Webbrowser übermitteln mit jedem Webseitenaufruf automatisch einige Metadaten an den Webserver, die vom Webserver in einer Aufrufhistorie (Zugriffs-Logfile) automatisch protokolliert werden.
Üblicherweise werden bei einem Aufruf einer Website folgende Daten übermittelt bzw. durch den empfangenden Webserver in Protokolldateien gespeichert:
• Name, Typ und Version des Webbrowsers
• Name und Version des Betriebssystems
• Vorausgegangene Website, falls der Aufruf über einen Link erfolgte
• URL und Aufrufparameter (Adresszeile bzw. Link) der aktuell aufgerufenen Website
• Datum und Uhrzeit des Aufrufs
• IP-Adresse des Internetanschlusses oder des sogenannnten Proxy-Servers, falls der Aufruf über einen solchen erfolgte
Ob und welche dieser Daten Ihr Webbrowser überträgt, können Sie individuell steuern, teilweise direkt durch Einstellungen Ihres Webbrowsers oder darüberhinaus durch zumeist frei verfügbare Browsererweiterungen ("Addons").
Aus den genannten Metadaten erstellen wir zu unserer eigenen Information anonymisierte und personenunabhängige Statistiken.
Diese Statistiken nutzen wir intern, um beispielsweise zu erfahren, aus welchen Ländern und mit welchen Webbrowsern unsere Website im Laufe der Zeit besucht wird.
Des weiteren helfen uns diese Erkenntnisse unter anderem, Aufrufprobleme bestimmter Webbrowser oder Geräte zu erkennen und ganz allgemein unsere Website entsprechend der Bedürfnisse aller Besucher zu gestalten.
Die Protokolldateien werden administrativ benötigt, um im Falle eines Angriffs auf unseren Webserver Zeitraum, Ursprung und Ablauf des Angriffs nachvollziehen zu können.
Der Zugriff auf diese Protokolldateien und die darin hinterlegten Metadaten ist den Administratoren und bedarfsweise der Geschäftsleitung ausschließlich zu den hier genannten Zwecken vorbehalten.
Während Sie unsere Website besuchen, wird Ihrem Besuch (im folgenden "Sitzung" genannt) ein sogenanntes Session-Cookie zugeordnet, in dem für die Dauer Ihrer Sitzung ein Sitzungsidentifikator ("Session-ID") zwischengespeichert wird.
Auf diese Art kann der Webserver Sie einer bestehenden Sitzung bzw. Benutzeranmeldung zuordnen. Nach längerer Inaktivität bzw. nach Ihrer Abmeldung wird dieses Session-Cookie automatisch ungültig.
Cookies sind kleine Dateien, die Ihr Webbrowser für eine bestimmte Website auf Ihrem Computer erstellt und bei jedem folgenden Aufruf der jeweils zugehörigen Website mitsendet.
Der Webserver erkennt daraufhin anhand dieses mitgesendeten Session-Cookies, dass diese Anfrage zu einer auf dem Webserver aktuell bereits bestehenden Sitzung gehört.
Session-Cookies sind naturgemäß nicht dauerhaft, sondern nur für die aktuelle Sitzung gültig und werden von Ihrem Webbrowser üblicherweise automatisch wieder gelöscht, sobald Sie das Browserfenster schließen.
Zu einem Session-Cookies werden während einer Sitzung weitere Information vorübergehend hinterlegt, beispielsweise die aktuell verwendete Sprache der Weboberfläche oder der Zeitpunkt der letzten Aktivität, um nach längerer Inaktivität eine automatische Abmeldung zu ermöglichen.
Erläuterungen zu weiteren Sicherheitsvorkehrungen unsererseits bezüglich des Umgangs mit Ihrem Session-Cookie, beispielsweise zum Schutz vor Identitätsdiebstahl, finden Sie weiter unten im Kapitel "Sicherheitsvorkehrungen".
Sobald Sie als Gast oder bestimmter Benutzer angemeldet sind, wird der verwendete Sitzungsidentifikator ("Session-ID") dauerhaft mit dem An- und späteren Abmeldezeitpunkt gespeichert.
Mit Ausnahme der Session-ID und des Sitzungszeitraums werden alle sonstigen zur Sitzung eventuell gespeicherten vorübergehenden Informationen auf dem Webserver nach Ablauf der Sitzung (durch manuelle oder automatische Abmeldung) wieder vollständig gelöscht.
