Welche personenbezogenen Daten speichert und verarbeitet ovos play?
ovos play verarbeitet Daten, die im Zusammenhang mit den Accounts der Benutzer*innen stehen. Je nach aktivierten und genutzten Modulen, werden mehr oder weniger Daten gespeichert. Auch die E-Mail-Adresse kann bei der Nutzung optional sein.
Kategorie der personenbezogenen Daten | Datenarten |
Angaben über die betroffene Person |
|
Angaben zum System, das die betroffene Person verwendet |
|
Angaben zur Tool-Nutzung |
|
Die Verarbeitung der Daten erfolgt bei der Nutzung der App durch die Benutzer*innen, bei der Registrierung in der App durch die Benutzer*innen selbst oder Administrator*innen, sowie bei der Bewertung bzw. Auswertung der Daten von ovos oder dem Auftraggeber.
Zu welchem Zweck werden die oben erwähnten personenbezogenen Daten gespeichert und verarbeitet?
Die Datenverarbeitung findet zu folgenden Zwecken statt:
Bereitstellung der App
Nutzung und Administration der App
Nachvollziehbarkeit des Lernerfolgs
Wie lange werden personenbezogene Daten gespeichert?
Personenbezogenen Daten werden grundsätzlich solange verarbeitet solange der Zweck der Verarbeitung gegeben ist (z.B. die Benutzer*innen an einer Ausbildung durch ovos play teilnehmen). Nach der Durchführung der Ausbildung werden die personenbezogenen Daten für die Dauer von drei Monaten für die Zwecke der Nachvollziehbarkeit des Lernerfolgs aufbewahrt.
Optional: Automatische Anonymisierung bzw. Löschung der Accounts von inaktiven Benutzer*innen
Benutzer*innen, die über einen bestimmten Zeitraum inaktiv (d.h. keinerlei Interaktion mit dem System) sind, werden automatisch anonymisiert (Username, E-Mail Adresse, Passwort und Avatar werden aus dem Datensatz gelöscht). Es nicht möglich die Anonymisierung rückgängig zu machen oder die Daten eines anonymisierten Benutzers auf eine Person zurückzuführen, wie laut DSGVO verordnet. Eine Rückführung kann nur mithilfe von Datenzugriff mit umfassenden Aufwand erreicht werden.
Anonymisierte Accounts können von Benutzer*innen nicht mehr verwendet werden. Ein Teil der Nutzungsdaten des Accounts wird weiterhin verarbeitet, jedoch ausschließlich für statistische Zwecke. Die Frist für die automatische Anonymisierung beträgt in der Standardkonfiguration 365 Tage und kann pro Tenant individuell eingestellt werden.
21 und 3 Tage vor der optionalen automatischen Anonymisierung wird jeweils eine Benachrichtigungen via E-Mail an die betroffenen Benutzer geschickt.
Manuelle Löschung eines Accounts
Benutzer*innen können jederzeit manuell gelöscht werden. Dies kann entweder durch die Benutzer*innen selbst oder durch Administrator*innen erfolgen. Bei einer Löschung werden alle personenbezogenen Daten unmittelbar (innerhalb von 5 Minuten) aus der Datenbank gelöscht.
Löschung des Systems
Wird eine Instanz von ovos play gelöscht, werden damit auch sämtliche auf dieser Instanz registrierte Benutzer*innen unmittelbar (innerhalb von 5 Minuten) gelöscht.
Datensicherungen (Backups)
Personenbezogene Daten sind nach erfolgter Anonymisierung oder Löschung noch in Backups der jeweiligen Datenbank vorhanden. Nach Ablauf einer Frist werden auch diese Backups endgültig gelöscht. Die Löschfrist der Backups beträgt in der Standardkonfiguration 3 Monate und kann pro Datenbank (= Tenant) individuell eingestellt werden.
