speicherort | Speicherdauer |
|---|---|---|
| Apache Webserver-Logs | Server | 14 Tage (automatische Rotation und Löschung) |
| Apache Error-Logs | Server | 14 Tage (automatische Rotation und Löschung) |
| BookStack Anwendungslogs | Server | 30 Tage (automatische Rotation und Komprimierung) |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Missbrauchsschutz)
Zweck: Technische Bereitstellung der Webseite, IT-Sicherheit, Fehlerdiagnose, Schutz vor Cyberangriffen
Zugriffsberechtigung: Nur der Administrator hat Zugriff auf die Logdateien
3. Cookies
Unsere Webseite verwendet sogenannte Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und bestimmte Informationen enthalten. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen.
Erforderliche Cookies (technisch notwendig)
| Cookie-Name | Zweck | Laufzeit |
|---|---|---|
bookstack_session |
Verwaltung von Benutzer-Sitzungen; stellt sicher, dass Sie während Ihrer Sitzung angemeldet bleiben | 120 Minuten (verlängert sich bei Aktivität) |
XSRF-TOKEN |
Sicherheits-Cookie zum Schutz vor Cross-Site-Request-Forgery-Angriffen | 120 Minuten (verlängert sich bei Aktivität) |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Plattform)
4. Registrierung und Benutzerkonto
Erfasste Daten bei Registrierung
Für die Registrierung eines Benutzerkontos erheben wir folgende personenbezogene Daten:
- Benutzername (frei wählbar, änderbar)
- E-Mail-Adresse
- Passwort (wird mit bcrypt gehashed gespeichert, niemals im Klartext)
- Profilbild (optional)
- Rolleninformation (Kommentator/Autor/Administrator)
Nutzeraktivitäts-Tracking (nur für registrierte Benutzer)
Für registrierte Benutzer erfassen wir zusätzlich folgende Aktivitätsdaten zur technischen Bereitstellung und Verwaltung des Wiki-Systems:
- Login-Zeiten und Sitzungsdauer
- Erstellte, bearbeitete oder aufgerufene Seiten und Inhalte
- Systemaktivitäten (Änderungen, Uploads, etc.)
- Letzte Aktivität für Konto-Verwaltung
- Zeitstempel der Aktionen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Systemverwaltung)
Zweck: Bereitstellung und Verwaltung der Wiki-Plattform, Benutzerkonto-Management, Erkennung inaktiver Konten
Speicherdauer:
- Aktive Benutzerkonten: Bis zur Löschung/Deaktivierung durch den Benutzer oder Administrator
- Session-Daten (Cookies): 120 Minuten
- Aktivitätsprotokolle: Dauerhaft zur Versionskontrolle des Wikis
- Inaktive Konten: Benutzerkonten, die länger als 3 Jahre nicht genutzt wurden, werden von uns überprüft. Wir behalten uns vor, inaktive Konten nach vorheriger E-Mail-Benachrichtigung (4 Wochen Frist) zu löschen.
5. Kommentarfunktion
Registrierte Benutzer können öffentliche Kommentare zu Wiki-Seiten verfassen.
Erfasste Daten
- Benutzername des Kommentierenden
- Kommentartext
- Zeitstempel der Kommentare
- Zuordnung zu Wiki-Seiten
- Öffentlich für alle Besucher der Webseite sichtbar sind
- Mit Ihrem Benutzernamen veröffentlicht werden
- Unter der CC BY-NC-SA 4.0 Lizenz stehen
- Dauerhaft gespeichert werden (Teil des Wiki-Inhalts)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Community-Interaktion)
Zweck: Ermöglichung von Diskussionen und Feedback zu Wiki-Inhalten
Speicherdauer: Kommentare werden dauerhaft gespeichert. Bei Löschung eines Benutzerkontos werden Kommentare anonymisiert ("Gelöschter Benutzer").
6. E-Mail-Versand
Wir verwenden E-Mail-Kommunikation für folgende Zwecke:
- Versand von Registrierungsbestätigungen
- Versand von Passwort-Reset-Links
- Versand von Einladungslinks für neue Autoren
- Benachrichtigungen über wichtige Kontoänderungen
- Optional: Benachrichtigungen über Kommentare oder Änderungen (falls vom Benutzer aktiviert)
E-Mail-Dienstleister
Für den E-Mail-Versand nutzen wir:
- Hetzner Webhosting S (Deutschland)
- Verschlüsselte Übertragung (STARTTLS, Port 587)
- SMTP-Authentifizierung erforderlich
Nach Verlassen unseres E-Mail-Servers haben wir keinen Einfluss darauf, wo Ihre E-Mail weitergeleitet wird. Je nach E-Mail-Provider kann eine Übermittlung in Drittländer außerhalb der EU erfolgen. Dies liegt außerhalb unserer Kontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Kommunikation)
Speicherdauer:
- Einladungs-/Reset-Token in Datenbank: 24 Stunden (automatische Löschung)
- Gesendete E-Mails im Postfach info@schuelerwiki.org: Bis zur manuellen Löschung (empfohlene Frist: 90 Tage)
- E-Mail-Server-Logs (Hetzner): Nach Hetzner-Richtlinien (typischerweise 7-30 Tage)
7. Diagramm-Editor (diagrams.net)
Für registrierte Autoren bieten wir einen integrierten Diagramm-Editor (diagrams.net) an, um Flussdiagramme, Schaubilder und technische Zeichnungen zu erstellen.