Der Zugriff auf Session-IDs und Anmeldezeiträume aktueller und vergangener Sitzungen unterliegen dem weitergehenden, benutzerabhängigen Berechtigungskonzept innerhalb der Website.
Die nicht dauerhaft gespeicherten Inhalte aktueller Sitzungen sind nur während der jeweiligen Sitzungen und auch nur durch Administratoren einsehbar.
Kontaktformular, Emailanfragen und initiativ hochgeladene Dateien gemäß Art. 6 Abs. 1 lit. a DSGVO
Die von Ihnen mittels Kontaktformular, Emailanfrage oder durch Upload übermittelten und uns somit willentlich zur Verfügung gestellten Daten und Dateien werden von uns ausschließlich zur Bearbeitung und Beantwortung Ihres Anliegens verwendet.
Für die Rechtmäßigkeit der übertragenen Daten und hochgeladenen Dateien sind Sie als Absender verantwortlich.
Im Falle strafrechtlicher Verstöße durch Sie als Absender bezüglich der übermittelten Daten und Dateien behalten wir uns ausdrücklich vor, unsererseits strafrechtlich Anzeige zu erstatten sowie zivilrechtlich Schadensersatzansprüche geltend zu machen.
Benutzerprofile sowie diesbezügliche Inhalte und hochgeladene Dateien gemäß Art. 6 Abs. 1 lit. b DSGVO
Haben Sie auf unserer Website ein Benutzerkonto, stehen Sie mit uns in einer vertraglichen Beziehung, in deren Rahmen Sie ein Benutzerprofil pflegen und uns inhaltliche Daten und Dateien zur Verfügung stellen können.
Betreffend wichtiger Änderungen bezüglich unserer Website werden wir Sie bei Bedarf an die in Ihrem Benutzerprofil hinterlegte Emailadresse benachrichtigen.
Für die Rechtmäßigkeit der übertragenen Daten und hochgeladenen Dateien sind Sie als Absender verantwortlich.
Im Falle strafrechtlicher Verstöße durch Sie als Absender bezüglich der übermittelten Daten und Dateien behalten wir uns ausdrücklich vor, unsererseits strafrechtlich Anzeige zu erstatten sowie zivilrechtlich Schadensersatzansprüche geltend zu machen.
Dauerhafte Cookies zur Konfiguration einzelner Funktionen gemäß Art. 6 Abs. 1 lit. a DSGVO
Bestimmte Funktionen können Sie in Ihrem Webbrowser ggf. dauerhaft (besuchsübergreifend) geräte- oder webbrowserbezogen konfigurieren, beispielsweise eine automatische Anmeldung oder eine abweichende Schriftgröße.
Sobald und solange Sie diese Konfigurationen aktiviert wünschen, werden hierfür auf Ihrem Rechner dauerhafte Cookies mit den jeweiligen Werten hinterlegt.
Sollten Sie diese dauerhaften Konfigurationen nicht mehr wünschen, können Sie diese Cookies jederzeit entweder auf der Website duch Deaktivierung der jeweiligen Funktion entfernen lassen oder alternativ selbst aus Ihrem Browser entfernen.
Um letzteres zu tun, können Sie alle Cookies in Ihrem Browser mit Hilfe dafür geeigneter Browsererweiterungen nach unserer Website gefiltert anzeigen sowie ggf. bearbeiten und entfernen.
Newsletter und inhaltliche Abonnements gemäß Art. 6 Abs. 1 lit. b DSGVO
Sie können sich auf eigenen Wunsch bei uns für Newsletter oder andere Abonnements einschreiben, um über aktuelle Aktionen oder Aktualisierungen bestimmer Websiteinhalte automatisch informiert zu werden,
In diesem Fall werden Sie auftragsgemäß bei Eintritt des jeweiligen Ereignisses automatisiert mittels Ihres zu diesem Zweck angegebenen Kontaktweges, üblicherweise per Email, kontaktiert.
Die erstmalige Angabe dieser Kontaktdaten erfolgt durch ein sogenanntes Double-Opt-In-Verfahren, durch welches Sie auf dem angegebenen Kontaktweg einen Aktivierungscode erhalten, dessen anschließende Aktivierung zur einmaligen Bestätigung Ihrer Kontaktdaten erforderlich ist.