Logfiles
Allgemeine Logfiles enthalten keine personenbezogene Daten. Ressourcen die Logs anlegen:
Auslöser | Kann personenbezogene Daten enthalten | Automatische Löschung | Standardmäßige Löschfrist (Tage) | Löschfrist pro Tenant konfigurierbar |
ovos play services | Nein (u.u. gibt es ausnahmen wenn zb debug modus für SAML auth aktiviert ist) | ja | 90 | nein |
Bugsnag | ja | ja | 60 | nein |
Sparkpost | ja | ja | 10 | nein |
pm2 | nein | ja | 14 | nein |
Wie lange müssen die Daten gespeichert bleiben (Aufbewahrungspflicht)?
Die von ovos play verarbeitetn Daten fallen in keine Kategorie für die eine gesetzliche Aufbewahrungspflicht besteht.
Wer hat Zugriff auf personenbezogene Daten?
Entwickler*innen, Projektmanager*innen und Qualitätsmanager*innen von ovos haben Zugriff personenbezogenen Daten der registrierten Benutzer*innen. Eine Übermittlung von personenbezogenen Daten an einen weiteren Verantwortlichen findet nicht statt.
Wo liegen die Daten (Provider)?
Falls nicht anders mit dem Auftraggeber vereinbart, werden die Daten in der Datenverarbeitungsanlage der internex GmbH gespeichert. Die Serverstruktur und die Verarbeitung liegt dabei in Österreich bzw. im Europäischen Wirtschaftsraum. Für die laufende ovos play Instanz kann der Betrieb auf Wunsch in Österreich, Deutschland oder der Schweiz stattfinden.
Provider: internex GmbH
Firmenbuchnummer: 342171v
Umsatzsteuer ID (UID): ATU65604535
Geschäftsführer Markus Böhm
Firmensitz Lagerstraße 15, 3950 Gmünd, AT
Büroadresse 1090 Wien, Alserbachstraße 30
Verarbeitungsort (Adresse)
Server Standort
Interxion Österreich
Louis-Häfliger-Gasse 10
1210 Wien, AUSTRIA
Leistungen des Providers
Serverhosting inkl. Gewährleistung der Verfügbarkeit von Services und Datenbanken
Trafficmonitoring
Abwehrinfrastruktur
Wie sind die Daten geschützt?
Zutrittskontrolle
internex / Serverhosting
Maßnahmen, die verhindern, dass Unbefugte Zutritt (räumlich zu verstehen) zu Rechenzentren erhalten, in welchen personenbezogene Daten verarbeitet werden.
Gebäudesicherung
Gebäude- und Infrastruktur Monitoring
Videoüberwachung
Automatisches Zutrittskontrollsystem
Absicherung von Gebäudeschächten außerhalb der Perimeter Abgrenzung
Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal und Wachpersonal
Schriftliche Zutrittsregelungen
Sicherung der Räume
Biometrische Zutrittskontrolle zum Rechenzentrumsbereich
Zutrittskarte für den Zutritt zu einem Rechenzentrumsraum
ovos / Entwicklung
Gebäudesicherung
versperrbare Bürotüre
Empfang mit Zutrittskontrolle zu den Büroräumlichkeiten
Mitarbeiterweisung beim Verlassen des Büros
Sicherung der Räume
Getrennt versperrter Serverraum mit Schlüssel in Keylock.
Zutritt für
Hannes Amon
Milan Orszagh
Jochen Kranzer
Sigrid Cichocki
Jörg Hofstätter
Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können:
Zugang zu den Serversystemen
Server-Passwörter und Zugänge werden dem Auftraggeber bei der erstmaligen Inbetriebnahme übergeben. Der Auftraggeber ändert die Passwörter selbstständig sofort nach der Übernahme und wählt ein komplexes Passwort unter Berücksichtigung allgemeingültiger Standards.
Der Auftraggeber verwaltet die Zugangsdaten selbstständig und ist für deren Sicherheit und periodische Änderungen verantwortlich.
Zugriffskontrolle
Zur Verwaltung von internen Serversystemen durch berechtigte Administratoren kommt beim Hostingpartner internex ezeelogin (https://www.ezeelogin.com/) zum Einsatz. Folgende Maßnahmen werden umgesetzt:
Berechtigungskonzept inkl. Rollendefinition
Passwortpolicy (Mindestlänge, Sonderzeichen, periodischer Wechsel)
Social Engineering Prevention
Mehr-Weg-Authentifizierung
Die Verantwortung der Zugriffskontrolle von Kundensystemen obliegt dem Auftraggeber.