Datenschutz beim Diagramm-Editor
Der Diagramm-Editor läuft in einem lokalen Docker-Container auf unseren Servern. Es erfolgt keine Datenübermittlung an externe diagrams.net-Dienste oder andere Drittanbieter.
Diagramme werden ausschließlich lokal im Browser bearbeitet und als Teil der Wiki-Seiten in unserer Datenbank gespeichert.
Verarbeitete Daten
- IP-Adresse (in Docker-Container-Logs)
- User-Agent (Browser und Betriebssystem)
- Zugriffszeitpunkt
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an erweiterten Bearbeitungsfunktionen)
Speicherdauer:
- Docker-Container-Logs: Max. 30 MB (automatische Rotation: 3 Dateien à 10 MB)
- Reverse-Proxy-Logs: 3 Tage (automatische Rotation)
8. Hosting und Auftragsverarbeitung
Hetzner Online GmbH
Unsere Webseite wird auf Servern der Hetzner Online GmbH gehostet:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Hetzner verarbeitet in unserem Auftrag folgende Daten:
- Alle auf der Webseite gespeicherten Inhalte und Benutzerdaten
- Datenbank-Inhalte (Benutzerkonten, Wiki-Seiten, Kommentare)
- Verschlüsselte Backups
- Webserver-Logs
- E-Mail-Versand über Hetzner Webhosting S
Mit Hetzner wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Hetzner ist ISO 27001-zertifiziert und verarbeitet alle Daten ausschließlich nach unserer Weisung.
Serverstandort: Deutschland (keine Datenübermittlung in Drittländer)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb)
Datenschutzerklärung Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz
9. Backup und Datensicherheit
Backup-Strategie
Zum Schutz vor Datenverlust erstellen wir regelmäßige verschlüsselte Backups:
| Backup-Typ | Aufbewahrungsdauer |
|---|---|
| Tägliche Backups | 40 Tage |
| Wöchentliche Backups | 80 Wochen (ca. 1,5 Jahre) |
| Monatliche Backups | 12 Monate |
Bei Löschung Ihres Benutzerkontos werden Ihre Daten aus der Produktivdatenbank sofort entfernt. In Backups können gelöschte Daten jedoch bis zu 80 Wochen verbleiben. Dies dient der Systemintegrität und Wiederherstellbarkeit im Katastrophenfall (z.B. bei Serverausfall, Ransomware-Angriff oder Datenbeschädigung).
Technische Sicherheitsmaßnahmen
- Verschlüsselung: Alle Backups werden mit Borg Backup und Repokey-Verschlüsselung gesichert
- Passphrase-Schutz: Zusätzliche Verschlüsselung mit Passphrase
- Verschlüsselter Transfer: SSH-Verbindung zur Hetzner Storage Box
- Physischer Schutz: Backups werden in ISO 27001-zertifizierten Rechenzentren in Deutschland gespeichert
- Monitoring: Automatische Prüfung und E-Mail-Benachrichtigung bei Backup-Fehlern
Weitere Sicherheitsmaßnahmen
- Verschlüsselte HTTPS-Verbindung (TLS 1.2/1.3) für alle Zugriffe
- SSH-Zugang zum Server nur mit Schlüssel-Authentifizierung (Passwort-Login deaktiviert)
- Firewall-Konfiguration (nur erforderliche Ports geöffnet)
- Automatische Sicherheitsupdates des Systems
- Regelmäßige manuelle Überprüfung auf Updates
- CSRF-Schutz durch XSRF-Token
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit und Verfügbarkeit)
Serverstandort: Deutschland, betrieben mit 100% Ökostrom
10. Ihre Rechte als betroffene Person
Gemäß DSGVO haben Sie folgende Rechte:
Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten zu erhalten.
Berichtigungsrecht (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
Löschungsrecht (Art. 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bei Löschung Ihres Benutzerkontos erfolgt:
- Sofortige Entfernung aller personenbezogenen Daten aus der Produktivdatenbank:
- E-Mail-Adresse
- Passwort (gehashed)
- Profilbild
- IP-Adressen und Aktivitätsprotokolle
- Anonymisierung: Ihr Benutzername wird durch "Gelöschter Benutzer" ersetzt (keine Rückschlüsse auf Ihre Person möglich)
- Inhalte: Bereits veröffentlichte Wiki-Seiten und Kommentare bleiben aus Gründen der Versionshistorie und Integrität des Wikis anonymisiert erhalten. Auf ausdrücklichen Wunsch können auch die Inhalte selbst gelöscht werden, soweit dies die Funktionalität des Wikis nicht beeinträchtigt.
- Backups: Gelöschte Daten können in Backups bis zu 80 Wochen verbleiben (siehe Abschnitt "Backup und Datensicherheit")
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.