Diese Website ist vollständig über SSL/TLS-verschlüsselte Verbindungen aufrufbar.
Eine aktive SSL-Verschlüsselung erkennen Sie unter anderem an der mit "https://" beginnenden Webadresse und am entsprechenden Symbol in oder nahe der Addressleiste, häufig beispielsweise ein verriegeltes Vorhängeschloss.
Durch SSL/TLS-Verschlüsselung wird sichergestellt, dass die Daten während der Übertragung zwischen Webbrowser und Website von Dritten weder eingesehen noch verändert werden können.
Server, Betriebssystem sowie sonstige eingesetzte Software erhalten regelmäßig Sicherheitsupdates.
Üblicherweise erfolgen Sicherheitsupdates umgehend entweder automatisiert oder kurzfristig nach Veröffentlichung durch den Hersteller.
Sämtliche Arten von Daten unterliegen regelmäßigen und mehrstufigen Datensicherungen ("Backups").
Üblicherweise erfolgen Datensicherungen abhängig von Wichtigkeit und Änderungshäufigkeiten der betreffenden Daten automatisiert jeweils einmal oder mehrmals täglich innerhalb des Servers.
Darüberhinaus werden diese Datensicherungen in jeweils sinnvollen Abständen innerhalb des Netzwerks sowie in letzter Stufe an andere Standorte dupliziert.
Insofern eine Übertragung der Daten über Netzwerke oder das Internet stattfindet, unterliegt der Transport hierfür geeigneter Verschlüsselungsverfahren.
Der Zugriff auf diese Datensicherungen ist Administratoren und bedarfsweise der Geschäftsführung vorbehalten.
Sämtliche Datenträger, die den ausschließlichen Einflussbereich der oben genannten Personengruppen verlassen, beispielsweise aufgrund Transports durch öffentlichen Raum, sind mittels aktueller Verschlüsselungsverfahren gegen unbefugtes Auslesen gesichert.
Passwörter für Benutzerkonten unterliegen aufgrund ihrer hohen Sensibilität einem besonderen Schutz nach aktuellem und in Fachkreisen regelmäßig empfohlenem Stand der Technik.
Passwörter für Benutzerkonten werden zu keinem Zeitpunkt in lesbarer oder enthüllbarer Form auf Datenträgern gespeichert, sondern stattdessen unter Nutzung aktuell empfohlener Methoden in einen sogenannten "kryptographischen Hashwert" gewandelt und gespeichert, namentlich des sogenannten "Hash and Salt"-Verfahrens in Verbindung mit dem sogenannten "PBKDF2"-Algorithmus.
Der hierbei eingesetzte "Salt" als Schlüsselbestandteil wird für jedes Passwort und bei jeder Passwortaktualisierung erneut unter Zuhilfenahme von Zufallsdaten generiert und in einzelnen Teilen an verschiedenen Speicherorten hinterlegt.
Auf diese Art geschütze Passwörter können nachträglich nicht mehr enthüllt werden und sind auch nicht durch Vergleichsanalysen mittels sogenannter "Rainbow-Table"- oder "Known-Plaintext"-Angriffe aufdeckbar.
Sitzungsidentifikatoren ("Session-IDs") werden bei jeder An- und Abmeldung ausgetauscht, um Identitätsdiebstahl durch Dritte zu erschweren.
Durch diese Beschränkung einer Session-ID auf denjenigen Benutzer, der selbige erstmals zur Anmeldung eingesetzt hatte, ist es eventuellen Angreifern nicht mehr möglich, mittels einer ausgespähten oder präparierten Session-ID auf verschiedene Arten Benutzerkonten zu übernehmen:
• "Trittbrettfahren" während des Anmeldevorgangs eines rechtmäßigen Benutzers durch eine präparierte Session-ID ("Session-Fixation")
• Übernahme einer aktuell bestehenden Sitzung und Weiterführung über den Abmeldezeitpunkt des rechtmäßigen Benutzers hinaus ("Session-Hijacking")
• Wiederholung einer vormaligen Sitzung oder Anfrage eines rechtmäßigen Benutzers ("Session-Replay")