Zugriffsprotokoll
Ein Zugriffsprotokoll kann aus ezeelogin exportiert werden.
Weitergabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können:
Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der beauftragten Leistung des Hauptauftrages zur Verfügung gestellt. Der Auftraggeber bewertet seine betriebenen Datenverarbeitungsanwendungen und beauftragt auf Basis dessen erforderliche technische Maßnahmen.
Alle Mitarbeiter sind unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
kritische Interfaces sind immer IP restricted
Eingabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen bei internen Serversystemen um sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind:
Protokollierung über Logfiles (ezeelogin)
User-Identifikation
Auf Kundensystemen oder Serversystemen des Auftraggebers obliegt die Verantwortung der Eingabekontrolle dem Auftraggeber.
Auftragskontrolle (Art. 32 Abs. 1 lit. d DSGVO)
Maßnahmen, dass personenbezogene Daten gemäß den Weisungen des Auftraggebers verarbeitet werden:
Definition der Weisungsbefugnisse lt. Kundenanforderungen
Auftragsannahme nur in Schriftform oder von autorisierten Personen
Verfügbarkeitskontrolle (Art. 32 Abs. 1 lit. b DSGVO)
internex / Serverhosting
Maßnahmen bei internen Serversystemen zur Verwaltung um sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden:
Brandschutzmaßnahmen
Überspannungsschutz
Unterbrechungsfreie Stromversorgung
Klimaanlage (Redundantes System) (Harald bekommt eine Meldung)
Luftfeuchtigkeit zwischen 40% und 60%
24/7 Monitoring der Serversysteme
Separate Brandabschnitte
Backupkonzept für interne Serversysteme zur Verwaltung
Auf Kundensystemen oder Serversystemen des Auftraggebers obliegt die Verantwortung der Verfügbarkeitskontrolle, insbesondere der Datensicherung, dem Auftraggeber, falls dies nicht schriftlich im Hauptvertrag anders vereinbart wurde.
Wie sind die (personenbezogenen) Daten verschlüsselt?
Daten werden in der Datenbank unverschlüsselt gespeichert. Datenübertragungen/Requests verwenden das SSL/TLS Protokoll. Passwörter sind in der Datenbank gehasht (bcrypt, 12 Rounds)
"Although the GDPR obviously requires that organizations take the appropriate technical and organizational measures regarding the protection and security of personal data, whereby pseudonymization and encryption of personal data are recommended, the GDPR strictly speaking does not say you must use encryption as some claim since the GDPR says what it says and only jurisprudence and instances such as supervisory authorities and the proper EU authorities have the power of interpreting and/or amending it (and common sense dictates that in specific circumstances encryption is important when considering context and risks)."
Wie ist die Backupstrategie?
Wie regelmäßig werden die Backups gelöscht?
Backups werden nur zeitlich begrenzt gespeichert und nach Ablauf der Frist automatisch gelöscht:
ovos play Kubernetes Production
Uploaded files as well as the MongoDB and MySQL database
1x/Woche für letzte 14 Wochen
1x/Tag für letzte 30 Tage
internex Backupcluster
makes multiple daily backups of the server which are stored 10 days
local mysql and mongodb databases
dumped daily (10d as well)
Wie ist die Auskunftsstrategie?
Zur Authentifizierung berechtigter Personen für eine Anfrage dient die E-Mail Adresse des angefragten Benutzerkontos
Ist eine Authentifizierung nicht zweifelsfrei möglich (zB. keine E-Mail Adresse vorhanden) dann erfolgt Auskunft nur nach vorheriger Prüfung und Freigabe durch den Auftraggeber.
Ein Datenexport kann jederzeit durchgeführt werden.
Dabei werden alle dem User zugehörigen Daten in einem maschinenlesbaren Format exportiert.
Wie ist die Löschstrategie?
Die Authentifizierung der anfragenden Person erfolgt wie wie bei der Auskunftsstrategie
Bei erfolgreicher Authentifizierung werden die Daten
Variante A: manuell von ovos Mitarbeiter*innen gelöscht (Löschung erfolgt innerhalb von 30 Tagen - Backups bleiben eine Zeit lang gespeichert und werden danach automatisch gelöscht)
Variante B: manuell vom Benutzer*innen selbst über einen Button in der App (abgesichert durch Nickname-Eingabe) gelöscht (Löschung erfolgt sofort - Backups bleiben auch hier noch eine Zeit lang erhalten)
Ablaufprozesse
Registrierung
Daten werden über SSL/TLS verschlüsselte Verbindung an den Server geschickt.
Im Falle einer erfolgreichen Registrierung (E-Mail Adresse, Username, Passwort valide) wird das Passwort mit bcrypt (12 Rounds) gehasht und gespeichert. Andernfalls werden die Daten verworfen.
*Der tatsächliche Registrierungsprozess kann je nach zur Anwendung kommender Authentifizierungsmethode abweichen.
Login
User loggt sich mit E-Mail und Passwort ein. Daten werden über SSL/TLS verschlüsselte Verbindung an den Server geschickt.
Im Falle eines erfolgreichen Logins erhält der User einen JWT Token mit dem er sich authentifizieren kann. Der Token Payload enthält nur die User ID.
* Der tatsächliche Login-Prozess kann je nach zur Anwendung kommender Authentifizierungsmethode abweichen.
Passwort zurücksetzen
User können einen Link zum Zurücksetzen des Passworts beantragen. Der Link wird an die bei der Registrierung (oder anderweitig hinterlegte) E-Mail Adresse geschickt. Der Link ist auf unbegrenzte Zeit, bis zum Anfordern eines neuen Zurücksetzen-Links oder bis zum Zurücksetzen des Passworts über den Link gültig.
Sollte keine E-Mail Adresse für den User gespeichert sein, kann eine Löschung des Benutzerkontos durch eine Kontaktaufnahme mit dem ovos play support ( support@ovos.at) beantragt werden. Nach Prüfung und Freigabe der Anfrage durch den Auftraggeber erfolgt eine Rücksprache mit der anfragenden Person zum weiteren Ablauf.
Account löschen
Der User kann über sein User-Profil das Benutzerkonto löschen. Bei einer Löschung werden alle personenbezogene Daten des Benutzers aus der Datenbank gelöscht.
Benutzt ovos play Subauftragnehmer?
Ja, ovos play beauftrag Subauftragnehmer zur Gewährleistung des Software-Betriebs:
Internex GmbH, 1090 Wien, Alserbachstraße 30, Wien; für den Betrieb der Software
Bugsnag zur Fehlerbehebung, 110 Sutter St, San Francisco, CA 94104, Vereinigte Staaten
Sparkpost für den E-Mail Versand, Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland
Firebase für den Push-Notification Versand, Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland
Bugsnag beinhaltet nur in Ausnahmefällen personenbezogene Daten. Firebase kommt nur zum Einsatz, wenn die native App verwendet wird. Als Alternative zum E-Mail-Versand mit Sparkpost kann auch ein eigener SMTP-Server konfiguriert werden.
Sonstiges
Gibt es einen Datenschutzbeauftragten bei ovos?
Nein, denn die Verpflichtung zur Ernennung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter) nur, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive) oder wenn „sensible Daten“ (DSGVO Art 9 Abs 1) oder „personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“ (DSGVO Art 10) verarbeitet werden. Auf ovos trifft das nicht zu.
Trotzdem ist uns das Thema Datenschutz so wichtig, dass wir zwei verantwortliche (und dafür ausgebildete) Mitarbeiter zu diesem Thema haben:
Andreas Friedl (af@ovos.at)
Dominik Leitner (dol@ovos.at)
Gibt es einen CISO (Chief Information Security Officer) bei ovos?
Ja, CISO bei ovos ist Milan Orszagh (mo@ovos.at)
Kontaktperson für datenschutzrechtliche Fragen
Für Fragen rund um die Sie betreffenden personenbezogenen Daten oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an datenschutz@ovos.at.